"Pas de commentaire" est souvent synonyme d'acquiescement.
Bon ben merci de poursuivre ce combat contre la NSA, dont je fustige l'absence de principes et de respect des lois.
"Pas de commentaire" est souvent synonyme d'acquiescement.
Bon ben merci de poursuivre ce combat contre la NSA, dont je fustige l'absence de principes et de respect des lois.
HeartBleed, oui en effet, d’où la jubilation d'Aeson.
L'explication par image (vu la taille on va se contenter du lien):
http://imgs.xkcd.com/comics/heartbleed_explanation.png
Le principal problème de cette faille est qu'il est in-traçable.
Donc l'inquiétude que j'ai de mon coté, c'est que malgré toute les reviews, ça soit passé a coté. Certains disent que le libre n'est pas assez bon, d'autres diront que ça montre qu'il faut montrer les choses parce que même avec des reviews, on en voit pas tout. C'est une question de choix.
L'autre question qui en découle est: La faille aurait-elle été vu si le projet aurait été closed source ?
Ça serait pas mal de lire l'article que tu as linké quand même.
A aucun moment l'auteur ne remet en cause l'opensource pour écrire ce type de logiciel. Au contraire. Il critique par contre l'absence d'investissement des sociétés utilisatrices.
Il explique par contre qu'il est de la responsabilité des entreprises utilisant ces logiciels d'attribuer suffisamment de fonds à ces projets. Trop de sociétés se contentent d'utiliser les logiciels opensource pour en tirer des bénéfices directs sans pour autant contribuer à l'écosystème.
So the usual open source model of waiting for users to report and fix bugs as they discover them doesn't work for security problems. To find security bugs before the bad guys do, people have to be actively looking for them. And while many IT workers understand the importance of this kind of security auditing, it's much harder to convince management to devote resources to fixing theoretical security bugs when there are always more immediate non-security bugs requiring attention.
J ai jamais dis le contraire...A aucun moment l'auteur ne remet en cause l'opensource pour écrire ce type de logiciel. Au contraire. Il critique par contre l'absence d'investissement des sociétés utilisatrices
Ce que j ai dis c est qu il ne faut pas avoir une confience aveugle dans la communaute opensource car les faits on montre qu elle n est pas assez fiable. Le cas d OpenSsl est le cas le plus flagrant car ils est critique et tres utilisé. Il faut invesstir dans des BON code review et ca coute cher. Souvent plus cher que le proprietaure. Meme Red Hat ne l a
pas fait. Et si on suit les releases ca devient encore plus couteux. Dans le proprietaire les couts son mutualise et il est donc plus facile d avoir un vrai support. Ce qui donne des parts de marche si faible meme si architecturement Linux est mieux fait.
Mais il suffit qu on critique un peu votre licorne magique qu est Linux pour que vous vous enervie directement... ca veut tous dire...
Open source ou pas si une societe qui a les moyens comme la NSA veut vos donnés elle les aura
L OpenSource est bon si il y a les ressources et les moyens derrieres.. ce qui est rarement le cas...
Bon... je vous laisse m insulter 😚
Shadow Brokers : un résumé de la liste des fichiers appartenant à Equation Group qui a été publié
avec les descriptifs associés
Près de deux semaines se sont écoulées depuis que le groupe de pirates se faisant appeler « The Shadow Brokers » a publié des échantillons d’exploits en ligne qu’ils ont prétendu avoir dérobés à « The Equation Group », un groupe disposant d’un arsenal de surveillance numérique tellement impressionnant et sophistiqué qu’il lui a valu le surnom de « dieu » de l’espionnage par Kaspersky. Plusieurs experts ont rattaché ce groupe à la NSA et, sur la base de documents de l’ancien contractuel de la NSA qui n’avaient pas encore été révélés au public, le quotidien Intercept a noté la signature numérique de la NSA, fournissant ainsi un élément de preuve qui va dans la direction des suppositions des experts.
