Discussion :

[SurferIX]

Il y a un détail technique qui m'interpelle vraiment :

Le malware dispose des mêmes caractéristiques sous Linux. Il est capable d’intercepter des échanges sur le réseau, exécuter des commandes sur le poste affecté, et communiquer avec des serveurs distants qui lui transmettent des instructions. Il n’a pas besoin de haut privilège pour fonctionner. Même un utilisateur régulier avec des privilèges limités peut le lancer

Le malware est extrêmement furtif. Il est capable de rester en hibernation jusqu'à la réception d’instructions distantes sous forme de « paquets magiques » qui le sortiront de son sommeil. Ce procédé rend extrêmement difficile sa détection. Les outils d’analyse du trafic réseau, comme la commande netstat, ne peuvent pas détecter ses traces.

Quand on fait 'ps uax', on a la totalité détaillée de tous les processus en cours d'exécution, en sommeil ou pas. Absolument tous. Qu'il utilisent tout le CPU ou au contrait, qu'ils soient en "sommeil".
Je suis clairement très surpris que sur des millions de PC Linux, dont la spécialité première est, justement, l'administration système, personne n'ait jamais vu un processus "suspect".

Même chose pour PDF : Linux n'en a pas, donc impossible de passer par PDF Viewer. J'aimerais donc qu'ils expliquent clairement comment on fait pour installer un tel malware sur Linux, cela me donnerait une occasion de comprendre les erreurs possibles d'un utilisateur lambda. J'ai vraiment du mal à croire cet article. Parce que là, je sèche complètement à toutes les questions de pure logique.

[germinolegrand]

Est-ce que nos gouvernements ont bien pris conscience de ces menaces ?

Il faut croire que oui quand on regarde le budget qui y est alloué (en france notamment où une armée a été levée au cours des dernières années).

[benjani13]

Il y a un détail technique qui m'interpelle vraiment :



Quand on fait 'ps uax', on a la totalité détaillée de tous les processus en cours d'exécution, en sommeil ou pas. Absolument tous. Qu'il utilisent tout le CPU ou au contrait, qu'ils soient en "sommeil".
Je suis clairement très surpris que sur des millions de PC Linux, dont la spécialité première est, justement, l'administration système, personne n'ait jamais vu un processus "suspect".

Un malware peut dissimuler ça présence de différentes façons. Il peut très bien empêcher son processus d'apparaitre dans la liste des processus ou bien même cacher ses fichiers, soit en remplaçant des commandes par des versions modifiées, soit en interceptant et en modifiant à la volée les informations (hooking).

[MikeRowSoft]

Après le gestionnaire de tâches non système de Windows c'est celui-ci Linux.
Il va vraiment falloir que les "applications" aient leurs propres droits en plus que celui des utilisateurs "présumés".
Oui, "présumés". Le curseur de souris est système et ne devrait pas apparaître dans les gestionnaires de tâches de l'OS tous comme les drivers de cartes graphiques. Actuellement, il peut même être détourné par des applications malveillantes. Je vous laisse imaginer avec plus délicat.

[HerveRenault]

"Comment ça marche ?".

C'est toujours pareil avec ce genre d'annonce : aucune précision sur le mode opératoire. Où est la faille ? Que faut-il patcher pour s'en prémunir ?

[williamp]

Si vous voulez vraiment faire dans le "confidentiel", il va falloir apprendre à prendre des précautions, c'est la vie hein. Faire confiance à d'autres, sans les connaitre, c'est stupide.

De mon point vue, c'est la séparation qui est importante. Le net, c'est la voie publique.

Ce qui est confidentiel ne doit jamais se retrouvé connecté.

Vous devez séparer ce qui est confidentiel du reste. Ainsi, travailler sur un support dédié (clé usb, disque dur etc), et mettre votre système sur un support en lecture seule. Tout cela déconnecté physiquement du réseau.

Vous devez embaucher des gens sérieux, qui respectent les procédures, et qui sont honnêtes.
(ça existe et ça se reconnait, vous savez, ce sont ceux qu'on vire parce qu'ils sont trop à cheval sur les principes)

Vous devrez mettre à jour votre système sur le support en lecture seule, depuis un autre pc. Ailleurs. C'est très bien comme cela.

