Cyberwarfare

[Soho]

Le 04/04/2019 à 19:51, hadriel a dit :

On a enfin deux sondes souveraines de cybersécurité pour équiper les opérateurs d'importance vitale:

https://www.challenges.fr/entreprise/la-france-devoile-ses-boucliers-contre-les-cyberattaques_652132

Après, reste à voir ce qu'on entend par sonde "souveraine". Car l'intégrateur est français, mais il y a de grandes chances que les composants (du moins une partie) soient d'origine étrangère (US). C'est peut être mentionné dans le reste de l'article payant mais je n'y ait pas accès.

[rogue0]

Je me marre.
Ce fail de sécurité mérite presque le Darwin Awards.

https://motherboard.vice.com/en_us/article/zmpx4x/hacker-monitor-cars-kill-engine-gps-tracking-apps

Il était une fois 2 applications de surveillance de flotte de véhicule (style pour entreprise, via smartphone Protrack et iTrack ).
Elles permettent à chaque utilisateur (chaque conducteur) de traquer son véhicule (via balise GPS ou ceux de ces employés).
Accessoirement, il y a une fonction permettant de couper le moteur à distance. (fonction antivol, normal)

Punch line :
Un hacker a constaté que le mot de passe par défaut de tous les utilisateurs serait ... 123456. (!!!!)

Il affirme avoir accédé à des milliers de compte utilisateurs (qui n'ont pas changé de mot de passe...) ... et donc de pouvoir donc créer des bouchons monstres en stoppant les véhicules sur la route ...
(il a bien sûr récupéré de nombreuses données persos : modèle de voiture, adresse, téléphone, etc)
 

Après, il se donne le beau rôle et prétend ne pas avoir fait du chantage à ces sociétés (juste demandé une "récompense" pour avoir trouvé la faille)
Note: les 2 applis en question appartiennent à des sociétés chinoises, mais la négligence de la sécurité IT étant universelle , ce n'est qu'une pure coïncidence

[hadriel]

Oh surprise, le gouvernement fait encore n'importe quoi avec le cadre légal du renseignement:

https://www.lemonde.fr/societe/article/2019/04/24/l-entrepot-un-outil-essentiel-du-renseignement-qui-fonctionne-sans-cadre-legal_5454225_3224.html

 

[g4lly]

5 hours ago, hadriel said:

Oh surprise, le gouvernement fait encore n'importe quoi avec le cadre légal du renseignement:

https://www.lemonde.fr/societe/article/2019/04/24/l-entrepot-un-outil-essentiel-du-renseignement-qui-fonctionne-sans-cadre-legal_5454225_3224.html

 

Quote

Mais dans ses services, sous le couvert de l’anonymat, on explique qu’il n’y a pas de décret « pour défaut de base constitutionnelle ».

 

[rogue0]

Le 05/09/2017 à 23:20, rogue0 a dit :

Après investigation sur ses activités (et alias) passés, il est possible que le héro anti-Wannacry (arrêté aux USA), ait été actif du côté obscur des hackers jusque vers 2012 - 2013 (black hat, marché gris, etc).
Et qu'il aurait changé de bord depuis.

Révélation

Un blogueur de sécurité US a passé des semaines à remonter la piste de ses alias.

https://krebsonsecurity.com/2017/09/who-is-marcus-hutchins/

Cela ne présume en rien des accusations portant sur lui (sur un malware bancaire datant de 2015).
Et comme je le disais, y a peu d'école "légales" et propres pour apprendre le piratage.
(et pour ceux qui veulent des enquêtes d'habilitation pour ceux bossant en cybersécurité, bonne chance!)

 

Epilogue des ennuis judiciaires de Marcus Hutchins (alias le héro anti-Wannacry).

Il a finalement plaidé coupable concernant les accusations qu'il avait participé à la création (et surtout la vente) de malware bancaires (quand il était plus jeune)
https://krebsonsecurity.com/2019/04/marcus-malwaretech-hutchins-pleads-guilty-to-writing-selling-banking-malware/#more-47490

(note : j'apprend que la création de malware simple (non diffusée) est une activité artistique protégée par le 1er amendement aux USA...)

[rogue0]

Le 13/11/2017 à 11:06, rogue0 a dit :

• la chasse aux "traîtres" / fuites n'a toujours pas permis d'identifier la source Shadow Brokers 
  (les 3 fuiteurs connus n'ont pas de contact connu avec les SR Russes (sauf indirectement, celui qui s'est fait pomper son PC via Kaspersky) )

A propos des Shadow Brokers, Symantec vient de faire une annonce spectaculaire... mais trop hâtive.

Ils disent  avoir repéré l'exploitation de 2 failles fuitées par les Shadow Brokers (1 an avant la publication), par un groupe de hacker chinois (alias APT3 alias Buckeye, alias Gothic Panda).
Sur ce, le NY Times reprend les spéculations de Symantec et les amplifient (sans preuve).
Spéculation : que les chinois aient mis la main sur les outils d'attaque de la NSA (soit par piratage de la NSA, soit en se défendant contre eux).
Et le message subliminal qui va en ressortir après plusieurs déformations internet : Les Shadow Brokers = les Chinois.

https://www.symantec.com/blogs/threat-intelligence/buckeye-windows-zero-day-exploit

https://www.nytimes.com/2019/05/06/us/politics/china-hacking-cyber.html

Gros problème : ce sont les mêmes failles que la fuite des Shadow Brokers, mais l'exploitation chinoise est différente, et plus sophistiquée.
Il est possible que les chinois aient trouvé ces failles par leur propre recherche...
Et depuis 3 ans, aucune source de la NSA ou de la CIA n'a suggèré de connexion chinoise aux Shadow  Brokers.

Voilà des explications alternatives (que Symantec n'a pas proposé)

 

 

[g4lly]

Quote

Partage des données : l'inquiétude des utilisateurs d'objets connectés

Les consommateurs souhaitent un cadre légal

L’organisation à but non lucratif Internet Society et l’association Consumers International dévoilent avec Ipsos Mori une étude sur la façon dont le grand public appréhende l’intrusion des objets connectés au quotidien.