Si des réserves avaient été émises de prime abord quant à la légitimité des exploits, l’équipementier Cisco, suivi par Fortinet ont confirmé dans déclarations que leurs infrastructures étaient vulnérables et que des mesures ont été prises pour endiguer les failles. De son côté, Kaspersky a lui aussi analysé le code qu’il a comparé avec les échantillons de code dans ses archives et a trouvé de nombreuses similitudes entre autres dans les modèles de codage qui lui ont fait déclarer « avec un grand degré de certitude » que les exploits publiés par The Shadow Brokers proviennent effectivement de The Equation Group. « Dans le logiciel malveillant de The Equation Group, la bibliothèque de chiffrement se sert d’une opération de soustraction avec la constante 0x61C88647. Dans la majorité du code RC5 /6 disponible publiquement, cette constante est généralement enregistrée comme étant 0x9E3779B9, qui est basiquement -0x61C88647. Étant donné que l’addition est plus rapide sur certains dispositifs matériels que la soustraction, il est logique de garder la constante dans sa forme négative et de l’ajouter au lieu de soustraire ».
Shadow Brokers a indiqué avoir publié 60 % des fichiers en leur possession puis a décidé de lancer une vente aux enchères afin de vendre les 40 % restant. La plupart des liens URL menant aux détails publiés par Shadow Brokers (sur GitHub, Tumblr ou alors PasteBin) ont été supprimés. Il n'y a aucun nouvel élément ici, toutefois, voici un récapitulatif des différents exploits et outils qui ont pu être trouvés avec les descriptifs associés.
Ici, un outil va désigner un logiciel qui peut déployer de multiples implants ainsi que des exploits. Un implant va représenter un logiciel malveillant qui est installé sur un dispositif compromis. Un exploit pour sa part va représenter une vulnérabilité qui permet à l'attaquant de compromettre le dispositif, d'extraire des données, ou de déployer un implant/outil.
Nom Type Description 1212/DEHEX Outil Outil pour convertir les chaînes de caractères hex en adresses IP et ports BANANABALLOT Implant Implant BIOS BANANAGLEE Implant Implant pare-feu qui ne persiste pas après des réinitialisations. Il fonctionne sur les dispositifs Cisco ASA et PIX BANANALIAR Outil Se connecte à un implant (qui n'est pas encore déterminé pour le moment) BANNANADAIQUIRI Implant Est associé à SCREAMINGPILLOW BARGLEE Implant S'attaque aux pare-feu Juniper NetScreen 5.x BARICE Outil Shell pour déployer BARGLEE BARPUNCH Implant Module BANANAGLEE et BARGLEE BBALL Implant Module BANANAGLEE BBALLOT Implant Module BANANAGLEE BBANJO Implant Module BANANAGLEE BCANDY Implant Module BANANAGLEE BEECHPONY Implant Implant pare-feu (prédécesseur BANANAGLEE) BENIGNCERTAIN Outil Outil pour extraire les clés VPN des pare-feu Cisco PIX BFLEA Implant Module BANANAGLEE BILLOCEAN Outil Extrait des nombres sérialisés des pare-feu Fortinet Fortigate BLATSTING Implant Implant pare-feu pour déployer EGREGIOUSBLUNDER et ELIGIBLEBACHELOR BMASSACRE Implant Module BANANAGLEE et BARGLEE BNSLOG Implant Module BANANAGLEE et BARGLEE BOOKISHMUTE Exploit Exploit contre un pare-feu indéterminé BPATROL Implant Module BANANAGLEE BPICKER Implant Module BANANAGLEE BPIE Implant Module BANANAGLEE et BARGLEE BUSURPER Implant Module BANANAGLEE BUZZDIRECTION Implant Implant pare-feu Fortinet Fortigate CLUCKLINE Implant Module BANANAGLEE CONTAINMENTGRID Exploit