Cyberwarfare

[Marcus]

  Le 13/11/2017 à 10:06, rogue0 a dit :

• A rapprocher avec la mystérieuse perte de toutes les sources chinoises de la CIA/FBI pendant plusieurs années : fuite ? traître ?
  Toujours non résolue

Expand  

Cela me rappelle un probléme durat la guerre froide :

a chaque fois qu'un agent US était identifié on le mettait sous la responsabilité d'une taupe.

 

Finalement, la taupe avait pris le nom de taupe de X. X étant un haut responsavble du KGB.

 

aprés la fin de la guerre froide, des agent US sont allé demandé à X le nom de la taupe pour l'arréter.

la réponse de X les a surpris

 

Il n'y a pas de taupe

X avait juste fait un manuel pour repérer les agents US

 

Dedans que des informations accessible sans protection au affaires étrangéres US

 

la carriéde d'un diplomate est précise.  une durée fixe avant mutation. Les  seules eception sont des  agents US.

Les voitures et appartements ne sont  pas aux mêmes agence de locations
 

[Rob1]

On dirait une version un peu brouillée de cette histoire :

Il y avait même des manuels "comment repérer un officier de la CIA" publiés aux USA dans les seventies. Après l'assassinat d'un chef de station à Athènes par des terroristes locaux, une loi interdisant de publier ce genre d'information a été passée.

Mais ça n'identifie que les officiers de renseignements. Pour faire référence à une période désormais bien documentée de la CIA, ca n'a pas empêché sa station de Moscou de fonctionner correctement du début des années 70 à 1985. Pour savoir qui sont leurs agents, c'est un tout autre problème. Un collègue de James Angleton disait "it takes a mole to catch a mole", et si la phrase est simpliste, elle tient bien la route.

Edit : mais on est en HS là.

Modifié le 19 novembre 2017 par Rob1

[rogue0]

Un peu de rattrapage sur l'actualité cyber:

• Une grosse fuite de donnée intriguante du CENTCOM.
  Non, je ne parle pas de la fuite de 57M utilisateurs d'Uber
  
  Je parle de Téraoctets de données laissées en accès libre sur le cloud Amazon
  https://www.upguard.com/breaches/cloud-leak-centcom
   

    Révéler le contenu masqué

  En résumé, ce serait une archive de posts de réseau sociaux surveillés et collectés par l’armée US (CENTCOM, PACOM, etc)
  Apparemment, c'était un backup "privé" d'un programme nommé Outpost, s'intéressant au Moyen Orient + Afghanistan + Pakistan depuis 2009 : ce serait en gros la surveillance des réseaux sociaux pour surveiller les jeunes candidats à la radicalisation.
  Etrangement, des posts politiques de citoyens US se sont retrouvé dans le lot (ce qui est illégal à priori pour les SR, sauf exception FISA)
  
  Je laisse les spécialistes de big data/Elastic Search vérifier les détails techniques, et cc @Rob1 et @hadriel et @Patrick s'ils sont au courant du programme Coral Reef de renseignement /surveillance/datamining de réseau social:
  https://www.army.mil/article/102102/armys_coral_reef_intelligence_analysis_software_among_top_5_technologies_of_2012 

   

• Le hacker responsable du fuitage HBO de Game Of Thrones aurait été identifié.
  La justice américaine va l'inculper (pour piratage, tentative d'extorsion de 6M$ en bitcoin, etc).
  Ce serait un ressortissant iranien.
  https://www.thedailybeast.com/iranian-game-of-thrones-hacker-demanded-dollar6-million-bitcoin-ransom-from-hbo-feds-say
    Révéler le contenu masqué

  Il aurait été identifié en croisant plusieurs infos (si c'est comme l'admin de Silkroad, il a oublié d'effacer une adresse email qui a permis de remonter la trace à sa vraie identité)
  
  Ce qui pue, et agite mon bullshitomètre, c'est l'accent mis sur son entraînement de hacker par l'armée iranienne (à pénétrer les systèmes israéliens).
  Ils en ont certainement la capacité, mais ça sent la campagne médiatique pour rappeler que l'Iran / NK est l'axe du mal (pas les russes, les nouveaux meilleurs amis )

  
   
• Ah, et accessoirement, fuite de données à Uber concernant 57M de client, dissimulée depuis 1 an.
  Uber a payé la rançon de 100k$ pour faire taire les hackers, et le nouveau CEO blâme l'équipe précédente pour la dissimulation.
    Révéler le contenu masqué

  Ainsi que pour les logiciels espionnant les chauffeurs,  le harcèlement sexuel, etc.
  Ah, et ils affirment pour l'instant que l'historique des trajets est resté sauf...
  