Avec son étude sur les produits de la vie courante reliés à Internet (hors smartphones, tablettes et ordinateurs), Internet Society et Consumers International enfoncent une porte ouverte, celle d'une préoccupation de plus en plus prégnante aujourd'hui. L'étude mondiale porte sur la perception des objets connectés par le grand public. Basée sur un sondage mené du 1er au 6 mars 2019 auprès de 6 381 personnes réparties entre la France, le Royaume-Uni, les États-Unis, le Canada et l'Australie, elle prouve, si besoin est, que les consommateurs sont inquiets pour leur vie privée et leurs données personnelles face à l'intrusion de ces potentiels mouchards qui se multiplient au sein du foyer.
Parmi les sondés, une inquiétude se dégage nettement autour des thèmes de la sécurité des données ou encore le respect de la vie privée. 88 % des adultes interrogés souhaitent la mise en place d'un “cadre légal” par les gouvernements, “dédié à la sécurité et à la protection de la vie privée pour l'IoT”, ou objets connectés. 60 % d'entre eux assurent que “l'existence d'un label ou d'informations précisant la garantie du respect de la sécurité des données a une influence sur l'acte d'achat”.

En d'autres termes, la création d'une étiquette ou d'une pastille reconnaissable par le plus grand nombre, permettant d'indiquer que tel ou tel produit est doté d'une fonctionnalité de protection des données et de la vie privée, serait un plus pour faire son choix au moment de l'acquisition.

En ce qui concerne la France, les chiffres restent presque similaires à la tendance globale. Selon l'étude, 73 % des Français “ont peur que leurs données soient exploitées sans leur accord préalable”. Une peur réaffirmée, car 71 % d'entre eux, “possédant un appareil connecté se disent effrayés par la manière dont il rassemble les données sur les individus et leurs comportements”.

De plus, 70 % des Français pensent qu'ils doivent “se préoccuper des écoutes illicites pour les objets connectés qui sont accessibles sans connaissance ou accord préalable”. A contrario, “33 % des propriétaires d'objets connectés estiment qu'ils représentent un risque pour la sécurité ou la vie privée”. En vue de garantir la sauvegarde des éléments collectés par ces outils, les Français se tournent vers les fabricants. 83 % de nos compatriotes interrogés estiment que ces derniers doivent garantir la confidentialité des données et la sécurité des utilisateurs, en “proposant exclusivement” des produits préservant ces valeurs. Les fabricants, du moins certains, ont bien compris ces préoccupations. Spécifiquement pour les caméras de sécurité, de plus en plus de constructeurs ajoutent des modes “vie privée” assurant l'arrêt de la collecte des images lors de la mise en action de cette option. Par exemple, la Somfy One, dotée d'un tel dispositif, est présentée dans notre comparatif.

Les constructeurs offrent aussi parfois la possibilité d'enregistrer les images tournées sur une carte SD et non dans le cloud, autorisant ainsi l'accès des données uniquement par les utilisateurs, à l'instar de la caméra de Xiaomi, la  Mi Home Security Camera 360°, dont toutes les images sont stockées sur une carte SD. Pour les utilisateurs les plus inquiets, ces options offrent la possibilité de garder la main sur toutes leurs vidéos et photos générées par l'appareil.

Outre les caméras, nous pouvons nous interroger sur la protection des données glanées par d'autres appareils, tels les réfrigérateurs connectés à l'image du LG InstaView ThinQ ou du Samsung Family Hub. Ce type de produits connaît notre consommation, et si ces données ne sont pas protégées, peuvent-elles servir hors du cadre privé ? En effet, elles pourraient être récupérées par des enseignes de denrées alimentaires, par exemple, afin de nous proposer directement sur smartphone des produits de leur choix. De la sorte, elles pourraient influencer notre manière de consommer.
 LG InstaView ThinQ

Le deep learning — qui paradoxalement peut parfois être utilisé dans la cyber-sécurité — devrait-il également être contrôlé ? On pense, entre autres, à Alexa, l'IA d'Amazon, qui fait des propositions aux utilisateurs en fonction de leurs recherches passées et qui apprend au fur et à mesure de l'utilisation à connaître les besoins/envies/goûts du propriétaire.

Dans un monde où tout (ou presque) se connecte et où nous pouvons gérer une grande partie de notre vie via des objets connectés, comment garantir la confidentialité de nos données personnelles ? Malgré ces inquiétudes concernant le partage de données ou la cyber-sécurité, selon l'étude deux tiers des consommateurs possèdent un objet connecté… Les plus courants sont les consoles de jeu, les appareils domestiques de type imprimantes, réfrigérateurs, ou encore les assistants vocaux (Google Home, Amazon Echo, etc.).

https://www.lesnumeriques.com/objet-connecte/partage-donnees-inquietude-utilisateurs-objets-connectes-n86837.html

Quote

5G : la consommation de données mobiles pourrait s'envoler

Jusqu'à 200 Go par mois en 2025

Selon Ericsson, la consommation de données mobiles pourrait exploser d'ici à 2025 et avoisiner les 200 Go par mois par personne.

La 5G va changer les habitudes des utilisateurs. Voici le message scandé encore et encore par les différents acteurs du secteur. Ericsson vient en ajouter une couche avec une étude publiée ce 7 mai 2019. Selon l'équipementier, d'ici 2025, un utilisateur moyen consommera 200 Go de data par mois. Une explosion des données mobiles qui serait poussée par l'utilisation de la réalité augmentée et de la réalité virtuelle. 