Charge utile préparée qui peut être déposée via l'exploit ELIGIBLEBOMBSHELL. Les pare-feu TOPSEC tournant sur running TOS 3.3.005.066.1 sont vulnérables DURABLENAPKIN Outil Outil pour injection de paquets sur des connexions LAN EGREGIOUSBLUNDER Exploit RCE pour des pare-feu Fortinet FortiGate qui affecte les versions 60, 60M, 80C, 200A, 300A, 400A, 500A, 620B, 800, 5000, 1000A, 3600 et 3600A ELIGIBLEBACHELOR Exploit Exploit sur les pare-feu TOPSEC tournant sur les versions 3.2.100.010, 3.3.001.050, 3.3.002.021 et 3.3.002.030 du système d'exploitation TOS ELIGIBLEBOMBSHELL Exploit RCE pour les pare-feu TOPSEC affectant les versions allant de 3.2.100.010.1_pbc_17_iv_3 à 3.3.005.066.1 ELIGIBLECANDIDATE Exploit RCE des pare-feu TOPSEC affectant les versions 3.3.005.057.1 à 3.3.010.024.1 ELIGIBLECONTESTANT Exploit RCE des pare-feu TOPSEC affectant les versions 3.3.005.057.1 à 3.3.010.024.1 et qui ne peut être exécuté qu'après ELIGIBLECANDIDATE EPICBANANA Exploit Élévation de privilèges sur Cisco ASA (versions 711, 712, 721, 722, 723, 724, 80432, 804, 805, 822, 823, 824, 825, 831, 832) et Cisco PIX (versions 711, 712, 721, 722, 723, 724, 804) ESCALATEPLOWMAN Exploit Élévation de privilèges sur les produits WatchGuard. L'entreprise a assuré qu'il ne fonctionne pas sur ses nouveaux produits EXTRABACON Exploit RCE sur Cisco ASA versions 802, 803, 804, 805, 821, 822, 823, 824, 825, 831, 832, 841, 842, 843, 844 (CVE-2016-6366) FALSEMOREL Exploit Exploit Cisco qui extrait les mots de passe activés si Telnet est activé sur le dispositif FEEDTROUGH Implant Implant persistant sur les pare-feu Juniper NetScreen pour déployer BANANAGLEE et ZESTYLEAK FLOCKFORWARD Exploit Charge utile qui peut être livrée via l'exploit ELIGIBLEBOMBSHELL. Elle affecte les pare-feu TOPSEC tournant sur TOS 3.3.005.066.1 FOSHO Outil Bibliothèque Python pour modifier les requêtes HTTP utilisées dans les exploits GOTHAMKNIGHT Exploit Charge utile qui peut être livrée via l'exploit ELIGIBLEBOMBSHELL et qui affecte les pare-feu TOPSEC tournant sur TOS 3.2.100.010.8_pbc_27 HIDDENTEMPLE Exploit Charge utile qui peut être livrée via l'exploit ELIGIBLEBOMBSHELL et qui affecte les pare-feu TOPSEC tournant sur TOS 3.2.8840.1 JETPLOW Implant Implant Cisco ASA et PIX utilisé pour insérer BANANAGLEE dans le firmware du dispositif JIFFYRAUL Implant Module BANANAGLEE pour Cisco PIX NOPEN Outil Outil de post-exploitation shell PANDAROCK Outil Outil pour connecter les implants POLARPAWS POLARPAWS Implant Implant pare-feu pour des constructeurs non déterminés POLARSNEEZE Implant Implant pare-feu pour des constructeurs non déterminés SCREAMINGPLOW Implant Implant Cisco ASA et PIX utilisé pour inséré BANANAGLEE dans le dispositif SECONDDATE Outil Outil d'injection de paquets sur les connexions Wi-Fi et LAN. Utilisé avec BANANAGLEE et BARGLEE TEFLONDOOR Outil Shell de post-exploitation disposant d'une fonction d'autodestruction TURBOPANDA Outil Outil pour connecter les implants HALLUXWATER WOBBLYLLAMA Exploit Charge utile qui peut être livrée via l'exploit ELIGIBLEBOMBSHELL qui affecte les pare-feu TOPSEC tournant sur TOS 3.3.002.030.8_003 XTRACTPLEASING Outil Convertit les données en fichiers PCAP ZESTYLEAK Implant Implant pare-feu Juniper NetScreen
Source : blog Kaspersky, Risk Based Security, Mustafa Al-Bassam, Matt Suiche
Le réseau ça a toujours été mon point faible, donc pas étonnant.
