Flux RSS

Sécurité

Si vous souhaitez recevoir toute l'information "Mot Clé" de notre feed RSS,Inscrivez-vous

2589 documents trouvés, affichage des résultats 761 à 770.

< Les 10 documents précédentsLes 10 documents suivants >


(01/10/2010 12:28:38)

Stuxnet, un ver d'origine israélienne ?

Dans un document publié aujourd'hui et présenté lors d'une conférence sur la sécurité qui se tient à Vancouver, Colombie-Britannique, un trio de chercheurs travaillant pour Symantec a avancé que Stuxnet comprenait dans son code des références à l'exécution, en 1979, d'un éminent homme d'affaires juif iranien. Le code Stuxnet contiendrait ainsi un marqueur caché constitué de la suite de chiffres "19790509". Les chercheurs Nicolas Falliere, Liam O Murchú et Eric Chen pensent que cette suite agit comme un indicateur informant Stuxnet de ne pas infecter le PC ciblé dans le cas où il serait en présence d'un marqueur identique. Mais ce n'est pas tout : ils ont émis l'hypothèse que le marqueur pourrait correspondre au 9 mai 1979.  «Plusieurs évènements historiques se sont produits le 9 mai 1979, mais c'est aussi la date à laquelle, selon Wikipedia, Habib Elghanian, un éminent homme d'affaires juif iranien, accusé d'espionnage au profit d'Israël par le tout nouveau gouvernement révolutionnaire iranien, a été passé par les armes à Téhéran par un peloton d'exécution. L'évènement avait provoqué une onde de choc dans la communauté juive iranienne," ont écrit les chercheurs.

Des indices troublants

Selon un article récent paru dans le Time Magazine, Habib Elghanian a été le premier juif iranien à être exécuté par le gouvernement révolutionnaire, qui a pris le pouvoir en janvier 1979 après la fuite du Shah d'Iran, Mohammad Reza Pahlavi. "On a dit que Habib Elghanian, qui a été reconnu coupable d'espionnage au profit d'Israël, avait réalisé de gros investissements en Israël et avait octroyé des fonds à l'armée israélienne. L'accusation a fait de lui un complice "des raids aériens meurtriers contre des Palestiniens innocents"," rapporte le Time.

Mais les trois chercheurs mettent en garde contre une conclusion trop évidente, qui amènerait à désigner Israël comme étant à l'origine de Stuxnet. "C'est une pratique commune dans le monde du piratage. Les pirates seraient ravis de mettre en cause une autre partie," ont-ils déclaré. Pour comprendre comment fonctionnait Stuxnet et savoir d'où il venait, de nombreux chercheurs, dont ceux de Symantec, de Kaspersky Lab et d'ailleurs, se sont mis à décortiquer le ver repéré en juillet et dont la réputation a été vite faite. Qualifié de malware parmi les plus sophistiqués jamais réalisé par Liam O Murchú et d'autres, Stuxnet vise les PC sous Windows chargés de superviser des systèmes d'acquisition et de contrôle des données appelés SCADA, lesquels gèrent et surveillent à peu près tout type d'installations, depuis les centrales électriques et les machines des usines jusqu'aux oléoducs et aux installations militaires.

Un ver sophistiqué

L'architecture complexe du ver et la nature de sa cible ont conduit certains à conclure que Stuxnet avait été conçu par un groupe de pirates avec le soutien d'un État. Les infections massives constatées dans les infrastructures iraniennes ont laissé entendre que le ver visait peut-être les installations nucléaires de ce pays. Le week-end dernier, les autorités iraniennes ont confirmé que des dizaines de milliers de PC avaient été infectés par Stuxnet, dont certains utilisés dans une centrale nucléaire située dans le sud-ouest  de l'Iran, et qui devait entrer en service le mois prochain.

Les chercheurs de Symantec ont également révélé une foule de détails sur Stuxnet dans leur document, comme cette "date de destruction" fixée au 24 juin 2012, après laquelle le ver deviendrait inactif.

Illustration : Utilitaire proposé par Greatis software pour éliminer le ver Stuxnet.

