Flux RSS
Intrusion / hacking / pare-feu
718 documents trouvés, affichage des résultats 361 à 370.
| < Les 10 documents précédents | Les 10 documents suivants > |
(11/10/2010 15:33:44)
Les sites de médias français, cible d'attaques DDoS
En France, un important hébergeur s'efforce de protéger les sites Internet de ses clients représentant des médias européens. Ce qui signifie notamment pour lui de repousser les attaques de déni de service (DDoS, distributed denial-of-service attacks), lesquelles ont déjà provoqué dans le passé le plantage de plusieurs sites. La persistance de ces attaques laisse penser qu'elles sont déclenchées par des lecteurs en colère qui veulent exprimer leur désapprobation vis-à-vis de certaines informations. « Nous avons subi beaucoup d'attaques DDoS visant principalement les sites de journaux en ligne », a indiqué Salim Gasmi, directeur technique et directeur technique chez SvD Plurimedia, qui compte parmi sa clientèle des médias européens bien connus comme Le Figaro, Les Echos ou encore la chaîne de télévision Arte, ainsi que des sociétés de services bancaires.
Un flot de requêtes SYN
« Même si l'origine et le motif de ces attaques DDoS ne sont pas tout à fait clairs, celles-ci se produisent généralement à des périodes où l'information se rapporte au Moyen-Orient », précise Salim Gasmi. « C'est une colère d'origine politique », explique t-il, ajoutant que ces types d'attaques se produisent de manière régulière depuis plus de dix ans. « Les nouvelles relatives au Moyen-Orient peuvent déclencher une avalanche de SYN émis depuis des ordinateurs qui semblent se trouver dans plusieurs endroits à travers le monde, y compris le Brésil, la Russie et la Chine, et contrôlés par un attaquant depuis un lieu inconnu », déclare le directeur technique de SvD Plurimédia. Les outils pour réaliser ce type d'attaques semblent faciles à trouver. Une attaque bien dirigée, consistant à envoyer un flot de requêtes SYN à hauteur de 10 Mbps et visant à provoquer un déni de service (cela exigerait au plus l'utilisation de 100 ordinateurs en mode attaque) serait suffisant pour placer un site Web sous énorme pression et peut-être même le mettre temporairement hors d'état. « Certaines attaques peuvent atteindre les 3Gbps », a-t-il indiqué.
Mais SvD Plurimedia n'est pas la seule entreprise à devoir faire face à des attaques politiquement motivées. Le rapport que publie Symantec cette semaine, intitulé « Symantec 2010 Critical Infrastructure Protection Study » est le résultat d'une enquête menée auprès de 1 580 entreprises à travers le monde. L'éditeur de logiciels antivirus a voulu savoir si elles avaient été la cible « d'attaques politiquement motivées », y compris éventuellement de cyberattaques terroristes ou derrière lequelles se profilerait un Etat, visant à voler des informations sensibles ou à faire tomber un réseau. Symantec a constaté que la moitié des responsables informatiques de ces entreprises pensaient avoir été victimes d'une attaque de ce genre.
Un effet en cascade sur les serveurs du datacenter
Quant à Salim Gasmi, il était certain que, à partir du moment où SvD Plurimedia avait décidé de faire entrer des médias dans son portefeuille clients, l'hébergeur aurait à faire face à ce type d'attaques et à se défendre contre les DDoS - et vite. La question était de trouver les moyens de détecter les prémices d'une attaque DDoS, puis de drainer efficacement le trafic hostile, tout en essayant de ne pas perturber le bon trafic. Et ce n'est pas facile. L'une des complexités vient du fait que les attaques massives en SYN peuvent provoquer un effet en cascade sur les serveurs du datacenter. « Lorsqu'un client est ciblé par une attaque, et si cette attaque est puissante, il faut rendre tous les sites non dynamiques. C'est un cauchemar », explique Salim Gasmi.
