Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #61
    Expert confirmé
    "Pas de commentaire" est souvent synonyme d'acquiescement.

    Bon ben merci de poursuivre ce combat contre la NSA, dont je fustige l'absence de principes et de respect des lois.

  2. #62
    Membre éclairé
    Citation Envoyé par LSMetag Voir le message
    Y avait pas une faille sur OpenSSL sévissant depuis des années ? Il me semble avoir vu cet article sur DVP.com. Je ne remets pas en question les bienfaits du libre, mais que s'est-il passé pour que cela reste une inconnue, si tant de gens font des revues de code ?
    HeartBleed, oui en effet, d’où la jubilation d'Aeson.
    L'explication par image (vu la taille on va se contenter du lien):
    http://imgs.xkcd.com/comics/heartbleed_explanation.png
    Le principal problème de cette faille est qu'il est in-traçable.


    Donc l'inquiétude que j'ai de mon coté, c'est que malgré toute les reviews, ça soit passé a coté. Certains disent que le libre n'est pas assez bon, d'autres diront que ça montre qu'il faut montrer les choses parce que même avec des reviews, on en voit pas tout. C'est une question de choix.

    L'autre question qui en découle est: La faille aurait-elle été vu si le projet aurait été closed source ?

  3. #63
    Expert confirmé
    Citation Envoyé par Beanux Voir le message
    HeartBleed, oui en effet, d’où la jubilation d'Aeson.
    L'explication par image (vu la taille on va se contenter du lien):
    http://imgs.xkcd.com/comics/heartbleed_explanation.png
    Le principal problème de cette faille est qu'il est in-traçable.


    Donc l'inquiétude que j'ai de mon coté, c'est que malgré toute les reviews, ça soit passé a coté. Certains disent que le libre n'est pas assez bon, d'autres diront que ça montre qu'il faut montrer les choses parce que même avec des reviews, on en voit pas tout. C'est une question de choix.

    L'autre question qui en découle est: La faille aurait-elle été vu si le projet aurait été closed source ?
    Merci pour l'exemple ! Question : Pourquoi vouloir compter les caractères en plus du message ?

  4. #64
    Modérateur

    Citation Envoyé par Aeson Voir le message

    Je te retourne le compliment :

    http://www.vox.com/2014/4/12/5601828...ernet-security

    C'est la qualité pas la quantité... Apparement dans OpenSSL la qualité etait loin d'y etre...
    Ça serait pas mal de lire l'article que tu as linké quand même.

    A aucun moment l'auteur ne remet en cause l'opensource pour écrire ce type de logiciel. Au contraire. Il critique par contre l'absence d'investissement des sociétés utilisatrices.

    Il explique par contre qu'il est de la responsabilité des entreprises utilisant ces logiciels d'attribuer suffisamment de fonds à ces projets. Trop de sociétés se contentent d'utiliser les logiciels opensource pour en tirer des bénéfices directs sans pour autant contribuer à l'écosystème.


    So the usual open source model of waiting for users to report and fix bugs as they discover them doesn't work for security problems. To find security bugs before the bad guys do, people have to be actively looking for them. And while many IT workers understand the importance of this kind of security auditing, it's much harder to convince management to devote resources to fixing theoretical security bugs when there are always more immediate non-security bugs requiring attention.
    Un problème avec Git ? Essayez la FAQ, sinon posez votre question sur le forum.



    "Toute personne croyant qu'une croissance exponentielle peut durer indéfiniment dans un monde fini est soit un fou, soit un économiste."
    Kenneth E. Boulding

    "Les richesses naturelles sont inépuisables, car, sans cela, nous ne les obtiendrions pas gratuitement. Ne pouvant être ni multipliées ni épuisées, elles ne sont pas l’objet des sciences économiques."
    Jean-Baptiste Say, Traité d'économie politique, 1803.

    "/home/earth is 102% full ... please delete anyone you can."
    Inconnu

  5. #65
    Membre éclairé
    Citation Envoyé par LSMetag Voir le message
    Merci pour l'exemple ! Question : Pourquoi vouloir compter les caractères en plus du message ?
    C'est ton payload (charge utile), la taille du message que tu envoies. C'est utilisé dans .... de très très très nombreux protocoles, par exemple IP, TCP, http, etc

  6. #66
    Nouveau Candidat au Club

    A aucun moment l'auteur ne remet en cause l'opensource pour écrire ce type de logiciel. Au contraire. Il critique par contre l'absence d'investissement des sociétés utilisatrices
    J ai jamais dis le contraire...