(...)

(01/10/2010 11:32:23)

Bruxelles milite pour une coopération sur la cybercriminalité

« Il est temps que nous redoublions d'efforts contre la cybercriminalité, à laquelle recourt souvent aussi le crime organisé » souligne Cecilia Malmström, commissaire chargée des affaires intérieures. Avec Neely Kroes vice‑présidente de la Commission chargée de la stratégie numérique, elle a annoncé une proposition de directive sur les mesures contre les différentes formes de cybercriminalité, notamment les cyber-attaques à grande échelle, complétée par une proposition de règlement destinée à renforcer et à moderniser l'agence européenne chargée de la sécurité des réseaux et de l'information (ENISA).

Sur la directive, les auteurs de cyber-attaques et les producteurs de logiciels malveillants pourront être poursuivis et risqueront des sanctions pénales plus lourdes. Elle prévoit aussi la création d'un système de recensement et de localisation des cyberattaques. Le règlement portera lui sur le renforcement et la modernisation de l'Agence européenne chargée de la sécurité des réseaux et de l'information (ENISA), créée en 2004. Elle pourra notamment faire participer des États membres et des partenaires privés à des activités conjointes en Europe, notamment des exercices de cybersécurité, des campagnes de sensibilisation et des partenariats public‑privé pour des travaux sur la résilience des réseaux, des analyses économiques et une évaluation des risques. Par ailleurs, le mandat de l'ENISA qui se termine en 2012 sera prolongé de 5 ans.

Par ces différentes annonces, la Commission entend reprendre la main sur un sujet d'actualité. A l'heure où les attaques sont de plus en plus sophistiquées et ne sont plus le simple fait de pirates plus ou moins organisés, mais aussi des Etats qui font des cyberattaques une arme offensive. L'Europe ne peut rester inactive sur ces sujets au risque d'être très rapidement dépassée.

(...)

(01/10/2010 11:16:17)

Le marché des appliances de sécurité dynamisé au 2eme trimestre 2010

C'est une triple bonne nouvelle. D'abord, ce marché retrouve une croissance à deux chiffres. Ensuite, cette croissance à deux chiffres se retrouve en valeur comme en volume. Enfin, la progression se fait dans tous les segments des appliances de sécurité, et non pas uniquement dans les UTM et la gestion de contenus, les plus dynamiques. Le segment des UTM représente la plus grande partie de ce marché avec 129,5 millions de dollars de chiffre d'affaires sur le deuxième trimestre. En progression de 22,7% par rapport au même trimestre de l'année précédente. Surprise : Fortinet a pris la 1ère place, suivi de Cisco et Juniper.

Derrière, se situe le segment des pare-feu avec  97,41 millions de dollars, en hausse de 16,1%. Il avait connu une croissance lente les précédents trimestres, ce marché étant à maturité. Le second trimestre 2010 a connu une accélération due aux pare-feu haut de gamme. Cisco reste n°1, suivi de Juniper et de Check Point.

Gestion de contenus : le plus dynamique


La gestion des contenus est le troisième segment, avec 97 millions de dollars, mais le premier en dynamisme avec 39,2% de progression. McAfee (racheté depuis par Intel) a pris la 1ère place, Cisco devenant deuxième. Cisco avait la plus grande part de marché dans la sous-catégorie de messagerie, avec McAfee leader de la sécurité web et du sous-segment WAM (web access management) note IDC.

Quatrième segment, celui des IPS (Intrusion preventive system), avec 65,5 millions de dollars et 5,5% de hausse. C'est le segment le plus touché par la crise. Cisco est n°1 de ce segment, suivi d'IBM-ISS et de TippingPoint (HP). Pour sa part, le marché du VPN atteint 52,9 millions de dollars, en hausse de 13,2%. IDC lui accorde un fort potentiel de hausse, du fait d'un nombre sans cesse croissant de travailleurs nomades. Juniper est premier sur ce segment, suivi de Cisco et de CheckPoint.