Si vous voulez vraiment éviter de raconter votre vie à Google ou MS ou IBM, téléchargez systématiquement la doc complète des choses que vous utilisez, et consultez là, off line. Très important.

C'est pas "pratique", certes, mais faut savoir ce qu'on veut. Tout se dose.

[iDaaX]

Salut à tous,

Je vous invite à lire ce petit billet : http://www.linuxadvocates.com/2014/1...not-going.html

Je ne crois pas non plus que Turla ait vraiment infecté Linux comme il l'a fait sous Windows. C'est carrément exagérée cette nouvelle....

[imikado]

Intéressant en effet

This code simply isn't in any Linux repository.
That means one must intentionally deviate and go outside of the keyring-protected repo of applications 'into the wild' to obtain this rogue software.
By definition, a trojan, requires one to install the application and then explicitly run it to have its 'payload' execute.

Et par les auteurs de l'information:

Although Linux variants from the Turla framework were known to exist, we haven't seen any in the wild yet.

[supersnail]

Sinon, petite rectification "technique" de l'article:

Il est bourré d’informations sous forme de symboles qui complexifient les opérations de « reverse engineering ».

Or l'article en anglais stipule que

It was stripped of symbol information, more likely intended to increase analysis effort than to decrease file size

ce qui signifie justement que les symboles ont été retirés du binaire à coup de commande "strip"

Sinon niveau vecteurs d'infection, ça peut très bien être un daemon vulnérable qui autorise l'exécution de code/commandes à distance (par exemple Shellshock il y a pas si longtemps qui a permis de diffuser d'autres malwares ciblant GNU/Linux, ou encore une vulnérabilité dans ElasticSearch il y a 2/3 mois...), ou encore un plugin de navigateur présentant des vulnérabilités.
Pour se prémunir, le mieux c'est de garder son système le plus à jour possible et appliquer les mises à jour de sécurité, comme sur n'importe quel OS en fait

[MADenigma]

Que quelqu'un corrige cette erreur s'ils vous plait: "...ceux-ci investissement massivement..."

[Guikingone]

De ce que j'ai lu des retours du vers, les dégâts vont au-delà de ce qui est décrit sur certains sites, le chiffrement par symbole bloque la lecture de certaines parties du vers et donc retarde les contre-mesures, on est loin du vers développé dans un garage sombre et froid.

Sur Linux, le vers semble moins "étalé" en terme de possibilité de contact extra-poste, l'élévation de privilège semble quasi-impossible sauf si l'utilisateur est root.

[rsuinux]

Ce qui me gène le plus dans cette annonce des fournisseurs de solution(s) de sécurités, c'est qu'il n'y a en fait aucune information technique!
Comment savoir si nous sommes infecté? Même si netstat est inutile d'après le news, il y a d'autre façon de voir les processus en cours, netstat n'est pas le saint graal pour découvrir un virus!!!
La taille du fichier analysé, d'ou vient il? comment l'ont ils découvert?
Bref beaucoup de flou.

Sans rejeter en bloc les problèmes sous linux, car comme tout système informatique complexe il y en a, différents de ceux sous windows, j' ai peur que ce soit quand même là, une grosse machine commerciale derrière.

Sans troll.

[ddoumeche]

Ben, il me semblait qu'on nous avait vendu pendant des années Linux comme étant sans virus contrairement à Windows qui, lui, en faisait la culture.

Décidément, tout fout le camps dans ce monde décadent !!!

Mon pauvre ami, on vous a menti, il y a des virus et des vers dans Linux comme dans d'autres systèmes. Et mêmes des failles de vulnérabilités, beaucoup !!!
Et ce depuis toujours.
Mais il faut reconnaitre qu'il y a beaucoup moins de malwares et virus que sur les systèmes de type Windows.

Sous Linux, on a en général pas besoin d'antivirus sauf pour scanner les mails des utilisateurs dans un serveur pop3/imap

[SurferIX]

Ah j'adore, dès qu'on trolle sur Windows, tout le monde applaudi, tout le monde renchérie. Mais dès qu'on trolle sur Linux, hou là c'est lever de bouclier, salves sur salves de -1, etc...