  A votre place, je ne leur ferais pas confiance, vu ce qu'ils font des données
  (un article du blog d'Uber parlait de traquer les "Rides of Glory", cad qui a découché ... (article supprimé depuis, dispo ici)
  http://sanfrancisco.cbslocal.com/2014/11/18/uber-crunches-user-data-to-determine-where-the-most-one-night-stands-come-from/
  http://www.oregonlive.com/today/index.ssf/2014/11/sex_the_single_girl_and_ubers.html
  + opposition research sur les critiques de Uber 
  https://www.buzzfeed.com/bensmith/uber-executive-suggests-digging-up-dirt-on-journalists?utm_term=.sgvql3RBZe#.sy7EQm23Rz

   

[Patrick]

  Le 22/11/2017 à 15:41, rogue0 a dit :

programme Coral Reef de renseignement /surveillance/datamining de réseau social:
https://www.army.mil/article/102102/armys_coral_reef_intelligence_analysis_software_among_top_5_technologies_of_2012 

Expand  

Déjà lu ce terme mais jusqu'ici j'avais toujours pensé qu'il s'agissait d'un outil spécifiquement utilisé par les forces armées US agrégeant les renseignements collectés depuis plusieurs sources, et permettant des prises de décision en boucle courte sur le théâtre d'opération. Du genre "à qui appartient tel téléphone qu'on vient de borner à côté de celui d'un chef taliban". Et donc que l'utilisation de cette suite d'outils sur des assets présents sur le territoire US était nécessairement du ressort d'un autre organisme, plus typé "homeland security" (à tout hasard NSA), puisque ce n'est pas le travail des SR des forces armées de faire de l'intel sur le sol US.

D'ailleurs comme le mentionne l'article :

  Citation

The posts themselves are in many different languages, but with an emphasis on Arabic, Farsi (spoken in Iran and Afghanistan), and a number of Central and South Asian dialects spoken in Afghanistan and Pakistan. The most recent indexed files were created in August 2017, right before UpGuard’s discovery, consisting of posts collected in February 2017.

Expand  

Que des informations aient pu, par croisement, se retrouver dans la doc des SR US relative à des citoyens US présents sur le sol US n'est en soi pas très surprenant. Ce que démontre l'article c'est, pour essayer d'être concret, qu'un post facebook d'un redneck énervé en réponse à un apprenti taliban menaçant les US d'annihilation nucléaire par la grâce d'Allah, a pu se retrouver dans la doc relative à l'apprenti taliban en question...

Je ne vois pas vraiment où est l'atteinte à la liberté d'opinion. A moins bien sûr que cela ait mécaniquement déclenché une surveillance du redneck énervé par les services opérants sur le territoire US. Là oui ce serait une autre histoire. Mais l'article ne le mentionne pas.

[Rob1]

  Le 22/11/2017 à 23:44, Patrick a dit :

Et donc que l'utilisation de cette suite d'outils sur des assets présents sur le territoire US était nécessairement du ressort d'un autre organisme, plus typé "homeland security" (à tout hasard NSA), puisque ce n'est pas le travail des SR des forces armées de faire de l'intel sur le sol US.

Expand  

Arg mes yeux saignent...

La NSA ce n'est pas l'agence de la "sécurité nationale" (qui d'ailleurs ne veut pas dire juste sécurité du territoire, mais plus globalement la stature des USA dans le monde, y compris la position diplomatique, les capacités militaires, etc.).

"Sécurité" est un euphémisme pour SIGINT + IA (sécurité de l'information), d'ailleurs on le trouve dans presque tous les noms de ces services depuis la 2e GM.

Bref NSA = agence nationale du renseignement d'origine électromagnétique (ROEM) et de la protection des USA contre le ROEM ennemi. La NSA est d'ailleurs issue du regroupement des casseurs de codes de l'Army et de la Navy, ceux qui cassaient les codes nazis et japonais. La NSA bosse sur tous les types de cibles, armées étrangères, diplomates/gouvernements étrangers, aussi à la demande des services de police fédérale (lutte contre criminalité organisée, terrorisme, espionnage, prolifération), mais ce doit être une proportion limitée du travail de la NSA, d'autant que plus une cible est proche des USA, plus il y a de contraintes sur la NSA pour que le ciblage soit justifié et limité.

Par ailleurs, la partie ROEM des SR des forces armées opère sous l'autorité de la NSA... on parle de NSA/CSS (le directeur de la NSA porte simultanément le titre de chef du CSS), et le Central Security Service c'est un titre inutile pour les organisations rens des cinq armées où se trouvent leur SIGINT. Donc bref, SIGINT de l'Army ou NSA, c'est très lié et très interconnecté, donc dire que c'est l'un ou l'autre qui a Coral Reef et le post du Redneck énervé, c'est kif-kif.

[Patrick]

  Le 23/11/2017 à 15:52, Rob1 a dit :

Par ailleurs, la partie ROEM des SR des forces armées opère sous l'autorité de la NSA... on parle de NSA/CSS (le directeur de la NSA porte simultanément le titre de chef du CSS), et le Central Security Service c'est un titre inutile pour les organisations rens des cinq armées où se trouvent leur SIGINT.

Expand  

I stand corrected !
Donc, à ton avis, est-ce que Coral Reef est employé sciemment pour collecter du renseignement auprès des "law abiding citizen" US ? Ou bien est-ce que c'est juste un effet de bord ?