En quelques années, l'hébergeur a cherché différentes manières de gérer ses serveurs, différentes configurations réseaux, divers moyens pour atténuer les attaques, des systèmes de prévention contre l'intrusion et des pare-feu. Les derniers équipements, basés sur les systèmes Peakflow SP et Peakflow SP Threat Management System d'Arbor Network, et mis en place depuis environ un an, se sont avérés parmi les plus efficaces pour filtrer les attaques de trafic, notamment grâce à une technologie de redirection qui permet d'alléger le poids du trafic indésirable. « Bien que très efficace, l'équipement anti-DDoS n'est pas parfait et il est possible qu'une certaine quantité de trafic légitime passe à la trappe », fait remarquer Salim Gasmi. « Mais les sites Web résistent beaucoup mieux qu'avant. »
Certains hébergeurs proposent des services anti-DDoS
Aux États-Unis, certains opérateurs, comme AT & T notamment, proposent en option des services anti-DDoS. Salim Gasmi dit pour sa part traiter avec neuf opérateurs différents en France, mais aucun ne prévoit de service anti-DDoS, de sorte qu'il a dû investir et construire sa propre ligne de défense. Il aimerait bien que les FAI et les opérateurs s'emparent plus activement du problème, d'autant qu'en France, d'autres hébergeurs subissent ce même type d'attaques DDoS. Il n'est pas rare que les sites web de certaines entreprises soient noyés par une attaque DDoS. Même si d'expérience, les chantages aux attaques ne sont pas aussi répandus que les attaques menées contre les sites d'information, Salim Gasmi a néanmoins entendu parlé de pirates qui demanderaient de l'argent à certaines entreprises pour, en contrepartie, ne pas attaquer leurs sites web.
Illustration : Attaques DDoS (source du schéma : Cisco)
Oracle va livrer 81 correctifs à installer d'urgence
La base de données d'Oracle, ses outils Fusion middleware, plusieurs applications dont celles de PeopleSoft et le système d'exploitation Solaris, récupéré depuis le rachat de Sun, sont concernés par l'importante livraison de rustines que l'éditeur mettra mardi prochain 12 octobre à la disposition de ses utilisateurs. En tout, 81 correctifs sont annoncés pour corriger de multiples vulnérabilités. 31 d'entre eux sont destinés à des produits du catalogue Sun. Certains couvrent plusieurs produits.
Oracle recommande vivement à ses clients d'installer ce patch critique aussi rapidement que possible en raison des menaces d'intrusion. La faille la plus sensible (selon le standard CVSS 2.0), assortie de la note 10.0, affecte le produit Solaris Scheduler.
Egalement visés : Agile, Primavera, Open Solaris et StarOffice
Parmi les correctifs, plusieurs sont destinés à la base de données, versions 10g et 11g, Release 1 et 2, au serveur d'application 10gR2 et R3, ainsi qu'à BI Publisher et Identity Management 10g. Du côté des applications, le progiciel intégré E-Businesss Suite est concerné, Release 12 et 11i, de même que l'application de PLM Agile, et les solutions Transportation Management, PeopleSoft Enterprise CRM, FMS, HCM, SCM et EPM. On trouvera aussi des mises à jour pour les PeopleTools, Siebel Core et la solution de gestion de projets Primavera P6.
Du côté de l'offre Sun, Oracle précise que onze failles risquent d'être exploitées sans authentification (en passant par un réseau sans se voir demander de nom d'utilisateur ni de mot de passe). Outre l'OS Solaris et sa version Open Source, sont affectés les produits Directory Server Enterprise Edition, Communications Messaging Server, Oracle Explorer, Sun Convergence, iPlanet Web Server, Java System Identity Manager et la suite bureautique StarOffice/StarSuite. A noter que cinq rustines visent la suite Open Office, la plus sensible étant notée 9.3. Là aussi, les vulnérabilités en question risquent aussi d'être exploitées sans authentification. A corriger rapidement donc.
HP renforce sa stratégie infrastructure convergente
Comme le souligne en ouverture Dave Donatelli, exécutif vice-président en charge de l'activité Enterprise chez HP, « l'infrastructure convergente n'est pas qu'une simple vision, mais bien une plate-forme matérielle reposant sur les standards de l'industrie pour faciliter l'évolution des entreprises vers une infrastructure plus efficace. Et aujourd'hui le choix des infrastructures a un impact sur la façon dont sont déployés les services ». Si en 2009, HP avait lancé son programme « Converged infrastructure », le rachat et l'intégration de 3Com ont apporté à la compagnie la dernière brique à ses solutions. Désormais, HP se fixe un objectif ambitieux pour 2013 avec une projection de chiffre d'affaires de 115 milliards de dollars pour l'activité Datacenter avec une répartition de 35 milliards pour le stockage, 30 pour le réseau et 50 pour les serveurs. « Nous pouvons dire aujourd'hui que les entreprises sont en train de changer et de mettre en place des datacenters de nouvelles générations. »
Une ligne d'assemblage de POD HP à Houston.
