Si vous souhaitez recevoir toute l'information "Mot Clé" de notre feed RSS,Inscrivez-vous

718 documents trouvés, affichage des résultats 61 à 70.

< Les 10 documents précédents

Les 10 documents suivants >

(04/01/2012 12:26:03)

Piratage de Stratfor par Anonymous : 160 000 mots de passe décodés

À l'Utah Valley University, 120 ordinateurs s'emploient actuellement à décoder les mots de passe cryptés, révélés à la suite du piratage de la société de sécurité Stratfor Global Intelligence au moment de Noël. Cette intrusion avait entrainé l'une des plus importantes violations de données de l'année 2011, les pirates, soupçonnés d'être affiliés à Anonymous, ayant publié les noms, adresses email, numéros de carte de crédit et mots de passe cryptés de toutes les personnes enregistrées auprès de Stratfor. Après le piratage, les chercheurs l'Utah ont mis en route un programme pour voir quels types de mots de passe avaient été utilisés par les personnes inscrites au think tank, dont le siège est situé à Austin, Texas, et si ceux étaient suffisamment compliqués pour déjouer les hackers les plus déterminés.

Le vol de données est important, compte tenu de la clientèle haut de gamme de Stratfor. Le think tank compte parmi ses membres beaucoup de gradés de l'armée américaine, des personnels des administrations, dont certains appartiennent au Département d'État américain, travaillent pour des banques internationales, dont Bank of America et JP Morgan Chase, ou pour des géants de la technologie comme IBM et Microsoft. Si les cybercriminels ont eu peu de temps pour profiter des données bancaires des affiliés, sans compter que certaines informations n'étaient sans doute plus à jour, les adresses e-mail et mots de passe cryptés sont beaucoup plus précieux sur le long terme pour les pays qui cherchent à infiltrer les administrations. « Les centaines de milliers d'adresses email rendues publiques permettent de cibler les titulaires de ces comptes avec un logiciel malveillant, » a déclaré Kevin Young, directeur informatique et professeur-adjoint qui enseigne la sécurité de l'information à l'Utah Valley University.

Une puissance de calcul modeste pour cet exercice

Selon l'enseignant-chercheur, la deuxième menace majeure résultant du piratage de Stratfor concerne les mots de passe. « Combien de mots de passe étaient assez simples et faciles à décoder, » a-t-il ajouté. C'est un danger important, parce qu'il est probable que certaines personnes réutilisent le même mot de passe pour se connecter à d'autres systèmes, et certains peuvent donner accès à des informations sensibles. Plutôt que de stocker les mots de passe en texte clair, une méthode considérée comme dangereuse, Stratfor a enregistré un équivalent crypté des mots de passe de ses adhérents, connu sous le terme de hash MD5. En matière de sécurité, cette pratique est généralement considérée comme intelligente. Avec ses 120 ordinateurs, Kevin Young a voulu tester la difficulté du décodage du hash MD5 des mots de passe disséminés par les pirates. Avec une puissance de calcul modeste et des programmes spécialisés dans le cassage de mots de passe, il a réussi à décoder un grand nombre de hash MD5 et retrouver de nombreux mots de passe originaux. Plus la séquence est courte et simple, plus le mot de passe est rapide à retrouver.

Avec cette méthode, Kevin Young affirme être parvenu à décoder plus de 160 000 mots de passe de Stratfor, dont un certain nombre appartenant à des militaires du corps des Marines américain, qui «devraient normalement être plus vigilants. » L'universitaire n'a pas l'intention de rendre publics ces mots de passe « pour des raisons éthiques, » mais il compte les utiliser dans le cadre d'une étude sur la manière dont les gens choisissent leurs mots de passe et pour tester la résistance de ces séquences aux tentatives de crack. Au regard des outils utilisés par Kevin Young, on voit à quel point il est important de choisir des mots de passe complexes, des séquences comprenant au moins 8 ou 9 caractères, mélangeant majuscules et minuscules avec des chiffres et même de la ponctuation.

[[page]]

Pour casser les mots de passe cryptés, le chercheur a utilisé l'application bien connue « John the Ripper », qui tourne sur un PC ordinaire, et « oclhashcat », un programme qui permet d'utiliser la vitesse de calcul des processeurs graphiques. « Comparativement, John the Ripper est capable de générer environ 8 à 10 milliards de mots de passe par seconde, tandis que oclhashcat, avec la puissance du processeur graphique, peut produire jusqu'à 62 milliards de combinaisons par seconde, » a-t-il précisé. Les deux applications calculent un hash MD5 à partir d'une liste de mots. La personne qui cherche à déchiffrer le mot de passe définit elle-même les permutations.

