Flux RSS
Virus/alertes

481 documents trouvés, affichage des résultats 151 à 160.
< Les 10 documents précédents | Les 10 documents suivants > |
(15/10/2010 14:58:25)
Microsoft freine juridiquement les activités des botnets
Ce malware a été utilisé pour envoyer des e-mails et infecter des ordinateurs par l'entremise d'un faux logiciel antivirus, en s'appuyant sur un système peer-to-peer compliqué pour communiquer avec d'autres machines infectées. Dans le dernier rapport semestriel sur la sécurité informatique qu'elle vient de publier, Microsoft indique ainsi avoir nettoyé seulement 29 816 ordinateurs infectés par Waledac au second trimestre de cette année, contre 83 580 ordinateurs au premier trimestre.
Selon Adrienne Hall, directeur général du département "Trustworthy Computing" de Microsoft, « la baisse du nombre de machines infectées atteste du succès de l'action juridique menée par Microsoft cette année. » Les actions en justice menées par Microsoft contre Waledac sont sans précédent, puisque, fait assez rare, l'entreprise a obtenu une ordonnance ex parte d'interdiction temporaire (TRO) pour fermer les noms de domaine malveillants que les contrôleurs de Waledac ont utilisé pour communiquer avec les machines infectées. Le fait de recourir à un tribunal « permet de prendre acte du fait que des poursuites sont engagées pour rechercher les auteurs, » a déclaré Adrienne Hall.
Jugement favorable et exequatur accélérée
Ce type de jugement permet d'interrompre une activité sans préavis et sans nécessité de faire comparaître l'auteur devant un tribunal. Dans le cas de Waledac, le blocage soudain des noms de domaine a empêché les opérateurs du botnet de disposer de suffisamment de temps pour enregistrer d'autres domaines et permettre à leurs robots de réinitialiser des instructions. En général, les tribunaux fédéraux rechignent à délivrer ce genre d'ordonnance, car elle peut violer le droit des accusés à un procès équitable, sauf si le juge est convaincu que les auteurs peuvent se réorganiser rapidement et reprendre leur activité. C'est ainsi que Microsoft a réussi à obtenir deux TRO ex parte du tribunal.
Dans les documents d'assignation de Microsoft, on trouve 27 fois le nom de celui qui a enregistré les noms de domaines mis en cause, apportant au tribunal « un objectif identifiable pour une procédure juridique, tout en protégeant les droits des personnes de recourir à une procédure régulière. » Mais la plupart des 276 noms de domaines utilisés pour contrôler Waledac ont été enregistrés par des registrars domiciliés en Chine. Autre signe de la diligence dont a bénéficié Microsoft, celle-ci a pu rendre la TRO ex parte applicable par la loi chinoise et mettre la procédure en conformité avec les traités internationaux. Les titulaires des noms de domaine ont été notifiés par la Convention de La Haye par une « demande aux fins de signification ou de notification à l'étranger d'un acte judiciaire ou extra judiciaire » et tous les documents ont été envoyés au ministère chinois de la Justice en plus d'être publiés sur un site Internet spécifique.
Touché mais encore actif
Les sites ont été fermés dans les 48 heures après que la cours de justice de Virginie a délivré son ordonnance. Le mois dernier, le tribunal avait déjà tenu audience, ouvrant un jugement par défaut contre les prévenus non identifiés, et a octroyé le transfert du contrôle des domaines à Microsoft. L'entreprise indique dans son rapport qu'une injonction permanente est en cours. « Nous pensons que cela a effectivement porté un coup à Waledac, » a déclaré Adrienne Hall. Si les avocats ont travaillé sur le plan juridique, les experts techniques ont également attaqué Waledac. Microsoft a ainsi mobilisé une équipe de chercheurs en sécurité informatique qui ont infiltré le système de contrôle peer-to-peer de Waledac. Une fois à l'intérieur du réseau de zombies, ils ont détourné les machines infectées vers leurs serveurs, de manière à couper les cybercriminels de leur propre botnets.