Une moyenne à 5 Go en France

Dans son rapport, Ericsson explique que cette demande va exploser principalement dans les pays riches ou particulièrement technophiles. Elle pourrait ainsi atteindre 215 Go chez un cinquième des utilisateurs américains. Et grimper jusqu'à 250 Go chez les Sud-Coréens. Afin d'obtenir ces résultats, Ericsson a imaginé les usages de demain. Dans leur modèle, un utilisateur moyen consommera chaque mois 1 heure de vidéo à 360°, 1 heure de réalité virtuelle, 1 heure de réalité augmentée et 4 heures de streaming vidéo en 4K. Des pratiques qui semblent bien loin aujourd'hui, mais qui pourraient effectivement être largement facilitées par la 5G. Et ces usages seraient particulièrement énergivores. Ericsson affirme que 10 minutes de réalité augmentée chaque jour pomperaient 50 Go par mois.

Pour le moment, nous sommes encore très très loin des 200 Go mensuels. Selon un rapport, toujours réalisé par Ericsson et publié en novembre 2018, la consommation de data dans le monde par utilisateur est s'élève à 5,6 Go par mois, une moyenne très proche de la moyenne française (4,8 Go). À ce propos, les clients les plus friands de données mobiles se trouvent chez Free ; leurs 8,5 millions d'utilisateurs 4G consomment en moyenne 11,6 Go par mois.

https://www.lesnumeriques.com/mobilite/5g-consommation-donnees-mobiles-pourrait-envoler-n86841.html

[Soho]

Il y a 8 heures, g4lly a dit :

https://www.lesnumeriques.com/objet-connecte/partage-donnees-inquietude-utilisateurs-objets-connectes-n86837.html

https://www.lesnumeriques.com/mobilite/5g-consommation-donnees-mobiles-pourrait-envoler-n86841.html

Très intéressant.Cependant 200Go cela me parait absolument gigantesque ! Et puis Ericsson qui fait des annonces sur l'utilisation de la 5G demain, c'est un peu comme si Evian faisait la météo en annonçant une canicule pour les 3 prochains mois...

[zx]

logiciel espion 

Espionnage: WhatsApp corrige une importante faille de sécurit

http://www.lefigaro.fr/secteur/high-tech/espionnage-whatsapp-corrige-une-importante-faille-de-securite-20190514

[rogue0]

Vulnérabilités critiques détectées dans les routeurs Cisco.
https://www.wired.com/story/cisco-router-bug-secure-boot-trust-anchor/

(Contexte : Les routeurs (équipements "d'aiguillage" réseaux à la base d'internet) sont de véritables ordinateurs, avec un OS dédié ...

Les chercheurs en sécurité de Red Balloon ont démontré que la puce de sécurisation Trust Anchor des routeurs Cisco haut de gamme (>10 000$) était "contournable".
Cette puce est chargée de garantir la chaîne de confiance, cad que le routeur tourne bien avec un OS et un firmware certifié par Cisco (et pas celui d'un pirate).
https://www.cisco.com/c/en/us/products/collateral/security/cloud-access-security/secure-boot-trust.html

Pour les spécialistes, cette puce serait un FPGA, et ont trouvé le moyen de la reprogrammer ...
Ce qui permet à un pirate de modifier le logiciel du routeur sans déclencher d'alarme.

Cisco dément la faille sur la puce, mais annonce une série de patch critiques sur ses routeurs.
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190513-secureboot

 

Premiers retours de la communauté de sécurité IT:

• Jolie faille , dont la sévérité peut être en partie réduite dans ce cas :
  le piratage à distance pourrait être bloqué, mais pas le piratage via intervention physique.
• Tous les routeurs Cisco utilisant cette puce sont vulnérables (routeurs hauts de gamme >2013).
  Pour être tranquille (même après patchs pour réduire la gravité des failles) , il faudrait un remplacement de tous ces routeurs.
   
• Cette méthode d'attaque a été démontrée sur un routeur Cisco, mais d'autres équipements utilisent ce type de puce....

 

[rogue0]

Il y a 5 heures, rogue0 a dit :

Vulnérabilités critiques détectées dans les routeurs Cisco.
https://www.wired.com/story/cisco-router-bug-secure-boot-trust-anchor/

Révélation

(Contexte : Les routeurs (équipements "d'aiguillage" réseaux à la base d'internet) sont de véritables ordinateurs, avec un OS dédié ...

Les chercheurs en sécurité de Red Balloon ont démontré que la puce de sécurisation Trust Anchor des routeurs Cisco haut de gamme (>10 000$) était "contournable".
Cette puce est chargée de garantir la chaîne de confiance, cad que le routeur tourne bien avec un OS et un firmware certifié par Cisco (et pas celui d'un pirate).
https://www.cisco.com/c/en/us/products/collateral/security/cloud-access-security/secure-boot-trust.html

Pour les spécialistes, cette puce serait un FPGA, et ont trouvé le moyen de la reprogrammer ...
Ce qui permet à un pirate de modifier le logiciel du routeur sans déclencher d'alarme.

Cisco dément la faille sur la puce, mais annonce une série de patch critiques sur ses routeurs.
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190513-secureboot

 

Premiers retours de la communauté de sécurité IT:

• Jolie faille , dont la sévérité peut être en partie réduite dans ce cas :
  le piratage à distance pourrait être bloqué, mais pas le piratage via intervention physique.
• Tous les routeurs Cisco utilisant cette puce sont vulnérables (routeurs hauts de gamme >2013).
  Pour être tranquille (même après patchs pour réduire la gravité des failles) , il faudrait un remplacement de tous ces routeurs.
   
• Cette méthode d'attaque a été démontrée sur un routeur Cisco, mais d'autres équipements utilisent ce type de puce....

•  

 

Je poke @RugbyGoth pour avoir son avis sur cette attaque sur les FPGA  (tout autre connaisseur est le bienvenu pour commenter )

Citation

FPGAs pull their programming from a file called the bitstream, which is usually custom-written by hardware makers like Cisco. To keep FPGAs from being reprogrammed by mischievous passersby, FPGA bitstreams are extremely difficult to interpret from the outside. They contain a series of complex configuration commands that physically dictate whether logic gates in a circuit will be open or closed, and security researchers evaluating FPGAs have found that the computational power required to map an FPGA’s bitstream logic is prohibitively high.