Kevin Young a également utilisé des listes de mots de passe divulguées à l'occasion d'autres violations de données, comme celle de Sony (17 000 mots de passe divulgués), RockYou (14 millions de mots de passe), phpBB (278 000) et MySpace (36 000). Les listes de mots de passe sont très utiles, car la probabilité que les gens aient déjà choisi les plus faciles est assez bonne. De ce point de vue, les données de Stratfor n'ont pas été décevantes : l'universitaire a révélé que beaucoup de mots de passe étaient déjà sur les listes de données récupérées de précédentes violations, comme «jasper10», «swordfish» et « green101 ».

L'universitaire est conscient que son équipe, qui dispose d'un tout petit budget, pourra trouver les mots de passe de 8 caractères maximum. Pour aller au-delà, il lui faudrait plus de puissance informatique : « pour calculer toutes les combinaisons possibles d'un mot de passe de 10 caractères en minuscules commençant par la lettre A, il faudrait traiter quelque 2,2 To de données, » a expliqué Kevin Young. Les gouvernements peuvent facilement disposer de beaucoup plus de puissance informatique. « 120 ordinateurs, ce n'est rien, comparés aux attaques que pourraient mener la NSA, la Chine ou la Corée du Nord aujourd'hui.»

(...)

(03/01/2012 14:26:06)

Stuxnet et Duqu, deux arbres qui cachent une vaste forêt

Selon une enquête approfondie menée par Alexander Gotsev et Igor Soumenko, chercheurs chez Kaspersky Lab, le ver Stuxnet a été développé à partir d'une plateforme utilisée dès 2007 pour créer une famille de malwares spécialisés, véritables armes destinées à mener des cyberattaques. Selon eux, c'est aussi le cas du ver Duqu récemment découvert. Dans leur analyse, les chercheurs de Kaspersky détaillent les preuves montrant que les deux morceaux de logiciels malveillants ont été créés à partir d'un même noyau qu'ils appellent « tilded » (un nom inspiré par l'usage, assez répandu chez les programmeurs, du tilde et du d (~ d) au début des noms de fichiers).

Les éléments mis en avant pour démontrer le lien entre Stuxnet et Duqu semblent irréfutables. Ils avaient d'ailleurs été en partie déjà évoqués par l'entreprise de sécurité. Les deux vers sortiraient donc du même moule : les programmes présentent notamment des portions de code réparties de façon identique et exerçant des fonctions similaires. De plus, alors qu'ils analysaient le fichier d'un pilote découvert récemment sur un PC d'origine chinoise infecté par le malware Duqu, les chercheurs se sont rendus compte que ce pilote avait tout l'air d'être une version modifiée d'un fichier de pilote utilisé par Stuxnet. La version modifiée utilisait le même certificat et affichait les mêmes date et heure de signature. Ce qui, pour les chercheurs, corrobore le fait que les deux morceaux de logiciels malveillants partagent probablement des origines communes.

Des caractéristiques similaires

En explorant la base de données de l'entreprise qui répertorie les malwares connus, l'équipe a trouvé sept autres pilotes ayant des caractéristiques similaires, dont trois - rndismpc.sys, rtniczw.sys et jmidebs.sys - qu'il n'est pas encore possible d'associer à des logiciels malveillants. Ces fichiers ne peuvent pas interagir avec les versions connues de Stuxnet, si bien que les chercheurs émettent l'hypothèse que, soit ces pilotes étaient liés à une version antérieure de Duqu, soit ce sont des fragments de code appartenant à des malwares non identifiés, mais créés par la même équipe. « Entre 2007 et 2011, il y a eu un certain nombre de projets impliquant des programmes basés sur la plateforme « tilded ». Stuxnet et Duqu en sont deux émanations. Il pourrait y en avoir eu d'autres qui, pour l'instant, ne sont pas connus, » écrit Alexander Gotsev de Kaspersky Lab.

La preuve avancée par l'équipe de chercheur ne permet pas d'apporter une réponse certaine, mais la relation circonstancielle mise en évidence entre Stuxnet et Duqu semble maintenant plus que probable. Ce qui contredit les sceptiques qui considèrent que le lien entre les deux vers est surestimé et répond à une tendance à la mode qui consiste à associer ces malwares avec une conspiration géopolitique. Selon l'analyse des chercheurs de Kaspersky, ces logiciels malveillants ont été mis au point par une équipe unique il y a au moins quatre ans. L'évolution du malware suggère que ce développement est toujours actif et qu'il a touché ses cibles. « Soit leurs modes d'attaques n'ont pas encore été détectés, soit ces attaques n'ont pas encore été rendues publiques, » avancent les deux chercheurs.