[hadriel]

 

Si quelqu'un est abonné...

[rogue0]

  Le 07/11/2017 à 23:17, Boule75 a dit :

Vos puces Intel font tourner 3 systèmes d'exploitation : celui que vous avez choisi, et deux autres sur lesquels Intel a la main. Et qui trafiquent éventuellement sur votre réseau.

Ces passoires qu'on s'trimbale, quand même...

Expand  

Au moins, cette faille (médiatisée) a droit à un patch après 2 semaines.

http://www.hardware.fr/news/15297/nouvelle-faille-securite-intel-me.html

Mais combien l'appliqueront ?
Déjà le déploiement de patchs sur logiciel est lent en entreprise, même avec la meilleure volonté du monde.
Alors les patchs sur le "firmware" des PC

[rogue0]

  Le 24/11/2017 à 19:03, hadriel a dit :

Olivier Bonnet de Paillerets, nouveau patron du commandement cyber (militaire) français

Un ex de la DGSE spécialisé dans l'offensif.

https://lexpansion.lexpress.fr/high-tech/olivier-bonnet-de-paillerets-combattant-du-cybermonde_1962813.html

Si quelqu'un est abonné...

Expand  

Je ne suis pas abonné, mais le communiqué de presse est repris par d'autres sites

http://www.cio-online.com/actualites/lire-le-general-olivier-bonnet-de-paillerets-va-diriger-la-cyberdefense-9569.html

https://www.ouest-france.fr/bretagne/rennes-35000/defense-le-premier-commandant-de-la-cyberdefense-francaise-rennes-5401542

D'ailleurs, il sera présent à une conférence en cyberdéfense à Rennes (qui a lieu en ce moment même).
Y a peut être des forumeurs déjà là-bas tiens

https://www.cesar-conference.org/

 

 

[rogue0]

  Le 22/11/2017 à 15:41, rogue0 a dit :

• Une grosse fuite de donnée intriguante du CENTCOM.
  Non, je ne parle pas de la fuite de 57M utilisateurs d'Uber
  Je parle de Téraoctets de données laissées en accès libre sur le cloud Amazon
  https://www.upguard.com/breaches/cloud-leak-centcom

Expand  

Le même spécialiste en cybersécu (Chris Vickery) a encore trouvé des données/programmes classifiés dans le cloud amazon, en accès libre (laissés là par une société prestataire, Invertix, qui a depuis fermé...)

Il s'agit ici de Red Disk, un programme de cloud NSA/Army pour partager des info classifiées (drone, satellites) sur tout un théâtre d’opération.
« Heureusement », cette découverte est moins critique : ce programme était un échec coûteux, et n’a jamais été vraiment déployé sur le terrain.
Pas de données compromises, sauf des accès admin sur ce réseau (et peut-être des flux reçus de la NSA).

Détails en spoiler

  Révéler le contenu masqué

 

 

 

Annonce du découvreur en anglais
https://www.upguard.com/breaches/cloud-leak-inscom
(découverte en septembre, annoncée après le temps de l'enquête):

 

Résumé en français (paywall)
https://www.nextinpact.com/news/105719-nsa-echecs-et-fuite-red-disk-cloud-dedie-au-renseignement.htm

Divers résumés avec contexte
https://www.cyberscoop.com/nsa-army-leak-red-disk-aws-upguard-chris-vickery/
https://arstechnica.com/information-technology/2017/11/army-red-disk-intel-sharing-system-left-exposed-in-open-aws-data-store/

 

Pour rappel, le découvreur Chris Vickery est spécialiste dans ce genre de trouvaille.
Il a notamment à son tableau de chasse : 

• une fuite Verizon(base de 14M de clients dans la nature) : https://www.upguard.com/breaches/verizon-cloud-leak
• la fameuse gaffe de Viacom qui a laissé ses clés crypto sur le cloud : https://www.cyberscoop.com/viacom-left-their-master-keys-exposed-on-a-public-server-amazon-aws-exposure-upguard/

 

 

EDIT: et j'en ai encore loupé un

, Une société de "credit rating" (National Credit Federation, style Equifax) en Floride a mis en accès libre sur le cloud amazon, tous les documents personnels et bancaires pour 47 000 familles (scans de cartes d'identité et de sécu, salaire, prêt etc).
Soit 111 Go, depuis 2 ans ...

https://www.upguard.com/breaches/credit-crunch-national-credit-federation

Modifié le 1 décembre 2017 par rogue0

[hadriel]

Ouest France a une vidéo de l'intervention du commandant cyberdéfense à Rennes:

https://www.ouest-france.fr/bretagne/rennes-35000/video-rennes-le-patron-de-la-cyberdefense-s-exprime-exclusif-5414615?utm_source=dlvr.it&utm_medium=twitter

Il dit que sa priorité c'est l'attribution.

