Flux RSS
Intrusion / hacking / pare-feu
718 documents trouvés, affichage des résultats 21 à 30.
| < Les 10 documents précédents | Les 10 documents suivants > |
(07/03/2012 13:57:54)
Sabu, le leader de LulzSec, était un informateur du FBI
Hier, les autorités américaines ont révélé que Sabu, l'ancien chef du groupe de pirates bien connu LulzSec, est un homme âgé de 28 ans, originaire de la ville de New York, et qu'il s'appelle Hector Xavier Monségur. Ces divulgations correspondent, en grande partie, à l'information que des pirates, rivaux du chef de LulzSec, avaient diffusé sur l'ancien chef du groupe dans le passé. Sabu avait été secrètement arrêté par le FBI l'an dernier et travaillerait depuis comme informateur pour les autorités fédérales, selon des documents judiciaires relatifs à l'affaire. L'opération visant Sabu avait aussi conduit à l'arrestation de cinq autres pirates soupçonnés d'être liés à LulzSec et au groupe d'hacktivistes Anonymous.
En juin 2011, quelques semaines avant que le groupe LulzSec décide sa dissolution, plusieurs équipes de pirates rivaux, comme TeaMp0isoN (Team Poison), ou des pirates francs-tireurs comme th3j35t3r (The Jester), mais aussi d'autres activistes en désaccord avec les actions du groupe, avaient lancé une cyber guerre contre les membres de LulzSec. Sur Internet, les ennemis du groupe étaient partis à la chasse aux traces afin de trouver des renseignements personnels sur ses membres, pour ensuite les publier en ligne et exposer leur véritable identité. Ce mode d'action est connu dans la communauté des hackers sous le nom de « doxing ». La première divulgation d'informations ciblant les membres de LulzSec a été faite par un groupe ayant pour nom A-Team. Si un certain nombre d'éléments se sont avérés plus tard largement incomplets, voire tout à fait faux, les détails publiés sur le chef Sabu semblaient très proches de la vérité.
Le véritable nom de Sabu laché dans la nature
A-Team avait déjà affirmé que Sabu était Porto-Ricain, s'appelait Hector Xavier Montségur, et vivait à New York. Le groupe avait déclaré que cette information correspondait à des données « whois » archivées par prvt.org, un nom de domaine censé appartenir à Sabu, et anonymisé depuis. Selon A-Team, Sabu utilisait, entre-autre, les pseudonymes 548U, hectic_les et leon sur Internet. La mention du dernier pseudo apparaît même dans l'acte d'accusation concernant Hector Xavier Monségur révélé par les autorités. Un autre rapport sur Sabu publié par un utilisateur anonyme sur Pastebin le 21 juin de l'année dernière retracerait l'activité présumée du chef de LulzSec sur le Net jusqu'en 2003. Selon ce « dox », pendant ces années, Hector Xavier Monségur aurait été impliqué dans plusieurs projets de logiciels de sécurité sous le pseudo de Xavier Kaotico et de Xavier de Leon, une autre fausse identité mentionnée dans l'acte d'accusation.
Le 17 août, à l'époque où, semble-t-il, l'ancien chef de LulzSec a commencé à travailler pour le FBI comme témoin, et a coopéré avec la justice, un autre « doxing » sur Sabu est apparu sur un blog listant les adresses mail du hacker, dont beaucoup contenaient Sabu, Xavier et Monségur dans leurs noms. À partir de ces éléments, le blog concluait que Sabu vivait à New York, était fan des New York Giants. Il publiait même une photo du chef de LulzSec récupéré dans un profil MySpace. Ces informations facilement recueillies avec Google Search et d'autres services accessibles à tous, laissent penser que le leader de LulzSec a peut-être été négligent au début de sa carrière de pirate et qu'il aurait eu du mal à changer d'identité quand les choses ont commencé à devenir plus sérieuses.