But the Red Balloon researchers found that the way the FPGA was implemented for Cisco’s Trust Anchor, they didn’t need to map the whole bitstream. They discovered that when Cisco’s secure boot detected a breach of trust in a system, it would wait 100 seconds—a pause programmed by Cisco engineers, perhaps to buy enough time to deploy a repair update in case of a malfunction—and then physically kill the power on the device. The researchers realized that by modifying the part of the bitstream that controlled this kill switch, they could override it. The device would then boot normally, even though secure boot accurately detected a breach.

“That was the big insight,” Red Balloon’s Kataria says. “The Trust Anchor has to tell the world that something bad has happened through a physical pin of some sort. So we started reverse engineering where each pin appeared in the physical layout of the board. We would disable all the pins in one area and try to boot up the router; if it was still working, we knew that all of those pins were not the one. Eventually we found the reset pin and worked backward to just that part of the bitstream.”

 

[RugbyGoth]

C'est drôle, hier on en parlait au boulot justement (pas de Cisco, je découvre la news, mais de la vulnérabilité des FPGA avec un bitstream non-crypté).

Donc techniquement ils ont juste eu à changer le tout petit bout de bitstream (un compteur du coup) pour qu'il ne génère pas le pulse qui génère le power down. C'est très difficile à partir d'un bitstream de savoir ce qui est fait et comment et donc de le modifier avant de le recharger sur le FPGA comme dit dans le premier paragraphe. Là c'est un bout de bitstream tellement petit et simple que ça a été possible. Si Cisco n'avait pas mis ce timer de 100 secondes, Red Ballon aurait dû s'attaquer à un bout de bitstream plus conséquent (la détection de boot corrompu) rendant le reverse engineering beaucoup plus compliqué, voir impossible.

En conclusion jolie trouvaille et gros coup de chance, mais Cisco va pouvoir combler la brèche logiquement assez rapidement.

[rogue0]

Le 13/05/2017 à 12:51, rogue0 a dit :

https://arstechnica.com/security/2017/05/an-nsa-derived-ransomware-worm-is-shutting-down-computers-worldwide/

Le vers a le nom de code WannaCry, et exploite une faille Samba dévoilée le 14/04/2017 par les Shadow Brokers (un vendredi, pour avoir le maximum de dommage collatéral).

2 ans après Wannacry

Microsoft a découvert une faille de sécurité critique dans les "vieux" windows (XP, 2003, 7, 2008), avec un potentiel de propagation similaire à Wannacry.

En gros, c'est une vulnérabilité réseau RDP exploitable à distance par un vers informatique, sans action utilisateur (CVE-2018-0708).
Le potentiel d'infection est tel que Microsoft fournit gratuitement et pousse le correctif même sur les windows obsolètes sans support.
(un scan rapide montre que plus de 4 millions de machines sont directement vulnérables).

A patcher très rapidement...

https://www.cyberscoop.com/microsoft-patches-critical-vulnerability-comparable-wannacry/

https://blogs.technet.microsoft.com/msrc/2019/05/14/prevent-a-worm-by-updating-remote-desktop-services-cve-2019-0708/

Modifié le 15 mai 2019 par rogue0

[rogue0]

Le 05/01/2018 à 16:52, herciv a dit :

http://www.lefigaro.fr/secteur/high-tech/2018/01/04/32001-20180104ARTFIG00082-qui-sont-spectre-et-meltdown-les-failles-de-securite-qui-font-trembler-le-monde-de-l-informatique.php

Fake, cyberwarfare, bug de l'an 2000 on en fait quoi de l'info ?

Pas fake, juste des architectures d'optimisation CPU qui ne sont pas pensés pour la sécurité/confidentialité.

Le 07/01/2018 à 01:23, Rob1 a dit :

Une tentative de vulgarisation pas mal sur Meltdown et Spectre : https://ds9a.nl/articles/posts/spectre-meltdown/

Suite des vulnérabilités Spectre et Meltdown de 2018 sur les microprocesseurs (surtout Intel et ARM).

Les chercheurs en sécurité ont continué leurs travaux sur cette classe de vulnérabilité ...

Et ils ont dévoilé aujourd'hui 4 autres types d'attaques de ce type (touchant cette fois uniquement les CPU Intel, et même le monde Mac/Apple).
https://www.cyberscoop.com/intel-chip-flaws-zombieland-ridl-fallout/
https://cpu.fail/

explications techniques poussées:
https://www.redhat.com/en/blog/understanding-mds-vulnerability-what-it-why-it-works-and-how-mitigate-it
https://www.cyberus-technology.de/posts/2019-05-14-zombieload.html

Ces attaques (poétiquement nommées ZombieLoad, Ridl, Fallout (poke @Ciders un autre fan ) arrivent à contourner les mesures correctives déjà mises en place en urgence l'année dernière.
Les constructeurs et éditeurs (Linux) ont déjà dévoilé un nouveau lot de correctifs (ils avaient été prévenus avant).

La seule mesure vraiment efficace semble de désactiver l'hyperthreading des processeurs ... mais avec une grosse baisse des performances.
Pas de panique (il y a des failles plus critiques) ... mais ça sent le sapin pour les perfs des processeurs Intel....