Pour en revenir au sujet, j'imagine que la NSA va aller récupérer les 40% de documents restant via les enchères.
C'est pas très malin si on veut lutter contre Big Brother. Mais bon, c'est très lucratif.
A moins que les failles vendues ne soien'y déjà résolues ^^
Une société de sécurité hongroise vient de modifier le code pour vérifier si la faille pouvait être utilisée sur des versions plus récentes : affirmatif sur toute la gammesnon des pare-feu CISCO.
Source Ars
Shadow Brokers : un autre « Edward Snowden » serait-il à l’origine de la fuite ?
La théorie d'un dénonciateur en interne semble plus plausible
Qui est ce groupe Shadow Brokers qui aurait piraté la NSA et mis aux enchères son arsenal d’espionnage, y compris des failles de sécurité existantes dans les systèmes de certaines entreprises ? Jusqu’ici, la Russie était soupçonnée d’être à l’origine de cette fuite, comme Edward Snowden tendait à conclure dans son analyse des faits. Mais il semble à présent qu’il s’agisse d’une fuite venant de l’intérieur plutôt que d’un piratage externe.
Il ne faudra peut-être plus beaucoup de temps avant de démasquer les Shadow Brokers. De nombreux indices depuis le début des analyses laissent en effet croire qu’un second « Edward Snowden » pourrait être derrière la vente des outils de la NSA. Mais pourquoi la piste d’un autre employé de la NSA serait-elle plus plausible ?
D’abord, les analyses de Shlomo Argamon, professeur et directeur du programme de master en sciences de données à l'Illinois Institute of Technology, montrent que celui ou ceux qui se cachent derrière les Shadow Brokers pourraient être plus proches de la NSA que l’on pourrait le penser et non des attaquants venant de loin comme la Russie. Après avoir fait une analyse linguistique des messages postés par les Shadow Brokers, en supposant qu’il s’agit d’une seule et même personne, Argamon arrive à la conclusion selon laquelle l’auteur serait un anglophone qui essaierait de se faire passer pour quelqu’un qui n’a pas l’anglais pour langue maternelle, logiquement pour essayer de brouiller les pistes. Ce qui peut, du coup, remettre en cause la piste de pirates russes.
D’anciens agents de la NSA, qui ont décidé de rester dans l’anonymat, vont plus loin dans leur analyse et pensent que la fuite viendrait de l’intérieur même. « Mes collègues et moi sommes presque certains que ce n'était pas un hack, ou un groupe », c’est ce qu’a déclaré l'un d'entre eux au site Motherboard. Ce dernier exerçait en tant qu’analyse en cyber intrusion à l’agence. « Ce personnage [derrière] ‘Shadow Brokers’ est un seul gars, un employé en interne », dit-il. Il pense en effet que ce serait beaucoup plus facile pour une personne en interne de voler les données, comme l’a fait Snowden, que pour une personne à l’extérieur de pouvoir les obtenir, même la Russie. En fait, il explique que « les conventions de nommage des répertoires de fichiers, ainsi que certains des scripts dans la fuite étaient accessibles uniquement depuis l’intérieur », parce que stockés sur une machine physiquement isolée du réseau. Ils seraient donc inaccessibles à toute personne non physiquement présente dans le bâtiment de la NSA.
Il tenait surtout à amener les gens à ne pas garder leurs regards sur la Russie alors qu’il est plus plausible que ce serait une personne comme lui, qui travaille ou qui a travaillé à la NSA, qui serait à l’origine de la fuite. « Nous sommes à 99,9 pour cent sûrs que la Russie n'a rien à voir avec cela et même si toutes ces spéculations sont plus sensationnelles dans les médias, la théorie de l'employé en interne ne doit pas être rejetée. Nous pensons qu'elle est plus plausible… Je sens une responsabilité personnelle de proposer la théorie la plus plausible en mon nom et [au nom] du reste des gars comme moi ».