[rogue0]

  Le 05/10/2017 à 19:40, Rob1 a dit :

Le WSJ a un scoop sur une autre perte d'informations classifiées de la NSA par un contractor :

https://www.wsj.com/articles/russian-hackers-stole-nsa-data-on-u-s-cyber-defense-1507222108

Le reste de l'article étant largement du remplissage avec des infos déjà publiques pas spécifiques à cette fuite... Ce que je retiens :

1) une nouvelle baffe pour la NSA en quelques années. Elle  va finir par devenir l'agence nationale de l'insécurité des informations classifiées...

2) ca fait un moment que la compagnie Kaspersky est mal vue par la sécurité nationale US, mais à ma connaissance c'est la première fois qu'on parle d'un incident où elle aurait eu un rôle concret (même si pas détaillé)

Expand  

L'identité dudit contractor vient d'être révélée, suite à son "plaider-coupable".
Rien de bien neuf. (sauf le nouveau nom du TAO (Tailored Access Operations) de la NSA, renommé Computer Network Operation ... plus discret)

https://www.nytimes.com/2017/12/01/us/politics/nsa-nghia-pho-classified-information-stolen-guilty.html

 

---

Brian Krebs, un journaliste spécialiste en cybersécurité (pas mauvais), a probablement identifié un autre employé de la NSA, celui qui s'est fait pirater via son Kaspersky.

Avec plusieurs tuyaux et des recoupements (source : métadonnées des slides  fuité par les Shadow Broker depuis le Texas Cryptologic Center), il s'agirait vraisemblablement d'un ... DBA, ressortissant ex-soviétique, un autre membre du TAO correction, un autre contractor.
https://krebsonsecurity.com/2017/11/who-was-the-nsa-contractor-arrested-for-leaking-the-shadow-brokers-hacking-tools/

 

---

Modifié le 2 décembre 2017 par rogue0

[Rob1]

Pour le détail, mis à part la première fuite, Nghia H. Pho n'est plus décrit comme un contractor mais comme un pur employé de la NSA. Et c'est lui censé s'être fait pirater par Kaspersky des outils du TAO.

  Le 02/12/2017 à 00:36, rogue0 a dit :

Rien de bien neuf. (sauf le nouveau nom du TAO (Tailored Access Operations) de la NSA, renommé Computer Network Operation ... plus discret)

Expand  

En fait, le terme Computer Network Operations a été rendu public avec une définition claire dans les publications du DoD vers le milieu des années 2000 :

https://www.globalsecurity.org/intell/library/policy/dod/joint/jp3_13_2006.pdf (p.34) :

  Citation

CNO is one of the latest capabilities developed in support of military operations.  CNO
stems from the increasing use of networked computers and supporting IT infrastructure systems by
military and civilian organizations.  CNO, along with EW, is used to attack, deceive, degrade, disrupt,
deny, exploit, and defend electronic information and infrastructure.  For the purpose of military operations,
CNO are divided into CNA, CND, and related computer network exploitation (CNE) enabling
operations.  CNA consists of actions taken through the use of computer networks to disrupt, deny,
degrade, or destroy information resident in computers and computer networks, or the computers and
networks themselves.  CND involves actions taken through the use of computer networks to protect,
monitor, analyze, detect, and respond to unauthorized activity within DOD information systems and
computer networks.  CND actions not only protect DOD systems from an external adversary but also
from exploitation from within, and are now a necessary function in all military operations.  CNE is
enabling operations and intelligence collection capabilities conducted through the use of computer networks
to gather data from target or adversary automated information systems or networks. 

Expand  

On trouve même dans l'énoncé de mission de la NSA :

  Citation

Mission Statement

The National Security Agency/Central Security Service (NSA/CSS) leads the U.S. Government in cryptology that encompasses both Signals Intelligence (SIGINT) and Information Assurance (IA) products and services, and enables Computer Network Operations (CNO) in order to gain a decision advantage for the Nation and our allies under all circumstances.

Expand  

https://www.nsa.gov/about/mission-strategy/

ou dans le dictionnaire officiel du DoD : https://fas.org/irp/doddir/dod/jp1_02-april2010.pdf

Mais le vocabulaire a disparu des documents du DoD vers 2012 (tout en étant toujours présent sur le site de la NSA)...

Au passage, ça esquisse une répartition des rôles, confirmée dans ce document Snowden https://snowdenarchive.cjfe.org/greenstone/collect/snowden1/index/assoc/HASH8769.dir/doc.pdf (p.8) : la CNE c'est pour TAO de la NSA, les CND et CNA c'est fait par le CYBERCOM.

Modifié le 2 décembre 2017 par Rob1

[Rob1]

D'ailleurs pour creuser un peu plus le sujet, noter l'existence antérieure d'unités qualifiées de "CNO" :

  Citation

By 2006, Task Force Orange had grown larger. It was divided into units that carried out signals intelligence, human spying, and commando operations. The Pentagon added a new division in 2006: Computer Network Operations.