    Ce que j ai dis c est qu il ne faut pas avoir une confience aveugle dans la communaute opensource car les faits on montre qu elle n est pas assez fiable. Le cas d OpenSsl est le cas le plus flagrant car ils est critique et tres utilisé. Il faut invesstir dans des BON code review et ca coute cher. Souvent plus cher que le proprietaure. Meme Red Hat ne l a
    pas fait. Et si on suit les releases ca devient encore plus couteux. Dans le proprietaire les couts son mutualise et il est donc plus facile d avoir un vrai support. Ce qui donne des parts de marche si faible meme si architecturement Linux est mieux fait.

    Mais il suffit qu on critique un peu votre licorne magique qu est Linux pour que vous vous enervie directement... ca veut tous dire...

    Open source ou pas si une societe qui a les moyens comme la NSA veut vos donnés elle les aura

    L OpenSource est bon si il y a les ressources et les moyens derrieres.. ce qui est rarement le cas...

    Bon... je vous laisse m insulter 😚

  7. #67
    Chroniqueur Actualités

    Shadow Brokers : un résumé de la liste des fichiers appartenant à Equation Group qui a été publiée
    Shadow Brokers : un résumé de la liste des fichiers appartenant à Equation Group qui a été publié
    avec les descriptifs associés

    Près de deux semaines se sont écoulées depuis que le groupe de pirates se faisant appeler « The Shadow Brokers » a publié des échantillons d’exploits en ligne qu’ils ont prétendu avoir dérobés à « The Equation Group », un groupe disposant d’un arsenal de surveillance numérique tellement impressionnant et sophistiqué qu’il lui a valu le surnom de « dieu » de l’espionnage par Kaspersky. Plusieurs experts ont rattaché ce groupe à la NSA et, sur la base de documents de l’ancien contractuel de la NSA qui n’avaient pas encore été révélés au public, le quotidien Intercept a noté la signature numérique de la NSA, fournissant ainsi un élément de preuve qui va dans la direction des suppositions des experts.

    Si des réserves avaient été émises de prime abord quant à la légitimité des exploits, l’équipementier Cisco, suivi par Fortinet ont confirmé dans déclarations que leurs infrastructures étaient vulnérables et que des mesures ont été prises pour endiguer les failles. De son côté, Kaspersky a lui aussi analysé le code qu’il a comparé avec les échantillons de code dans ses archives et a trouvé de nombreuses similitudes entre autres dans les modèles de codage qui lui ont fait déclarer « avec un grand degré de certitude » que les exploits publiés par The Shadow Brokers proviennent effectivement de The Equation Group. « Dans le logiciel malveillant de The Equation Group, la bibliothèque de chiffrement se sert d’une opération de soustraction avec la constante 0x61C88647. Dans la majorité du code RC5 /6 disponible publiquement, cette constante est généralement enregistrée comme étant 0x9E3779B9, qui est basiquement -0x61C88647. Étant donné que l’addition est plus rapide sur certains dispositifs matériels que la soustraction, il est logique de garder la constante dans sa forme négative et de l’ajouter au lieu de soustraire ».


    Shadow Brokers a indiqué avoir publié 60 % des fichiers en leur possession puis a décidé de lancer une vente aux enchères afin de vendre les 40 % restant. La plupart des liens URL menant aux détails publiés par Shadow Brokers (sur GitHub, Tumblr ou alors PasteBin) ont été supprimés. Il n'y a aucun nouvel élément ici, toutefois, voici un récapitulatif des différents exploits et outils qui ont pu être trouvés avec les descriptifs associés.

    Ici, un outil va désigner un logiciel qui peut déployer de multiples implants ainsi que des exploits. Un implant va représenter un logiciel malveillant qui est installé sur un dispositif compromis. Un exploit pour sa part va représenter une vulnérabilité qui permet à l'attaquant de compromettre le dispositif, d'extraire des données, ou de déployer un implant/outil.