Qui a conçu Stuxnet ?

La question à laquelle l'analyse ne peut pas répondre, c'est de savoir qui se trouve derrière le développement de Stuxnet - et probablement de Duqu aussi - largement considéré aujourd'hui comme le malware le plus puissant jamais découvert. Récemment, certains ont associé Stuxnet au ver Conficker découvert en 2008, mais leurs preuves sont moins convaincantes. L'opinion la plus répandue dans le domaine de la sécurité , c'est que le ver a été conçu par Israël avec l'aide des États-Unis, mais ce n'est qu'une spéculation. Certes, le programme nucléaire iranien a été la victime la plus évidente de Stuxnet, mais Israël et les États-Unis sont loin d'être les seuls pays ayant un intérêt à voir cet objectif entravé. Reste que « la plate-forme continue à se développer. Cela signifie une seule chose : il est probable que nous découvrions plusieurs versions modifiées de ces vers dans l'avenir, » concluent les chercheurs.

(...)

(30/12/2011 15:29:50)

Une faille dans le standard WPS rendrait possible les attaques par force brute

Le protocole WiFi Protected Setup (WPS) permet aux utilisateurs de ne pas entrer de clé PIN à chaque fois qu'ils veulent connecter un appareil à un réseau WiFi. Mais un défaut de conception dans la configuration du WPS pourrait faciliter la tâche à des attaquants en leur permettant de trouver plus rapidement les codes d'accès à un réseau sans fil sécurisé et de mener une attaque par force brute.

Cette vulnérabilité, identifiée par le chercheur en sécurité Stefan Viehbock, affecterait un grand nombre de routeurs et de points d'accès sans fil intégrant le protocole WPS. Créée en 2007 par la WiFi Alliance, la norme avait pour but de fournir à des utilisateurs non spécialisés une méthode simple de mettre en place des réseaux sans fil.

Un code PIN à huit chiffres

Le WPS offre plusieurs méthodes d'authentification, dont l'une consiste à appuyer simplement sur un bouton physique situé sur le routeur et une autre demande d'entrer un code PIN prédéfini, collé sur le périphérique par le fabricant. La méthode du code PIN est obligatoire pour obtenir la certification des périphériques WPS, et donc tous les appareils WPS la proposent par défaut. Mais des périphériques WPS non certifiés sont également susceptibles de proposer la méthode.

Le code PIN WPS est un numéro aléatoire à huit chiffres. Dans des circonstances normales, il faudrait 100 millions de tentatives pour casser ce code. « Cependant, certains choix de conception ont fragilisé ce cryptage, lequel peut être réduit à seulement 11 000 tentatives, » a expliqué le chercheur dans le document qu'il a publié.

Le principal problème réside dans la manière dont les appareils répondent aux tentatives infructueuses d'authentification. En effet, les réponses d'erreur retournées par le périphérique permettent de savoir si les quatre premiers ou les quatre derniers chiffres du code PIN sont corrects ou non. Ce qui réduit considérablement la complexité d'une attaque par force brute. De plus, le dernier chiffre du code PIN est un chiffre de validation pour les sept autres, ce qui rend l'opération encore plus facile.

Une mise à jour nécessaire pour les équipements

Une tentative d'authentification prend entre 0,5 et 3 secondes, si bien qu'un attaquant éventuel peut tester les 11 000 combinaisons possibles en moins de quatre heures. « En moyenne, une attaque réussira en deux fois moins de temps, » a déclaré Stefan Viehbock. Parmi les matériels vulnérables, le chercheur a identifié des appareils provenant de plusieurs fournisseurs dont Linksys, Netgear, D-Link, Buffalo, Belkin, ZyXEL, TP-Link et Technicolor. Mais il pense que d'autres matériels sont aussi concernés par le problème.

La plupart des fabricants de routeurs n'ont pas intégré de système de verrouillage après l'échec d'une authentification WPS. Lors de ses tests, Stefan Viehbock n'a identifié qu'un seul appareil de Netgear ayant une telle protection. Mais celle-ci n'était pas suffisamment forte. Celui-ci a réussi à casser la clef du routeur en menant une attaque par force brute en moins d'une journée.