[[page]]
« Les membres de LulzSec ont laissé des empreintes digitales électroniques derrière eux, et leur arrestation est inévitable, » a déclaré Rob Rachwald, directeur de la stratégie en sécurité chez Imperva, le vendeur de solutions de sécurité. « Au cours d'un incident, un membre de LulzSec a changé son identité sur le Net, mais il a laissé des indices sur un forum public, » a-t-il ajouté. « On trouve pas mal de traces sur les forums de hackers, autant que l'on peut en trouver sur Facebook. Et si vous faites assez de bruits autour de vos actions, comme c'était le cas de LulzSec, alors sûrement que la justice sera assez déterminée pour rechercher vos traces, » a déclaré Rob Rachwald. L'expert en sécurité a établi un parallèle entre Sabu et le célèbre gangster John Gotti. « Son mépris de la loi a finalement conduit le gangster à sa chute. »
Le plus étonnant, c'est que, malgré toutes ces informations exposées à son sujet sur le Net, et même si le pirate a nié leur véracité, les complices de Sabu ne se sont pas interrogés sur le fait qu'il n'a jamais été arrêté. En juin 2011, presque au moment de l'arrestation de Sabu, Eric Corley, éditeur d'un journal trimestriel pour hackers 2600, a déclaré au Guardian que, à son avis, aux États-Unis, un quart des pirates était recruté comme informateur par le FBI. À l'époque, celui-ci avait déclaré que les pirates étaient facilement intimidables du fait des sanctions sévères auxquelles ils s'exposaient et qu'ils n'avaient aucune expérience en matière de droit.
(...)(06/03/2012 11:53:44)Un outil DDOS trafiqué pour piéger les fans d'Anonymous
Les cybercriminels ratent rarement une occasion pour infecter les ordinateurs avec des logiciels malveillants, même s'ils doivent pour cela cibler d'autres soi-disant contrevenants à la loi. C'est ce qui ressort d'une recherche effectuée par l'éditeur de solutions de sécurité Symantec. Récemment, ces cybercriminels ont modifié Slowloris, un outil pour mener des actions de déni de service distribué (DDOS) pour y inclure un client Zeus, un bout de code malveillant bien connu capable de subtiliser logins et mots de passe de connexions à des services bancaires en ligne notamment. Selon Symantec, les cybercriminels destinaient spécifiquement le malware aux supporters d'Anonymous.
Le groupe d'hacktivistes, bien connu pour ses campagnes anti-gouvernementales et anti-entreprises, a pour habitude soit de divulguer des données sensibles après le piratage des sites visés, soit de perturber les sites Internet des organismes ciblés en les saturant de trafic. Pour ces actions, le groupe s'appuie souvent sur le support d'internautes partout dans le monde qui utilisent des outils DDOS recommandés par Anonymous. En mai 2011, sur le site Pastebin, les Anonymous avaient encouragé leurs supporters à télécharger un outil DDOS du nom de Slowloris. Leur message avait rapidement fait le tour de l'Internet, at avait été relayé jusque sur Twitter.
Un outil trafiqué pour tromper les internautes
Mais Symantec a découvert que les cybercriminels avaient recopié mot pour mot le message et l'avaient reposté à nouveau le 20 janvier. Sauf que cette fois, le lien vers l'outil DDOS Slowloris préconisé par les Anonymous dirigeait les internautes vers une version malveillante de Slowloris. L'opération a été réalisée le jour même où le site de partage de fichiers Megaupload a été bloqué par les agences fédérales de plusieurs pays et où Anonymous a lancé une campagne de protestation pour défendre le site de téléchargement illégal. « Le lien redirigeant vers la version trafiquée de Slowloris est également apparu dans un mode d'emploi qu'Anonymous a publié pour expliquer comment mener des attaques par déni de service, lequel a également été relayé sur Twitter, » a déclaré Symantec. Le vendeur de solutions de sécurité a constaté que dans le cas où l'internaute téléchargeait et exécutait l'outil modifié Slowloris, le malware tentait ensuite de dissimuler l'infection en téléchargeant la vraie version de l'application.
Non seulement le pirate qui prend le contrôle de la machine infectée vole les informations de connexion aux sites bancaires de ses victimes, ses cookies et ses identifiants de messagerie, mais il mène aussi depuis la machine des attaques DDOS contre les pages web en soutien à Anonymous. « D'un côté, les partisans du groupe d'hacktivistes enfreignent la loi en participant à des attaques DDOS sur des cibles désignées par Anonymous, mais ils prennent aussi le risque de se voir subtiliser leurs codes de connexion aux services en ligne de leur banque et leurs identifiants de messagerie », écrit encore Symantec.