Expand  

http://www.washingtonexaminer.com/exclusive-book-excerpt-sabotage-part-5-capturing-iraqs-most-wanted-man/article/73418

(présentation d'un livre qui fut le premier à dévoiler le nom des Tailored Access Operations, d'ailleurs)

La Delta Force a son propre escadron de CNO :

https://books.google.fr/books?id=oWiWBgAAQBAJ&lpg=PP1&hl=fr&pg=PT271#v=onepage&q="Computer Network Operations"&f=false

[rogue0]

Il y a à nouveau une promo sur des livres de sécurité (/sysadmin) informatique sur humble bundle (format ebook).
Plus précisément, c'est une vente caritative (15$ pour 13 livres, au profit d'oeuvres de charité)

https://www.humblebundle.com/books/network-security-certification-books

L'un d'entre eux est fortement recommandé par des ténors du secteur (tellement que je vais le prendre par pure curiosité):

"Network Attacks and Exploitation: A Framework "

https://mobile.twitter.com/thegrugq/status/938332287145361408

"the grugq

The book is probably the best one ever written on cyber."

https://mobile.twitter.com/McGrewSecurity/status/938073257625997312

 

 

 

 

[rogue0]

Andromeda, l'un des plus grands botnets (1M de machine infectée en moyenne depuis 2011) est tombé récemment.
Le cerveau serait un Biélorusse expert en hacking et en malware.

Comment est il tombé ? :
son numéro de contact ICQ (de hacker ) a été retrouvé sur des vieux posts de forum, avec sa véritable identité.
Bref, un fail de compartimentatisation et de nettoyage d'identité classique.

https://www.cyberscoop.com/andromeda-botnet-europol-fbi/

https://www.cyberscoop.com/andromeda-botnet-sergey-jaretz-recorded-future/

[rogue0]

Faille critique trouvée dans Windows Defender (l'antivirus intégré à Win10), suffisamment pour déployer un patch dédié avant le patch mensuel de Microsoft.

Comme Mikrosoft n'a pas mis son antivirus dans une sandbox, il est vulnérable, lorsqu'il scanne un fichier spécialement vérolé...

Détail amusant, c'est une filiale du GCHQ anglais qui a signalé la faille à Microsoft.

https://www.cyberscoop.com/critical-vulnerability-hits-microsoft-malware-protection-engine/

[Rob1]

  Le 08/12/2017 à 23:42, rogue0 a dit :

Détail amusant, c'est une filiale du GCHQ anglais qui a signalé la faille à Microsoft.

Expand  

J'ignorais l'existence de ce National Cyber Security Centre (NCSC)

  Citation

How we work

Launched in October 2016, the NCSC has headquarters in London and brings together expertise from CESG (the information assurance arm of GCHQ), the Centre for Cyber Assessment, CERT-UK, and the Centre for Protection of National Infrastructure.

Expand  

https://www.ncsc.gov.uk/information/about-ncsc

[Boule75]

Cyberwafare de proximité : pétage de DAB certainement très bien intégrés (sous Windows).

[rogue0]

 

  Le 10/07/2017 à 08:01, Boule75 a dit :

Telegram peut être du fait de son origine (mais il me semble avoir croisé une comm' nonchalante d'un service français disany que c'était cassé aussi). Whatsapp c'est Facebook donc censément ouvert pour la bonne cause.

Expand  

 

  Le 10/07/2017 à 10:15, rogue0 a dit :

Quelques commentaires en vrac:

• le cassage de chiffrement par force brute est très coûteux (même avec l'aide du cloud amazon).
  WhatsApp (surtout) et Telegram peuvent aussi avoir des faiblesses d'implémentation de la crypto (ou de protocole, attaque man-in-the-middle)

Expand  

 

J'ai hésité à le poster, mais oui, Telegram (tout comme whatsapp et sans doute Signal) a des faiblesses intrinsèques dans leurs "procédures"/protocoles au sens large. (cf #thegrugq)

La police allemande (BKA) a infiltré un cercle de néo-nazis dès 2015 en profitant de ces faiblesses (et sans cheval de Troie).

Je n'en dit pas plus sur un forum public, mais j'ai trouvé un résumé de la méthode employée.

 

 

  Le 25/04/2017 à 12:54, Marcus a dit :

Macron était un très grand utilisateur de la messagerie Telegram.

Telegram a des très gros défauts ...

Expand  

A ceux qui se demandaient pourquoi on ne choppe pas tous les terro sous telegram, il y a une réponse simple.

Même les ministres s'en servent ... (cf l'affaire Urvoas)
Et il y en a un qui s'est fait pincer avec la faiblesse de sécurité n°1: l'utilisateur.
Qui a laissé trainer une copie du message sur son téléphone. (epic fail...)

http://www.lemonde.fr/police-justice/article/2017/12/13/la-responsabilite-penale-d-urvoas-est-susceptible-d-etre-engagee-dans-une-enquete-visant-solere_5228940_1653578.html

Modifié le 13 décembre 2017 par rogue0

[zx]

 

Profession cybercombattant : le quotidien d'un soldat des réseaux

http://www.lefigaro.fr/secteur/high-tech/2017/12/15/32001-20171215ARTFIG00272-profession-cybercombattant-le-quotidien-d-un-soldat-des-reseaux.php

  Révéler le contenu masqué

Dans le plus grand secret, les systèmes informatiques les plus sensibles de l'État français font chaque jour l'objet de milliers de cyberattaques. Une armée d'un genre nouveau a été créée pour y résister.