    Nom Type Description
    1212/DEHEX Outil Outil pour convertir les chaînes de caractères hex en adresses IP et ports
    BANANABALLOT Implant Implant BIOS
    BANANAGLEE Implant Implant pare-feu qui ne persiste pas après des réinitialisations. Il fonctionne sur les dispositifs Cisco ASA et PIX
    BANANALIAR Outil Se connecte à un implant (qui n'est pas encore déterminé pour le moment)
    BANNANADAIQUIRI Implant Est associé à SCREAMINGPILLOW
    BARGLEE Implant S'attaque aux pare-feu Juniper NetScreen 5.x
    BARICE Outil Shell pour déployer BARGLEE
    BARPUNCH Implant Module BANANAGLEE et BARGLEE
    BBALL Implant Module BANANAGLEE
    BBALLOT Implant Module BANANAGLEE
    BBANJO Implant Module BANANAGLEE
    BCANDY Implant Module BANANAGLEE
    BEECHPONY Implant Implant pare-feu (prédécesseur BANANAGLEE)
    BENIGNCERTAIN Outil Outil pour extraire les clés VPN des pare-feu Cisco PIX
    BFLEA Implant Module BANANAGLEE
    BILLOCEAN Outil Extrait des nombres sérialisés des pare-feu Fortinet Fortigate
    BLATSTING Implant Implant pare-feu pour déployer EGREGIOUSBLUNDER et ELIGIBLEBACHELOR
    BMASSACRE Implant Module BANANAGLEE et BARGLEE
    BNSLOG Implant Module BANANAGLEE et BARGLEE
    BOOKISHMUTE Exploit Exploit contre un pare-feu indéterminé
    BPATROL Implant Module BANANAGLEE
    BPICKER Implant Module BANANAGLEE
    BPIE Implant Module BANANAGLEE et BARGLEE
    BUSURPER Implant Module BANANAGLEE
    BUZZDIRECTION Implant Implant pare-feu Fortinet Fortigate
    CLUCKLINE Implant Module BANANAGLEE
    CONTAINMENTGRID Exploit Charge utile préparée qui peut être déposée via l'exploit ELIGIBLEBOMBSHELL. Les pare-feu TOPSEC tournant sur running TOS 3.3.005.066.1 sont vulnérables
    DURABLENAPKIN Outil Outil pour injection de paquets sur des connexions LAN
    EGREGIOUSBLUNDER Exploit RCE pour des pare-feu Fortinet FortiGate qui affecte les versions 60, 60M, 80C, 200A, 300A, 400A, 500A, 620B, 800, 5000, 1000A, 3600 et 3600A
    ELIGIBLEBACHELOR Exploit Exploit sur les pare-feu TOPSEC tournant sur les versions 3.2.100.010, 3.3.001.050, 3.3.002.021 et 3.3.002.030 du système d'exploitation TOS
    ELIGIBLEBOMBSHELL Exploit RCE pour les pare-feu TOPSEC affectant les versions allant de 3.2.100.010.1_pbc_17_iv_3 à 3.3.005.066.1
    ELIGIBLECANDIDATE Exploit RCE des pare-feu TOPSEC affectant les versions 3.3.005.057.1 à 3.3.010.024.1
    ELIGIBLECONTESTANT Exploit RCE des pare-feu TOPSEC affectant les versions 3.3.005.057.1 à 3.3.010.024.1 et qui ne peut être exécuté qu'après ELIGIBLECANDIDATE
    EPICBANANA Exploit Élévation de privilèges sur Cisco ASA (versions 711, 712, 721, 722, 723, 724, 80432, 804, 805, 822, 823, 824, 825, 831, 832) et Cisco PIX (versions 711, 712, 721, 722, 723, 724, 804)
    ESCALATEPLOWMAN Exploit Élévation de privilèges sur les produits WatchGuard. L'entreprise a assuré qu'il ne fonctionne pas sur ses nouveaux produits
    EXTRABACON Exploit RCE sur Cisco ASA versions 802, 803, 804, 805, 821, 822, 823, 824, 825, 831, 832, 841, 842, 843, 844 (CVE-2016-6366)
    FALSEMOREL Exploit Exploit Cisco qui extrait les mots de passe activés si Telnet est activé sur le dispositif
    FEEDTROUGH Implant Implant persistant sur les pare-feu Juniper NetScreen pour déployer BANANAGLEE et ZESTYLEAK
    FLOCKFORWARD Exploit Charge utile qui peut être livrée via l'exploit ELIGIBLEBOMBSHELL. Elle affecte les pare-feu TOPSEC tournant sur TOS 3.3.005.066.1
    FOSHO Outil Bibliothèque Python pour modifier les requêtes HTTP utilisées dans les exploits
    GOTHAMKNIGHT Exploit Charge utile qui peut être livrée via l'exploit ELIGIBLEBOMBSHELL et qui affecte les pare-feu TOPSEC tournant sur TOS 3.2.100.010.8_pbc_27
    HIDDENTEMPLE Exploit Charge utile qui peut être livrée via l'exploit ELIGIBLEBOMBSHELL et qui affecte les pare-feu TOPSEC tournant sur TOS 3.2.8840.1
    JETPLOW Implant Implant Cisco ASA et PIX utilisé pour insérer BANANAGLEE dans le firmware du dispositif
    JIFFYRAUL Implant Module BANANAGLEE pour Cisco PIX
    NOPEN Outil Outil de post-exploitation shell
    PANDAROCK Outil Outil pour connecter les implants POLARPAWS
    POLARPAWS Implant Implant pare-feu pour des constructeurs non déterminés
    POLARSNEEZE Implant Implant pare-feu pour des constructeurs non déterminés
    SCREAMINGPLOW Implant Implant Cisco ASA et PIX utilisé pour inséré BANANAGLEE dans le dispositif
    SECONDDATE Outil Outil d'injection de paquets sur les connexions Wi-Fi et LAN. Utilisé avec BANANAGLEE et BARGLEE
    TEFLONDOOR Outil Shell de post-exploitation disposant d'une fonction d'autodestruction
    TURBOPANDA Outil Outil pour connecter les implants HALLUXWATER
    WOBBLYLLAMA Exploit Charge utile qui peut être livrée via l'exploit ELIGIBLEBOMBSHELL qui affecte les pare-feu TOPSEC tournant sur TOS 3.3.002.030.8_003
    XTRACTPLEASING Outil Convertit les données en fichiers PCAP
    ZESTYLEAK Implant Implant pare-feu Juniper NetScreen