(...)(02/03/2012 16:35:02)La sécurité IT de la NASA encore pointée par un rapport interne
Des ordinateurs portables au contenu non chiffré, des logiciels en défaut de mise à jour et des intrusions avancées risquent de mettre en danger le savoir-faire des techniciens américains si la NASA ne renforce pas sa sécurité IT. C'est ce que pointe un rapport publié mercredi dernier par l'inspecteur général de l'agence spatiale, Paul K. Martin. La National Aeronautics and Space Administration est la cible régulière de cyber attaques. Ses plus de 550 systèmes renferment des informations très recherchées par les criminels, souligne l'inspecteur général.
Son témoignage, devant un sous-comité du Comité des Sciences, de l'Espace et de l'Aéronautique de la Chambre des représentants des Etats-Unis, a récapitulé les précédents audits de l'inspecteur général sur la sécurité IT de la NASA et propose des recommandations pour l'agence spatiale. En 2010 et 2011, celle-ci a signalé 5 408 incidents de sécurité informatique, découlant de logiciels malveillants installés sur ses systèmes ou d'intrusions, écrit Paul K. Martin. Le vol de données a coûté à l'agence plus de 7 millions de dollars, poursuit-il en ajoutant que la NASA doit améliorer la surveillance de l'ensemble de ses actifs IT.
48 terminaux mobiles perdus ou volés en deux ans
L'un des problèmes concerne les ordinateurs portables. Seulement 1% de ceux de la NASA et des terminaux portables bénéficient du chiffrement. Entre avril 2009 et avril 2011, 48 terminaux mobiles contenant des données sensibles ont été perdus ou volés. Selon un audit de mai 2010, seulement 24% des ordinateurs utilisés sur le réseau d'une mission étaient surveillés pour bénéficier des mises à jour critiques sur les logiciels, et seulement 62% étaient contrôlés pour détecter des failles techniques.
Au cours de l'exercice fiscal 2011, la NASA a également été la cible de 47 menaces avancées répétées ou de cyber attaques qui n'avaient pas été détectées pendant longtemps et qui visaient à voler des données. Treize de ces attaques ont réussi à compromettre des ordinateurs de l'agence, a indiqué Paul K.Martin. L'une d'entre elles a permis aux intrus de dérober les certificats de plus de 150 employés de la NASA qui auraient pu être utilisés pour récupérer des données dans les systèmes de l'agence.
Des ordinateurs mal reformatés avant leur mise en vente
Une autre attaque, perpétrée à partir d'une adresse IP basée en Chine, ciblait le Jet Propulsion Laboratory. Ceux qui l'ont mené ont eu un accès complet à des systèmes JPL clés et à des comptes utilisateurs sensibles. « Les attaquants ont eu un contrôle fonctionnel total sur ces réseaux », mentionne le rapport.
Dans un autre domaine encore, les auditeurs ont découvert que la NASA n'avait pas correctement supprimé les données sur les ordinateurs ayant été utilisés pour le programme de la navette spatiale avant de mettre les machines en vente. Les enquêteurs ont également trouvé quantités de disques durs dans une benne non sécurisée accessible au public dans l'un des centres.
RSA 2012 : des Trojans pour espionner les smartphones
Deux experts en sécurité ont montré comment les malwares permettant de prendre le contrôle des smartphones à distance sont devenus une sérieuse menace pour les utilisateurs à travers le monde. Au cours d'une démonstration réalisée sur la RSA Conference 2012, George Kurtz et Dmitri Alperovitch, anciens responsables de McAfee ayant fondé la société CrowdStrike, ont installé un outil d'accès distant sur un terminal sous Android 2.2. Ils ont exploité une faille non corrigée dans WebKit, le navigateur par défaut de l'OS mobile, rapportent nos confrères de Computerworld.