«Un génie, s'il est assez motivé, peut pénétrer quasiment n'importe quel système informatique avec assez de temps. C'est la hantise dans notre milieu.» Après son café matinal, une fois installé à son poste, Claude* endosse son rôle de cybercombattant. Il protège les données confidentielles de la police, de l'armée de terre et d'institutions publiques dont il ne peut révéler le nom. En raison d'une clause de confidentialité qu'il a signée à son entrée dans la maison, il n'a normalement pas le droit de s'exprimer. Mi-novembre, il a vu le nombre d'attaques monter en flèche. Une vague de tentatives d'intrusion dans les bases de données les plus secrètes de l'État a submergé son équipe. 4.500 par heure, contre 400 en temps normal. «Ça s'affolait dans les couloirs».

En ligne de front, les cybercombattants déjouent au quotidien des milliers de cyberattaques dont le grand public n'aura jamais connaissance. Ils assurent la protection des infrastructures numériques les plus sensibles de la France, face à un éventail d'ennemis chaque jour plus large. Des Russes à Daech en passant par la Corée du Nord et des groupes de hackers d'élite indépendants, tous s'adonnent désormais à une guerre en ligne, qui peut rapporter gros. Leurs attaques sont devenues si puissantes qu'elles peuvent espionner des ordinateurs à distance, en prendre le contrôle ou rendre leurs données irrécupérables. Pas si grave lorsqu'il s'agit d'ordinateurs personnels. Catastrophique lorsqu'ils appartiennent à l'État et contiennent la localisation des troupes françaises à travers le monde.

Le rempart numérique de la France

Pour y faire face, la France s'est progressivement dotée d'une machine de guerre cyber. En tout, ils sont 3.000 à œuvrer pour le ministère des Armées et le ministère de l'Intérieur, afin de défendre les intérêts de l'État sur le nouveau champ de bataille qu'est Internet. Au quotidien, ce commando de geeks trouve des parades aux cyberattaques perpétrées à l'encontre de la France. Il met aussi à l'épreuve la robustesse des infrastructures informatiques des services d'État français les plus critiques, pour y déceler d'éventuelles failles. «Pour vulgariser, ces 3.000 personnes sont le rempart numérique de la France», résume Claude. «Je suis en général affecté sur une application ou un site. Je dois tester sa robustesse face à différentes attaques communes et surtout, essayer de les hacker pour m'assurer que les protocoles de sécurité sont respectés et rendent bien impossible la récupération de données.» Ces informations sont aujourd'hui le nerf de la guerre. «Le client étant l'armée, leur valeur est inestimable et elles ne doivent, en aucun cas, tomber dans de mauvaises mains.»

«La protection des réseaux informatiques des armées se fait y compris dans les endroits où l'on a des troupes, avec des États-majors déportés», complète Éric Freyssinet. Colonel en charge de la mission numérique de la Gendarmerie nationale, il était auparavant conseiller au sein de la délégation ministérielle chargée de la lutte contre les cybermenaces au ministère de l'Intérieur. «À cela s'ajoutent des opérations offensives et de renseignement». Ces dernières sont réservées à des unités d'élite. Elles consistent, entre autres, à pénétrer dans les bases de données ennemies, pour avoir un œil sur leurs stratégies. En temps normal, cela constitue une infraction pénale. Mais si l'armée a le permis de tuer, elle a aussi celui de pirater. Pour chapeauter le tout, un État-major de soixante personnes, le Commandement de la cyberdéfense, ou Comcyber, a été créé en mai dernier. Le Général Olivier Bonnet de Paillerets, ancien de la DGSE, a été nommé à sa tête en septembre.

La tentation d'un ailleurs

Malgré l'importance de ses missions, Claude indique vouloir rejoindre le privé, pour des raisons financières. «La tentation de céder à l'appel d'un chasseur de têtes est forte et nos profils sont très courtisés. En passant dans le privé, on peut multiplier au moins par trois notre salaire annuel. Heureusement qu'il y a, malgré cela, des passionnés dans notre domaine».

Il voit dans ce manque de moyens financiers un important problème de sécurité. «Le ressenti général, c'est qu'on a bien six mois voire un an de retard sur les géants du secteur. Et parfois, sur nos attaquants», écrit-il.

Agé d'une vingtaine d'années, Antoine**, lui, ne voit pas d'inconvénient à être moins payé, tant qu'il peut jouer à la guerre en ligne. Il a tout récemment soumis sa candidature au ComCyber, en envoyant par mail un simple CV, sans aucun message. Grâce à ses activités sur le dark Web, il est déjà riche «pour une vie ou deux». «Aucun salaire ne se rapprochera de toute manière de ce que j'avais l'habitude de gagner», précise-t-il.