Un autre ancien agent de la NSA également couvert par l’anonymat a également validé cette théorie, estimant qu’il est beaucoup plus facile de sortir de la NSA avec une clé USB ou un CD contenant ces données que de pirater les serveurs de l’agence.
Il est également important de noter, comme l’indique le magazine scientifique international New Scientist, que les outils de la NSA auraient été volés autour d’octobre 2013, soit cinq mois après que Snowden s’est réfugié à Hong Kong. Cela confirme le fait que si c’est un employé de la NSA, c’est peut-être alors un autre qui a été inspiré par le courage d’Edward Snowden.
Sources : Shlomo Argamon, Motherboard, New Scientist
Et vous ?
Que pensez-vous de la théorie d’un autre Snowden ?
La résolution a peu d'importance, spécialement quand ça touche a du matériel type cisco/pix.
Les vieux matériels sont end-of-life, ne sont plus en vente ni supportés depuis un moment et ne seront pas corrigés. Les nouveaux encore supportés auront un patch, mais encore faut il qu'un sysadmin aille ressortir le matériel poussiéreux du placard et applique le patch.
Si on oublie Google et la NSA un instant. La majorité des TPE-PME gardent leur matériel tel quel et seront vulnérables pendant les 10 prochaines années en moyenne.
Quand on sait comme recrute la NSA recrute les 'black hats", cela me surprendrait pas que le problème soit interne.
Cela reste tout à fait plausible et déjà évoqué lors d'autres révélations d'informations. Dans ce cas là, je dirai qu'il n'y en a sans doute pas un seul gars, mais 2 ou 3 ou plus.Que pensez-vous de la théorie d’un autre Snowden ?
Et vu la quantité d'outils utilisés par la NSA, ce ne sera alors sans doute pas la dernière de nos surprises.
En poussant le raisonnement dans cette voie, on pourrait réaliser que rien n'est réellement à l'abri des regards avec toutes les conséquences que cela implique.
Shadow Brokers : l'exploit BENIGNCERTAIN, qui était supposé n'affecter que les pare-feu Cisco PIX,
fonctionne également sur des modèles plus récents
En août, un groupe de pirates qui se fait appeler « The Shadow Brokers » a affirmé être parvenu à mettre la main sur des exploits appartenant au groupe « Equation Group », que Kaspersky avait identifié comme étant le « dieu » du cyberespionnage. Sur son site web, The Shadow Brokers a publié un échantillon d’exploits qu’il a pu récupérer, afin de prouver qu’il avait effectivement réussi le piratage.
Parmi ces échantillons figuraient certains comme BENIGNCERTAIN, un outil pour extraire les clés VPN des pare-feu Cisco PIX, les modèles précédents le Cisco ASA. BENIGNCERTAIN exploite une vulnérabilité dans l'implémentation de Cisco de l'Internet Key Exchange (IKE), un protocole qui utilise des certificats numériques pour établir une connexion sécurisée entre deux parties. L'attaque envoie des paquets malveillants à un dispositif PIX vulnérable. Les paquets obligent le dispositif vulnérable à retourner une partie de la mémoire. Un outil d'analyse syntaxique inclus dans l'exploit est alors en mesure d'extraire des données de clés et d'autres configurations prépartagées du VPN sur la réponse.
Suite à cette divulgation, des chercheurs en sécurité se sont laissés aller à des tests pour vérifier que l’exploit fonctionne sur les équipements de Cisco. Mais ils ne se sont arrêtés qu’aux anciennes versions de Cisco PIX étant donné que des indices dans le code source de l’exploit laissaient penser qu’il ne fonctionnerait que sur ces dispositifs.
Pendant ce temps, Cisco a effectué des tests en interne de ce même exploit et a indiqué que certains modèles récents sont vulnérables.