Les deux intervenants ont montré devant une salle bondée comment le malware pouvait être amené sur le smartphone par l'intermédiaire d'un message SMS d'apparence inoffensive. Et comment il pouvait ensuite être utilisé pour intercepter et enregistrer les conversations téléphoniques, récupérer des vidéos, voler les messages texte, pister les numéros de composés et localiser l'endroit où se trouve l'utilisateur.
Des malwares obtenus facilement sur le marché
Les outils employés pour l'attaque ont été obtenus facilement auprès de sources clandestines, a indiqué George Kurtz, Le bug WebKit, par exemple, figurait parmi une vingtaine d'autres outils achetés à des hackers pour une somme globale de 1 400 dollars. Le cheval de Troie mis en oeuvre pour l'accès distant était une version modifiée de Nickispy, un malware chinois bien connu.
Apprendre à exploiter la faille WebKit et modifier le Trojan pour l'attaque fut plus difficile à réaliser que prévu, a admis Georges Kurtz. Il estime que CrowdStrike a dépensé environ 14 000 dollars au total pour développer l'attaque. Mais, le plus inquiétant est que des attaques similaires peuvent être réalisées sur n'importe quel téléphone et pas uniquement les modèles sous Android, a ajouté l'expert.
WebKit, par exemple, est largement utilisé comme navigateur par défaut par les autres systèmes d'exploitation mobile, notamment iOS d'Apple et BlackBerry Tablet OS de RIM. Il est également à l'oeuvre dans les navigateurs Safari d'Apple et Chrome de Google.
A l'aube d'une nouvelle vague de phishing
Compte tenu du type de données qu'il est possible de dérober sur les terminaux mobiles, on peut penser que de nombreux hackers cherchent déjà des moyens de transformer les vulnérabilités de WebKit en moyens d'attaque, soulignent les experts de CrowdStrike.
Plusieurs Trojans de contrôle à distance mobiles sont déjà ouvertement disponibles auprès d'entreprises qui les présentent comme des outils permettant de garder un oeil sur les autres. Par exemple, de nombreux programmes de ce type sont commercialisés auprès de conjoints jaloux ou suspicieux. Et il n'est pas difficile de duper des utilisateurs mobiles en installant des malwares sur leurs téléphones, expliquent les experts.
Dans leur démonstration, Georges Kurtz et Dmitri Alperovitch ont utilisé un message SMS qui semblait venir de l'opérateur demandant à son utilisateur d'installer une mise à jour importante. Cliquer sur le lien du message conduisait à télécharger le Trojan sur le téléphone. Exactement comme cela se passe déjà sur les PC, ces programmes malveillants vont proliférer sur les mobiles, prédit Georges Kurtz. Par conséquent, les utilisateurs doivent commencer à vérifier qu'ils ont bien installé les mises à jour sur leurs smartphones, faire attention à ce qu'ils téléchargent et être conscients que le phishing existe aussi sur les mobiles. Les Trojans permettant une prise de contrôle à distance sont de parfaits outils pour intercepter les appels, les textes, les e-mails, capturer les conversations sensibles et localiser les personnes.
(...)
WikiLeaks commence à livrer les e-mails dérobés à Stratfor en décembre
WikiLeaks va livrer à partir d'aujourd'hui près de 5 millions d'e-mails obtenus après le piratage, en décembre dernier, du site web de Stratfor Global Intelligence, société de sécurité et de conseil en intelligence économique et géopolitique.
Les e-mails sont datés de juillet 2004 à fin décembre 2011. Ils contiendraient des informations sur les attaques menées par le gouvernement américain contre WikiLeaks et son fondateur Julian Assange, ainsi que les propres tentatives de Stratfor pour contrer le site dénonciateur. Selon ce dernier, ils révéleraient aussi des pratiques discutables sur la façon dont Stratfor recueille ses informations et cible les individus pour des clients des secteurs privés et publics.
Une violation illégale de la vie privée, estime Stratfor
Commentant dans un communiqué la publication de ces mails dérobés en décembre, la société Stratfor, installée à Austin, au Texas, a estimé qu'il s'agissait d'une déplorable, regrettable et illégale violation de la vie privée. « Certains des e-mails peuvent avoir été falsifiés ou modifiés pour y inclure des inexactitudes. Certains peuvent être authentiques. Nous n'en validerons aucun ».