Pour ce faire, HP mise notamment sur son activité POD (Performance Optimized Datacenter), des containers sur mesure de 6 ou 13 mètres. À la question de savoir combien de POD ont été vendus à ce jour, tous les dirigeants de HP interrogés ont refusé de fournir la moindre réponse. On saura juste que l'usine de Houston peut travailler au rythme de 7 conteneurs à la fois par mois et celle qui se trouve en Écosse à raison de 2 par mois. Cette dernière ligne de production est d'ailleurs en cours de transfert à Kora Hutna, en République Tchèque, nous a précisé Wolfgang Wittmer, senior vice-président pour l'activité Enterprise. Les clients présents sur l'événement ont d'ailleurs visité avec un grand intérêt un baby POD (6 mètres pour 10 armoires) stationné près du centre de congrès et collé à un groupe électrogène. « Les datacenters sont devenus un enjeu stratégique pour les entreprises qui construisent rarement plus de deux centres de calcul », explique Eva Scheck responsable de l'activité infrastructures pour l'Europe. « Nos clients sont très intéressés par notre structure modulaire offrant une très haute densité. Chaque POD étant configuré sur mesure en fonction des demandes des clients ».
Le baby POD de HP qui peut accueillir dix armoires standards.
Le réseau désormais au coeur de l'activité infrastructure
Marius Haas, senior vice-président en charge de l'activité réseau a poursuivi en présentant les fruits de l'intégration de 3Com. Le credo de HP est aujourd'hui très simple : « Oui, nous faisons du réseau » en mettant en avant des clients comme les hôtels Mariott, BMW Group, UPS ou Akamai. « L'intégration de 3Com est terminée et nous proposons un portefeuille complet de solutions reposant sur les standards du marché », poursuit Marius Haas en pensant très fort à Cisco. Le nouveau challenger de HP. Et pour marquer le coup, la firme de Palo Alto met en avant deux produits, Tipping Point AppDV (Application Digital Vaccine Service) et le E5400, une appliance télécom destinée aux PME.
Adossé à la plate-forme Tipping Point IPS du constructeur, l'AppDV renforce la sécurité des réseaux à des polices spécialement conçues pour les réseaux sociaux, une activité en hausse de 37% dans les entreprises et qui entraine une baisse de la productivité de 1,5% selon une étude Trend Micro publiée en juillet dernier. AppDV Control Access permet de filtrer les requêtes vers les principaux réseaux sociaux, de limiter la bande passante utiliser par les applications notamment Peer-to-Peer. Une fonction Digital Vaccin permet également de bloquer les tentatives d'intrusion exploitant les failles touchant les applications et les systèmes d'exploitation. Un sas virtuel bloque en outre les intrusions exploitant certaines failles tant que les patchs n'ont pas été testés ou pire n'ont pas encore été proposés par les éditeurs concernés. L'Université de Leeds exploite déjà cette solution pour protéger ses réseaux filaires et WiFi. « Nous prenons très au sérieux les problèmes de sécurité qui pourraient compromettre notre réputation. Et grâce au service Virtual Platform de Tipping Point nous pouvions bloquer les infections causées par un malware sans attendre les patchs », a témoigné le DSI de l'Université de Leeds.
[[page]]
Destinée aux petites et moyennes entreprises, l'appliance E5400 est la première incursion de HP sur le marché de la convergence réseau/télécom, chasse gardée de Cisco ou BlueCoat System. Commercialisée à partir de 8294 $, l'E5400 s'adapte aux besoins de clients avec plus ou moins de ports et fournit des services de téléphonie unifiée, de sécurité et bien sûr de réseau. Cette appliance repose sur de nombreux partenaires dont Avaya Aura, Citrix Netsacaler VPX, Microsoft Lync, NetScout nGenius et Riverbed Optimization System. Toutes ces solutions sont certifiées par HP sur son E5400.