Ne vous faites pas d'illusion, Linuxiens, lorsque Linux atteindra les part de marché que Windows a actuellement, vous verrez que vous ne serez plus du tout à l'abri des virus. C'est ainsi, et c'est pas près de changer.

Merci, c'est exactement ce que j'allais dire : le fait qu'il commence à y avoir des virus sur Linux montre qu'il commence vraiment à prendre de l'ampleur.
C'est comme quand on voit son programme cracké circuler sur le net : ça signifie qu'il y a de l'engouement et que des gens ont commencé à sérieusement se pencher dessus.

C'est à la fois une mauvaise nouvelle mais aussi un bonne, finalement !

[Invité]

Il y a bel et bien une cyberguerre ça c'est la seule chose que vous devez savoir et j'ai fais les mêmes erreurs que beaucoup d'entre vous, c'est à dire :

-Travaillé sur internet avec une personne (je ne la citerai pas ici) que je ne connaît pas IRL. (Ou alors si je la connais IRL je ne me doutais pas que c'était elle, ni qu'elle irait jusque là...)
-Mettre des informations sur ma vie sur mon ordinateur, voir même sur des réseaux sociaux. (A cause de cela je mets tout sur papier ou sur support déconnecté d'internet car je n'ai absolument plus confiance en internet)

Bref le seul moyen de démasquer ce genre de personne c'est de les prendre à leur propre jeux et faire des erreurs volontairement. (il m'arrive aussi d'en faire involontairement)
Et puis, pour le reste, je me suis toujours laissé guidé par mon instinct et mes 5 sens. )
Et après je n'ai plus qu'à contre attaquer.
Ca a toujours bien marcher, donc, je n'ai pas envie de changer ma méthode.

En tout cas les cyberguerres m'ont permise d'apprendre beaucoup de chose que je ne connaissais pas.

On peut en effet détecter une attaque grâce aux commandes netstat et commande de processus sous linux. (Sauf si le concepteur du logiciel à fait en sorte que les commandes linux ne peuvent pas afficher le processus ni les transferts réseau)

On peut également, via une machine distante, s'infiltrer dans la machine d'une personne, même sous linux.
La personne qui fait ça ne me dit bien sûr pas comment elle fait, et on a de ce fait aucune information sur la façon de contrer ces attaques.

Alors dans ce cas j'opte souvent pour la méthode que je viens de cité plus haut. (Car on est jamais à l'abri d'une faille, et je suis convaincu que même sous linux, il peut y avoir des failles, car linux peut être relié à des machines windows, windows je ne préfère pas en parler car niveau sécurité c'est bien pire c'est d'ailleurs pour cela que je suis passer sous linux (ce qui bien sûr ne m'a pas mis totalement à l'abris, mais ça, je le savais déjà. ). :/)

[Relabill]

C'est rendu que nous ne sommes plus en securite sous aucun systeme d'exploitation! Meme si le pire de tous reste encore Microsoft Windows, Linux et tous les autres (UNIX Like) ne sont plus vraiment a l'abri si les malwares et les pirates sont capables de bypasser le not de passe du superutilisateur.

Quel monde de... Restons dans le convenable mes amis!

[supersnail]

Bonjour,

@Relabill: en l'occurence le malware bruteforce des mots de passes "classiques" (mots du dictionnaire), donc utiliser ce genre de mots de passe faibles pour un compte superutilisateur relève plus de l'inconscience de l'administrateur que réellement un problème de sécurité inhérent à Linux ou UNIX. Après c'est vrai que ça arrive qu'un malware soit distribué via un applicatif troué (coucou ElasticSearch et ShellShock qui tente d'exploiter des CGI écrits en bash, ou pire HeartBleed), mais là encore ces failles sont rapidement patchées une fois découvertes et c'est toujours de la responsabilité de l'administrateur de maintenir son système à jour

PS: c'est aussi la même sous Windows, c'est soit une vulnérabilité applicative (coucou Flash) soit un problème d'interface chaise-clavier qui est à l'origine de la compromission du système, bien que le système soit plus laxiste quant aux autorisations pour un processus d'aller traficoter l'espace mémoire d'autres processus