Mais si Waledac a bien été touché, il reste encore actif, puisque le botnet arrive en 23ème position des sur l'ensemble de botnet détectées. Ce qui fait dire à Microsoft dans son rapport, que même après de nombreuses mesures juridiques et techniques, les botnets restent des adversaires difficiles à combattre.
Joueurs en ligne : des proies idéales pour les cybercriminels
La société a établi un rapport sur les sites de jeux en ligne récemment détectés comme infectés par des virus. Résultat, des sites comme Gamefactoryinteractive.com, Jeux-digest.com, ou encore Mariogamesplay.com font partie des sites les plus infectés. "Les joueurs sont une cible parfaite pour les pirates informatiques, car ils sont plus préoccupés par leurs jeux que par la sécurité de leur ordinateur", explique Ondrej Vlcek, Directeur Technique chez Avast. "Comme l'industrie du jeu ne cesse de croître, les pirates vont inévitablement développer d'autres moyens de cibler cette importante communauté". Avast recommande aux joueurs de ne pas éteindre leur antivirus lorsqu'ils jouent, utiliser les fonctions "jeu" des antivirus, ou encore se méfier des téléchargements de jeux des sites "warez". (...)
(11/10/2010 15:33:44)Les sites de médias français, cible d'attaques DDoS
En France, un important hébergeur s'efforce de protéger les sites Internet de ses clients représentant des médias européens. Ce qui signifie notamment pour lui de repousser les attaques de déni de service (DDoS, distributed denial-of-service attacks), lesquelles ont déjà provoqué dans le passé le plantage de plusieurs sites. La persistance de ces attaques laisse penser qu'elles sont déclenchées par des lecteurs en colère qui veulent exprimer leur désapprobation vis-à-vis de certaines informations. « Nous avons subi beaucoup d'attaques DDoS visant principalement les sites de journaux en ligne », a indiqué Salim Gasmi, directeur technique et directeur technique chez SvD Plurimedia, qui compte parmi sa clientèle des médias européens bien connus comme Le Figaro, Les Echos ou encore la chaîne de télévision Arte, ainsi que des sociétés de services bancaires.
Un flot de requêtes SYN
« Même si l'origine et le motif de ces attaques DDoS ne sont pas tout à fait clairs, celles-ci se produisent généralement à des périodes où l'information se rapporte au Moyen-Orient », précise Salim Gasmi. « C'est une colère d'origine politique », explique t-il, ajoutant que ces types d'attaques se produisent de manière régulière depuis plus de dix ans. « Les nouvelles relatives au Moyen-Orient peuvent déclencher une avalanche de SYN émis depuis des ordinateurs qui semblent se trouver dans plusieurs endroits à travers le monde, y compris le Brésil, la Russie et la Chine, et contrôlés par un attaquant depuis un lieu inconnu », déclare le directeur technique de SvD Plurimédia. Les outils pour réaliser ce type d'attaques semblent faciles à trouver. Une attaque bien dirigée, consistant à envoyer un flot de requêtes SYN à hauteur de 10 Mbps et visant à provoquer un déni de service (cela exigerait au plus l'utilisation de 100 ordinateurs en mode attaque) serait suffisant pour placer un site Web sous énorme pression et peut-être même le mettre temporairement hors d'état. « Certaines attaques peuvent atteindre les 3Gbps », a-t-il indiqué.
Mais SvD Plurimedia n'est pas la seule entreprise à devoir faire face à des attaques politiquement motivées. Le rapport que publie Symantec cette semaine, intitulé « Symantec 2010 Critical Infrastructure Protection Study » est le résultat d'une enquête menée auprès de 1 580 entreprises à travers le monde. L'éditeur de logiciels antivirus a voulu savoir si elles avaient été la cible « d'attaques politiquement motivées », y compris éventuellement de cyberattaques terroristes ou derrière lequelles se profilerait un Etat, visant à voler des informations sensibles ou à faire tomber un réseau. Symantec a constaté que la moitié des responsables informatiques de ces entreprises pensaient avoir été victimes d'une attaque de ce genre.