Un serveur HPC haute densité
Les serveurs n'ont pas été oubliés avec l'annonce du châssis modulaire HPC Proliant SL6500 (à partir de 900 €) qui peut accueillir jusqu'à huit serveurs lames ou seulement quatre, mais avec l'adjonction de douze cartes graphiques nVidia Quadro par rack. Les serveurs qui peuvent intégrer ce châssis haute densité sont les Proliant SL390s G7 (à partir de 1289 $) et SL170s G6 ( à partir de 1 045 $) sur base Intel Xeon 5600. Avec un châssis qui peut intégrer un POD ou une salle informatique classique, HP propose une unité capable de fournir une puissance de calcul d'un Téraflops par rack, selon Mark Potter, vice-président de l'activité serveurs chez HP. Un Proliant SL6500 équipé de 77 GPU Nvidia fournirait une puissance de calcul de 77 Téraflops précise Mark Potter. « Et à Tokyo un laboratoire de recherche a déjà configuré un serveur SL390s qui est entré dans le Top 5 des supercomputers avec une puissance de calcul de deux Pétaflops », ajoute le dirigeant qui insiste sur l'encombrement réduit de sa solution (-77% en espace occupé) et sur les économies d'énergie réalisées (-71%). Ainsi selon les calculs de HP, ce serait près de 132 K€ qui pourraient être économisés sur un an par rapport à un système traditionnel. Une estimation difficile à vérifier même si les dernières générations de processeur et la densité accrue des serveurs améliorent significativement l'épineux problème de la consommation électrique. HP précise que son châssis s'intègre parfaitement pour le cloud computing, même s'il se destine avant tout aux marchés du calcul (finance, géologie...) et de la recherche scientifique.
Le châssis du Proliant SL 6500, à partir de 900 € sans les serveurs.
Illustration principale : Dave Donatelli, Mark Potter, Marius Haas et Wolgang Wittmer.
(...)(04/10/2010 17:59:22)
Le cryptage des sauvegardes Blackberry compromis
Selon Elcomsoft, une faille a été découverte dans le programme de backup sur PC et Mac (BlackBerry Desktop Software) sécurisé, avec un cryptage en 256-bit AES. Il est ainsi possible de réaliser une attaque en récupérant le mot de passe et d'accèder aux archives de sauvegarde avec une relative facilité. La notion de «relative» signifie dans ce contexte, casser un mot de passe de 7 caractères composé de lettres minuscules avec deux en capitales, en une demi-heure avec un processeur Intel Core i7. Des variations plus complexes de ce mot de passe de base pourraient être cassées en trois jours en utilisant le même matériel. La société russe prétend que l'utilisation de GPU tel que la carte ATI Radeon HD5970 réduirait considérablement ce temps de recherche.
« En bref, la fonction de dérivation de clé standard, PBKDF2 [mot de passe basé sur cette fonction], est utilisée d'une manière très étrange. Lorsque Apple utilise 2000 itérations dans iOS 3.x, et 10.000 itérations dans l'iOS 4.x, BlackBerry en utilise une seule », dit Vladimir Katalov d'Elcomsoft sur son blog. Il ajoute également que le BlackBerry Dekstop Software crypte les données à partir du PC ou du Mac, mais pas depuis le smartphone lui-même. En conséquence, certaines données sont échangées sans protection.
Une promotion du logiciel maison
Si ces archives de sauvegarde varient d'un utilisateur à un autre, elles revêtent un caractère important professionnel, qui conserve beaucoup d'éléments confidentiels, comme les contacts, les email, et les paramètres de mot de passe pour la messagerie ou l'accès WiFi. Pour arriver à cette fin, il faudra se munir en plus du logiciel de la société russe, baptisé Elcomsoft Phone Password Breaker. Ce dernier coûte 199 euros pour la version professionnelle et 79 pour les particuliers. La société affirme que ce logiciel sert aussi pour les sauvegardes sur iPhone et iPod Touch.
Elcomsoft dispose d'une réputation controversée en ayant trouvé il y a quelques mois la façon de casser le protocole de sécurité des réseaux sans fil, WPA. Coïncidence, ce dernier a été mis à jour la semaine dernière.