La U.S. Computer Emergency Readiness Team (US-CERT) a été alertée de cette vulnérabilité début décembre et en a informé certains vendeurs. « A l'heure actuelle, la seule solution connue est de désactiver le WPS, » a déclaré l'US-CERT dans son avis consultatif.

(...)

(30/12/2011 12:42:55)

Microsoft corrige en urgence une faille ASP.NET

L'avertissement semblait critique, puisque, quelques heures après la révélation du problème, Microsoft a annoncé qu'elle livrerait « dans la journée » un correctif « hors calendrier » pour sa plate-forme ASP.NET.

Les tables de hachage sont utilisées pour stocker et retrouver des données rapidement. Elle gère l'affectation des données et les répartit à différents endroits dans la table, sur la base des résultats d'un calcul - le hachage - réalisé sur les données elles-mêmes. Idéalement, la fonction de hachage doit retourner un résultat différent pour chaque donnée fournie en entrée et calculer l'empreinte unique qui servira à l'identifier rapidement. Mais, en pratique, ça ne se passe pas tout à fait ainsi. Il arrive que « deux ou plusieurs morceaux de données différents génèrent le même hachage, » si bien que les tables doivent gérer des «collisions de hachage. »

Eviter une surcharge des serveurs web

Selon Alexander « Alech » Klink, consultant pour l'entreprise de sécurité informatique allemande n.runs, et Julian « zeri » Wälde, chercheur à l'Université technologique de Darmstadt, chaque collision ralentit le stockage et la récupération des données concernées. Et le temps qu'il faut pour gérer ces opérations augmente avec le carré du nombre d'éléments impliqués dans la collision.

Un pirate qui sait comment une application web calcule les hachages, peut envoyer un lot de données qui auront pour effet de générer beaucoup de collisions. « Avec une requête HTTP unique, il peut épuiser le temps processeur,» ont mis en garde les deux chercheurs mercredi dans leur avis consultatif. « Le PHP 5, Java et ASP.NET sont tous vulnérables à ce type d'attaque, » ont ajouté les deux chercheurs qui se sont exprimés lors du Chaos Communication Congress de Berlin (du 27 au 30 déc 2011).

Une mise à jour hors programme Patch Tuesday

Microsoft a publié un avis de sécurité dans la journée de mercredi, reconnaissant que cette vulnérabilité dans ASP.NET pouvait permettre des attaques par déni de service. L'éditeur a également suggéré une solution de contournement. Peu de temps après, Microsoft a fait savoir qu'elle dérogerait à son calendrier de mise à jour de sécurité mensuelle, et qu'elle livrerait un patch pour corriger cette vulnérabilité dès vendredi matin.

Dans leur avis consultatif, Alexander Klink, et Julian Wälde ont indiqué que l'application Java du serveur Apache Tomcat avait déjà été corrigée « afin de limiter le nombre de paramètres dans une requête, » et empêcher l'attaquant de générer un trop grand nombre de collisions de hachage à la fois. « Une valeur par défaut de 10 000 devrait apporter une protection suffisante, » ont-ils écrit. La mise à jour est disponible pour la version 7.0.23 et à partir de la version 6.0.35 de Tomcat.

Une faille découverte en 2003

« Les développeurs d'application pour plateforme web ont depuis longtemps soulevé et mis en garde contre ce problème, » ont ajouté les deux chercheurs, « puisque l'attaque a été décrite en... 2003, » ont-ils rappelé. Dans un article de Usenix Security intitulé « Denial of Service via Algorithmic Complexity Attacks, » les auteurs Scott A. Crosby et Dan S. Wallach expliquaient comment les algorithmes de hash pouvaient être victimes de leur complexité et être utilisés pour mener des attaques par déni de service.

Cette année là, des modifications avaient été apportées à Perl pour rendre aléatoire le calcul de hachage, et empêcher le calcul des collisions à l'avance. « Des changements similaires avaient été apportés à CRuby à partir de la version 1.9, » ont-ils précisé.

(...)

(29/12/2011 17:08:36)

Les Anonymous ont dérobé des données bancaires sur SpecialForces.com

Des pirates se réclamant du collectif Anonymous ont dérobé environ 14 000 mots de passe utilisateurs et 8 000 numéros de cartes de crédit sur le site SpecialForces.com, spécialisé dans la fourniture d'équipements aux militaires et aux forces de Police. Cette intrusion s'est produite il y a plusieurs mois, selon les Anonymous, mais le groupe vient seulement de revendiquer cette action (SpecialForces.com,). La liste de mots de passe dérobée aurait été mise en ligne il y a quelques semaines.