« Une vulnérabilité dans le paquet Internet Key Exchange version 1 (IKEv1) traitant le code dans les logiciels Cisco IOS, Cisco IOS XE et Cisco IOS XR pourrait permettre à un attaquant distant non authentifié de récupérer le contenu de la mémoire, ce qui pourrait conduire à la divulgation d'informations confidentielles.
La vulnérabilité est due à l'insuffisance des vérifications de contrôles dans la partie du code qui gère les demandes de négociation de sécurité IKEv1. Un attaquant pourrait exploiter cette vulnérabilité en envoyant un paquet IKEv1 modifié à un périphérique affecté configuré pour accepter les demandes de négociation de sécurité IKEv1. Une exploitation réussie pourrait permettre à l'attaquant de récupérer le contenu de la mémoire, ce qui pourrait conduire à la divulgation d'informations confidentielles.
Cisco publiera des mises à jour de logiciels qui répondent à cette vulnérabilité. Il n'y a aucune solution de contournement qui traite de cette vulnérabilité », indiquait l’équipementier le 16 septembre dernier. Parmi les produits affectés figurent les branches 4.3.x, 5.0.x, 5.1.x et 5.2.x de Cisco iOS XR. Toutes les versions de Cisco iOS XE sont affectées. En attendant de proposer un correctif, l'équipementier invite les administrateurs à mettre en œuvre un système de prévention d'intrusion (IPS) ou un système de détection d'intrusion (IDS) pour aider à détecter et à prévenir les attaques qui tentent d'exploiter cette vulnérabilité. Cisco recommande aux administrateurs de surveiller les systèmes affectés.
Lorsque Shadow Brokers a publié les échantillons de code, Cisco était parmi les premiers équipementiers à fournir des correctifs notamment à des exploits comme EPICBANANA (un exploit pour une élévation de privilège sur Cisco ASA), JETPLOW (un implant Cisco ASA et PIX utilisé pour insérer BANANAGLEE dans le firmware du dispositif) et EXTRABACON (un exploit permettant une exécution à distance de code sur Cisco ASA). D’autres équipementiers ont également fourni des correctifs pour colmater les failles exploitées par les outils.
Mustapha Al-Bassam, l’un des chercheurs qui a participé à la vérification de l’authenticité des exploits publiés par Shadow Brokers, s’est indigné : « la NSA s’est servi d’un exploit zero day pour récupérer à distance les clés VPN de pare-feu Cisco pendant quatorze ans ». Et de réclamer par la suite que « pour changer, nous pouvons fonder un institut national de chercheurs qui trouvent et rapportent des vulnérabilités critiques, au lieu d’en profiter ».
Source : Cisco, tweet Mustapha Al-Bassam
Shadow Brokers : la NSA avait oublié son arsenal sur un serveur distant
après une opération d’espionnage il y a trois ans
Qui se cache derrière le piratage des outils d’espionnage de la NSA, y compris des failles de sécurité existantes dans les systèmes de certaines entreprises ? Jusqu’ici, aucun communiqué officiel n’a été fait pour répondre à cette question. Mais d’après le quotidien Reuters, un ancien employé de la NSA aurait par inadvertance donné un coup de main à des pirates. Le comble, l’agence américaine de sécurité nationale savait depuis trois ans que leurs données avaient été exposées et piratées, mais a préféré garder le silence.
Après la fuite qui a été divulguée à la mi-août par un « groupe » de pirates se faisant appeler les Shadow Brokers, la Russie a été immédiatement pointée du doigt, une hypothèse confortée par l’analyse des faits selon Edward Snowden. Fin août, la théorie d’un dénonciateur en interne a été ensuite émise. D’abord avec les analyses de Shlomo Argamon, professeur et directeur du programme de master en sciences de données à l'Illinois Institute of Technology, et ensuite avec les témoignages d’anciens agents de la NSA.