Globalement, dans le top 5, tout le monde progresse, les quatre premiers de manière évidente, le cinquième plus modérément. Le premier reste largement devant ses suivants. Cisco détient 24,2% de parts de marché (30,7% de progression), Juniper obtient 8,3% des parts (36 ,8% de progression), McAfee 8,1% (44,1% de progression), Check Point 6,5% de parts (63,6% de progression), Fortinet 4,4% du marché (7,7% de progression).

(...)

(28/09/2010 15:05:53)

Un virus sur smartphone pirate les comptes bancaires

Le cheval de Troie (Trojan) Zeus qui sévissait déjà sur le PC vient d'être identifié sur téléphone mobile. Nommé pour l'occasion Zitmo, ce virus pirate le compte bancaire du possesseur du portable, informe Fortinet, spécialisé dans la sécurité réseau, ce mardi 28 septembre.

Concrètement, ce virus se déclenche quand un internaute consulte son compte bancaire en ligne. Mot de passe et nom d'utilisateur sont récupérés par le logiciel malveillant. Ensuite, ce dernier intègre un faux formulaire dans le navigateur pour récupérer le numéro de téléphone de l'internaute.

Dans un deuxième temps, l'internaute reçoit un SMS avec un lien pour installer un "certificat", qui se révèle être le virus Zitmo. Une fois installé, les pirates peuvent accéder au compte et effectuer des transactions.

(...)

(28/09/2010 14:58:11)

Le message d'avertissement d'Hadopi publié préventivement

« Attention, votre accès à Internet a été utilisé pour commettre des faits, constatés par procès-verbal, qui peuvent constituer une infraction pénale ». Voici le début du message d'avertissement envoyé aux internautes répertoriés comme ayant téléchargé illégalement des oeuvres. Après moultes péripéties, Hadopi va donc faire partir ses premières missives avant la fin du mois de septembre.

La lettre stipule l'adresse IP, affectée au nom du FAI, ainsi que la date du manquement. Le reste du message comporte plusieurs rappels. Le premier concerne les risques en cas de persistance de l'infraction ou de non sécurisation de son accès avec, à la clé, « une contravention de négligence caractérisée ». En conséquence, « le juge judiciaire, saisi par la Hadopi, pourrait alors prononcer une suspension de cet accès ainsi que, le cas échéant, une peine d'amende ».

Hadopi a tenu à diffuser ce message pour éviter le développement de faux et d'imitations (tentatives d'hameçonnage -en anglais, phishing) pouvant demander des informations personnelles, y compris bancaires.

(...)

(27/09/2010 14:33:55)

L'Iran confirme les dégâts causés par Stuxnet : 30 000 PC touchés

Considéré par de nombreux chercheurs en sécurité comme le ver le plus sophistiqué existant, Stuxnet avait été signalé une première fois mi-juin par VirusBlokAda, une société en sécurité informatique biélorusse peu connue. Un mois plus tard, Microsoft reconnaissait que le ver ciblait des PC sous Windows et en particulier ceux qui gèrent les systèmes de contrôle des grandes industries publiques ou privées. Appelés SCADA, ces systèmes d'acquisition et de contrôle des données, gèrent à peu près tout type d'installations, depuis les centrales électriques et les machines des usines jusqu'aux oléoducs et aux installations militaires.

Selon des chercheurs américains travaillant avec l'éditeur Symantec, l'Iran a été sévèrement touchée par Stuxnet puisque près de 60% de tous les ordinateurs infectés lors de la première vague connue sont situés dans ce pays. Les experts ont accumulé les preuves selon lesquelles ce ver avait commencé à attaquer les systèmes SCADA au moins depuis le mois de janvier 2010. Entre temps, d'autres ont émis l'hypothèse que Stuxnet avait été créé par un Etat avec comme objectif le réacteur nucléaire iranien Bushehr. Situé dans le sud-ouest de l'Iran, près du golfe Persique, ce réacteur a été à l'origne des tensions avec l'Occident et les États-Unis en particulier, lesquels soupçonnent que le combustible du réacteur pourrait être retraité en plutonium enrichi pour réaliser des armes nucléaires.