Un effet en cascade sur les serveurs du datacenter
Quant à Salim Gasmi, il était certain que, à partir du moment où SvD Plurimedia avait décidé de faire entrer des médias dans son portefeuille clients, l'hébergeur aurait à faire face à ce type d'attaques et à se défendre contre les DDoS - et vite. La question était de trouver les moyens de détecter les prémices d'une attaque DDoS, puis de drainer efficacement le trafic hostile, tout en essayant de ne pas perturber le bon trafic. Et ce n'est pas facile. L'une des complexités vient du fait que les attaques massives en SYN peuvent provoquer un effet en cascade sur les serveurs du datacenter. « Lorsqu'un client est ciblé par une attaque, et si cette attaque est puissante, il faut rendre tous les sites non dynamiques. C'est un cauchemar », explique Salim Gasmi.
En quelques années, l'hébergeur a cherché différentes manières de gérer ses serveurs, différentes configurations réseaux, divers moyens pour atténuer les attaques, des systèmes de prévention contre l'intrusion et des pare-feu. Les derniers équipements, basés sur les systèmes Peakflow SP et Peakflow SP Threat Management System d'Arbor Network, et mis en place depuis environ un an, se sont avérés parmi les plus efficaces pour filtrer les attaques de trafic, notamment grâce à une technologie de redirection qui permet d'alléger le poids du trafic indésirable. « Bien que très efficace, l'équipement anti-DDoS n'est pas parfait et il est possible qu'une certaine quantité de trafic légitime passe à la trappe », fait remarquer Salim Gasmi. « Mais les sites Web résistent beaucoup mieux qu'avant. »
Certains hébergeurs proposent des services anti-DDoS
Aux États-Unis, certains opérateurs, comme AT & T notamment, proposent en option des services anti-DDoS. Salim Gasmi dit pour sa part traiter avec neuf opérateurs différents en France, mais aucun ne prévoit de service anti-DDoS, de sorte qu'il a dû investir et construire sa propre ligne de défense. Il aimerait bien que les FAI et les opérateurs s'emparent plus activement du problème, d'autant qu'en France, d'autres hébergeurs subissent ce même type d'attaques DDoS. Il n'est pas rare que les sites web de certaines entreprises soient noyés par une attaque DDoS. Même si d'expérience, les chantages aux attaques ne sont pas aussi répandus que les attaques menées contre les sites d'information, Salim Gasmi a néanmoins entendu parlé de pirates qui demanderaient de l'argent à certaines entreprises pour, en contrepartie, ne pas attaquer leurs sites web.
Illustration : Attaques DDoS (source du schéma : Cisco)
Oracle va livrer 81 correctifs à installer d'urgence
La base de données d'Oracle, ses outils Fusion middleware, plusieurs applications dont celles de PeopleSoft et le système d'exploitation Solaris, récupéré depuis le rachat de Sun, sont concernés par l'importante livraison de rustines que l'éditeur mettra mardi prochain 12 octobre à la disposition de ses utilisateurs. En tout, 81 correctifs sont annoncés pour corriger de multiples vulnérabilités. 31 d'entre eux sont destinés à des produits du catalogue Sun. Certains couvrent plusieurs produits.
Oracle recommande vivement à ses clients d'installer ce patch critique aussi rapidement que possible en raison des menaces d'intrusion. La faille la plus sensible (selon le standard CVSS 2.0), assortie de la note 10.0, affecte le produit Solaris Scheduler.
Egalement visés : Agile, Primavera, Open Solaris et StarOffice
Parmi les correctifs, plusieurs sont destinés à la base de données, versions 10g et 11g, Release 1 et 2, au serveur d'application 10gR2 et R3, ainsi qu'à BI Publisher et Identity Management 10g. Du côté des applications, le progiciel intégré E-Businesss Suite est concerné, Release 12 et 11i, de même que l'application de PLM Agile, et les solutions Transportation Management, PeopleSoft Enterprise CRM, FMS, HCM, SCM et EPM. On trouvera aussi des mises à jour pour les PeopleTools, Siebel Core et la solution de gestion de projets Primavera P6.