Un compte Twitter associé à un membre d'Anonymous a posté une capture d'écran d'un e-mail de SpecialForces.com datée du 15 décembre pour prouver l'intrusion. Le prétendu email de SpecialForces.com confirme que les pirates ont bien obtenu les noms d'utilisateurs, les mots de passe et les informations cryptées concernant les cartes de crédit des clients du site. L'e-mail informe les clients que tous les mots de passe ont été bloqués par mesure de sécurité pour empêcher l'utilisation abusive des comptes utilisateurs. SpecialForces.com était indisponible pour commenter cette intrusion. La motivation des membres d'Anonymous repose apparemment sur le fait que les clients du site SpecialForces.com sont en grande partie des militaires et des policiers.

« L'attaque contre SpecialForces.com fait partie d'une vaste campagne de piratage anonyme appelé LulzXmas. Cette campagne comprend la récente attaque contre Stratfor Global Intelligence, une société spécialisée dans les questions de sécurité et d'intelligence économique. Lors de cette-ci, Anonymous a été en mesure d'obtenir plus de 53 000 adresses email de clients ainsi que les numéros de cartes de crédit et d'autres informations personnelles. L'activité du site Stratfor est en berne  depuis l'attaque réalisée le week-end de Noël. Les Anonymous décrivent LulzXmas comme une campagne de piratage d'une semaine ciblant des sites liés à la finance internationale, l'armée et les gouvernements.

(...)

(29/12/2011 10:17:48)

Une faille GSM facilite les écoutes illégales de mobiles

L'Allemand T-Mobile et le Français SFR seraient les deux opérateurs disposant des réseaux les plus sécurisés face au risque d'écoutes illégales, selon une étude portant sur plus de trente opérateurs, réalisée par l'ingénieur allemand Karsten Nohl (Security Research Labs). Ce dernier explique que la majorité des réseaux demeurent vulnérables, et a pu espionner les communications d'abonnés mobiles dans plus d'une dizaine de pays. Selon lui, une faille dans la norme GSM - l'encryptage plus précisément - pourrait permettre à des personnes mal intentionnées de prendre le contrôle de lignes à distance.

(...)

(29/12/2011 10:10:30)

Facebook, la porte d'entrée préférée des pirates

Facebook est devenu le réseau social préféré des pirates, qui n'hésitent pas à spammer les membres pour les orienter vers les sites ou les applications de leur choix. Cette arnaque peut prendre différentes formes sur les profils des victimes avant de proliférer à la vitesse grand V, comme le détaille une étude publiée le 28 décembre par Commtouch. Chaque jour, Facebook bloque 220 millions de messages contenant des liens suspects.

(...)

(27/12/2011 17:15:22)

Après l'attaque des Anonymous, Stratfor dément le vol d'infos critiques

Les dégâts occasionnés par l'effraction réalisée contre le groupe de sécurité et de conseil en intelligence économique Stratfor semblent avoir été gonflés par les auteurs de l'agression, le collectif anonyme connu sous le nom d'Anonymous. Ces derniers ont en effet clamé qu'ils avaient accédé aux ordinateurs de Stratfor et dérobé des milliers de numéros de carte de crédit et autres informations personnelles. Ils ont également affirmé avoir consulté la liste des clients confidentiels de l'entreprise. Cette liste contient des informations sensibles sur certaines sociétés prestigieuses telles qu'Apple et l'U.S. Air Force.

Toutefois, Stratfor dément que les Anonymous aient pu accéder aux bijoux de famille de la compagnie.«Contrairement à cette affirmation, la divulgation concernait simplement la liste de certains des membres qui ont acheté nos publications et ne comportait pas la liste des personnes ou des entités qui ont une relation avec Stratfor autre que l'achat de nos publications sur abonnement », soutient l'entreprise dans un email à ses membres en date du 25 décembre. Stratfor a ajouté qu'elle allait recourir à un service spécialisé dans la prévention de l'usurpation d'identité pour aider ses clients touchés par le vol de données. De plus amples détails sur ces services seront remis aux clients concernés plus tard cette semaine, ajoute-t-elle.

Une action totalement inutile ?

Depuis lundi matin, le site de Stratfor est inaccessible. Les curieux sont accueillis par un écran « site actuellement en travaux ». Ce qui ne fait pas très sérieux pour une entreprise spécialisée dans la sécurité. Jusqu'à présent, deux listes avec les coordonnées de cartes de crédit ont été publiées sur Internet par les membres d'Anonymous, l'une contenant 3 956 numéros, l'autre 13 191. Certains de ces numéros ont apparemment été utilisés pour donner de grosses sommes d'argent à des organisations caritatives comme la Croix-Rouge américaine et CARE.