    Source : blog Kaspersky, Risk Based Security, Mustafa Al-Bassam, Matt Suiche
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  8. #68
    Expert confirmé
    Citation Envoyé par Beanux Voir le message
    C'est ton payload (charge utile), la taille du message que tu envoies. C'est utilisé dans .... de très très très nombreux protocoles, par exemple IP, TCP, http, etc
    Le réseau ça a toujours été mon point faible, donc pas étonnant.

    Pour en revenir au sujet, j'imagine que la NSA va aller récupérer les 40% de documents restant via les enchères.

    C'est pas très malin si on veut lutter contre Big Brother. Mais bon, c'est très lucratif.

    A moins que les failles vendues ne soien'y déjà résolues ^^

  9. #69
    Membre expert
    C'est encore plus grave
    Une société de sécurité hongroise vient de modifier le code pour vérifier si la faille pouvait être utilisée sur des versions plus récentes : affirmatif sur toute la gammesnon des pare-feu CISCO.
    Source Ars
    Repeat after me
    Le monsieur lutte pour la défense des libertés individuelles et collectives

    Repeat after me...

  10. #70
    Chroniqueur Actualités

    Shadow Brokers : un autre employé de la NSA serait-il à l'origine de la nouvelle fuite ?
    Shadow Brokers : un autre « Edward Snowden » serait-il à l’origine de la fuite ?
    La théorie d'un dénonciateur en interne semble plus plausible

    Qui est ce groupe Shadow Brokers qui aurait piraté la NSA et mis aux enchères son arsenal d’espionnage, y compris des failles de sécurité existantes dans les systèmes de certaines entreprises ? Jusqu’ici, la Russie était soupçonnée d’être à l’origine de cette fuite, comme Edward Snowden tendait à conclure dans son analyse des faits. Mais il semble à présent qu’il s’agisse d’une fuite venant de l’intérieur plutôt que d’un piratage externe.

    Il ne faudra peut-être plus beaucoup de temps avant de démasquer les Shadow Brokers. De nombreux indices depuis le début des analyses laissent en effet croire qu’un second « Edward Snowden » pourrait être derrière la vente des outils de la NSA. Mais pourquoi la piste d’un autre employé de la NSA serait-elle plus plausible ?

    D’abord, les analyses de Shlomo Argamon, professeur et directeur du programme de master en sciences de données à l'Illinois Institute of Technology, montrent que celui ou ceux qui se cachent derrière les Shadow Brokers pourraient être plus proches de la NSA que l’on pourrait le penser et non des attaquants venant de loin comme la Russie. Après avoir fait une analyse linguistique des messages postés par les Shadow Brokers, en supposant qu’il s’agit d’une seule et même personne, Argamon arrive à la conclusion selon laquelle l’auteur serait un anglophone qui essaierait de se faire passer pour quelqu’un qui n’a pas l’anglais pour langue maternelle, logiquement pour essayer de brouiller les pistes. Ce qui peut, du coup, remettre en cause la piste de pirates russes.

    D’anciens agents de la NSA, qui ont décidé de rester dans l’anonymat, vont plus loin dans leur analyse et pensent que la fuite viendrait de l’intérieur même. « Mes collègues et moi sommes presque certains que ce n'était pas un hack, ou un groupe », c’est ce qu’a déclaré l'un d'entre eux au site Motherboard. Ce dernier exerçait en tant qu’analyse en cyber intrusion à l’agence. « Ce personnage [derrière] ‘Shadow Brokers’ est un seul gars, un employé en interne », dit-il. Il pense en effet que ce serait beaucoup plus facile pour une personne en interne de voler les données, comme l’a fait Snowden, que pour une personne à l’extérieur de pouvoir les obtenir, même la Russie. En fait, il explique que « les conventions de nommage des répertoires de fichiers, ainsi que certains des scripts dans la fuite étaient accessibles uniquement depuis l’intérieur », parce que stockés sur une machine physiquement isolée du réseau. Ils seraient donc inaccessibles à toute personne non physiquement présente dans le bâtiment de la NSA.