4400 cybercombattants d'ici 2019

Les cybermenaces sont telles que l'État recrute à tour de bras, en ratissant large. Une campagne a été lancée en début d'année. «Un réseau de 180.000 machines», «partout dans le monde», «des possibilités de carrières», «des postes militaires ou civils»… Avec de tels arguments, le ComCyber veut regrouper 4400 cybercombattants d'ici 2019. Leurs portes sont grandes ouvertes aux profils «motivés» et aux «passionnés». «Un jeune homme ou une jeune femme qui vient d'acquérir un BTS Informatique ou une école d'ingénieur en informatique, qui est prêt à s'investir, peut ainsi rejoindre nos équipes et trouvera sans aucun doute sa place», écrit le Lieutenant-colonel Hervé, du ComCyber. Pour attirer les profils, il rappelle l'avantage d'une telle expérience: «Le ministère des Armées a une spécificité: les opérations dans l'espace numérique. Elles constituent aujourd'hui une activité que l'on trouve très rarement dans le secteur privé et, donc, une forte valeur ajoutée dans un CV».

Les éventuels postulants doivent être prévenus: une enquête sera lancée en amont sur eux, parfois sur leurs proches. «Vous comprendrez de façon évidente qu'on ne peut se permettre de laisser entrer le loup dans la bergerie», explique le Lieutenant-colonel Hervé. Une série de questions pointilleuses s'ensuit, une fois en entretien. L'une d'entre elles a marqué Claude: «On m'a demandé assez rapidement ce qu'évoquait pour moi le droit à la vie privée.» Cette question résume globablement le secteur à ses yeux. «J'avais répondu que la vie privée est un concept qui n'existe plus.».

Antoine, lui, n'est pas encore parvenu à ce stade. Son mail n'a à ce jour obtenu aucune réponse. L'État veut se prémunir de toute mauvaise surprise et éviter les profils habitués à tutoyer les limites de la légalité. Un haut cadre d'une agence de sécurité nationale rappelle qu'il est arrivé, il y a quelques années, que des employés envoyés en mission dans une entreprise française d'envergure majeure victime de cyberattaques en profitent pour dérober eux-mêmes des informations, pour leur propre compte. Les activités en ligne d'Antoine et sa proximité passée avec des hackers russes lui auront peut-être finalement joué des tours.

[rogue0]

J'avais raté la nouvelle.

La justice a retrouvé et condamné les "cerveaux" derrière les méga-attaques de déni de service Mirai de septembre 2016 (botnet contrôlant les objets connectés, style caméra IP).
Ils ont plaidé coupable.

Les attaques massives de déni de service (DDOSmesuré jusqu'à 1.2 Terabyte/sec venant de 800 000 objets connectés) avaient failli "mettre à genoux" internet (OVH, DynDNS impactant les grands sites). Et Schneier parlait même de test de cyberattaque par un Etat ...

• Donc, les coupables sont ... 3 adolescents américains. (Bon, la précocité, ça arrive).
• Ce qui me scie vraiment ? La motivation des auteurs

Ces attaques massives, c'était "juste" pour ... faire du racket sur des serveurs de jeu Minecraft.
Sisi.

Les détails:

  Révéler le contenu masqué

 

Le jeu étant très populaire, des serveurs de jeu privé sont apparus, gagnant jusqu’à 50k$ par mois pour accueillir des grandes guildes de joueur.
Fatalement, cela a attiré les criminels (payé par les concurrents pour les pourrir via DDoS Déni de service), et des sociétés de « protection » (parfois les mêmes criminels, extorquant du « pizzo », argent de protection).

C’est le cas des auteurs du botnet Mirai.
Ils avaient monté une société de protection de serveurs de jeu, et développé des outils de DDoS pour pourrir les concurrents (après plusieurs années de travail, c’est devenu Mirai).

Je ne suis pas sûr qu’ils avaient pris conscience qu’ils avaient mis au point l’équivalent d’un Nuke DDoS dans leurs chambres.
Une fois Mirai mis au point, ils l’ont utilisé sur les « concurrents » de protection anti déni de service (pour prouver que leur protection était inefficace), comme outil d’attaque à louer (pour faire tomber d’autres sites), et mêmes sur des journalistes trop curieux et pas assez « respectueux » (Brian Krebs).

D’ailleurs, ce dernier a fini par les démasquer.
Après 4 mois de fouinage et de recoupement, il a remonté leur piste…
Gare à la vengeance du cyberspécialiste … (sans cette attaque personnelle, il avoue qu’il n’aurait pas pris le temps et l’effort de les traquer).