Alors que pour certains, les Anonymous semblent agir comme des Robin des Bois des temps modernes, il n'est pas certain que cette action d'éclat - avec les cartes de crédit d'autrui - serve à quelque chose. « Ces dons n'iront jamais à ceux qui sont dans le besoin», écrit le gourou de la sécurité de F-Secure, Mikko Hypponen. «En fait, ces actions vont simplement embarrasser les organismes de bienfaisance, et non pas les aider. (...) Lorsque les propriétaires de ces cartes de crédit vont découvrir les dépenses non autorisées sur leurs cartes, ils vont les signaler à leur banque ou à leur compagnie de cartes de crédit », explique-t-il. «Les compagnies de cartes de crédit vont ensuite rejeter le débit aux organismes de bienfaisance, qui devront rendre l'argent. Dans certains cas, les organisations caritatives pourraient même être frappées de sanctions. À tout le moins, ils vont perdre du temps et de l'argent lors de ces opérations de rétrofacturation».

Une attaque menée par un groupe dissident des Anonymous

L'attaque des Anonymous contre Stratfor reste toutefois obscure puisqu'un message publié sur Internet indique que le collectif n'est pas responsable de l'action. Dans un «Communiqué de presse urgent de Noël » publié sur Pastebin.com, les Anonymous précisent que l'incursion contre Stratfor a été revendiquée par des auteurs qui prétendent représenter le collectif. Ils affirment que Stratfor a été indûment associé à un autre groupe de sécurité privé, HBGary Federal, accusé de remplir des missions abjectes pour le compte des militaires. Un cyberassaut contre HBGary Federal, un peu plus tôt cette année, avait entraîné la démission de son PDG, Aaron Barr. « Sabu et son équipe ne sont rien de plus que des putains d'opportunistes qui souhaitent attirer l'attention et sont probablement des agents provocateurs», ont-ils ajouté, se référant à un membre bien connu des Anonymous, qui semble être entré en dissidence au regard de ses derniers tweets. « Comme source d'informations, le travail de Stratfor est protégé par la liberté de la presse, un principe auquel ne déroge pas les Anonymous », ajoute encore le collectif canal historique.

(...)

(27/12/2011 15:46:41)

Plus de cyberattaques, et des malwares toujours plus sophistiqués en 2012

En 2012, l'industrie de la sécurité prévoit une hausse des cyberattaques, mais aussi l'arrivée de logiciels malveillants de plus en plus sophistiqués pour mener des opérations d'espionnage informatique. Les deux dernières années ont été marquées par l'augmentation brutale du nombre de cyberattaques. Celles-ci ont utilisé comme vecteurs des logiciels malveillants qui ont permis aux pirates de s'introduire dans les systèmes informatiques d'agences gouvernementales, de sociétés liées à la défense nationale, d'entreprises classées au Fortune 500, d'associations de défense des droits de l'homme et autres institutions, pour y voler des données sensibles. « Je suis absolument convaincu que cette tendance va se poursuivre en 2012 et au-delà, » a déclaré Rik Ferguson, directeur de recherche sur la sécurité et la communication chez Trend Micro. « Cela fait plusieurs siècles que les activités d'espionnage profitent des technologies de pointe pour effectuer des opérations secrètes. Cette forme d'espionnage, qui tire profit de l'Internet, n'a pas commencé en 2011, et ne va pas prendre fin en 2012, » a-t-il ajouté.

Des menaces, comme le ver Stuxnet, qui a infligé un retard de plusieurs années au programme nucléaire iranien, ou son successeur, Duqu, ont surpris l'industrie de la sécurité par leur niveau de sophistication. Selon ces mêmes experts, ce ne sont que des précurseurs, et ils s'attendent à d'autres malware encore plus sophistiqués en 2012. « La probabilité de voir d'autres menaces de ce type dans un proche avenir est élevée, » a déclaré Gerry Egan, directeur spécialisé dans les réponses en sécurité, chez Symantec. « Duqu a été utilisé pour voler des documents importants à des entreprises qui fabriquent des systèmes de contrôle industriel, ce qui laisse craindre de futures opérations de sabotage industriel, à l'image de ce qu'a réalisé Stuxnet, » a expliqué le responsable de Symantec. « Il est très probable que de nouvelles variantes de Duqu vont provoquer des dommages début 2012, » a aussi déclaré Jeff Hudson, PDG de Venafi, un vendeur de solutions de cryptage et de gestion de certificats pour les entreprises. « Nous devons nous mettre en état d'alerte pour protéger nos actifs et mieux nous préparer pour résister à ces menaces. »