WikiLeaks n'a pas révélé ses sources pour les informations qu'il diffuse ainsi vers 25 médias et groupes engagés. Toutefois, les Anonymous ont de leur côté indiqué hier dans un message Twitter qu'ils avaient donné les e-mails de Stratfor à WikiLeaks.
Une liste de personnes ayant acheté des publications
Stratfor a reconnu en janvier avoir été alerté le mois précédent que son site web avait été piraté et que des données sur les cartes de crédit des clients avaient été volées par les Anonymous, de même que d'autres informations. Une nouvelle intrusion a eu lieu sur le site le 24 décembre 2011. Stratfor a démenti que les hackers aient récupéré des données sur des clients privés, ainsi qu'ils le revendiquaient, mais plutôt une liste de membres qui pourraient avoir acheté une publication.
« Comme il a été dit, les cartes de crédit constituaient un supplément, quelque chose qu'ils ont pris lorsqu'ils ont réalisé qu'ils pouvaient le faire. Ils cherchaient les e-mails », avait indiqué George Friedman, CEO de Stratfor dans un communiqué en janvier.
Pastebin, le site vitrine des hackers, subit des attaques DDOS
Pastebin, un site privilégié par les pirates pour afficher publiquement leurs exploits et exhiber les données sensibles volées, a subi une rafale d'attaques par déni de services (DDOS). Selon les administrateurs, ces attaques sont destinées à rendre inaccessible le site, notamment utilisé par les Anonymous pour communiquer certaines de leurs actions d'éclat.
La première attaque a commencé mercredi dernier, selon un message publié sur le site Pastebin. Les administrateurs de ce dernier indiquent qu'ils ont initialement bloqué 4 000 adresses IP malveillantes. Mais les attaques ont augmenté depuis. Pastebin a ensuite alerté sur des messages Twitter que le nombre d'ordinateurs réalisant ces attaques était passé à 9000, puis à 12 000, 17 000 et même 20 000. « Ce nombre augmente de minute en minute », a écrit Pastebin. Dès jeudi, les administrateurs ont déclaré que quelque 22 000 ordinateurs les ont attaqués.
Des PC infectés par un botnet à l'insu de leurs utilisateurs
« Ces adresses IP sont susceptibles d'appartenir à des personnes innocentes qui n'ont aucune idée que leur ordinateur est utilisé à cette fin », a déclaré Pastebin. « Il est fortement recommandé de toujours avoir un logiciel antivirus à jour et un bon pare-feu actif ». Le site Internet a également indiqué qu'il prévoit de publier la liste des adresses IP à l'origine des attaques afin que les gens puissent vérifier si leur ordinateur est infecté par le code botnet.
A l'origine, Pastebin est une plate-forme destinée à faciliter le partage d'informations et l'échange de lignes de code entre programmeurs. Les hackers se tournent fréquemment vers Pastebin pour publier des données qu'ils ont subtilisées bien que le site décourage l'affichage de logins, de mots de passe et d'autres données sensibles. Reste à savoir qui est l'origine de ces attaques...
Des attaques DDoS contre les webcams des élections russes
Des pirates ont commencé à attaquer l'immense réseau de webcams installées à la demande du premier ministre russe Vladimir Poutine. Celles-ci doivent lui permettre de suivre en direct le vote des prochaines élections présidentielles de mars 2012. Ilya Massukh, vice-ministre des Communications, a reconnu que les deux premières caméras installées dans la ville de Novosibirsk, en Sibérie, et testées pour le jour du vote, avaient déjà été touchées par des attaques DDoS. « Nous avons lancé ce site en avance afin de comprendre la nature des menaces, » a-t-il déclaré à Reuters.
« À ce jour, l'entreprise de télécommunications Rostelecom a posé 54 000 caméras sur les 182 000 prévues pour surveiller les élections dans plus de 91 000 bureaux de vote, » a déclaré le vice-ministre. Le gouvernement a déjà investi 13 milliards de roubles (292 millions d'euros) pour installer ce réseau destiné à convaincre une population méfiante que ces élections se dérouleront de façon équitable. Le vote qui doit avoir lieu le 4 mars prochain opposera Vladimir Poutine à quatre autres candidats. Mais le réseau de caméras pourrait bien être la cible d'attaques DDoS répétitives organisées par des militants anti-Poutine à l'intérieur du pays.
