+ Répondre à la discussion Actualité déjà publiée
Page 5 sur 5 PremièrePremière 12345
  1. #81
    Membre actif
    Homme Profil pro
    Webdesigner
    Inscrit en
    juin 2014
    Messages
    123
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 57
    Localisation : France, Hautes Pyrénées (Midi Pyrénées)

    Informations professionnelles :
    Activité : Webdesigner
    Secteur : Associations - ONG

    Informations forums :
    Inscription : juin 2014
    Messages : 123
    Points : 249
    Points
    249

    Par défaut

    les 10 pays les plus ciblés étant la Chine, le Japon, la Corée, l'Espagne, l'Allemagne, l'Inde, Taiwan, le Mexique, l'Italie et la Russie.
    T'imagines l'importance de la France ? derrière l'Italie et l'Espagne. Et on se croit encore un grand pays !

  2. #82
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    2 855
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 2 855
    Points : 62 810
    Points
    62 810

    Par défaut Shadow Brokers : l'analyse de la dernière archive publiée par cette entité

    Shadow Brokers : l'analyse de la dernière archive publiée par cette entité
    semble accréditer la théorie d'un dénonciateur en interne

    Cela fait déjà plusieurs mois qu’une entité se faisant appelé The Shadow Brokers a affirmé avoir piraté un serveur de la NSA pour y récupérer un arsenal offensif qu'elle a placé en vente. Si l'hypothèse d'un dénonciateur interne a fait son bonhomme de chemin, l'analyse de la dernière archive publiée par Shadow Brokers semble désormais le confirmer.

    « L’entité connue sous le nom de "The Shadow Brokers", qui offre actuellement des exploits de la NSA à la vente, peut avoir révélé par inadvertance son type d'accès ainsi que les efforts qu'il a fait pour envoyer les analystes dans la mauvaise direction. La dernière publication de cet acteur, une vente sur ZeroNet, pointe vers un initié ayant accès à un référentiel de code, par opposition à une mauvaise sécurité des opérateurs de réseau de la NSA qui ont laissé des exploits sur un serveur de transit », ont avancé Ronnie Tokazowski et Vitali Kremez, deux chercheurs de l’unité Cybercrime, Emerging Threats, Trending de Flashpoint, une entreprise spécialisée dans la Business Risk Intelligence (BRI).

    Le 14 décembre dernier, une publication sur Medium qui avait comme titre « est-ce que les Shadow Brokers vendraient l’arsenal de la NSA sur ZeroNet ? » a été mise en ligne par l’alias « Boceffus Cleetus ». Fait étrange : Flashpoint a noté que cet alias n’existait pas sur la plateforme avant décembre 2016. Dans la publication, le fameux Boceffus Cleetus a prétendu que l’entité Shadow Brokers essayait de vendre plus d’arsenal de la NSA avec l'intégralité du dump offert pour 1 000 Bitcoin (environ 800 000 dollars). Nombreux sont les outils qui, vendus séparément, étaient proposés entre 10 et 100 Bitcoin (environ 8 000 et 80 000 dollars). Boceffus Cleetus a également évoqué une théorie selon laquelle les fuites sont liées aux conflits inter-agences entre la CIA et la NSA. « Flashpoint n'est pas en mesure de confirmer ces revendications, mais les informations semblent dériver d'une source avec un accès direct au référentiel exploit »

    « En examinant cette archive et la façon dont les données sont structurées, nous sommes à peu près certains qu’elle provient d’un entrepôt de données interne [à la NSA] et que c’est probablement un employé ou un sous-traitant qui y a eu accès. Nous ignorons la façon dont ces documents ont été extraits, mais ils semblent avoir été copiés à partir d'un système interne ou d'un référentiel de code et non accessibles directement par l'intermédiaire d'un accès distant externe ou découverts sur un quelconque serveur intermédiaire de transit ».

    Pourquoi le spécialiste pense-t-il cela ?