Des réunions d'experts pour contrer le ver

Selon l'agence Mehr News Agency basée à Téhéran, Mahmoud Alyaie, un officiel iranien en charge des technologies au ministère iranien de l'industrie et des mines, a déclaré que 30 000 adresses IP avaient été infectées par Stuxnet. Comme plusieurs ordinateurs peuvent accéder à Internet via une adresse IP unique, le nombre total de PC infectés pourrait être bien plus important. « Un groupe de travail composé d'experts issus de plusieurs ministères du gouvernement iranien a été mis en place pour faire face à l'infection par Stuxnet, » a déclaré Mahmoud Alyaie. D'autres sources citées par l'agence de presse affirment que l'Iran a la capacité de concevoir les outils antivirus nécessaires pour détecter et détruire le ver.

Samedi, l'Associated Press (AP) faisait savoir que les experts de l'agence iranienne de l'énergie atomique s'étaient déjà réunis mardi dernier pour discuter d'une parade. Citant l'agence ISNA, également basée à Téhéran, l'AP indique qu'aucune industrie ou type d'installations n'ont été mentionnées. Mais les spéculations pointent vers le réacteur de Bushehr comme cible probable de Stuxnet. Depuis samedi, le site web de l'Agence iranienne à l'énergie atomique affiche un lien vers un long article que l'agence Mehr consacre à Stuxnet, où l'on peut lire que des responsables du gouvernement ont été informés « de dommages graves. » Bien que la centrale de Bushehr ne soit pas encore opérationnelle, des ouvriers ont commencé à charger du combustible nucléaire dans le réacteur le mois dernier. 

Qualifié de "révolutionnaire" par un expert qui en a décortiqué le code, Stuxnet utilise plusieurs vulnérabilités ou "zero-day" non corrigées de Windows et s'appuie sur des certificats numériques volés pour masquer le malware. Le code utilise un rootkit et une API qui envoie des ordres à la machine gérée par le logiciel. Microsoft qui a corrigé deux des quatre vulnérabilités "zero-day" exploitées par Stuxnet, a promis de fixer les deux autres prochainement.

(...)

(24/09/2010 16:18:13)

Le FBI à la recherche du pirate du ver « Here You Have »

Des représentants du FBI de l'antenne de Miami ont discuté avec nos confrères d'IDG NS sur la piste de celui qui ce cache derrière le ver « here you have ». Un hacker utilisant le nom de « Iraq Resistance » a échangé un certain nombre d'e-mails avec IDG NS au cours des deux dernières semaines après l'incident. Le ver a particulièrement touché l'Amérique du Nord, en bloquant les messageries de grandes organisations telles que Disney, Proctor & Gamble et la NASA. A ce jour, il représentait entre 6 et 14% de tous les spams, selon Cisco Systems.

« Iraq Resistance » n'a jamais révélé son (ou ses) identité, mais il ya quelques indices. Son profil YouTube le localise en Espagne, mais pour Joe Stewart chercheur chez SecureWorks qui a analysé le ver, il estime que sous ce pseudo se cache un hacker libyen qui a tenté d'obtenir l'appui d'un groupe de cyber-Jihad appelé Tariq ibn Ziyad. L'objectif affiché du groupe est de s'introduire dans les systèmes de l'armée américaine.

Le jeu du chat et de la souris


Une analyse des adresses IP dans les messages de « Iraq Resistance » montre qu'il a utilisé le réseau mobile appartenant à Hutchison 3G au Royaume-Uni, ainsi qu'un proxy exploité par le navigateur Opera Mini. Cela ne signifie pas que le pirate soit au Royaume-Uni. Car, il peut avoir piraté un ordinateur via le réseau mobile 3 ou tout simplement acheté une carte Sim utilisé quand il était  au Royaume-Uni. En effet, il a indiqué dans un message adressé jeudi « je peux apparaître où je veux et il est très difficile de me localiser. Vous devez savoir que les pirates peuvent utiliser beaucoup de proxys ou d'ordinateurs contrôlés pour envoyer des messages.»