L'Iran arrête des «espions» après les attaques de Stuxnet
Selon l'agence de presse Mehr News Agency basée à Téhéran, Heydar Moslehi, le ministre iranien de la sécurité intérieure, a déclaré que «les services espions ennemis" sont responsables de Stuxnet, un ver sophistiqué qui a infecté au moins 30 000 PC sous Windows dans le pays, dont certains situés à la centrale nucléaire de Bushehr. Le ministre a affirmé que son ministère avait mis à jour "des actions destructrices et arrogantes menées par l'Occident dans le cyber-espace", et a déclaré que des mesures défensives avaient été mises en place pour sécuriser les systèmes d'information iraniens et ses installations nucléaires.
Le ver, lancé en juin 2009, n'a été connu du public qu'un an plus tard. Il s'est fait remarqué par sa capacité à infiltrer les réseaux et à flairer les systèmes Scada de contrôle industriel. Stuxnet, qualifié de "révolutionnaire" par les experts, est notamment capable de reprogrammer les contrôleurs matériels qui surveillent et gèrent les machines dans les usines, les centrales électriques, les pipelines et les installations militaires. De nombreux chercheurs ont conclu que, étant donnée sa complexité et sa cible, Stuxnet avait été réalisé par un groupe de pirates soutenus par un pays. Pour eux, le nombre élevé d'ordinateurs infectés en Iran laisse entendre que ce sont les infrastructures de ce pays, et peut-être ses installations nucléaires, qui ont été visées.
La semaine dernière, les analystes en sécurité de Symantec ont déclaré que le code Stuxnet comprenait des références à l'exécution en 1979 d'un éminent homme d'affaires juif iranien. "La référence pointant vers Israël comme étant à l'origine de Stuxnet peut aussi faire partie de la stratégie des assaillants," a ajouté Symantec. Heydar Moslehi n'a pas dit combien de personnes avaient été arrêtées, ni indiqué le nom des services de renseignement qu'il croit être derrière Stuxnet. "Je tiens à rassurer tous les citoyens que les services de renseignement ont actuellement une maîtrise totale du cyber-espace et ne permettront aucune fuite ni la destruction des activités nucléaires de notre pays", a t-il déclaré.
Illustration : Centrale nucléaire iranienne de Bushehr, crédit D.R.
(...)(04/10/2010 14:45:50)Zeus, un Trojan prévu pour durer ?
Il existe une communauté qui développe Zeus et le soutient, considère Eric Skinner, directeur technique d'Entrust. « Il n'y a pas qu'une seule personne à éliminer. Si quelqu'un cesse de le mettre à jour, un autre s'attellera à la tâche. » Ce n'est pas aussi simple que de fermer une société d'édition de logiciels, signant ainsi l'arrêt immédiat du développement d'un programme, souligne-t-il.
Cela résume assez bien la principale force de Zeus, que les experts s'accordent à ranger comme un des plus grands frameworks malveillants existant aujourd'hui. Il est disponible, abordable, fonctionne et son développement le rend modifiable facilement. Les créateurs de ce logiciel ont réussi à échapper aux autorités en se cachant derrière des prises de contrôle de serveurs, de fournisseurs d'accès à Internet, des bureaux enregistrement de domaine partout dans le monde. « Même si nous appliquons la loi, nous ne pouvons pas toujours les atteindre », déclare Pedro Bueno, chercheur sur les malware auprès de McAfee Labs. « Il faut plusieurs étapes pour les approcher, mais dès que nous sommes sur leurs traces, il est très difficile d'obtenir leur localisation exacte », ajoute-t-il.
Le cheval de Troie Zeus vole les noms d'utilisateurs et mots de passe des PC fonctionnant sous Windows. Les criminels peuvent ainsi s'en servir pour transférer illégalement de l'argent depuis les comptes des victimes. Un petit groupe d'Europe de l'Est est considéré comme le responsable en charge de créer une version évoluée de cette plate-forme, qui existe depuis 2007.