Modifié le 15 mai 2019 par rogue0

[zx]

 

http://www.lefigaro.fr/secteur/high-tech/nord-gare-a-l-arnaque-a-la-cle-usb-dans-les-boites-aux-lettres-20190515

[Phacochère]

Podcast RFI ligne de défense / La menace «cyber» perdure en Europe

http://m.rfi.fr/emission/20190421-menace-cyber-perdure-europe-anssi-alertes

L'Agence nationale de sécurité des Systèmes d'informations, l'ANSSI, qui veille sur les réseaux vitaux en France, a dénombré l'an dernier beaucoup moins d'attaques qu'en 2017. Selon les chiffres de l'ANSSI, un peu plus de 1800 alertes concernant la sécurité numérique ont été répertoriées dans les entreprises ou les administrations, mais surtout 16 incidents majeurs ont été signalés, et 14 opérations de cyber-défense lancées pour stopper une attaque informatique

[rogue0]

je remet sur le bon sujet

poke @Tancrède

<mode furtif OFF>

Le 22/05/2019 à 23:28, Tancrède a dit :

Sujet auquel je ne connais rien... Du coup, je suis littéralement tombé des nues tant je n'avais jamais réfléchi à la chose:

https://securite.developpez.com/actu/262548/Des-hackers-ont-attaque-les-ordinateurs-de-la-ville-de-Baltimore-au-ransomware-bloquant-l-acces-a-certains-services-essentiels-depuis-deux-semaines/

2 semaines que Baltimore est littéralement prise en otage par des hackers qui ont mené une attaque via ransomware et bloquent l'infrastructure informatique de la ville (flux financiers, transactions, facturation et règlements, cadastre, accès aux données....) dans ce qu'il est presque correct d'appeler une prise d'otage (des données, des activités de la municipalité).
(...)
Comme mentionné, je connais mal le sujet et me demande maintenant à quelle fréquence ces choses arrivent sur des cibles d'une telle taille

Les attaques de rançonlogiciel (tout type confondu) arrivent très fréquemment :

Selon un rapport, il y en aurait eu 182 millions d'infection en 2018. ( https://en.wikipedia.org/wiki/Ransomware#cite_ref-8)
Je dis bien de tout type, y compris les virus qui exigent une rançon, sous peine de révéler au FBI/famille les P0rnz visionnés par l'utilisateur .
A l'autre bout du spectre, il y a eu les méga attaques de 2017:

• Wannacry (200 000 machines infectées, les hopitaux anglais KO),
• et surtout NotPetya (10G$ de dégâts, visant spécifiquement l'Ukraine et toute entreprise faisant affaire avec elle (Maersk, St Gobain, etc))

On en parlait sur ce fil plus haut (mai-juin 2017).

Dans le cas de Baltimore, je ne pense pas que les attaquants les visaient spécifiquement.
La sécurité (informatique ou contre espionnage) étant universellement négligée, les attaquants peuvent spammer en masse le virus/trojan sans viser de cible particulière : ça rapportera plus ainsi.
 

Citation

Et c'est la 2ème fois que cela arrive à la ville, qui n'a par ailleurs pas les moyens de mettre à niveau ses systèmes, et a une mairie et une scène politique trop dysfonctionnelle et corrompue pour répondre correctement à de telles situations et surtout les anticiper.

L'argument financier ne tient pas vraiment, sauf si la ville est un autre Flint (cad ville en faillite, gestion en curatelle par un juge).
Le fait que toute la ville est paralysée est spectaculaire, mais peu surprenant.

Par analogie avec la santé publique :
si une ville est peu vaccinée (/patch informatique, par "manque de budget", d'incompétence ou par idéologie), il ne faut pas s'étonner que les épidémies ravagent toute cette ville d'abord.
La vaccination se complète par des mesures d'hygiène et un système de santé, mais ça limite déjà l'étendue des dégâts pour un coût dérisoire.

C'est une question de priorité : si cette mairie est trop pauvre pour avoir sa police et des secrétaires, la négligence de sécurité IT est compréhensible.
Mais j'ai comme un gros doute sur ce sujet.

Il y a 19 heures, Wallaby a dit :

https://www.nytimes.com/2019/05/25/us/nsa-hacking-tool-baltimore.html (25 mai 2019)

Comme beaucoup d'autres, l'attaque informatique de Baltimore a été opérée grâce à un outil d'attaque développé par la NSA : EternalBlue.

poke @Wallaby

Attention, cet article a été fortement critiqué par les experts en sécurité.
Il serait utile de compléter cet avis de journaliste, par ceux des spécialistes IT (il y en a dans le coin).

Par exemple

https://blog.erratasec.com/2019/05/a-lesson-in-journalism-vs-cybersecurity.html?m=1

EDIT :analyse du malware : https://www.bleepingcomputer.com/news/security/a-closer-look-at-the-robbinhood-ransomware/

En résumé, l'article du NYT contient de grossières erreurs techniques.
Autre signal louche : les sources sont anonymes : aucun expert n'a accepté de soutenir la thèse de article.

Principale erreur de l'article : le malware cité n'utilise pas Eternal Blue comme principale méthode de contagion...
Il utilise plusieurs failles déjà connues depuis longtemps ... mais l'auteur n'en parle pas
Je suppose que ces failles n'étant pas fuitées par la NSA, c'est moins intéressant pour lui...

Qui est responsable ?

Alors que l'article du NYT est consacré à 90% à charger la NSA (désignée responsable d'1 faille de sécurité),
il consacre à peine 1 paragraphe sur la responsabilité du créateur du reste du malware (ou du marché noir qui vendait le malware)
+1 paragraphe sur la responsabilité des équipes IT, qui ont laissé la porte ouverte pendant 2 ans ((~en temps informatique, c'est comme 20 ans), sans appliquer les correctifs de sécurité.

En Mai 2017, (juste après la publication de la faille EternalBlue et des correctifs à installer en urgence), la part de responsabilité de la NSA dans les attaques de type Wannacry était non négligeable.(*).

Par contre, en Mai 2019, 2 ans plus tard, blâmer la NSA alors qu'on n'a pas installé les correctifs de sécurité de base, c'est se f***** de la gueule de monde (surtout vu tout le buzz sur les attaques précédentes (et 10G$ de dégât).

Pour moi, la blâme de l'attaque tombe d'abord sur les autorités locales (négligence, pingrerie, manque de compétence, peu importe) :
surtout que les remèdes sont disponibles et "pas chers".