    Il tenait surtout à amener les gens à ne pas garder leurs regards sur la Russie alors qu’il est plus plausible que ce serait une personne comme lui, qui travaille ou qui a travaillé à la NSA, qui serait à l’origine de la fuite. « Nous sommes à 99,9 pour cent sûrs que la Russie n'a rien à voir avec cela et même si toutes ces spéculations sont plus sensationnelles dans les médias, la théorie de l'employé en interne ne doit pas être rejetée. Nous pensons qu'elle est plus plausible… Je sens une responsabilité personnelle de proposer la théorie la plus plausible en mon nom et [au nom] du reste des gars comme moi ».

    Un autre ancien agent de la NSA également couvert par l’anonymat a également validé cette théorie, estimant qu’il est beaucoup plus facile de sortir de la NSA avec une clé USB ou un CD contenant ces données que de pirater les serveurs de l’agence.

    Il est également important de noter, comme l’indique le magazine scientifique international New Scientist, que les outils de la NSA auraient été volés autour d’octobre 2013, soit cinq mois après que Snowden s’est réfugié à Hong Kong. Cela confirme le fait que si c’est un employé de la NSA, c’est peut-être alors un autre qui a été inspiré par le courage d’Edward Snowden.

    Sources : Shlomo Argamon, Motherboard, New Scientist

    Et vous ?

    Que pensez-vous de la théorie d’un autre Snowden ?
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  11. #71
    Membre expert
    Citation Envoyé par LSMetag Voir le message
    A moins que les failles vendues ne soien'y déjà résolues ^^
    La résolution a peu d'importance, spécialement quand ça touche a du matériel type cisco/pix.

    Les vieux matériels sont end-of-life, ne sont plus en vente ni supportés depuis un moment et ne seront pas corrigés. Les nouveaux encore supportés auront un patch, mais encore faut il qu'un sysadmin aille ressortir le matériel poussiéreux du placard et applique le patch.

    Si on oublie Google et la NSA un instant. La majorité des TPE-PME gardent leur matériel tel quel et seront vulnérables pendant les 10 prochaines années en moyenne.

  12. #72
    Membre éprouvé
    Quand on sait comme recrute la NSA recrute les 'black hats", cela me surprendrait pas que le problème soit interne.
    intel i7
    OpenSuse Leap 42.2
    Plasma et Cinnamon

  13. #73
    Membre expert
    Que pensez-vous de la théorie d’un autre Snowden ?
    Cela reste tout à fait plausible et déjà évoqué lors d'autres révélations d'informations. Dans ce cas là, je dirai qu'il n'y en a sans doute pas un seul gars, mais 2 ou 3 ou plus.
    Et vu la quantité d'outils utilisés par la NSA, ce ne sera alors sans doute pas la dernière de nos surprises.
    En poussant le raisonnement dans cette voie, on pourrait réaliser que rien n'est réellement à l'abri des regards avec toutes les conséquences que cela implique.
    Repeat after me
    Le monsieur lutte pour la défense des libertés individuelles et collectives

    Repeat after me...

  14. #74
    Chroniqueur Actualités

    Shadow Brokers : l'exploit BENIGNCERTAIN fonctionne également sur Cisco ASA
    Shadow Brokers : l'exploit BENIGNCERTAIN, qui était supposé n'affecter que les pare-feu Cisco PIX,
    fonctionne également sur des modèles plus récents

    En août, un groupe de pirates qui se fait appeler « The Shadow Brokers » a affirmé être parvenu à mettre la main sur des exploits appartenant au groupe « Equation Group », que Kaspersky avait identifié comme étant le « dieu » du cyberespionnage. Sur son site web, The Shadow Brokers a publié un échantillon d’exploits qu’il a pu récupérer, afin de prouver qu’il avait effectivement réussi le piratage.

    Parmi ces échantillons figuraient certains comme BENIGNCERTAIN, un outil pour extraire les clés VPN des pare-feu Cisco PIX, les modèles précédents le Cisco ASA. BENIGNCERTAIN exploite une vulnérabilité dans l'implémentation de Cisco de l'Internet Key Exchange (IKE), un protocole qui utilise des certificats numériques pour établir une connexion sécurisée entre deux parties. L'attaque envoie des paquets malveillants à un dispositif PIX vulnérable. Les paquets obligent le dispositif vulnérable à retourner une partie de la mémoire. Un outil d'analyse syntaxique inclus dans l'exploit est alors en mesure d'extraire des données de clés et d'autres configurations prépartagées du VPN sur la réponse.