Transformation et adaptation
Par exemple, des chercheurs ont récemment découvert un dispositif qui contrecarre les dispositifs du système bancaire pour éviter ces tentatives de récupération des données bancaires. Après une connexion à sa banque, l'utilisateur reçoit un SMS avec un code valable une fois pour accéder à son compte. A travers cette double authentification, il est plus difficile pour les criminels de pénétrer dans les comptes, mais les développeurs de Zeus ont trouvé un moyen. Le trojan, qui a infecté le mobile, récupère ce code à usage unique et l'envoie à un serveur de contrôle, à partir duquel les criminels s'introduisent dans les comptes, explique Derek Manky, gestionnaire de projet pour la cyber-sécurité et la recherche sur les menaces chez Fortinet. « Il s'agit d'une amélioration », souligne-t-il.
Crédit Photo: D.R (...)(01/10/2010 11:32:23)
Bruxelles milite pour une coopération sur la cybercriminalité
« Il est temps que nous redoublions d'efforts contre la cybercriminalité, à laquelle recourt souvent aussi le crime organisé » souligne Cecilia Malmström, commissaire chargée des affaires intérieures. Avec Neely Kroes vice‑présidente de la Commission chargée de la stratégie numérique, elle a annoncé une proposition de directive sur les mesures contre les différentes formes de cybercriminalité, notamment les cyber-attaques à grande échelle, complétée par une proposition de règlement destinée à renforcer et à moderniser l'agence européenne chargée de la sécurité des réseaux et de l'information (ENISA).
Sur la directive, les auteurs de cyber-attaques et les producteurs de logiciels malveillants pourront être poursuivis et risqueront des sanctions pénales plus lourdes. Elle prévoit aussi la création d'un système de recensement et de localisation des cyberattaques. Le règlement portera lui sur le renforcement et la modernisation de l'Agence européenne chargée de la sécurité des réseaux et de l'information (ENISA), créée en 2004. Elle pourra notamment faire participer des États membres et des partenaires privés à des activités conjointes en Europe, notamment des exercices de cybersécurité, des campagnes de sensibilisation et des partenariats public‑privé pour des travaux sur la résilience des réseaux, des analyses économiques et une évaluation des risques. Par ailleurs, le mandat de l'ENISA qui se termine en 2012 sera prolongé de 5 ans.
Par ces différentes annonces, la Commission entend reprendre la main sur un sujet d'actualité. A l'heure où les attaques sont de plus en plus sophistiquées et ne sont plus le simple fait de pirates plus ou moins organisés, mais aussi des Etats qui font des cyberattaques une arme offensive. L'Europe ne peut rester inactive sur ces sujets au risque d'être très rapidement dépassée.
Le marché des appliances de sécurité dynamisé au 2eme trimestre 2010
C'est une triple bonne nouvelle. D'abord, ce marché retrouve une croissance à deux chiffres. Ensuite, cette croissance à deux chiffres se retrouve en valeur comme en volume. Enfin, la progression se fait dans tous les segments des appliances de sécurité, et non pas uniquement dans les UTM et la gestion de contenus, les plus dynamiques. Le segment des UTM représente la plus grande partie de ce marché avec 129,5 millions de dollars de chiffre d'affaires sur le deuxième trimestre. En progression de 22,7% par rapport au même trimestre de l'année précédente. Surprise : Fortinet a pris la 1ère place, suivi de Cisco et Juniper.
Derrière, se situe le segment des pare-feu avec 97,41 millions de dollars, en hausse de 16,1%. Il avait connu une croissance lente les précédents trimestres, ce marché étant à maturité. Le second trimestre 2010 a connu une accélération due aux pare-feu haut de gamme. Cisco reste n°1, suivi de Juniper et de Check Point.
Gestion de contenus : le plus dynamique
La gestion des contenus est le troisième segment, avec 97 millions de dollars, mais le premier en dynamisme avec 39,2% de progression. McAfee (racheté depuis par Intel) a pris la 1ère place, Cisco devenant deuxième. Cisco avait la plus grande part de marché dans la sous-catégorie de messagerie, avec McAfee leader de la sécurité web et du sous-segment WAM (web access management) note IDC.