Les analyses linguistiques des messages postés par les Shadow Brokers, par Shlomo Argamon, ont montré que celui ou ceux qui se cachent derrière les Shadow Brokers pourraient être plus proches de la NSA que l’on pourrait le penser et non des attaquants venant de loin comme la Russie. En supposant qu’il s’agit d’une seule et même personne, Argamon est arrivé à la conclusion selon laquelle l’auteur serait un anglophone qui essaierait de se faire passer pour quelqu’un qui n’a pas l’anglais pour langue maternelle, logiquement pour essayer de brouiller les pistes.
D’anciens agents de la NSA ont quant à eux défendu l’hypothèse d’un autre Edward Snowden, étant donné que certains des fichiers qui ont été divulgués étaient accessibles uniquement depuis l’intérieur de la NSA, parce que stockés sur une machine physiquement isolée du réseau de l’agence. Ils seraient donc inaccessibles à toute personne non physiquement présente dans le bâtiment de la NSA.
Alors que l’enquête conduite par le FBI suit son cours, plusieurs sources proches de cette affaire ont révélé séparément au quotidien Reuters qu’un employé de NSA serait bien à l’origine de la fuite, mais pas en tant que dénonciateur comme Edward Snowden. D’après les sources, les responsables de la NSA ont reconnu qu’un agent aurait par mégarde laissé les outils d’espionnage sur un serveur distant il y a trois ans, après une opération dans laquelle l’agence avait elle-même utilisé les outils en question. L’arsenal de cyber espionnage aurait ensuite été découvert par des pirates russes. L’enquête ne dit toutefois pas si ces pirates sont affiliés au gouvernement russe.
D’après les sources de Reuters, l’employé de la NSA qui a commis cette erreur avait reconnu sa faute peu de temps après, mais l’agence n'a pas informé les entreprises du danger quand elle a découvert l'exposition de ses outils. La NSA a préféré se concentrer sur la surveillance du trafic dans le but d’intercepter une éventuelle utilisation des outils piratés par des adversaires étrangers avec de fortes activités de cyber espionnage, comme la Chine ou la Russie. « Cela aurait pu aider [la NSA] à identifier les cibles de piratage des puissances rivales, et les emmener à mieux se défendre. Cela pourrait aussi permettre aux responsables US de voir plus profondément dans les opérations de piratage rivales tout en permettant à la NSA elle-même de continuer à utiliser les outils pour ses propres opérations », rapporte le quotidien Reuters.
La NSA devait donc choisir entre la quantité d’informations précieuses qu’elle pourrait récolter en gardant la menace secrète, et les risques auxquels sont exposés les entreprises et individus alors que des parties adverses tenteront d’exploiter les failles en leur possession. Et comme le montrent les faits, l’agence nationale de sécurité US a préféré laisser les entreprises et organisations exposées, dans le but d’avoir plus d’informations sur les attaques adverses.
Il faut également préciser que l’enquête n’exclut pas le fait que l’employé de la NSA qui a exposé les outils d’espionnage de l’agence l’ait fait de manière délibérée. Ce dernier aurait par la suite quitté l’agence pour d’autres raisons. Les sources révèlent encore que plus d’une personne à la NSA a commis des erreurs similaires.
Source : Reuters
Et vous ?
Qu’en pensez-vous ?
Ou comment fabriquer un ennemi pour justifier son salaire.
Ils espionnent le monde entier, ils laissent des codes sur des serveurs, la Clinton n'utlise pas des serveurs dédiés sécurisés mais c'est toujours la faute des hackers et plus précisement des hackers russes.
Ca va mal finir tout ça, mais ce n'est JAMAIS la faute des américains (le sauveur du monde auto proclamé).
Ne manquez pas ce soir la confrontation entre Trump & Hillary
Excusez nous d avoir laisse trainer une tete nucleaire. Mais on ne vous dit rien pour savoir qui va l utiliser pour savoir qui l a recuperee.
Euh...
Reuters est un quotidien, maintenant ?
Il y a quelques semaines, c'était encore une agence de presse, au même titre que Tass, AFP...