    Tout d’abord, dans le fichier auction_file, Shadow Brokers a fournis des captures d’écran pour attester de l’authenticité des données. Toutefois, FlashPoint assure qu’une capture d’écran dans le fichier a révélé que les horodatages avaient été modifiés. Sur la base des icônes de dossier, Flashpoint a supposé que les screenshots ont été pris sur un système Linux ; l’entité pourrait avoir pris les captures d'écran dans une machine virtuelle à des fins de protection. D’ailleurs le spécialiste assure que l’image ci-dessous révèle que l’entité disposait de la capacité technique à modifier les horodatages dans Linux, ce qui peut être fait avec la commande "touch -d”.


    De plus, si Shadow Brokers a inclus des fichiers supplémentaires dans la liste communiquée au public comme preuve de l'authenticité des données. Plusieurs fichiers texte sont répertoriés, qui contiennent une liste de fichiers et les tailles de fichier des données. L’analyse de ces fichiers a révélé qu’il s’agissait d’instructions sur la façon d’utiliser les outils offerts à la vente.


    L'arborescence des outils révèle différents fichiers .COMMON.


    Le fichier user[.]tool[.]cursehappy[.]COMMON semble être un document d'instructions détaillé

    Certains fichiers, comme l’image au dessus, ont un certain format qui suggère qu’il s’agit d’un template de document interne. Dans certains d’entre eux, il y a même des dates qui figurent en en-tête.


    Une analyse plus approfondie des dossiers révèle des recommandations sur la suppression des journaux et le pivotement vers les réseaux, ainsi que sur certaines actions qui laisseraient des traces. Dans une grande partie de la documentation, les attaquants donnent des conseils pratiques sur l'exploitation des réseaux, ce qui permet de copier et coller facilement les instructions. Dans l’image ci-dessous, "mx" peut être utilisé dans vi comme un marqueur pour revenir à cette section. Avec la façon dont la documentation est écrite, les commandes sont censées être copiées et collées d'une fenêtre à l'autre.


    Enfin, Flashpoint est persuadé que Shadow Brokers a eu accès à ces fichiers depuis 2013 : dans le fichier “stoicversions[.]levels,”, différents fichiers sont listés par date. La date la plus récente trouvée sur ce dump est le 16 juillet 2013, date qui serait indicative de l’accès le plus récent au dump. Se pose alors la question de savoir
    la motivation réelle des Shadow Brokers : si ceux-ci sont uniquement motivés par l’argent, pourquoi avoir attendu trois ans avant de publier leurs trouvailles, qui se sont démonétisées dans l’intervalle ? A moins que ce groupe de pirates n’ait récupéré ces données d’un acteur tiers.

    .

    Un autre chercheur en sécurité ayant pour pseudonyme The Grugq, est arrivé aux mêmes conclusions que FlashPoint : « la publication de cette archive (la dernière en date, NDLR) en dit long, en particulier sur le fait que les Shadow Brokers ont accès aux outils, implants et exploits qui ne peuvent exister qu’en zone protégée (au sein des réseaux classifiés de la NSA) ». De plus, il affirme que l’hypothèse d’un arsenal de la NSA qui a pu être obtenu après un détournement d’un de ses serveurs n’est pas logique, l’agence ne déployant certainement pas tout son arsenal sur une machine exposée.

    Ce n’est pas la première fois qu’un élément interne est évoqué comme étant la source de la diffusion des informations relatives aux outils de la NSA. En octobre dernier, sur la base du témoignage d’enquêteurs, le New York Times a affirmé qu’Harold Thomas Martin III, un salarié de Booz Allen Hamilton ayant travaillé comme sous-traitant pour la NSA et arrêté fin août à son domicile était, au moment de la perquisition de son domicile, en possession d’outils de hacking de la NSA récemment mis en vente par les Shadow Brokers. Pendant son contrat, Hal Martin a travaillé pour le département Tailored Access Operations, notamment pour l’unité chargée des cyber-opérations offensives de la NSA et du développement d’outils de hacking.