    Suite à cette divulgation, des chercheurs en sécurité se sont laissés aller à des tests pour vérifier que l’exploit fonctionne sur les équipements de Cisco. Mais ils ne se sont arrêtés qu’aux anciennes versions de Cisco PIX étant donné que des indices dans le code source de l’exploit laissaient penser qu’il ne fonctionnerait que sur ces dispositifs.

    Pendant ce temps, Cisco a effectué des tests en interne de ce même exploit et a indiqué que certains modèles récents sont vulnérables.


    « Une vulnérabilité dans le paquet Internet Key Exchange version 1 (IKEv1) traitant le code dans les logiciels Cisco IOS, Cisco IOS XE et Cisco IOS XR pourrait permettre à un attaquant distant non authentifié de récupérer le contenu de la mémoire, ce qui pourrait conduire à la divulgation d'informations confidentielles.

    La vulnérabilité est due à l'insuffisance des vérifications de contrôles dans la partie du code qui gère les demandes de négociation de sécurité IKEv1. Un attaquant pourrait exploiter cette vulnérabilité en envoyant un paquet IKEv1 modifié à un périphérique affecté configuré pour accepter les demandes de négociation de sécurité IKEv1. Une exploitation réussie pourrait permettre à l'attaquant de récupérer le contenu de la mémoire, ce qui pourrait conduire à la divulgation d'informations confidentielles.

    Cisco publiera des mises à jour de logiciels qui répondent à cette vulnérabilité. Il n'y a aucune solution de contournement qui traite de cette vulnérabilité », indiquait l’équipementier le 16 septembre dernier. Parmi les produits affectés figurent les branches 4.3.x, 5.0.x, 5.1.x et 5.2.x de Cisco iOS XR. Toutes les versions de Cisco iOS XE sont affectées. En attendant de proposer un correctif, l'équipementier invite les administrateurs à mettre en œuvre un système de prévention d'intrusion (IPS) ou un système de détection d'intrusion (IDS) pour aider à détecter et à prévenir les attaques qui tentent d'exploiter cette vulnérabilité. Cisco recommande aux administrateurs de surveiller les systèmes affectés.

    Lorsque Shadow Brokers a publié les échantillons de code, Cisco était parmi les premiers équipementiers à fournir des correctifs notamment à des exploits comme EPICBANANA (un exploit pour une élévation de privilège sur Cisco ASA), JETPLOW (un implant Cisco ASA et PIX utilisé pour insérer BANANAGLEE dans le firmware du dispositif) et EXTRABACON (un exploit permettant une exécution à distance de code sur Cisco ASA). D’autres équipementiers ont également fourni des correctifs pour colmater les failles exploitées par les outils.

    Mustapha Al-Bassam, l’un des chercheurs qui a participé à la vérification de l’authenticité des exploits publiés par Shadow Brokers, s’est indigné : « la NSA s’est servi d’un exploit zero day pour récupérer à distance les clés VPN de pare-feu Cisco pendant quatorze ans ». Et de réclamer par la suite que « pour changer, nous pouvons fonder un institut national de chercheurs qui trouvent et rapportent des vulnérabilités critiques, au lieu d’en profiter ».


    Source : Cisco, tweet Mustapha Al-Bassam
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  15. #75
    Chroniqueur Actualités

    Shadow Brokers : la NSA avait oublié son arsenal sur un serveur distant après une opération d’espionnage
    Shadow Brokers : la NSA avait oublié son arsenal sur un serveur distant
    après une opération d’espionnage il y a trois ans

    Qui se cache derrière le piratage des outils d’espionnage de la NSA, y compris des failles de sécurité existantes dans les systèmes de certaines entreprises ? Jusqu’ici, aucun communiqué officiel n’a été fait pour répondre à cette question. Mais d’après le quotidien Reuters, un ancien employé de la NSA aurait par inadvertance donné un coup de main à des pirates. Le comble, l’agence américaine de sécurité nationale savait depuis trois ans que leurs données avaient été exposées et piratées, mais a préféré garder le silence.