On ne connait pas très bien la nature des dégâts occasionnés par ces attaques DDoS sur le réseau de webcams déjà installées à travers la Russie, mais la probabilité qu'elles subissent des perturbations est importante.
(...)(20/02/2012 11:53:16)
Les Anonymous veulent bloquer les serveurs racines DNS le 31 mars
Dans un avertissement publié sur Pastebin la semaine dernière, les Anonymous veulent lancer le 31 mars prochain des attaques qui viseraient les serveurs racines DNS. Cette action fait partie de l'opération « Global Blackout » menée en représailles des projets américains de loi pour lutter contre le piratage (SOPA et PIPA) ou la fermeture de Megaupload par le FBI. Dans leur revendication, le groupe de pirates explique que « l'attaque a été planifiée comme une protestation contre nos dirigeants irresponsables et nos banquiers adorés qui ont affamé le monde pour leurs propres besoins égoïstes et pour un simple plaisir sadique ».
Le DNS convertit un nom de site web, tels que www.lemondeinformatique.fr, en une adresse IP numérique (97.160.10.15), qui est utilisé par les ordinateurs pour trouver le site. Il existe 13 serveurs racines DNS qui répondent aux requêtes dites de premier niveau et les redirigent ensuite vers des serveurs qui gèrent les .com, .org ou .fr. Anonymous a précisé dans son avertissement qu'il avait « construit un outil baptisé RAMP « Reflective DNS Amplification DDOS » (attaques par saturation en mode distribué) qui utilise une faille dans le protocole UDP pour modifier l'adresse IP de la requête. En augmentant considérablement le nombre de requêtes, les pirates veulent faire tomber les serveurs racines.
Des raisons de ne pas s'inquiéter
Robert Graham, PDG de Errata Security, reste prudent sur la portée d'une telle attaque « ils pourraient affecter quelques-uns des serveurs racines DNS, mais il est peu probable qu'il puisse tout faire tomber dans une courte période » et d'ajouter, « le fait de donner le jour de l'attaque en relativise la portée ». Le spécialiste en sécurité précise aussi que s'il existe 13 serveurs racines, une attaque sur l'un n'affectera pas les 12 autres. Cela s'explique par la technologie de routage « anycasting » permettant de déléguer des requêtes à un autre serveur qui intègre une réplique des données des serveurs racines. Il existe aujourd'hui des centaines de serveurs de ce type à travers le monde pour augmenter la résilience des DNS, confirme Robert Graham.
Les fournisseurs d'accès à Internet ont également tendance à mettre en cache les données DNS pendant un certain temps souligne Mr Graham. Quelques jours avant l'attaque, il leur suffit de mettre en cache suffisamment de données sur des serveurs nommés « time to live ». Ainsi, si un serveur racine a une baisse d'activité, il n'y aura pas d'incidence immédiate sur les clients des FAI.
Enfin, les serveurs DNS racines sont étroitement surveillés. Dès que des problèmes seront visibles, le trafic malveillant vers les serveurs racine sera certainement bloqué, avec des perturbations qui ne dureront que quelques minutes. Robert Graham conclut en disant que « dans ce court laps de temps, des centaines d'experts en sécurité travailleront pour résoudre le problème ».
Découverte d'une faille dans le cryptage RSA
Selon une étude d'une équipe dirigée par le Professeur Arjen Lenstra de l'EPFL, il existe une faille dans le système de cryptage RSA. Ce dernier est celui utilisé pour garantir la sécurité des transactions sur Internet. Les chercheurs suisses et américains, Dan Auerbach et Peter Eckersley, ont testé plusieurs millions de clés RSA publiques. Si le système fonctionne correctement dans la grande majorité des cas, il n'offre aucune sécurité dans 0,2% des cas.