Conclusion:

Pour moi, c'est de la publi-information commandée pour attaquer la NSA, pas du bon journalisme.
(Autre signe qui ne trompe pas : pas un mot sur ce que font les autres services de renseignement à côté ).

La moitié* des articles sur Huawei en ce moment (ou la campagne de presse sur l'intervention en Iraq) est du même acabit.

Des sources anonymes balancent à la presse, qui répète en masse sans vérifier.
Et ceux qui prennent le temps de vérifier seront noyés dans le brouhaha.

Même chose pour la "réinformation" d'origine russe, mais qui elle reste cantonnée dans sa bulle.

EDIT (* l'autre moitié des articles sur Huawei étant plutôt correcte, mais oubliant de mentionner ce que font les autres pays)

<furtif ON>

Modifié le 28 mai 2019 par rogue0

[rogue0]

Le 15/05/2019 à 19:22, rogue0 a dit :

2 ans après Wannacry

Microsoft a découvert une faille de sécurité critique dans les "vieux" windows (XP, 2003, 7, 2008), avec un potentiel de propagation similaire à Wannacry.

En gros, c'est une vulnérabilité réseau RDP exploitable à distance par un vers informatique, sans action utilisateur (CVE-2018-0708).
Le potentiel d'infection est tel que Microsoft fournit gratuitement et pousse le correctif même sur les windows obsolètes sans support.
(un scan rapide montre que plus de 4 millions de machines sont directement vulnérables).

A patcher très rapidement...

https://www.cyberscoop.com/microsoft-patches-critical-vulnerability-comparable-wannacry/

https://blogs.technet.microsoft.com/msrc/2019/05/14/prevent-a-worm-by-updating-remote-desktop-services-cve-2019-0708/

 

J'avais raté que cette faille BlueKeep très dangereuse (patchez en urgence vos PC !) a en fait été signalée par ... le NCSC anglais, une filiale du GCHQ anglais (les confrères anglais de la NSA).

Visiblement, la GCHQ a eu sa propre étude de risque entre exploiter cette faille (potentiellement aussi puissante que Eternal Blue), et la signaler pour correction, et a choisit l'intérêt public de la faire corriger...

Nicolas Weaver passe en revue 3 raisons de faire combler cette faille:

• faille exploitée par le GCHQ depuis longtemps, mais grillée -> on la corrige
• faille non exploitée mais trop dangereuse -> on la corrige
• attaque détectée par le GCHQ -> on la corrige

https://www.lawfareblog.com/gchqs-vulnerabilities-equities-process

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708

Modifié le 4 juin 2019 par rogue0

[rogue0]

Le 11/08/2013 à 18:27, zx a dit :

En plus on est les chouchou de la NSA

http://www.lepoint.fr/monde/espionnage-l-ue-cible-prioritaire-de-la-nsa-10-08-2013-1713019_24.php

spécial @Rob1, @hadriel, @Marcus

The Intercept et Lemonde avaient fait grand bruit en 2013  : ils avaient interprété les documents Snowden comme quoi la NSA avait espionné 70M de communication en France. (et beaucoup d'autres pays, comme la Norvège)
https://www.lemonde.fr/technologies/article/2013/10/21/comment-la-nsa-espionne-la-france_3499758_651865.html
Grosse tensions en série chez les alliés.
La NSA avait démenti à l'époque... et pour ce point, avait raison.

The Intercept vient de publier un discret démenti qui ne dit pas son nom, 5 ans après l'affaire (mauvais point contre eux...) .
https://theintercept.com/2019/05/29/nsa-data-afghanistan-iraq-mexico-border/
http://bugbrother.blog.lemonde.fr/2019/06/02/la-nsa-navait-donc-pas-espionne-la-france/

En fait, ça concernait les interceptions en Afghanistan faites par les alliés, EDIT puis transmises avec la NSA (énooooooorme différence)
Extrait de l'article , avec les rétractations en gras.

Ledit système d'écoute RT RG (avec des DRTBox, et des IMSI Catcher) a depuis été déployé dans d'autres zones de guerre ... dont le Mexique.

Révélation

The U.S. military was so gung-ho about RT-RG that it produced, judging from the Snowden archive, many documents about the system’s results. Some of this material, created using an NSA data management and visualization tool called BOUNDLESSINFORMANT, was misunderstood by journalists, including Intercept co-founders Glenn Greenwald and Laura Poitras, working with European news outlets during the early days of reporting on Snowden material. This led to a dramatic showdown.

On November 19, 2013 in Oslo, Norway, in the Ministry of Defense press room, chaos reigned, with reporters and photographers frantically trying to get ready. E-tjenesten, as the Norwegian Intelligence Service is known locally, rarely spoke to the press. This — a briefing with less than half an hour notice in response to a news story — was unprecedented.

Earlier that November morning, Norway’s second-largest paper, Dagbladet, had detonated the potentially biggest spy bombshell in decades. “Secret documents about Norway,” the front page of the tabloid said, next to the iconic image of Snowden: “The US spied on 33 MILLION Norwegian calls.”

The report was based on a graphic from BOUNDLESSINFORMANT. It showed a graph labeled “NORWAY Last 30 Days,” suggesting that the NSA hoovered up information about ordinary Norwegian citizens’ phone calls. “Even a child’s phone could have been tapped,” the paper stated.

The story completely dominated the morning news cycle. “Friends should not spy on each other,” Prime Minister Erna Solberg told reporters shortly before 10 a.m.

In the Ministry of Defense press room, at 11:15 a.m., head of E-tjenesten Kjell Grandhagen entered the room, making a rare public appearance in full uniform. The day before, he had tried to convince Dagbladet not to publish the story.

“Today, Dagbladet printed several articles alleging that the U.S. intelligence organization NSA collected traffic data on 33 million telephone calls in Norway,” he read, looking up from behind his reading glasses. “This is not correct.”