    Source : Flashpoint, NYT
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  3. #83
    Membre à l'essai
    Femme Profil pro
    Analyste d'exploitation
    Inscrit en
    juillet 2016
    Messages
    14
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Analyste d'exploitation

    Informations forums :
    Inscription : juillet 2016
    Messages : 14
    Points : 14
    Points
    14

    Par défaut

    Modifier les dates des dossiers, mais pas dans les fichiers, avoir les capacités technique pour utiliser un touch, Merci captain obvious.
    C'est toujours interessant d'avoir l'avis de grand spécialiste.

  4. #84
    Expert éminent sénior
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    septembre 2012
    Messages
    2 298
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Finistère (Bretagne)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels

    Informations forums :
    Inscription : septembre 2012
    Messages : 2 298
    Points : 10 984
    Points
    10 984

    Par défaut

    Ça sent le pot de miel à plein nez cette affaire.

    C'est pas con en un sens. Si tu es sur de pouvoir tracer tous les appels à ton outil, par exemple en sniffant 90% du réseau mondial (tiens, la NSA? :p ), mettre tes outils à disposition est une bonne manière :

    1/ De savoir qui sera ciblé. Pour pouvoir protéger les intérêts américains et trouver les coupable.

    2/ De profiter du travail des autres : plus besoin de faire soi-même, d'autres le feront pour vous, qui sauront surement où et comment chercher.


    Bref, qu'un truc comme ça sorte comme ça, c'est gros, et dans le monde des espions, j'ai du mal à y croire.

    En tout cas, si c'est vrai et que c'est vraiment une fuite, ça doit chier des bulles carrées dans les hautes sphères des renseignements US!

  5. #85
    Chroniqueur Actualités
    Avatar de Michael Guilloux
    Homme Profil pro
    Consultant
    Inscrit en
    juillet 2013
    Messages
    1 405
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 26
    Localisation : Côte d'Ivoire

    Informations professionnelles :
    Activité : Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : juillet 2013
    Messages : 1 405
    Points : 39 552
    Points
    39 552
    Billets dans le blog
    2

    Par défaut Shadow Brokers : des exploits Windows et des preuves indiquant que le réseau SWIFT aurait été piraté

    Shadow Brokers : des exploits Windows et des preuves indiquant que le réseau SWIFT aurait été compromis par la NSA
    ont été mis en ligne

    Le groupe de pirates se faisant appeler Shadow Brokers vient de publier de nouveaux documents, outils et exploits utilisés par la NSA. Rappelons-le, Shadow Brokers avait annoncé avoir réussi à pirater la NSA en août dernier et mettre la main sur l’arsenal de piratage de l’agence américaine. De nombreux documents issus de ce vol avaient même déjà été publiés.

    Dans la nouvelle fuite, ce sont des exploits et outils, la plupart ciblant les PC et serveurs Windows, qui ont été mis en ligne. D’après plusieurs documents, la NSA aurait également exploité des failles dans les systèmes de Microsoft pour cibler plusieurs banques, y compris le système interbancaire bancaire SWIFT. On note douze exploits pour les produits de Microsoft parmi les 23 publiés par Shadow Brokers sur GitHub :

    • ExplodingCan : un exploit pour Microsoft IIS 6.0 qui crée un backdoor à distance ;
    • EternalRomance : un exploit SMB qui cible Windows XP, Vista, 7, 8, Windows Server 2003, 2008 et 2008 R2. Pour information, SMB (Server Message Block) est un protocole permettant le partage de ressources (fichiers et imprimantes) sur des réseaux locaux avec des PC sous Windows ;
    • EducatedScholar : un exploit SMB ;
    • EmeraldThread : un exploit SMB pour Windows XP et Server 2003 ;
    • EnglishmanDentist  : il définit les règles Outlook Exchange WebAccess pour déclencher un code exécutable du côté du client pour envoyer un courrier électronique à d'autres utilisateurs ;
    • ErraticGopher : un exploit SMBv1 ciblant Windows XP et Server 2003 ;
    • EternalSynergy : une vulnérabilité SMBv3 d'exécution de code distant sur Windows 8 et Server 2012 ;
    • EternalBlue : un exploit SMBv2 pour Windows 7 SP1 ;
    • EternalChampion : un exploit SMBv1 ;
    • EskimoRoll : un exploit Kerberos (un protocole d'authentification réseau) ciblant les contrôleurs de domaine Windows Server 2000, 2003, 2008 et 2008 R2 ;
    • EsteemAudit : un exploit RDP pour Windows Server 2003. Remote Desktop Protocol (RDP) est un protocole qui permet à un utilisateur de se connecter sur un serveur exécutant Microsoft Terminal Services ;
    • EclipsedWing : un exploit RCE pour le service Serveur dans Windows Server 2008 et les versions ultérieures.