Du côté de l'offre Sun, Oracle précise que onze failles risquent d'être exploitées sans authentification (en passant par un réseau sans se voir demander de nom d'utilisateur ni de mot de passe). Outre l'OS Solaris et sa version Open Source, sont affectés les produits Directory Server Enterprise Edition, Communications Messaging Server, Oracle Explorer, Sun Convergence, iPlanet Web Server, Java System Identity Manager et la suite bureautique StarOffice/StarSuite. A noter que cinq rustines visent la suite Open Office, la plus sensible étant notée 9.3. Là aussi, les vulnérabilités en question risquent aussi d'être exploitées sans authentification. A corriger rapidement donc.
En attendant sa sandbox, Adobe assène un correctif de 23 patchs à Reader
En septembre, Adobe avait promis d'accélérer son calendrier pour livrer les correctifs, préalablement prévus pour la semaine prochaine, réparant les failles concernées, car les pirates exploitaient déjà un bogue trouvé dans le processus de traitement des polices par Reader et Acrobat. Pour Andrew Storms, directeur des opérations de sécurité chez nCircle Security, "c'est un double coup dur aujourd'hui pour les clients d'Adobe." Ajoutant que "les produits Adobe continuent à figurer en tête de liste des cibles visées par les auteurs de malwares." Il fait aussi remarquer que "Adobe avait déjà corrigé une faille zero-day dans Flash fin septembre, et qu'aujourd'hui, l'éditeur doit sortir sa mise à jour trimestrielle d'Acrobat, en avance sur son calendrier, pour réparer une autre faille zero-day." Les mises à jour de Reader et d'Acrobat, disponibles depuis mardi - elles font passer Reader et Acrobat respectivement en version 9.4 et 8.2.5 - incluent également le patch livré il y a deux semaines corrigeant le lecteur Flash, puisque ces deux applications prennent en charge l'exécution de code Flash intégré dans les documents PDF.
Attention à "Leadbetter"
Sur les 23 bogues corrigés par Adobe, le plus remarquable est sans doute celui révélé le 7 septembre par Mila Parkour, chercheur en sécurité indépendant, qui a repéré l'attaque après avoir découvert que des fichiers PDF joints à des e-mails, et concernant l'entraîneur de golf de réputation internationale David Leadbetter, étaient truqués. Plusieurs chercheurs en sécurité ont qualifié la méthode utilisée par "Leadbetter" "d'effrayante", "d'intelligente" et "d'impressionnante", notamment dans sa manière de contourner les importantes parades de défense - ASLR (address space layout randomization) et DEP (Data Execution Prevention) - intégrées par Microsoft à Windows. La plupart des attaques utilisant "Leadbetter" étaient "ciblées," c'est à dire visant certaines personnes ou certaines entreprises, à la différence d'une attaque massive. Autre indice prouvant la sophistication du procédé, l'attaque s'appuyait sur un certificat numérique volé, utilisé pour signer certains fichiers. Chet Wisniewski, conseiller en sécurité auprès de Sophos, l'éditeur spécialisé en sécurité informatique, a comparé "Leadbetter" au ver Stuxnet, lequel a également utilisé des certificats volés. Le chercheur fait remarquer que le certificat exploité par "Leadbetter" apparaissait dans un composant du virus en 2009, signe que le code d'attaque, ou en tout cas une partie, avait circulé depuis.