Après avoir eu connaissance des soupçons sur la localisation de son adresse IP en Grande-Bretage, le hacker a envoyé un e-mail d'une autre adresse, celle-ci appartenant à un prestataire de services aux États-Unis, Placentia Reliable Web. Cette adresse IP a été associée à des scripts malveillants, selon Honeypot project, indiquant qu'il est probablement passé par des ordinateurs piratés. L'horodatage des messages de « Iraq Resistance » indique qu'il est dans la zone UTC + 3 (temps universel), ce qui pourrait signifier qu'il est basé en Irak, en Arabie saoudite ou en Afrique orientale. Ce n'est pas le fuseau horaire utilisé en Libye, même si Joe Stewart, de Secureworks, pense que cela est aussi modifiable. Il explique que le réseau 3 a été associé à un programme cheval de Troie pour installer un Backdoor et distribuer ainsi le ver, mais il doute que le pirate soit situé au Royaume-Uni, qui a signé des traités d'extradition avec les États-Unis. « Cela serait risqué pour lui » conclut-il.

(...)

(24/09/2010 11:52:39)

Les Français se sentent en sécurité sur Internet, à tort ?

De manière générale, la majorité des internautes interrogés (86%) se considère en sécurité sur Internet. Cependant ce sentiment peut varier d'une catégorie à l'autre du panel. Ainsi, ce sont les jeunes (16-24 ans) qui se sentent le plus en sécurité lorsqu'ils surfent sur la Toile (91%). Parmi les 14% restants, le sentiment d'insécurité est lié aux risques d'arnaques et de tromperies (78%) et à la surveillance du réseau ainsi qu'au non-respect de la vie privée (67%).

Certaines pratiques du Web sont perçues avec beaucoup plus de méfiance. Ils sont près de la moitié (49%) a jugé inquiétantes les pratiques de suivi (tracking), et 90% se sentent impuissants face au pistage des internautes.

Attention à la vie privée

Cette étude révèle par ailleurs une certaine méconnaissance de la part du public des notions de vie privée en ligne. Exemple, le cookie, sorte de témoin stocké sur l'ordinateur d'un utilisateur à chaque visite d'un site Web, est connu par trois quarts des internautes, mais seulement la moitié sait réellement de quoi il s'agit. Seulement 38% des internautes disent effacer régulièrement ces fichiers de leur disque dur, mais cette pratique est plus importante chez les plus gros surfeurs (44%).

Cette inquiétude est notamment sensible lorsqu'il s'agit de collecter des données nominatives et de les associer à des données de navigation. 63% des internautes déclarent ne jamais autoriser la revente de leurs données personnelles à des tiers. Facebook, qui totalise plus de 24 millions de visiteurs uniques en France chaque mois, est une autre source d'inquiétude. 97% des personnes interrogées se déclarent être vigilantes sur les données diffusées par le réseau social américain.

Des services attendues sur les plates-formes

Enfin, 27% des internautes préconisent une meilleure auto-régulation de leur part tandis que 35% souhaitent voir les sites Internet proposer des options de confidentialité. Dans une plus forte proportion, les sondés soulignent le manque de règles législatives en matière de vie privée sur Internet (36%) et regrettent un manque d'information (38%).

Cette étude, conduite par GroupM Interaction en association avec l'European Performance Marketing Association (EPMA), a été réalisée du 20 au 27 mai 2010 auprès de 609 personnes âgées de 16 à 65 ans.

(...)

(22/09/2010 16:42:30)

Le programme nucléaire iranien, cible de Stuxnet ?

Le ver informatique très sophistiqué qui s'est propagé en Iran, Indonésie et Inde a été élaboré pour détruire un seul objectif: le réacteur nucléaire de Bushehr en Iran. C'est le consensus qui se dégage des experts en sécurité qui ont examiné Stuxnet. Ces dernières semaines, ils ont cassé le code de chiffrement du programme et ont observé la façon dont le ver fonctionne dans des environnements de test. Les chercheurs s'accordent sur le fait que Stuxnet a été conçu par un attaquant très sophistiqué - peut-être un État - et il a été imaginé pour détruire quelque chose de grand.