Vers un état de cyberguerre froide

Cependant, malgré Stuxnet et Duqu, les experts en sécurité ne croient pas que le monde soit attentif à la cyberguerre qui se déroule sur les réseaux. « Pour qu'une contre-offensive soit qualifiée de « guerre », il faut un état de conflit déclaré. Or, de mémoire, cela n'a jamais été le cas pour une cyberguerre, » a déclaré le professeur John Walker, membre du Conseil consultatif sur la sécurité à l'ISACA, une entreprise de certification des professionnels de l'informatique. « Cependant, si nous devions considérer la question sous l'angle des « cyberconflits », alors cela serait très différent. Car il s'agit bien là d'un déploiement offensif de capacités dans une forme ou une autre en appui à un objectif politique ou militaire », a-t-il ajouté. Des pays comme les États-Unis, le Royaume-Uni, l'Allemagne, la France, la Chine et l'Inde ont formé des équipes spécialisées et crée des centres d'opérations dont l'objectif est de défendre le gouvernement contre les cyberattaques et de riposter, si nécessaire. Toutefois, la plupart du temps, il est quasiment impossible de déterminer avec certitude quel pays mène, par Internet interposé, des opérations hostiles et ce n'est pas le seul problème. « Tous les pays sont confrontés à la question des représailles, » a déclaré Gerry Egan par courriel. « Si un acte flagrant de cyberguerre a lieu, comment peut-on riposter contre le pays d'où est partie l'attaque et dans quelle mesure ? Qu'est-ce qu'une réponse proportionnelle ? »

Des attaques comme Stuxnet et Duqu pourraient très bien déboucher sur de grands cyberconflits dans le futur, mais pour l'instant les entreprises et les gouvernements devraient se préoccuper davantage du cyberespionnage, qui utilise souvent pour ses attaques de simples outils d'exfiltration des données. Ces bouts de malwares simplistes, mais efficaces, connus dans l'industrie de la sécurité sous le terme de menaces persistantes avancées (APT), sont généralement répandus à l'aide d'outils d'ingénierie sociale. Opération Aurora, Shady RAT, GhostNet, Night Dragon et Nitro : toutes sont des attaques APT lancées au cours des deux dernières années. Elles ont affecté des centaines d'entreprises dans le monde entier. Et le nombre d'attaques APT devrait grimper en flèche en 2012. Pour se défendre contre ces attaques, il faut d'une part former régulièrement les salariés à ces risques, mais aussi des technologies de protection plus agressives, comme celles basées sur les listes blanches, sur le File Reputation pour la détection antivirale proactive ou encore la surveillance du comportement des applications. « Dans beaucoup d'entreprises, l'utilisateur est encore le maillon faible de la sécurité, et c'est la raison pour laquelle c'est lui qui est ciblé en premier, » a déclaré Rik Ferguson. « La formation joue encore un rôle important dans la sécurité d'une entreprise, mais il faut une formation continue pour que cela soit efficace. »

Eduquer et responsabiliser les utilisateurs

« Jusqu'ici, nous avons beaucoup mieux réussi en corrigeant les logiciels qu'en éduquant les utilisateurs, » a déclaré Amichai Shulman, directeur technique de l'entreprise de sécurité Imperva. « Dans l'armée, j'ai passé beaucoup de temps à essayer de former des gens sur la sécurité de l'information. Cela n'a pas fonctionné dans ce contexte, et cela ne fonctionnera pas ailleurs. » Il faudrait un changement dans les paradigmes de protection. « Il faudrait aussi plus de contrôles à la source. Par exemple, autoriser ou non les applications à lire certaines informations, détecter des comportements suspects - l'accès à données sensibles à une heure inhabituelle ou de gros transferts de fichiers. C'est une partie de la solution, » a déclaré le CTO d'Imperva.

Des technologies capables de vérifier la réputation d'un fichier, sa date de création et sa popularité, avant de lui permettre d'être exécuté sur un système, peuvent également être utilisées pour bloquer les APT conçues pour échapper aux méthodes traditionnelles de détection anti-malware. « Il ne fait aucun doute que les grandes entreprises doivent être beaucoup plus conscientes des risques potentiels des programmes malveillants, » a déclaré Jeff Hudson. « Si cette question n'est pas à l'ordre du jour du conseil d'administration de votre entreprise, alors c'est une grande négligence de sa part, » a-t-il conclu.