Des failles de sécurité critiques
20 des 23 vulnérabilités patchées aujourd'hui, soit 87% d'entre elles, sont accompagnées du commentaire "pourrait conduire à l'exécution de code" dans l'avis de sécurité d'Adobe. Contrairement à certains éditeurs, Microsoft notamment, Adobe ne fait pas de classement de ses bogues, mais le terme "exécution de code" signifie que les failles pourraient être exploitées par les attaquants pour détourner l'ordinateur visé, soit l'équivalent à l'échelle "critique" que Microsoft attribue aux vulnérabilités qui permettent l'exécution de code. Deux des 23 autres bugs pouvaient être utilisés pour rendre Reader ou Acrobat instables, tandis que la dernière vulnérabilité relève d'un problème lié exclusivement à Linux pouvant permettre à un pirate de contrôler l'accès à des niveaux plus élevés de la machine. Neuf des 23 bugs ont été signalés à Adobe par des ingénieurs en sécurité travaillant pour Google, dont Tavis Ormandy, crédité pour huit d'entre eux, tandis que trois autres sont remontés du programme Zero Day Initiative de TippingPoint maintenu par HP.
Aujourd'hui encore, Adobe a publié une série de messages techniques à propos de la technologie "sandbox" (bac à sable ou sas) que l'éditeur a l'intention d'ajouter à la version Windows de son Reader cette année. Appelée "Mode protégé" par Adobe, la technologie est conçue pour isoler les processus entre eux et le reste de la machine, de manière à empêcher les malware de sortir de l'application infectée pour aller faire des ravages ou infecter l'ordinateur. Microsoft utilise une technologie similaire dans ses navigateurs Internet Explorer 7 (IE7), IE8 IE9 sur Windows Vista et Windows 7. Google s'appuie également sur le sandboxing pour contrecarrer les attaques dirigées contre ou via le navigateur Chrome.
En démonstration à la MAX 2010
Adobe a annoncé qu'elle ferait la démonstration de ce mode protégé au cours de l'Adobe MAX 2010, programmée du 23 au 27 octobre à Los Angeles. Mais une porte-parole a prévenu que le programme de l'édition MAX 2010 avait été établi depuis un certain temps, et qu'il fallait rester prudent quant à d'éventuelles annonces. Elle a notamment refusé de donner une quelconque date d'apparition de son bac à sable dans Reader. "La fonction sandbox promise par Adobe ne peut pas arriver à l'avance," a déclaré Andrew Storm. "Nous espérons que l'éditeur, mis à mal par les pirates, dispose dans sa manche de davantage d'initiatives en matière de sécurité."
Adobe Reader et Acrobat pour Windows, Mac et Linux peuvent être téléchargés en utilisant les liens inclus dans l'avis publié mardi. Mais les utilisateurs ont toujours l'option de mettre en route les mécanismes de mise à jour intégrés pour accéder aux nouvelles versions et les installer.
(...)(04/10/2010 14:45:50)Zeus, un Trojan prévu pour durer ?
Il existe une communauté qui développe Zeus et le soutient, considère Eric Skinner, directeur technique d'Entrust. « Il n'y a pas qu'une seule personne à éliminer. Si quelqu'un cesse de le mettre à jour, un autre s'attellera à la tâche. » Ce n'est pas aussi simple que de fermer une société d'édition de logiciels, signant ainsi l'arrêt immédiat du développement d'un programme, souligne-t-il.
Cela résume assez bien la principale force de Zeus, que les experts s'accordent à ranger comme un des plus grands frameworks malveillants existant aujourd'hui. Il est disponible, abordable, fonctionne et son développement le rend modifiable facilement. Les créateurs de ce logiciel ont réussi à échapper aux autorités en se cachant derrière des prises de contrôle de serveurs, de fournisseurs d'accès à Internet, des bureaux enregistrement de domaine partout dans le monde. « Même si nous appliquons la loi, nous ne pouvons pas toujours les atteindre », déclare Pedro Bueno, chercheur sur les malware auprès de McAfee Labs. « Il faut plusieurs étapes pour les approcher, mais dès que nous sommes sur leurs traces, il est très difficile d'obtenir leur localisation exacte », ajoute-t-il.
Le cheval de Troie Zeus vole les noms d'utilisateurs et mots de passe des PC fonctionnant sous Windows. Les criminels peuvent ainsi s'en servir pour transférer illégalement de l'argent depuis les comptes des victimes. Un petit groupe d'Europe de l'Est est considéré comme le responsable en charge de créer une version évoluée de cette plate-forme, qui existe depuis 2007.