    Après la fuite qui a été divulguée à la mi-août par un « groupe » de pirates se faisant appeler les Shadow Brokers, la Russie a été immédiatement pointée du doigt, une hypothèse confortée par l’analyse des faits selon Edward Snowden. Fin août, la théorie d’un dénonciateur en interne a été ensuite émise. D’abord avec les analyses de Shlomo Argamon, professeur et directeur du programme de master en sciences de données à l'Illinois Institute of Technology, et ensuite avec les témoignages d’anciens agents de la NSA.

    Les analyses linguistiques des messages postés par les Shadow Brokers, par Shlomo Argamon, ont montré que celui ou ceux qui se cachent derrière les Shadow Brokers pourraient être plus proches de la NSA que l’on pourrait le penser et non des attaquants venant de loin comme la Russie. En supposant qu’il s’agit d’une seule et même personne, Argamon est arrivé à la conclusion selon laquelle l’auteur serait un anglophone qui essaierait de se faire passer pour quelqu’un qui n’a pas l’anglais pour langue maternelle, logiquement pour essayer de brouiller les pistes.

    D’anciens agents de la NSA ont quant à eux défendu l’hypothèse d’un autre Edward Snowden, étant donné que certains des fichiers qui ont été divulgués étaient accessibles uniquement depuis l’intérieur de la NSA, parce que stockés sur une machine physiquement isolée du réseau de l’agence. Ils seraient donc inaccessibles à toute personne non physiquement présente dans le bâtiment de la NSA.

    Alors que l’enquête conduite par le FBI suit son cours, plusieurs sources proches de cette affaire ont révélé séparément au quotidien Reuters qu’un employé de NSA serait bien à l’origine de la fuite, mais pas en tant que dénonciateur comme Edward Snowden. D’après les sources, les responsables de la NSA ont reconnu qu’un agent aurait par mégarde laissé les outils d’espionnage sur un serveur distant il y a trois ans, après une opération dans laquelle l’agence avait elle-même utilisé les outils en question. L’arsenal de cyber espionnage aurait ensuite été découvert par des pirates russes. L’enquête ne dit toutefois pas si ces pirates sont affiliés au gouvernement russe.

    D’après les sources de Reuters, l’employé de la NSA qui a commis cette erreur avait reconnu sa faute peu de temps après, mais l’agence n'a pas informé les entreprises du danger quand elle a découvert l'exposition de ses outils. La NSA a préféré se concentrer sur la surveillance du trafic dans le but d’intercepter une éventuelle utilisation des outils piratés par des adversaires étrangers avec de fortes activités de cyber espionnage, comme la Chine ou la Russie. « Cela aurait pu aider [la NSA] à identifier les cibles de piratage des puissances rivales, et les emmener à mieux se défendre. Cela pourrait aussi permettre aux responsables US de voir plus profondément dans les opérations de piratage rivales tout en permettant à la NSA elle-même de continuer à utiliser les outils pour ses propres opérations », rapporte le quotidien Reuters.

    La NSA devait donc choisir entre la quantité d’informations précieuses qu’elle pourrait récolter en gardant la menace secrète, et les risques auxquels sont exposés les entreprises et individus alors que des parties adverses tenteront d’exploiter les failles en leur possession. Et comme le montrent les faits, l’agence nationale de sécurité US a préféré laisser les entreprises et organisations exposées, dans le but d’avoir plus d’informations sur les attaques adverses.

    Il faut également préciser que l’enquête n’exclut pas le fait que l’employé de la NSA qui a exposé les outils d’espionnage de l’agence l’ait fait de manière délibérée. Ce dernier aurait par la suite quitté l’agence pour d’autres raisons. Les sources révèlent encore que plus d’une personne à la NSA a commis des erreurs similaires.

    Source : Reuters

    Et vous ?

    Qu’en pensez-vous ?
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  16. #76
    Expert éminent
    Ou comment fabriquer un ennemi pour justifier son salaire.
    Site perso
    Recommandations pour débattre sainement

    Références récurrentes :
    The Cambridge Handbook of Expertise and Expert Performance
    L’Art d’avoir toujours raison (ou ce qu'il faut éviter pour pas que je vous saute à la gorge {^_^})

  17. #77
    Membre extrêmement actif
    Ils espionnent le monde entier, ils laissent des codes sur des serveurs, la Clinton n'utlise pas des serveurs dédiés sécurisés mais c'est toujours la faute des hackers et plus précisement des hackers russes.

    Ca va mal finir tout ça, mais ce n'est JAMAIS la faute des américains (le sauveur du monde auto proclamé).

    Ne manquez pas ce soir la confrontation entre Trump & Hillary
    Si la réponse vous a aidé, pensez à cliquer sur +1

  18. #78
    Membre expert
    Excusez nous d avoir laisse trainer une tete nucleaire. Mais on ne vous dit rien pour savoir qui va l utiliser pour savoir qui l a recuperee.
    Repeat after me
    Le monsieur lutte pour la défense des libertés individuelles et collectives

    Repeat after me...