Même si l'exploitation de cette vulnérabilité semble difficile dans la mesure où elle nécessite de trouver la clé publique avec laquelle sont cryptées les informations, deux membres de l'Electronic Frontier Foundation (EFF), Dan Auerbach et Peter Eckersley ont estimé sur un blog que «les conséquences de ces failles [étaient] extrêmement sérieuses. Dans tous les cas, une clé faible pourrait permettre à un espion présent sur Internet d'apprendre des informations confidentielles, comme des mots de passe ou le contenu de messages échangés avec un serveur vulnérable.» L'EFF a précisé qu'elle travaillait actuellement avec l'EPFL pour alerter les opérateurs de serveurs utilisant des systèmes de cryptage vulnérables.
(...)(17/02/2012 12:17:47)TinKode, le pirate de la NASA et du Pentagone, arrêté en Roumanie
De son vrai nom Razvan Manole Cernaianu, le pirate TinKode est accusé d'avoir révélé les failles de sécurité des systèmes informatiques du Pentagone et de la NASA et d'avoir publié des informations sur la manière de mener des attaques par injection de code SQL contre ces agences. La Direction roumaine de la lutte contre le Crime organisé et le Terrorisme a déclaré que le pirate avait également proposé sur son blog un logiciel pouvant servir à pirater des sites web et avait publié une vidéo dans laquelle il décrivait les attaques Internet qu'il avait menées contre le gouvernement américain.
Le FBI et la NASA ont collaboré à l'enquête. Selon l'ambassade des États-Unis à Bucarest, Razva Cernaianu a utilisé « des outils de piratage sophistiqués pour avoir un accès non autorisé à des systèmes gouvernementaux et commerciaux. » En avril dernier, le hacker aurait ainsi réussi à s'introduire dans un serveur informatique du Goddard Space Flight Center appartenant à la NASA, et avait publié une capture d'écran sur laquelle on pouvait voir des fichiers contenant des données satellitaires confidentielles. D'après Anthony M. Freed, rédacteur en chef d'Infosec Island, TinKode a profité de plusieurs vulnérabilités bien connues et les agences ciblées auraient pu les résoudre avant que le pirate n'exploite ces failles en livrant des attaques par injection de code SQL. La plupart des experts en sécurité connaissent bien cette technique et la désignent - un peu par dérision - sous le nom de « Hacking 101 », pour dire que la méthode est simple.
Des failles de sécurité dans tous les systèmes complexes
« Le pirate a ciblé de grosses entités qui ont sans aucun doute des réseaux complexes et de multiples interfaces pour permettre l'accès à des tiers, avec des bases de données d'entreprises avec lesquelles elles travaillent ou des bases clients, » a indiqué Anthony Freed. « Ces différents accès augmentent la probabilité de trouver des points d'entrée non protégés. » a ajouté le rédacteur en chef d'Infosec Island. Selon lui, dans des réseaux de cette ampleur, l'intrusion d'un pirate déterminé est presque assurée. « Dans ce type d'infrastructure, il faudrait se concentrer davantage sur la détection et la protection des données au sein des réseaux et moins travailler avec l'hypothèse qu'il ne sera pas possible d'empêcher toutes les tentatives d'intrusion, » a-t-il déclaré. Il est notamment essentiel de mettre en place des systèmes de surveillance avancée, d'établir une classification appropriée des données, et d'utiliser des protocoles d'authentification de second niveau pour contrôler l'accès aux informations les plus sensibles afin de détecter les intrusions éventuelles et contrer l'action des pirates éventuels. « Ces précautions pour verrouiller un système compromis et éviter le vol de données valent bien le temps que l'on peut y consacrer, » a ajouté Anthony Freed.
Pour Gary McGraw, directeur technique de Cigital, TinKode n'aurait pas été repéré s'il ne s'était pas vanté publiquement de ses exploits. « Si vous cherchez à vous faire remarquer que vous allez sûrement réussir,» a-t-il déclaré. Le directeur technique affirme aussi que le dommage causé est probablement mineur. « Pour éviter ces problèmes stupides, des agences comme celles-ci devraient plutôt construire des systèmes où la sécurité est une priorité principale. Pour l'instant, elles essaient juste de remédier au coup par coup aux défauts d'un système qui ne fonctionne pas correctement. »
(...)| < Les 10 documents précédents | Les 10 documents suivants > |