Transformation et adaptation
Par exemple, des chercheurs ont récemment découvert un dispositif qui contrecarre les dispositifs du système bancaire pour éviter ces tentatives de récupération des données bancaires. Après une connexion à sa banque, l'utilisateur reçoit un SMS avec un code valable une fois pour accéder à son compte. A travers cette double authentification, il est plus difficile pour les criminels de pénétrer dans les comptes, mais les développeurs de Zeus ont trouvé un moyen. Le trojan, qui a infecté le mobile, récupère ce code à usage unique et l'envoie à un serveur de contrôle, à partir duquel les criminels s'introduisent dans les comptes, explique Derek Manky, gestionnaire de projet pour la cyber-sécurité et la recherche sur les menaces chez Fortinet. « Il s'agit d'une amélioration », souligne-t-il.
Crédit Photo: D.R (...)(01/10/2010 11:32:23)
Bruxelles milite pour une coopération sur la cybercriminalité
« Il est temps que nous redoublions d'efforts contre la cybercriminalité, à laquelle recourt souvent aussi le crime organisé » souligne Cecilia Malmström, commissaire chargée des affaires intérieures. Avec Neely Kroes vice‑présidente de la Commission chargée de la stratégie numérique, elle a annoncé une proposition de directive sur les mesures contre les différentes formes de cybercriminalité, notamment les cyber-attaques à grande échelle, complétée par une proposition de règlement destinée à renforcer et à moderniser l'agence européenne chargée de la sécurité des réseaux et de l'information (ENISA).
Sur la directive, les auteurs de cyber-attaques et les producteurs de logiciels malveillants pourront être poursuivis et risqueront des sanctions pénales plus lourdes. Elle prévoit aussi la création d'un système de recensement et de localisation des cyberattaques. Le règlement portera lui sur le renforcement et la modernisation de l'Agence européenne chargée de la sécurité des réseaux et de l'information (ENISA), créée en 2004. Elle pourra notamment faire participer des États membres et des partenaires privés à des activités conjointes en Europe, notamment des exercices de cybersécurité, des campagnes de sensibilisation et des partenariats public‑privé pour des travaux sur la résilience des réseaux, des analyses économiques et une évaluation des risques. Par ailleurs, le mandat de l'ENISA qui se termine en 2012 sera prolongé de 5 ans.
Par ces différentes annonces, la Commission entend reprendre la main sur un sujet d'actualité. A l'heure où les attaques sont de plus en plus sophistiquées et ne sont plus le simple fait de pirates plus ou moins organisés, mais aussi des Etats qui font des cyberattaques une arme offensive. L'Europe ne peut rester inactive sur ces sujets au risque d'être très rapidement dépassée.
Un virus sur smartphone pirate les comptes bancaires
Le cheval de Troie (Trojan) Zeus qui sévissait déjà sur le PC vient d'être identifié sur téléphone mobile. Nommé pour l'occasion Zitmo, ce virus pirate le compte bancaire du possesseur du portable, informe Fortinet, spécialisé dans la sécurité réseau, ce mardi 28 septembre.
Concrètement, ce virus se déclenche quand un internaute consulte son compte bancaire en ligne. Mot de passe et nom d'utilisateur sont récupérés par le logiciel malveillant. Ensuite, ce dernier intègre un faux formulaire dans le navigateur pour récupérer le numéro de téléphone de l'internaute.
Dans un deuxième temps, l'internaute reçoit un SMS avec un lien pour installer un "certificat", qui se révèle être le virus Zitmo. Une fois installé, les pirates peuvent accéder au compte et effectuer des transactions.