(...)

(22/12/2011 11:57:56)

Corée du Nord : Après la bombe A, la cyber-guerre ?

Le décès de Kim Jong Il la semaine dernière, et l'installation de son fils comme successeur, risquent de créer une instabilité significative dans la région. Le jeune homme d'une vingtaine d'année n'a eu que deux ans pour se préparer à sa nouvelle fonction. Kim Jong Il, lui, avait profité de 14 années d'apprentissage avant de succéder à son père Kim Il Sung, fondateur de la Corée du Nord, et premier homme de la Grande Dynastie. Kim Jong Il avait bien pris soin de hisser son fils au grade de général quatre étoiles, mais celui-ci n'a jamais servi dans l'armée.

Et même si le jeune Kim prend le pouvoir sans avoir à lutter contre une quelconque opposition, certains pensent qu'il pourrait délibérément mener une politique répressive afin de tuer dans l'oeuf le plus infime espoir de faire émerger une sorte de «Printemps Arabe» dans son pays. Une façon d'asseoir son pouvoir et de marquer ses intentions face au monde entier, et de signifier qu'il sera tout aussi imprévisible et belliqueux que son père. Yonhap, la plus grande agence de presse sud-coréenne, a indiqué que la Corée du Sud avait placé son armée en état d'alerte très élevé. Pendant le week-end, la Korea Communications Commission (KCC) a fait grimper le degré d'alerte des réseaux au troisième niveau le plus élevé et a intensifié sa surveillance pour contrer de possibles attaques distribuées par déni de service DDoS, repérer des tentatives de piratage et autres agressions que son voisin pourrait engager par Internet interposé.

Une volonté de marquer les esprits, mais doute sur la puissance des attaques

Pour John Linkous, vice-président, et chef de la sécurité et de la conformité chez eIQnetworks, ces préparatifs laissent croire « qu'il y a « une forte probabilité » que la Corée du Nord lance des cyber attaques contre les États-Unis. » Mais, selon lui, ni le secteur privé ni les institutions gouvernementales ne sont bien préparés pour les contrer. « Côté privé, quand on voit toutes les cyber-attaques qui ont pu aboutir au cours de la dernière année, on ne peut pas estimer que les entreprises soient bien protégées, » a-t-il déclaré. Sans compter que la plupart de ces attaques ont été lancées par de petits groupes, et non par des Etats. « Côté administration, j'aimerais croire que nous sommes prêts, mais nous ne le sommes probablement pas, » a ajouté John Linkous. « Nous avons tellement d'infrastructures éparpillées aux quatre coins de la planète, que, économiquement et mathématiquement, c'est presque impossible. »

Celui-ci fait remarquer au passage que, avant qu'il ne quitte ses fonctions en août dernier, Vivek Kundra, l'ancien responsable fédéral des systèmes d'information (Chief Information Officer) dans l'administration Obama, a attribué un « B » à la cyber sécurité du gouvernement. « Les vecteurs d'attaque eux-mêmes ne sont pas si sophistiqués, mais ils n'ont pas besoin de l'être, » a-t-il expliqué. « Il faut comprendre que la Corée du Nord se perçoit comme une grande nation, un leader mondial, et veut s'affirmer de toutes les manières possibles. Et la cyber sécurité fait partie de son arsenal. ».

Mais pour Gary McGraw, directeur technique de Cigital, l'instabilité politique de la Corée du Nord ne constitue pas une menace directe. Selon lui, le pays n'a pas la capacité de lancer de cyber attaque invalidante. « Il y bien des exemples où la Corée du Nord a été accusée d'avoir commis certains actes de cyber-agression, sans beaucoup de preuves. Mais rien qui atteigne le degré d'une attaque DDoS, de toutes les façons, » a affirmé le CTO. Selon lui, « Google et Amazon ne se rendraient probablement même pas compte des attaques que pourrait mener la Corée du Nord. Et dans le cas où elles les repèreraient, les deux géants n'auraient aucune difficulté à les arrêter. » De son point de vue, il n'y a pas de doute que la cyber guerre doit être prise au sérieux. Mais certaines craintes émises à ce sujet relèvent parfois de la pure agitation. « La Corée du Nord doit affronter des problèmes intérieurs beaucoup plus sérieux. Alors, pourquoi agiter le chiffon de la cyber guerre ? », a-t-il demandé. « Nous devrions plutôt nous inquiéter de ce que le pays ne peut même pas nourrir sa propre population. »

(...)

< Les 10 documents précédents

Les 10 documents suivants >