Quatrième segment, celui des IPS (Intrusion preventive system), avec 65,5 millions de dollars et 5,5% de hausse. C'est le segment le plus touché par la crise. Cisco est n°1 de ce segment, suivi d'IBM-ISS et de TippingPoint (HP). Pour sa part, le marché du VPN atteint 52,9 millions de dollars, en hausse de 13,2%. IDC lui accorde un fort potentiel de hausse, du fait d'un nombre sans cesse croissant de travailleurs nomades. Juniper est premier sur ce segment, suivi de Cisco et de CheckPoint.
Globalement, dans le top 5, tout le monde progresse, les quatre premiers de manière évidente, le cinquième plus modérément. Le premier reste largement devant ses suivants. Cisco détient 24,2% de parts de marché (30,7% de progression), Juniper obtient 8,3% des parts (36 ,8% de progression), McAfee 8,1% (44,1% de progression), Check Point 6,5% de parts (63,6% de progression), Fortinet 4,4% du marché (7,7% de progression).
Le FBI à la recherche du pirate du ver « Here You Have »
Des représentants du FBI de l'antenne de Miami ont discuté avec nos confrères d'IDG NS sur la piste de celui qui ce cache derrière le ver « here you have ». Un hacker utilisant le nom de « Iraq Resistance » a échangé un certain nombre d'e-mails avec IDG NS au cours des deux dernières semaines après l'incident. Le ver a particulièrement touché l'Amérique du Nord, en bloquant les messageries de grandes organisations telles que Disney, Proctor & Gamble et la NASA. A ce jour, il représentait entre 6 et 14% de tous les spams, selon Cisco Systems.
« Iraq Resistance » n'a jamais révélé son (ou ses) identité, mais il ya quelques indices. Son profil YouTube le localise en Espagne, mais pour Joe Stewart chercheur chez SecureWorks qui a analysé le ver, il estime que sous ce pseudo se cache un hacker libyen qui a tenté d'obtenir l'appui d'un groupe de cyber-Jihad appelé Tariq ibn Ziyad. L'objectif affiché du groupe est de s'introduire dans les systèmes de l'armée américaine.
Le jeu du chat et de la souris
Une analyse des adresses IP dans les messages de « Iraq Resistance » montre qu'il a utilisé le réseau mobile appartenant à Hutchison 3G au Royaume-Uni, ainsi qu'un proxy exploité par le navigateur Opera Mini. Cela ne signifie pas que le pirate soit au Royaume-Uni. Car, il peut avoir piraté un ordinateur via le réseau mobile 3 ou tout simplement acheté une carte Sim utilisé quand il était au Royaume-Uni. En effet, il a indiqué dans un message adressé jeudi « je peux apparaître où je veux et il est très difficile de me localiser. Vous devez savoir que les pirates peuvent utiliser beaucoup de proxys ou d'ordinateurs contrôlés pour envoyer des messages.»
Après avoir eu connaissance des soupçons sur la localisation de son adresse IP en Grande-Bretage, le hacker a envoyé un e-mail d'une autre adresse, celle-ci appartenant à un prestataire de services aux États-Unis, Placentia Reliable Web. Cette adresse IP a été associée à des scripts malveillants, selon Honeypot project, indiquant qu'il est probablement passé par des ordinateurs piratés. L'horodatage des messages de « Iraq Resistance » indique qu'il est dans la zone UTC + 3 (temps universel), ce qui pourrait signifier qu'il est basé en Irak, en Arabie saoudite ou en Afrique orientale. Ce n'est pas le fuseau horaire utilisé en Libye, même si Joe Stewart, de Secureworks, pense que cela est aussi modifiable. Il explique que le réseau 3 a été associé à un programme cheval de Troie pour installer un Backdoor et distribuer ainsi le ver, mais il doute que le pirate soit situé au Royaume-Uni, qui a signé des traités d'extradition avec les États-Unis. « Cela serait risqué pour lui » conclut-il.
Le programme nucléaire iranien, cible de Stuxnet ?
Le ver informatique très sophistiqué qui s'est propagé en Iran, Indonésie et Inde a été élaboré pour détruire un seul objectif: le réacteur nucléaire de Bushehr en Iran. C'est le consensus qui se dégage des experts en sécurité qui ont examiné Stuxnet. Ces dernières semaines, ils ont cassé le code de chiffrement du programme et ont observé la façon dont le ver fonctionne dans des environnements de test. Les chercheurs s'accordent sur le fait que Stuxnet a été conçu par un attaquant très sophistiqué - peut-être un État - et il a été imaginé pour détruire quelque chose de grand.