L'Iran confirme les dégâts causés par Stuxnet : 30 000 PC touchés
Considéré par de nombreux chercheurs en sécurité comme le ver le plus sophistiqué existant, Stuxnet avait été signalé une première fois mi-juin par VirusBlokAda, une société en sécurité informatique biélorusse peu connue. Un mois plus tard, Microsoft reconnaissait que le ver ciblait des PC sous Windows et en particulier ceux qui gèrent les systèmes de contrôle des grandes industries publiques ou privées. Appelés SCADA, ces systèmes d'acquisition et de contrôle des données, gèrent à peu près tout type d'installations, depuis les centrales électriques et les machines des usines jusqu'aux oléoducs et aux installations militaires.
Selon des chercheurs américains travaillant avec l'éditeur Symantec, l'Iran a été sévèrement touchée par Stuxnet puisque près de 60% de tous les ordinateurs infectés lors de la première vague connue sont situés dans ce pays. Les experts ont accumulé les preuves selon lesquelles ce ver avait commencé à attaquer les systèmes SCADA au moins depuis le mois de janvier 2010. Entre temps, d'autres ont émis l'hypothèse que Stuxnet avait été créé par un Etat avec comme objectif le réacteur nucléaire iranien Bushehr. Situé dans le sud-ouest de l'Iran, près du golfe Persique, ce réacteur a été à l'origne des tensions avec l'Occident et les États-Unis en particulier, lesquels soupçonnent que le combustible du réacteur pourrait être retraité en plutonium enrichi pour réaliser des armes nucléaires.
Des réunions d'experts pour contrer le ver
Selon l'agence Mehr News Agency basée à Téhéran, Mahmoud Alyaie, un officiel iranien en charge des technologies au ministère iranien de l'industrie et des mines, a déclaré que 30 000 adresses IP avaient été infectées par Stuxnet. Comme plusieurs ordinateurs peuvent accéder à Internet via une adresse IP unique, le nombre total de PC infectés pourrait être bien plus important. « Un groupe de travail composé d'experts issus de plusieurs ministères du gouvernement iranien a été mis en place pour faire face à l'infection par Stuxnet, » a déclaré Mahmoud Alyaie. D'autres sources citées par l'agence de presse affirment que l'Iran a la capacité de concevoir les outils antivirus nécessaires pour détecter et détruire le ver.
Samedi, l'Associated Press (AP) faisait savoir que les experts de l'agence iranienne de l'énergie atomique s'étaient déjà réunis mardi dernier pour discuter d'une parade. Citant l'agence ISNA, également basée à Téhéran, l'AP indique qu'aucune industrie ou type d'installations n'ont été mentionnées. Mais les spéculations pointent vers le réacteur de Bushehr comme cible probable de Stuxnet. Depuis samedi, le site web de l'Agence iranienne à l'énergie atomique affiche un lien vers un long article que l'agence Mehr consacre à Stuxnet, où l'on peut lire que des responsables du gouvernement ont été informés « de dommages graves. » Bien que la centrale de Bushehr ne soit pas encore opérationnelle, des ouvriers ont commencé à charger du combustible nucléaire dans le réacteur le mois dernier.
Qualifié de "révolutionnaire" par un expert qui en a décortiqué le code, Stuxnet utilise plusieurs vulnérabilités ou "zero-day" non corrigées de Windows et s'appuie sur des certificats numériques volés pour masquer le malware. Le code utilise un rootkit et une API qui envoie des ordres à la machine gérée par le logiciel. Microsoft qui a corrigé deux des quatre vulnérabilités "zero-day" exploitées par Stuxnet, a promis de fixer les deux autres prochainement.
Le programme nucléaire iranien, cible de Stuxnet ?
Le ver informatique très sophistiqué qui s'est propagé en Iran, Indonésie et Inde a été élaboré pour détruire un seul objectif: le réacteur nucléaire de Bushehr en Iran. C'est le consensus qui se dégage des experts en sécurité qui ont examiné Stuxnet. Ces dernières semaines, ils ont cassé le code de chiffrement du programme et ont observé la façon dont le ver fonctionne dans des environnements de test. Les chercheurs s'accordent sur le fait que Stuxnet a été conçu par un attaquant très sophistiqué - peut-être un État - et il a été imaginé pour détruire quelque chose de grand.