Norway was not the only country where military officials complained about reporting that stemmed from RT-RG. On October 29, 2013, after diplomatic tensions in both Spain and France following publications in El Mundo and Le Monde, Alexander, the NSA director, told the U.S. Congress that allegations in those newspapers were “completely false.”

rappel de l'historique

Les (célèbres) blogs Bug Brother (Marc Manach) et Electrospace avaient déjà réfuté la thèse de The intercept (en croisant avec d'autres fuites Snowden plus tardives) http://bugbrother.blog.lemonde.fr/2014/03/27/la-nsa-nespionne-pas-tant-la-france-que-ca/

https://electrospaces.blogspot.com/search/label/BoundlessInformant

EDIT : petite pub pour Marc Manach

voilà ses articles ...
https://www.liberation.fr/auteur/15717-jean-marc-manach
des fact check sur son blog

Révélation

http://bugbrother.blog.lemonde.fr/2015/01/03/de-la-surveillance-de-masse-a-la-paranoia-generalisee/

dont 4 grosses bourdes du Monde qu'ils n'ont jamais rétracté:

http://bugbrother.blog.lemonde.fr/2013/07/11/la-dgse-a-le-droit-despionner-ton-wi-fi-ton-gsm-et-ton-gps-aussi/

http://bugbrother.blog.lemonde.fr/2014/05/20/dgseorange-joue-la-comme-superdupont-oupas/

https://www.arretsurimages.net/chroniques/une-fois-de-plus-jai-cherche-le-big-brother-du-monde

http://bugbrother.blog.lemonde.fr/2016/04/20/soleregate-sil-vous-plait-dessine-moi-un-espion/

 

Modifié le 13 juin 2019 par rogue0
EDIT : pub marc Manach

[Rob1]

il y a 37 minutes, rogue0 a dit :

The Intercept vient de publier un discret démenti qui ne dit pas son nom, 5 ans après l'affaire (mauvais point contre eux...) .

A la décharge de l'Intercept, je crois qu'il n'y a que Greenwald chez eux qui s'est entêté dans cette interprétation (d'ailleurs il me semble que l'article est la première fois où il reconnait son erreur...).

En revanche, comme je l'ai mis en commentaire chez bugbrother (http://bugbrother.blog.lemonde.fr/2019/06/02/la-nsa-navait-donc-pas-espionne-la-france/#comments), l'Intercept ne raconte pas toute l'histoire dans l'ordre chronologique. Quand on remet les évènements dans l'ordre, il est difficile de ne pas remarquer que Greenwald a continué à "implanter" son interprétation dans un pays après l'autre, ne tenant pas compte de plusieurs démentis, ce qui montre qu'il est au minimum assez obtus -- et que les journalistes successifs avec lesquels il a bossé ne semblent pas avoir vu ces démentis aux précédentes slides BoundlessInformant publiées.

M'enfin bon, ça confirme juste ce qui est assez évident pour qui suit electrospaces depuis le début : Greenwald s'est plus ou moins raté à chacune de ses publications (et Snowden avec lui). Je regrette de ne pas avoir écrit quand j'ai eu le premier doute en voyant la référence de la loi sur les slides PRISM, tiens...

Pendant ce temps-là...

 

[Patrick]

Personne ne parle de la dernière sortie de McAfee qui est en cavale après qu'il ait refusé de payer ses taxes à l'IRS?

https://twitter.com/officialmcafee

Citation

 

John McAfee✔@officialmcafee

I've collected files on corruption in governments. For the first time, I'm naming names and specifics. I'll begin with a corrupt CIA agent and two Bahamian officials. Coming today. If I'm arrested or disappear, 31+ terrabytes of incriminating data will be released to the press.

 

Son tweet a été supprimé. Un article rédigé à ce propos sur Medium.com a été supprimé également.

https://finance.yahoo.com/news/bitcoin-bull-john-mcafee-warns-023017544.html?guce_referrer=aHR0cHM6Ly90LmNvLzN5d3JjNkFjUng&amp;guce_referrer_sig=AQAAAAXzTzJYbADzf22Q_xnnoIioWsTyXbL90ZopwI54hjkcCsAwl7ndocZ7oCbpVnAAp2c5VWGS2BUflPWxWt9Wql0lmpYx86v370lTAhhal5n7gjHLHfMrP6jTM-18F6WfvRgPkAeu9kUKQ2CQYN5elDRapUOr7m55e2oBAonCIQIm&amp;guccounter=2
 

Citation

 

Bitcoin shill John McAfee, who's on the run from the law for tax evasion, taunted the U.S. government on Twitter, saying they better leave him alone. | Source: AP Photo/Moises Castillo

By CCN Markets: Bitcoin millionaire John McAfee — who’s a fugitive from the law for tax evasion — derisively taunted the U.S. government on Twitter. McAfee warned them to leave him alone or he will “f***ing bury” them.

In a dizzying weekend Twitter rant, McAfee claimed that the Department of Justice is compiling a bogus case against him for money-laundering, racketeering, and murder.

John McAfee

Bitcoin evangelist John McAfee is on the lam from the law. | Source: AP Photo/Alan Diaz

McAfee: The Government Is Conspiring Against Me

McAfee warned that if the feds don’t leave him alone, he’ll drop several bombshells that will reveal mass corruption within the government. So they’d better back off — or else.

“From friends in the State Department: The DOJ trumped up charges against me for murder, money laundering and racketeering…A conspiracy is unfolding. Proof coming.”

“I’ve collected files on corruption in governments. For the first time, I’m naming names and specifics. I’ll begin with a corrupt CIA agent and two Bahamian officials…If I’m arrested or disappear, 31+ terabytes of incriminating data will be released to the press.”

bitcoin shill john mcafee twitter rant

More

Bitcoin shill John McAfee warned the U.S. government to leave him alone. | Source: Twitter

 

https://www.ccn.com/john-mcafee-us-government-bury

Il va y avoir des trucs juteux...