Bien que son développement date d'un an, Stuxnet a été découvert en juillet 2010, dans des ordinateurs appartenant à un client iranien vendus par une entreprise Biélorusse de sécurité. Dès lors, il a fait l'objet d'étude par des chercheurs en sécurité attirés par la sophistication de l'attaque. Maintenant, après des mois de spéculation, quelques-uns des chercheurs qui connaissent mieux Stuxnet, pensent connaître la cible du ver. La semaine dernière, Ralph Langner, un expert très respecté sur la sécurité des systèmes industriels, a publié une analyse du logiciel, qui vise les systèmes logiciels Siemens. Il a suggéré lui aussi la même cible finale.

Les experts avaient d'abord pensé que Stuxnet avait été écrit pour voler des secrets industriels - des formules qui ont pu être utilisés pour construire des produits contrefaits. Mais Ralph Langner a trouvé quelque chose de très différent. Le ver recherche effectivement des paramètres très précis des systèmes  Scada, notamment ceux de Siemens - une sorte d'empreinte digitale intégrer à  un dispositif de contrôleur logique programmable (PLC) - et puis il injecte son propre code dans ce système. Le chercheur doit présenter ses conclusions lors d'une conférence de sécurité à huis clos dans le Maryland, cette semaine, qui comprendra également une discussion technique des ingénieurs de Siemens.

Des soupçons et un consensus


Concernant l'objectif, il semble que l'usine iranienne d'enrichissement d'uranium ait subi quelques ralentissements, quelques semaines après la naissance officielle de Stuxnet. Par ailleurs des photos montrent, que cette centrale était équipée de système Siemens.  Ralph Langner pense qu'il est possible que Bushehr pourrait avoir été infecté par l'entrepreneur russe qui est en train de construire l'installation, JSC Atomstroyexport. Récemment ce dernier  avait vu son site Web piraté et certaines de ses pages web sont toujours bloquées par les logiciels de sécurité, car ils sont connus pour héberger des logiciels malveillants. Ce n'est pas un signe rassurant pour une société s'occupant d'intérêts nucléaires.

De son côté, Eric Byres, un expert en sécurité de systèmes industriels a suivi Stuxnet depuis qu'il a été découvert. Au début, il le pensait conçu pour espionnage, mais après avoir lu l'analyse de Ralph Langner, il a changé d'avis. Une des éléments importants trouvés est que Stuxnet identifie enfin sa cible, il apporte des modifications à un morceau de code que Siemens appelle « Organisational Block 35 ». Cette composante surveille les opérations critiques d'une usine - qui ont besoin d'un temps de réponse de 100 millisecondes. En modifiant ce bloc, le ver peut facilement bloquer des centrifugeuses d'une usine de retraitement, mais elle pourrait être utilisée pour frapper d'autres cibles, explique Eric Byres et d'ajouter « la seule chose que je peux dire, c'est que c'est quelque chose conçu pour détruire ».

La création de Stuxnet a engendré quatre attaques de type zero-day et un système de communications peer-to-peer, compromettant les certificats numériques appartenant à Realtek Semiconductor et JMicron Technology. Il dispose d'une connaissance approfondie des systèmes industriels et ne correspond pas au travail d'un hacker lambda. L'année dernière, des rumeurs ont estimé qu'Israël pourrait engager une cyber-attaque contre les installations nucléaires de l'Iran.

Les représentants du gouvernement iranien n'ont pas commenté ces différentes informations, mais des sources au sein du pays disent que l'Iran a été durement touché par le ver. Lors de sa découverte, 60% des ordinateurs infectés par Stuxnet étaient situés en Iran, selon Symantec. Nonobstant, Ralph Langner prévient « le problème n'est plus Stuxnet qui est de l'histoire ancienne. Le problème, c'est la prochaine génération de logiciels malveillants qui vont en découler ».

 

Illustration: Centrale de Bushehr en Iran

Crédit Photo: D.R

(...)

< Les 10 documents précédentsLes 10 documents suivants >