Bien que son développement date d'un an, Stuxnet a été découvert en juillet 2010, dans des ordinateurs appartenant à un client iranien vendus par une entreprise Biélorusse de sécurité. Dès lors, il a fait l'objet d'étude par des chercheurs en sécurité attirés par la sophistication de l'attaque. Maintenant, après des mois de spéculation, quelques-uns des chercheurs qui connaissent mieux Stuxnet, pensent connaître la cible du ver. La semaine dernière, Ralph Langner, un expert très respecté sur la sécurité des systèmes industriels, a publié une analyse du logiciel, qui vise les systèmes logiciels Siemens. Il a suggéré lui aussi la même cible finale.
Les experts avaient d'abord pensé que Stuxnet avait été écrit pour voler des secrets industriels - des formules qui ont pu être utilisés pour construire des produits contrefaits. Mais Ralph Langner a trouvé quelque chose de très différent. Le ver recherche effectivement des paramètres très précis des systèmes Scada, notamment ceux de Siemens - une sorte d'empreinte digitale intégrer à un dispositif de contrôleur logique programmable (PLC) - et puis il injecte son propre code dans ce système. Le chercheur doit présenter ses conclusions lors d'une conférence de sécurité à huis clos dans le Maryland, cette semaine, qui comprendra également une discussion technique des ingénieurs de Siemens.
Des soupçons et un consensus
Concernant l'objectif, il semble que l'usine iranienne d'enrichissement d'uranium ait subi quelques ralentissements, quelques semaines après la naissance officielle de Stuxnet. Par ailleurs des photos montrent, que cette centrale était équipée de système Siemens. Ralph Langner pense qu'il est possible que Bushehr pourrait avoir été infecté par l'entrepreneur russe qui est en train de construire l'installation, JSC Atomstroyexport. Récemment ce dernier avait vu son site Web piraté et certaines de ses pages web sont toujours bloquées par les logiciels de sécurité, car ils sont connus pour héberger des logiciels malveillants. Ce n'est pas un signe rassurant pour une société s'occupant d'intérêts nucléaires.
De son côté, Eric Byres, un expert en sécurité de systèmes industriels a suivi Stuxnet depuis qu'il a été découvert. Au début, il le pensait conçu pour espionnage, mais après avoir lu l'analyse de Ralph Langner, il a changé d'avis. Une des éléments importants trouvés est que Stuxnet identifie enfin sa cible, il apporte des modifications à un morceau de code que Siemens appelle « Organisational Block 35 ». Cette composante surveille les opérations critiques d'une usine - qui ont besoin d'un temps de réponse de 100 millisecondes. En modifiant ce bloc, le ver peut facilement bloquer des centrifugeuses d'une usine de retraitement, mais elle pourrait être utilisée pour frapper d'autres cibles, explique Eric Byres et d'ajouter « la seule chose que je peux dire, c'est que c'est quelque chose conçu pour détruire ».
La création de Stuxnet a engendré quatre attaques de type zero-day et un système de communications peer-to-peer, compromettant les certificats numériques appartenant à Realtek Semiconductor et JMicron Technology. Il dispose d'une connaissance approfondie des systèmes industriels et ne correspond pas au travail d'un hacker lambda. L'année dernière, des rumeurs ont estimé qu'Israël pourrait engager une cyber-attaque contre les installations nucléaires de l'Iran.
Les représentants du gouvernement iranien n'ont pas commenté ces différentes informations, mais des sources au sein du pays disent que l'Iran a été durement touché par le ver. Lors de sa découverte, 60% des ordinateurs infectés par Stuxnet étaient situés en Iran, selon Symantec. Nonobstant, Ralph Langner prévient « le problème n'est plus Stuxnet qui est de l'histoire ancienne. Le problème, c'est la prochaine génération de logiciels malveillants qui vont en découler ».
Illustration: Centrale de Bushehr en Iran
Crédit Photo: D.R
(...)| < Les 10 documents précédents | Les 10 documents suivants > |