[rogue0]

Le 15/05/2019 à 19:22, rogue0 a dit :

2 ans après Wannacry

Microsoft a découvert une faille de sécurité critique dans les "vieux" windows (XP, 2003, 7, 2008), avec un potentiel de propagation similaire à Wannacry.

En gros, c'est une vulnérabilité réseau RDP exploitable à distance par un vers informatique, sans action utilisateur (CVE-2018-0708).
Le potentiel d'infection est tel que Microsoft fournit gratuitement et pousse le correctif même sur les windows obsolètes sans support.
(un scan rapide montre que plus de 4 millions de machines sont directement vulnérables).

A patcher très rapidement...

Révélation

https://www.cyberscoop.com/microsoft-patches-critical-vulnerability-comparable-wannacry/

https://blogs.technet.microsoft.com/msrc/2019/05/14/prevent-a-worm-by-updating-remote-desktop-services-cve-2019-0708/

 

Piqûre de rappel à propos de la faille BlueKeep (hyper dangereuse).
(Urgent! Patchez ! on s'attend à une grosse infection imminente exploitant cette faille)

Mettre à jour son poste est indispensable, mais ne suffit pas à se protéger.
Il peut suffire d'une seule machine non patchée dans 1 entreprise pour contaminer tout le réseau.

Petite démo de ce qui peut arriver en entreprise :

• Infection d'une machine vulnérable à une ou plusieurs failles exploitable à distance (Bluekeep ou Eternal Blue) : patient zéro
  
  La suite : "propagation latérale", sans utiliser aucune faille de la NSA (ironie)
• Si d'autres utilisateurs réseaux sont connectés à cette machine, le malware tente de voler sa session/mot de passe (via des outils d'audit de sécurité style Mimikatz)
• Le malware utilise la session volée pour tenter de se connecter à toutes les machines du réseau, même patchées et non vulnérables.
• Si par malheur, la session volée est un administrateur système ou qu'une machine infectée est un contrôleur de domaine, c'est fichu.
  Toutes les machines du réseau seront KO.
  C'est ce qui est arrivé à AP Maersk avec NotPetya... Ils ont mis 6 mois à restaurer leur informatique, en partant d'un serveur en Afrique qui par chance était débranché au moment de l'attaque.

https://arstechnica.com/information-technology/2019/06/new-bluekeep-exploit-shows-the-wormable-danger-is-very-very-real/

 

[g4lly]

 

Quote

Adresses électroniques piratées : l'inquiétante vente de HIBP

Le site recense les adresses emails compromises

Le fondateur de Have I Been Pwned (HIBP), Troy Hunt, vient d’annoncer la mise en vente de son site connu pour répertorier les fuites de données des adresses emails ayant été compromises.

L'expert en sécurité Troy Hunt s'est fait un nom dans l'univers de la cybersécurité en lançant en 2013 le célèbre site Have I Been Pwned (HIBP). Ce site d'utilité publique référence les fuites de données afin de permettre aux internautes de savoir si les mots de passe associés à leurs adresses emails ont été compromis. Pour ce faire, il suffit de rentrer son adresse électronique dans le champ de recherche et de cliquer sur le bouton pwned ? pour savoir si elle figure dans les bases de données piratées.

À ce jour, le site recense près de 8 milliards de comptes compromis. Il propose également d'autres services permettant, par exemple, d'être alerté si une adresse email est à nouveau piratée. Des services très pratiques, mais qui nécessitent énormément de travail. Or, sur l'annonce de la mise en vente de son site publiée dans un long billet de blog, Troy Hunt explique être seul aux commandes : “Jusqu'à aujourd'hui, chaque ligne de code, chaque configuration et chaque viol de données a été traité uniquement par moi. Il n'y a pas ‘d'équipe HIBP', mais un seul gars qui garde tout ça à flot.”

Victime de son succès

Selon Troy Hunt, le site compte 150 000 visiteurs uniques les jours normaux et plus de… 10 millions les jours anormaux ! En plus de la gestion du site sur son temps libre, Troy Hunt explique être énormément sollicité par les médias, par des demandes d'assistance, etc. "Ce n'est pas seulement un problème de charge de travail. Je commençais à prendre conscience que je devenais le seul point de défaillance, et cela doit changer", ajoute-t-il avant d'aborder la mise en vente.

Pour l'heure, l'expert ne sait pas qui va reprendre la plateforme, mais il pose déjà quelques conditions. L'accès au site devra notamment rester gratuit et il demeurera impliqué dans son futur développement. Dans le même temps, il concède que "HIBP doit bénéficier de plus de ressources et être mieux financé". Il ne reste plus qu'à espérer que l'expert trouve l'acquéreur idéal pour que ce beau projet perdure et ne tombe surtout pas entre de mauvaises mains…

https://www.lesnumeriques.com/vie-du-net/adresses-electroniques-piratees-inquietante-vente-hibp-n87953.html

[rogue0]

double pole @Tancrède

https://www.rtbf.be/info/economie/detail_asco-industries-pirate-toutes-les-entreprises-menacees-par-la-cybercriminalite?id=10244246

En parlant de rançonlogiciel : un sous traitant aéronautique belge a été mis à l'arrêt , suite à un ransomware.

---------------------------------

Sur le thème des deep fakes / IA / infoguerre.

Adobe a développé un système expert / IA pour détecter les retouches Photoshop ... et suggérer comment les annuler (pour essayer de s'approcher de l'original)

https://www.numerama.com/tech/526520-adobe-developpe-une-ia-pour-detecter-les-photos-photoshopees.html

Avis perso:
tu vas enfin pouvoir voir les mannequins planche à pain de karl lagerfeld

[Rob1]

L'US Cyber Command aurait lancé une riposte sur une unité de cyber-renseignement liée aux gardiens de la révolution et qui serait liée aux attaques sur les pétroliers : https://news.yahoo.com/pentagon-secretly-struck-back-against-iranian-cyber-spies-targeting-us-ships-234520824.html