Bien que son développement date d'un an, Stuxnet a été découvert en juillet 2010, dans des ordinateurs appartenant à un client iranien vendus par une entreprise Biélorusse de sécurité. Dès lors, il a fait l'objet d'étude par des chercheurs en sécurité attirés par la sophistication de l'attaque. Maintenant, après des mois de spéculation, quelques-uns des chercheurs qui connaissent mieux Stuxnet, pensent connaître la cible du ver. La semaine dernière, Ralph Langner, un expert très respecté sur la sécurité des systèmes industriels, a publié une analyse du logiciel, qui vise les systèmes logiciels Siemens. Il a suggéré lui aussi la même cible finale.
Les experts avaient d'abord pensé que Stuxnet avait été écrit pour voler des secrets industriels - des formules qui ont pu être utilisés pour construire des produits contrefaits. Mais Ralph Langner a trouvé quelque chose de très différent. Le ver recherche effectivement des paramètres très précis des systèmes Scada, notamment ceux de Siemens - une sorte d'empreinte digitale intégrer à un dispositif de contrôleur logique programmable (PLC) - et puis il injecte son propre code dans ce système. Le chercheur doit présenter ses conclusions lors d'une conférence de sécurité à huis clos dans le Maryland, cette semaine, qui comprendra également une discussion technique des ingénieurs de Siemens.
Des soupçons et un consensus
Concernant l'objectif, il semble que l'usine iranienne d'enrichissement d'uranium ait subi quelques ralentissements, quelques semaines après la naissance officielle de Stuxnet. Par ailleurs des photos montrent, que cette centrale était équipée de système Siemens. Ralph Langner pense qu'il est possible que Bushehr pourrait avoir été infecté par l'entrepreneur russe qui est en train de construire l'installation, JSC Atomstroyexport. Récemment ce dernier avait vu son site Web piraté et certaines de ses pages web sont toujours bloquées par les logiciels de sécurité, car ils sont connus pour héberger des logiciels malveillants. Ce n'est pas un signe rassurant pour une société s'occupant d'intérêts nucléaires.
De son côté, Eric Byres, un expert en sécurité de systèmes industriels a suivi Stuxnet depuis qu'il a été découvert. Au début, il le pensait conçu pour espionnage, mais après avoir lu l'analyse de Ralph Langner, il a changé d'avis. Une des éléments importants trouvés est que Stuxnet identifie enfin sa cible, il apporte des modifications à un morceau de code que Siemens appelle « Organisational Block 35 ». Cette composante surveille les opérations critiques d'une usine - qui ont besoin d'un temps de réponse de 100 millisecondes. En modifiant ce bloc, le ver peut facilement bloquer des centrifugeuses d'une usine de retraitement, mais elle pourrait être utilisée pour frapper d'autres cibles, explique Eric Byres et d'ajouter « la seule chose que je peux dire, c'est que c'est quelque chose conçu pour détruire ».
La création de Stuxnet a engendré quatre attaques de type zero-day et un système de communications peer-to-peer, compromettant les certificats numériques appartenant à Realtek Semiconductor et JMicron Technology. Il dispose d'une connaissance approfondie des systèmes industriels et ne correspond pas au travail d'un hacker lambda. L'année dernière, des rumeurs ont estimé qu'Israël pourrait engager une cyber-attaque contre les installations nucléaires de l'Iran.
Les représentants du gouvernement iranien n'ont pas commenté ces différentes informations, mais des sources au sein du pays disent que l'Iran a été durement touché par le ver. Lors de sa découverte, 60% des ordinateurs infectés par Stuxnet étaient situés en Iran, selon Symantec. Nonobstant, Ralph Langner prévient « le problème n'est plus Stuxnet qui est de l'histoire ancienne. Le problème, c'est la prochaine génération de logiciels malveillants qui vont en découler ».
Illustration: Centrale de Bushehr en Iran
Crédit Photo: D.R
(...)< Les 10 documents précédents | Les 10 documents suivants > |