  19. #79
    Membre chevronné
    Euh...
    Reuters est un quotidien, maintenant ?
    Il y a quelques semaines, c'était encore une agence de presse, au même titre que Tass, AFP...
    « Un peuple qui est prêt à sacrifier un peu de liberté contre un peu de sécurité, ne mérite ni l'une, ni l'autre, et finira par perdre les deux. »
    Attribué indistinctement à :
    Thomas Jefferson
    Benjamin Franklin
    Albert Einstein !

  20. #80
    Chroniqueur Actualités

    Shadow Brokers publie une liste de serveurs qui ont été utilisés par la NSA
    Shadow Brokers publie une liste de serveurs qui ont été utilisés par la NSA,
    pour ses opérations d'espionnage avec Equation Group

    Pour Halloween, Shadow Brokers, le collectif qui a publié une liste d’outils dont la NSA se serait servis pour mener diverses opérations d’infiltration et d’espionnage, a encore fait d’autres révélations. Après avoir fait un petit discours, mélange d’actualité politique (notamment les élections présidentielles aux Etats-Unis), pouvoir d’achat, guerre numérique et bien d’autres, le collectif a donné accès à un lien, mot de passe à la clé, pour les chercheurs désireux de mettre le grappin sur ces nouveaux éléments.

    Selon des analyses de deux chercheurs indépendants, les données publiées par Shadow Brokers contenaient 352 adresses IP distinctes et 306 noms de domaine qui auraient été piratés par la NSA. Les horodateurs inclus dans les fichiers indiquent que les serveurs ont été ciblés entre le 22 août 2000 et le 18 août 2010. Parmi les adresses ciblées figurent 32 domaines .edu et 9 domaines .gov. Au total, les attaques ont été lancées dans 49 pays, les 10 pays les plus ciblés étant la Chine, le Japon, la Corée, l'Espagne, l'Allemagne, l'Inde, Taiwan, le Mexique, l'Italie et la Russie.

    En France, nous pouvons signaler la présence de plusieurs domaines appartenant à l’opérateur Colt. « De nombreuses missions sur vos réseaux sont venues et viennent encore de ces adresses IP », a affirmé Shadow Brokers. Pour rappel, plusieurs conjectures rattachent Equation Group, surnommé il y a quelques années par Kaspersky comme étant « le dieu de l’espionnage », à la NSA.

    Les fichiers fournissent également d’autres données. Parmi elles, des configurations d’une boîte à outils qui n’a pas encore été déterminée mais qui a servi à pirater des serveurs exécutant des systèmes d’exploitation Unix. Selon les premières analyses des chercheurs, plusieurs de ces serveurs compromis fonctionnaient sous Solaris, qui a connu sa période de gloire au début des années 2000. Linux et FreeBSD figurent également dans la liste.

    « Si nous nous fions à ces données, alors elles peuvent contenir une liste d'ordinateurs qui ont été ciblés pendant cette période », a assuré Hacker House, une entreprise fournissant des services de sécurité. « Une brève analyse Shodan de ces hôtes indique que certains des hôtes affectés sont toujours actifs et exécutent le logiciel identifié. Ces hôtes peuvent encore contenir des artefacts d’Equation Group et doivent être soumis à des procédures de traitement des incidents ».

    Les domaines et adresses IP semblent appartenir à des entreprises / organisations qui ont été piratées par la NSA. D’après les affirmations de Shadow Brokers lundi, une fois qu'elles ont été compromises, certaines d'entre elles ont peut-être été utilisées pour attaquer d'autres cibles de la NSA. Si cela est vérifié, la liste pourrait aider d'autres entreprises / organisations à déterminer qui peut avoir été derrière les interactions suspectes qu'elles avaient avec les serveurs figurant dans la liste. La possibilité que certains des serveurs piratés aient été utilisés pour attaquer d'autres sites a été soulevée par les chercheurs suite à une discussion portant sur un outil appelé pitchimpair qui désigne « des redirecteurs phares d’Equation Group » selon Shadow Brokers. Il faut rappeler qu’en général, les redirecteurs sont utilisés pour diriger subrepticement un utilisateur d'un domaine vers un autre. « Ainsi la NSA pirate des machines depuis des serveurs compromis en Chine ou en Russie. C’est pourquoi l’attribution (des attaques, NDLR) est si difficile », a commenté le chercheur Mustafa Al-Bassam sur Twitter.

    Source : Shadow Brokers, Hacker House, Flash Point, liste des noms de serveurs (document Excel)
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités