Aller au contenu
Fini la pub... bienvenue à la cagnotte ! ×
AIR-DEFENSE.NET

Cyberwarfare


wielingen1991

Messages recommandés

Il y a 2 heures, zx a dit :

La question que je me pose, pour demander ca, il a du falloir l'écrire en français pour éviter les soupçons.

Aucun problème pour les hacker a support étatique.

Ca fait longtemps que APT28 fait des campagnes de phishing couvrant l'afrique et toute l'europe.(cf le doc de trend micro pour la liste des cibles où ils ont été détectés)

Ils ne sont pas tous multilingues, mais ont les ressources pour en trouver rapidement (cf guccifer 2.1 prétendu roumain qui ne pigeait pas les questions en roumain, remplacé /assisté rapidement par une version 2.2 bilingue)

Cf également la pile de private joke et de références culturelles profondes US qui accompagnent les premiers manifestes shadow broker (peut etre que @Tancrède les pigera toute, moi je suis dépassé).

Et pour le phishing normal de bas étage, ca fait longtemps que même les scams nigeriens deviennent impeccables en grammaire et logo)

Lien vers le commentaire
Partager sur d’autres sites

Le 07/05/2017 à 12:38, zx a dit :

MacronLeaks : les hackers ont finalement trouvé la faille

 

En fait, Macron ne s’est pas fait pirater.

Le journal TheRegister parle de la protection informatique de la campagne Macron :

http://www.theregister.co.uk/2017/05/08/team_macron_pre_hack_opsec/

L’équipe de sécurité informatique aurait utilisé un « Pot de Miel » : un faux compte messagerie facile à pirater avec des vielles informations vraies et des informations fausses. Cela protège le vrai compte messagerie de Macron.  C’est ce compte dont les fausses  révélations alimentent  les rumeurs.

Cette équipe aurait utilisé une double authentification (2FA) sans préciser laquelle. Le journal parle de YubiKey mais seulement comme exemple de tarif (20 $).

Créer ses propres informations fausses  permet aussi  de se marrer quand on voit qui se ridiculise en révélant précisément ces fausses nouvelles (Wikileaks…). Cela permet aussi de préparer les réponses à l’avance.

  • Upvote (+1) 1
Lien vers le commentaire
Partager sur d’autres sites

Edit : Vu chez schneier : source journal allemand

La double authentification par envoi de code sur smartphone (two form authentification) a été cassée et déjà exploitée par des pirates allemands.

https://www.schneier.com/blog/archives/2017/05/criminals_are_n.html

Bon ce n'était qu'une question de temps. La faille dans le protocole ss7 est connue depuis plus de 2 ans, et comme d'habitude, c'est après un crime que les sociétés recherchent une solution...

Edit :  Bon on utilise quoi comme moyen de sécurisation global pour les achats par internet ? Capteur d'empreinte sur smartphone ? (avec hash et salage)

Cf cet article pour l'historique  :  certains commentaires anglais sont intéressants pour les liens telecom - SR anglais, mais complètement non vérifiables. quelqu'un peut confirmer ? 

(en gros des failles de conception pour ne pas dire des backdoors datant du réseau RTC)

https://www.schneier.com/blog/archives/2015/08/ss7_phone-switc.html

 

 

Modifié par rogue0
Lien vers le commentaire
Partager sur d’autres sites

Il y a 19 heures, rogue0 a dit :

Cf cet article pour l'historique  :  certains commentaires anglais sont intéressants pour les liens telecom - SR anglais, mais complètement non vérifiables. quelqu'un peut confirmer ? 

 

 

Dans mon travail, on a parfois des conférences sécurités organisée pour améliorer la sécurité des informations. Informatique ou pas. Parfois, c’est un représentant de la DGSE qui vient. J’ai eu de la chance d’y  assister.

Le représentant de la DGSE parlait de la sécurité informatique des BlackBerry. La société présentait ses téléphones BlackBerry comme très sur. Elle a fait des audits pour montrer la sécurité des communications et publiait les résultats de ses audits.  Une société Française utilisait les BlackBerry. Comme beaucoup d’autre. Mais la société Française se posait des questions sur les succès d’un concurrent Anglais. Dans le métier, tout passait par des appels d’offre secrets. Un client  demande des  offres pour des travaux. Les fournisseurs intéressés proposent une offre dont le cout total reste secret. C’est le fournisseur qui propose le cout le plus bas qui gagne. Dans le métier, parfois on gagne, parfois on perd. Parfois il arrive que l’on perde de vraiment très peu. Ce qui n’arrive pas normalement c’est que cela on perde plusieurs fois de suite de vraiment très peu et toujours  à cause du même concurrent Anglais. C’est louche. Une personne a eu une idée très intelligente : Le prochain appel d’offre, toutes communications sur les prix passant par BlackBerry seront augmenté de 10%. L’appel d’offre suivant, le concurrent Anglais a perdu car il était trop cher de 10%. La société Française a interdit l’usage de BlackBerry par ses employés.

Pour le représentant de la DGSE, ce n’était pas surprenant. BlackBerry a des serveurs en Angleterre. Les  services secrets anglais ne laissent rien s’installer qu’ils ne savent pas pirater. Ils n’hésitent pas  à communiquer les informations importantes  aux sociétés anglaises.

Cette activité  n’est évidement pas légale à cause des règles Européenne. C’est du off the record…

Les  services secrets anglais vont profiter du Brexit pour rendre  ceci légal avec une nouvelle loi  de surveillance.

  • Upvote (+1) 3
Lien vers le commentaire
Partager sur d’autres sites

il y a 11 minutes, Marcus a dit :

Dans mon travail, on a parfois des conférences sécurités organisée pour améliorer la sécurité des informations. Informatique ou pas. Parfois, c’est un représentant de la DGSE qui vient. J’ai eu de la chance d’y  assister.

Le représentant de la DGSE parlait de la sécurité informatique des BlackBerry. La société présentait ses téléphones BlackBerry comme très sur. Elle a fait des audits pour montrer la sécurité des communications et publiait les résultats de ses audits.  Une société Française utilisait les BlackBerry. Comme beaucoup d’autre. Mais la société Française se posait des questions sur les succès d’un concurrent Anglais. Dans le métier, tout passait par des appels d’offre secrets. Un client  demande des  offres pour des travaux. Les fournisseurs intéressés proposent une offre dont le cout total reste secret. C’est le fournisseur qui propose le cout le plus bas qui gagne. Dans le métier, parfois on gagne, parfois on perd. Parfois il arrive que l’on perde de vraiment très peu. Ce qui n’arrive pas normalement c’est que cela on perde plusieurs fois de suite de vraiment très peu et toujours  à cause du même concurrent Anglais. C’est louche. Une personne a eu une idée très intelligente : Le prochain appel d’offre, toutes communications sur les prix passant par BlackBerry seront augmenté de 10%. L’appel d’offre suivant, le concurrent Anglais a perdu car il était trop cher de 10%. La société Française a interdit l’usage de BlackBerry par ses employés.

Pour le représentant de la DGSE, ce n’était pas surprenant. BlackBerry a des serveurs en Angleterre. Les  services secrets anglais ne laissent rien s’installer qu’ils ne savent pas pirater. Ils n’hésitent pas  à communiquer les informations importantes  aux sociétés anglaises.

Cette activité  n’est évidement pas légale à cause des règles Européenne. C’est du off the record…

Les  services secrets anglais vont profiter du Brexit pour rendre  ceci légal avec une nouvelle loi  de surveillance.

Si je me souviens bien, disposer de sa messagerie sur Blackberry impliquait qu'on ouvrait, volontairement, l'accès à sa messagerie pour la société Blackberry, qui venait prendre chez votre fournisseur de courriels vos propres messages pour les dupliquer.
A partit de ce moment là, il n'y a même pas besoin de faille technique.

Il se passe actuellement exactement la même chose avec des services "web" ou "mobile" : il est par exemple extrêmement simple de se laisser guider par LinkedIn et de fournir à ceux-ci son code de messagerie. Vu d'eux, ça permet de faire des choses formidaââbles. Du point de vue confidentialité, c'est grotesque.

 

Ma boîte vient de passer sous Office365 : en clair, je n'ai plus de messagerie professionnelle :-)

  • Upvote (+1) 2
Lien vers le commentaire
Partager sur d’autres sites

 

Il y a 2 heures, zx a dit :

Pas uniquement les britanniques et leur hôpitaux : Une cyberattaque massive frappe plusieurs pays à travers le monde : http://www.lefigaro.fr/secteur/high-tech/2017/05/12/32001-20170512ARTFIG00306-une-cyberattaque-d-envergure-frappe-des-hopitaux-britanniques.php

"Au total, 74 pays auraient été touchés par plus de 45.000 attaques informatiques de plus ou moins grande ampleur ces dix dernières heures, selon Kaspersky Lab, un cabinet russe spécialiste dans la cybersécurité. Parmi eux, l'Australie, l'Allemagne, la Grande-Bretagne, l'Espagne, le Portugal, la Roumanie, mais aussi le Vietnam, le Japon, les Philippines et la Russie, où se concentrerait la majeure partie des ordinateurs infectés. Aucune entité française n'aurait été touchée."

Hypothèse l'attaque serait Française ?

Modifié par herciv
Lien vers le commentaire
Partager sur d’autres sites

Non, le français nous a relativement protégé,  les pirates avaient déjà du mal avec l'anglais pour demander l'installation et après cryptage du DD, demander le paiement de la rançon,

ils ont choisis de préférence les pays anglophone, d'après ce que j'ai entendu.

mais toutes les sociétés internationales peuvent être touchées, d'ailleurs ca commence avec Renault

http://www.lefigaro.fr/flash-eco/2017/05/13/97002-20170513FILWWW00031-renault-touche-par-la-vague-de-cyberattaques-internationales.php

Modifié par zx
Lien vers le commentaire
Partager sur d’autres sites

Lu aussi dans un article du Progrès :

Selon les premiers éléments de l’enquête, les pirates informatiques auraient exploité une faille dans les systèmes Windows, divulguée dans des documents piratés de l’agence de sécurité américaine NSA.   :tongue:

http://www.leprogres.fr/faits-divers/2017/05/13/renault-touche-par-la-vague-de-cyberattaques-internationales

  • Upvote (+1) 1
Lien vers le commentaire
Partager sur d’autres sites

oui, mais il semblerait que cela a été corrigé par Microsoft, mais que personne n'a pris en compte le patch, les autres ont profités de l'opportunité.

Modifié par zx
  • Upvote (+1) 1
Lien vers le commentaire
Partager sur d’autres sites

Il y a 2 heures, zx a dit :

oui, mais il semblerait que cela a été corrigé par Microsoft, mais que personne n'a pris en compte le patch, les autres ont profités de l'opportunité.

Sur ma seule machine Windows 7 véritablement active (jeux...) les KB cumulatifs Microsoft ne passent plus depuis environ 6 mois. A chaque fois que je résous une erreur il m'en trouve une autre...

Bref ! On va la cantonner à son usage basique, n'est-ce pas :destabilisec:

Lien vers le commentaire
Partager sur d’autres sites

 

Il y a 2 heures, DrWho a dit :

Lu aussi dans un article du Progrès :

Selon les premiers éléments de l’enquête, les pirates informatiques auraient exploité une faille dans les systèmes Windows, divulguée dans des documents piratés de l’agence de sécurité américaine NSA.   :tongue:

http://www.leprogres.fr/faits-divers/2017/05/13/renault-touche-par-la-vague-de-cyberattaques-internationales

C'est bien ça.

Précision importante : c'est un worm/vers, qui se propage tout seul à travers internet.
Pas besoin de cliquer sur un mail vérolé.
C'est un ransomware, qui va crypter vos données, et "promet" de les rendre en cas de paiement de rançon en bitcoin.
(certains sont tellement mal fichus qu'ils ne savent pas "rendre" les données après paiement...)

nhs-ransomware.jpg

La seule façon de se protéger, c'est d'installer les derniers correctifs microsoft (de mars - avril 2017).
Et c'est pour ça que je postais ça sur le forum -> mettez vos machines à jour!
Et sauvegardez vos données.
C'est moche pour les particuliers, et dramatique pour les hopitaux.

Plus de détail technique ici:

https://arstechnica.com/security/2017/05/an-nsa-derived-ransomware-worm-is-shutting-down-computers-worldwide/

Le vers a le nom de code WannaCry, et exploite une faille Samba dévoilée le 14/04/2017 par les Shadow Brokers (un vendredi, pour avoir le maximum de dommage collatéral).

Comme je le disais, ceux qui en avaient l'image de hacker vertueux voulant juste embarrasser l'image des USA se sont lourdement trompé.
Là, c'est la politique de la terre brûlée

Il y a 3 heures, zx a dit :

Non, le français nous a relativement protégé,  les pirates avaient déjà du mal avec l'anglais pour demander l'installation et après cryptage du DD, demander le paiement de la rançon,

ils ont choisis de préférence les pays anglophone, d'après ce que j'ai entendu.

mais toutes les sociétés internationales peuvent être touchées, d'ailleurs ca commence avec Renault

http://www.lefigaro.fr/flash-eco/2017/05/13/97002-20170513FILWWW00031-renault-touche-par-la-vague-de-cyberattaques-internationales.php

Euh...

c'est incorrect.

D'après le lien ci-dessus, l'immense majorité des victimes se trouve ... en ex-union soviétique (ironie de l'histoire ... des windows sans license non mis à jour?).

Les ransomware se fichent pas mal que la victime ne parle pas le langage.
Le message de rançon s'affichera quand même...

Seul coup de bol, un agent de Kaspersky a bloqué la réplication du vers (une adresse réseau était codée en dur dedans, comme serveur de contrôle du vers : il a bloqué ce domaine réseau, et a ainsi stoppé la propagation)

Modifié par rogue0
  • Upvote (+1) 1
Lien vers le commentaire
Partager sur d’autres sites

il y a une heure, Boule75 a dit :

Sur ma seule machine Windows 7 véritablement active (jeux...) les KB cumulatifs Microsoft ne passent plus depuis environ 6 mois. A chaque fois que je résous une erreur il m'en trouve une autre...

Bref ! On va la cantonner à son usage basique, n'est-ce pas :destabilisec:

Perso, c'est pareil, depuis qu'il m'a forcé la main en installant W10 en window update par une "astuce malicieuse" en mode gros billou, j'ai été contraint de  désactiver les MAJ pour éviter qu'il écrabouile mon W7 que j'aime bien. je prendrais W10 avec ma prochaine machine.

 

Citation

Les ransomware se fichent pas mal que la victime ne parle pas le langage.

je suis d'accord,  sauf qu'il faut inciter l'utilisateur a cliquer quand il recoit le mail et lancer l'infection sur son réseau et son pc, si c'est louche, c'est supprimé.

Pour le langage francais, je parlais du mode de diffusion par mail, si je reçois un mail en anglais avec des fichiers attachés ou une invitation à cliquer sur un lien, sans identifier sa source, il part direct à la poubelle, meme si ca n'a pas été detecter par antivir.

je fais ca 2 ou 3 fois par an, quand ils tentent de le mettre en français, on s'aperçoit vite qu'il y a un problème.

http://www.lemonde.fr/international/article/2017/05/13/une-cyberattaque-massive-bloque-des-ordinateurs-dans-des-dizaines-de-pays_5127158_3210.html

« Oups, vos fichiers ont été encodés », signale l’écran parasite, qui exige le paiement de 300 dollars (275 euros) sous peine d’effacement des contenus.

Selon le NHS, qui a ouvert une enquête, l’attaquant a utilisé WannaCry, un virus de type « ransomware » (« rançongiciel ») qui se diffuse par le biais des courriels mais qui n’aurait pas pu accéder aux données personnelles des patients.

L’attaque aurait été renforcée par l’utilisation d’Eternal Blue, un outil de piratage mis au point par les services de renseignement américains et qui aurait été volé à l’Agence nationale de sécurité (NSA), affirme le quotidien britannique Financial Times. Il facilite la dissémination du virus à travers les systèmes de partage de fichiers couramment utilisés par les entreprises et les administrations.

 

Modifié par zx
Lien vers le commentaire
Partager sur d’autres sites

Il y a 14 heures, Ciders a dit :

Les groupes organisés pour ce genre de cybercriminalité sont plutôt en Europe orientale, et aussi en Asie. En France, ce n'est pas tellement le genre de la maison.

Ce sont les Usual Suspects pour ce genre de chose (>90% de probabilité).

Dans ce cas précis, il reste une autre vague possibilité :

Vu le timing (juste après les tentatives de manipulation d'élection en France et ailleurs), et la distribution des victimes (ex URSS), il se pourrait que ce soit une opération cyber offensive des SR occidentaux.
Comme le dit @Ciders, ce n'est pas trop le genre de la maison US (Cybercommand).
Je ne peux rien dire des opérations offensives cyber françaises ( puisqu'on n'en sait pratiquement rien sauf Babar, @Rob1 me corrigera si j'ai raté un épisode ).

Mais j'estime la probabilité à très faible (EDIT disons <2%) vu :

  • les dommages collatéraux
     
  • l'inefficacité de ce type de ransomware sur les infrastructures gouvernementales ou cyber
    Si je devais faire une riposte, je la ciblerais sur les acteurs responsables des manipulations d'élection: cad RT / Sputnik, le cybercom russe, les groupes étatiques ou para-étatiques chargés des APT28, et voire le gouv russe... Et je m'arrangerais que ça fasse vraiment mal si possible.
     
  • EDIT: Et pas eu le temps de collecter toutes les preuves et renseignements avant de décider de la riposte.
    D'habitude, les SR prennent plus d'une semaine à pondre un dossier de preuve.
     
  • et pas de décideur en France ou USA:
    • Vu que le gouvernement US est paralysé sur la question russe : a priori, D.Trump n'autorisera pas ce type de riposte (sauf s'il se considère insulté par les russes)
    • Vu qu'en France, on est en pleine transition gouvernementale.
      Il n'y a qu'aux USA et Corée du sud que le gouvernement sortant prend une décision pendant une transition dans l'espoir de lier les mains du futur gouvernement ... (THAAD et les derniers décrets de Obama)
Modifié par rogue0
Lien vers le commentaire
Partager sur d’autres sites

Infection par réseaux : Il suffit qu'un PC soit connecté par réseau à un autre PC, infecté lui, pour le chopper. La faille a été patché par W10 le 14 mars (la KB4013429), donc si vous avez la mise à jour pas de problèmes de ce côté là.

EDIT : ça a déjà été posté.

Modifié par Baba1
Lien vers le commentaire
Partager sur d’autres sites

Hypothèse 2 : les hôpitaux français avaient patché la faille exploitée par les hackeurs.

Truc, heu, marrant, la BBC rapporte que le ministère de l'intérieur russe est aussi affecté par WannaCry :

Citation

Russian Interior Ministry targeted in attack
Posted at 22:28 12 May

About 1,000 computers at the Russian Interior Ministry have been affected by the cyber-attack, spokeswoman Irina Volk told Interfax news agency.

The news agency quoted the ministry as saying it had "localised the virus" and work was under way to destroy it.

Interfax added the the ministry had said servers were not affected "owing to the use of other operating systems and homemade servers with Russian Elbrus processors".

www.bbc.com/news/live/39901370

Si ca peut inciter les ShadowBrokers & consorts à faire gaffe à ce qu'ils publient... :rolleyes:

Lien vers le commentaire
Partager sur d’autres sites

Quatre questions sur Kaspersky Lab, le géant de la sécurité informatique soupçonné d'avoir des liens avec Moscou

Des hauts responsables du renseignement américain ont expliqué se méfier de Kaspersky, jeudi. L'entreprise dément toute collaboration avec le gouvernement russe.

http://www.francetvinfo.fr/monde/usa/quatre-questions-sur-kaspersky-lab-le-geant-de-la-securite-informatique-soupconne-d-avoir-des-liens-avec-moscou_2187325.html#xtor=AL-79-[article]-[connexe]

Lien vers le commentaire
Partager sur d’autres sites

Pour l’origine de l’épidémie de ransomware, Snowden pense que la NSA est indirectement responsable, Il pointe sur un article de Politico :

http://www.politico.com/story/2017/05/12/nsa-hacking-tools-hospital-ransomware-attacks-wannacryptor-238328

Les experts de la NSA collectent toutes les failles possible et  imaginable et les gardent au secret. Les fuite des outils de la NSA par le Shadow Broker ont montré des fuites  dont la NSA n’a pas prévenu les constructeurs même s’il est américain.

Les 20 000 agents de la NSA ne sont pas des experts. C’est impossible. Les experts préparent des outils simplifiés. Il est mathématiquement impossible pour la NSA de protéger tous les outils en circulation. Des outils sont perdus par erreur.  Des outils sont volés par des services secrets . Des outils sont vendus par des traitres.  C’est comme cela que le Shadow Broker a volé les outils de la NSA.

Le  Shadow Broker était plus intéressé d’humilier la NSA que  par l’argent. Ce n’est pas le cas par ceux qui ont fait ce  ransomware.

Pour Snowden et Politico, tant que la NSA restera dans ce mode, cela va empirer.

Lien vers le commentaire
Partager sur d’autres sites

21 minutes ago, collectionneur said:

Mouais, pas convainquant, c'est l'hôpital qui se moque de la charité. 

Qu'est qu'il y a de pas convainquant? Que les services de renseignement ne révèlent pas les failles des OS pour pouvoir les exploiter tranquillement et surtout discrètement? Pourtant il me semble que personne ne conteste cela... ça n'aurait rien de spécifique a la NSA d'ailleurs.

Utiliser des faille "naturelle" c'est la manière la plus sur et discrète de contrôler des machines ... ça permet une dilution de responsabilité. En gros la victime n'a qu'a s'en prendre a elle même si elle utilise un OS de merde, que n'importe qui peut hacker. A posteriori va prouver que c'est untel ou untel qui a exploité la faille, alors qu'elle attendait tel un fruit mur a être exploiter par le premier venu. Le liste d'auteur potentiel est alors longue comme le bras ... et même si tu es "certain" que ce sont les service américain tu n'as rien ou presque pour le prouver.

Lien vers le commentaire
Partager sur d’autres sites

Créer un compte ou se connecter pour commenter

Vous devez être membre afin de pouvoir déposer un commentaire

Créer un compte

Créez un compte sur notre communauté. C’est facile !

Créer un nouveau compte

Se connecter

Vous avez déjà un compte ? Connectez-vous ici.

Connectez-vous maintenant
  • Statistiques des membres

    6 003
    Total des membres
    1 749
    Maximum en ligne
    pandateau
    Membre le plus récent
    pandateau
    Inscription
  • Statistiques des forums

    21,6k
    Total des sujets
    1,7m
    Total des messages
  • Statistiques des blogs

    4
    Total des blogs
    3
    Total des billets
×
×
  • Créer...