Shadow Brokers publie une liste de serveurs qui ont été utilisés par la NSA,
pour ses opérations d'espionnage avec Equation Group
Pour Halloween, Shadow Brokers, le collectif qui a publié une liste d’outils dont la NSA se serait servis pour mener diverses opérations d’infiltration et d’espionnage, a encore fait d’autres révélations. Après avoir fait un petit discours, mélange d’actualité politique (notamment les élections présidentielles aux Etats-Unis), pouvoir d’achat, guerre numérique et bien d’autres, le collectif a donné accès à un lien, mot de passe à la clé, pour les chercheurs désireux de mettre le grappin sur ces nouveaux éléments.
Selon des analyses de deux chercheurs indépendants, les données publiées par Shadow Brokers contenaient 352 adresses IP distinctes et 306 noms de domaine qui auraient été piratés par la NSA. Les horodateurs inclus dans les fichiers indiquent que les serveurs ont été ciblés entre le 22 août 2000 et le 18 août 2010. Parmi les adresses ciblées figurent 32 domaines .edu et 9 domaines .gov. Au total, les attaques ont été lancées dans 49 pays, les 10 pays les plus ciblés étant la Chine, le Japon, la Corée, l'Espagne, l'Allemagne, l'Inde, Taiwan, le Mexique, l'Italie et la Russie.
En France, nous pouvons signaler la présence de plusieurs domaines appartenant à l’opérateur Colt. « De nombreuses missions sur vos réseaux sont venues et viennent encore de ces adresses IP », a affirmé Shadow Brokers. Pour rappel, plusieurs conjectures rattachent Equation Group, surnommé il y a quelques années par Kaspersky comme étant « le dieu de l’espionnage », à la NSA.
Les fichiers fournissent également d’autres données. Parmi elles, des configurations d’une boîte à outils qui n’a pas encore été déterminée mais qui a servi à pirater des serveurs exécutant des systèmes d’exploitation Unix. Selon les premières analyses des chercheurs, plusieurs de ces serveurs compromis fonctionnaient sous Solaris, qui a connu sa période de gloire au début des années 2000. Linux et FreeBSD figurent également dans la liste.
« Si nous nous fions à ces données, alors elles peuvent contenir une liste d'ordinateurs qui ont été ciblés pendant cette période », a assuré Hacker House, une entreprise fournissant des services de sécurité. « Une brève analyse Shodan de ces hôtes indique que certains des hôtes affectés sont toujours actifs et exécutent le logiciel identifié. Ces hôtes peuvent encore contenir des artefacts d’Equation Group et doivent être soumis à des procédures de traitement des incidents ».
Les domaines et adresses IP semblent appartenir à des entreprises / organisations qui ont été piratées par la NSA. D’après les affirmations de Shadow Brokers lundi, une fois qu'elles ont été compromises, certaines d'entre elles ont peut-être été utilisées pour attaquer d'autres cibles de la NSA. Si cela est vérifié, la liste pourrait aider d'autres entreprises / organisations à déterminer qui peut avoir été derrière les interactions suspectes qu'elles avaient avec les serveurs figurant dans la liste. La possibilité que certains des serveurs piratés aient été utilisés pour attaquer d'autres sites a été soulevée par les chercheurs suite à une discussion portant sur un outil appelé pitchimpair qui désigne « des redirecteurs phares d’Equation Group » selon Shadow Brokers. Il faut rappeler qu’en général, les redirecteurs sont utilisés pour diriger subrepticement un utilisateur d'un domaine vers un autre. « Ainsi la NSA pirate des machines depuis des serveurs compromis en Chine ou en Russie. C’est pourquoi l’attribution (des attaques, NDLR) est si difficile », a commenté le chercheur Mustafa Al-Bassam sur Twitter.
Source : Shadow Brokers, Hacker House, Flash Point, liste des noms de serveurs (document Excel)
Vous avez un bloqueur de publicités installé.
Le Club Developpez.com n'affiche que des publicités IT, discrètes et non intrusives.
Afin que nous puissions continuer à vous fournir gratuitement du contenu de qualité, merci de nous soutenir en désactivant votre bloqueur de publicités sur Developpez.com.
Partager