 

Sources :
 

  Révéler le contenu masqué

 

Résumés

https://www.cyberscoop.com/mirai-botnet-charges-paris-jha-dalton-norman-josiah-white/

résumé Wired version courte

http://www.wired.co.uk/article/minecraft-mirai-botnet-ddos

Enquête version extra longue

https://www.wired.com/story/mirai-botnet-minecraft-scam-brought-down-the-internet/

Le journaliste cyber attaqué qui les a démasqué
https://krebsonsecurity.com/2017/12/mirai-iot-botnet-co-authors-plead-guilty/

remonter la piste des indices

https://krebsonsecurity.com/2017/01/who-is-anna-senpai-the-mirai-worm-author/

identification du botnet Deutsch Telekom (dérivé de Mirai, après publication du code source pour brouiller les pistes)

https://krebsonsecurity.com/2017/07/suspended-sentence-for-mirai-botmaster-daniel-kaye/

 

rappel des épisodes précédents

 

  Révéler le contenu masqué

 

  Le 21/10/2016 à 16:10, Rob1 a dit :

Apparemment gros DDoS sur un important fournisseur de DNS aujourd'hui, ca rappelle ce que disait Schneier il y a quelques temps : http://gizmodo.com/this-is-probably-why-half-the-internet-shut-down-today-1788062835?rev=1477054209946 En ce moment je n'arrive pas à accéder à twitter, est-ce à cause de cela ?

Expand  

 

  Le 16/09/2016 à 01:09, Rob1 a dit :

Sinon, le gourou de la sécurité informatique Bruce Schneier a posté un essai où il explique que des compagnies majeures d'internet (il ne précise pas lesquelles) lui ont dit avoir fait l'objet d'attaques DDoS augmentant progressivement en intensité et en sophistication. Ca ressemble à des tests, qui obligent les compagnies concernées à utiliser (donc dévoiler) progressivement toute leur panoplie de défenses. Sa conclusion est dans le titre, a priori pas exagéré par rapport aux faits : "quelqu'un est en train d'apprendre à mettre internet K.O.".

https://www.schneier.com/blog/archives/2016/09/someone_is_lear.html

Expand  

 

 

Modifié le 20 décembre 2017 par rogue0
reformaté pour concision

[rogue0]

Découverte de Triton, un nouveau malware ciblant expressément des process industriels (ICS) (au Moyen Orient).
C'est le 5ème connu, avec ceux sabotant les réseaux électriques, et Stuxnet.

Il est capable d’interférer avec les systèmes de contrôle de Schneider Electric  (Triconex safety instrumented system (SIS)).
(arrêt ou sabotage destructif)

L'auteur est inconnu ( pas de similarité avec les 4 autres malware connus ciblant les réseaux de contrôle industriels)

https://www.cyberscoop.com/triton-ics-malware-fireeye-dragos/

découvreurs Fireeye et Drago

https://www.fireeye.com/blog/threat-research/2017/12/attackers-deploy-new-ics-attack-framework-triton.html

https://dragos.com/blog/trisis/index.html

 

---

Cybersécurité du vote US

Demande par un Sénateur US d’une coordination fédérale pour durcir les infrastructures de vote contre les piratages.
https://www.cyberscoop.com/sen-wyden-asks-white-house-to-get-more-involved-in-boosting-election-cybersecurity/

Contexte 
Jeff Sessions a admis en commission parlementaire (sur l'influence russe) qu'aucune contre-mesure n'était envisagée à ce sujet, et qu'ils étaient "toujours en phase d'analyse" (en d'autres termes, bottage en touche).

EDIT: j'ai mis en spoiler mon râlage (habituel?) sur l'aveuglement de l'administration Trump sur ce sujet.
RFC : Si vous trouvez ça lourdingue, faites-moi signe. 

  Révéler le contenu masqué

ça fait un an que l'administration Trump fait la sourde oreille à ces demandes, puisqu'il est bien connu que les faux électeurs sont un problème bien plus grave que le piratage des élections...
</ironie OFF>
Et qu'il est bien connu que ces piratages sont le fait d'un hacker obèse de 180kg sur son lit, pas des russes.
</ironie2 OFF>

 

 

Modifié le 20 décembre 2017 par rogue0

[Rob1]

  Le 19/12/2017 à 10:18, rogue0 a dit :

Les attaques massives de déni de service (DDOSmesuré jusqu'à 1.2 Terabyte/sec venant de 800 000 objets connectés) avaient failli "mettre à genoux" internet (OVH, DynDNS impactant les grands sites). Et Schneier parlait même de test de cyberattaque par un Etat ...

Expand  

Attention, c'est moi qui avait fait un rapprochement entre cette attaque ponctuelle (rare fois où j'ai vu un effet direct sur ma petite navigation perso), et des attaques étatiques que Schneier avait rapporté quelques temps avant... rapprochement erroné, donc.

[rogue0]

Vulnérabilité matérielle des processeurs Intel (EDIT aussi AMD et ARM ) depuis 10 ans : KPTI fuite mémoire kernel (via le mécanisme de prédiction des CPU Intel)
Les détails sont encore sous embargo, mais corriger la faille nécessiterait un redesign complet.

En attendant, un gros palliatif niveau système d'exploitation est nécessaire (avec un malus de performance jusqu'à 30% sur les applications de base de données, cloud ou hyperviseur).

résumés en français:

http://www.hardware.fr/news/15325/bug-securite-couteux-cote-serveur-intel.html
https://www.numerama.com/tech/318251-faille-critique-sur-les-processeurs-intel-quelles-seront-les-consequences.html

détails:

https://www.theregister.co.uk/2018/01/02/intel_cpu_design_flaw/

Modifié le 4 janvier 2018 par rogue0