    La liste est complétée par des exploits pour IBM Lotus Note et Domino, Sendmail, IMail, Linux, entre autres. Kevin Beaumont, un ingénieur en sécurité basé à Londres, dit avoir pu tester certains exploits et assure qu’ils sont fonctionnels.

    Microsoft a déjà corrigé les exploits sur les versions de Windows encore supportées

    Après cette nouvelle publication de Shadow Brokers, Microsoft explique que ses clients ont exprimé leurs préoccupations quant aux risques auxquels ils sont désormais exposés. Après analyse des exploits divulgués, Microsoft assure toutefois que la plupart ont été corrigés. « La plupart des exploits qui ont été décrits sont des vulnérabilités qui sont déjà corrigées dans nos produits pris en charge », a expliqué Phillip Misner, Principal Security Group Manager de Microsoft Security Response Center.

    Seuls les exploits EnglishmanDentist, EsteemAudit et ExplodingCan n’ont pas été corrigés et Phillip Misner rappelle qu’ils concernent des produits qui ne sont plus pris en charge par la société. « Cela signifie que les clients exécutant Windows 7 et les versions plus récentes de Windows ou Exchange 2010 et les versions plus récentes d'Exchange ne risquent rien. Les clients qui exécutent encore des versions antérieures de ces produits sont invités à se mettre à niveau vers une offre prise en charge », a-t-il ajouté.

    La NSA aurait également compromis le réseau interbancaire SWIFT

    L’une des grandes révélations des documents récemment publiés par Shadow Brokers est que la NSA aurait également compris le réseau interbancaire SWIFT. Matt Suiche, un hacker français et cofondateur de CloudVolumes, s’est penché sur le lot de fichiers relatifs à SWIFT et partage ses découvertes.

    Pour information, l'organisation SWIFT fournit un réseau qui permet à plus de 10 000 institutions financières et entreprises de plus de 200 pays d'envoyer et de recevoir des informations sur les transactions financières entre elles. SWIFT repose sur un réseau de partenaires (des bureaux de service SWIFT certifiés) qui offrent aux clients des solutions pour accéder à la gamme complète des services SWIFT. Les bureaux de service fournissent donc de nombreux services liés aux transactions SWIFT, y compris des services de conformité et de lutte contre le blanchiment d'argent. Les transactions bancaires sont également hébergées et gérées par les bureaux de service SWIFT via une base de données et des logiciels SWIFT.

    Les documents publiés par Shadow Brokers montrent que la NSA avait mené des missions visant à compromettre des services de bureau et éventuellement tout le réseau SWIFT. L’une des missions JEEPFLEA_MARKET, datant de 2013, cible EastNets, le plus grand bureau de service SWIFT du Moyen-Orient. EastNets a des bureaux en Belgique, en Jordanie, en Égypte et aux Émirats arabes unis (UAE). La mission, quant à elle, ciblait les bureaux de la Belgique, de Dubaï et l’Égypte. Dans une présentation PowerPoint de la NSA, l’agence américaine fait le point de l’avancement de la mission et on peut voir qu’elle avait déjà réussi à compromettre le bureau de service SWIFT.


    Sources : Matt Suiche, Microsoft, Kevin Beaumont, GitHub

    Et vous ?

    Qu'en pensez-vous ?

    Voir aussi :

    Un ancien employé de la NSA aurait dérobé plus de 75 % des outils de piratage du TAO, une unité de piratage d'élite de la NSA
    Vault 7 : WikiLeaks dévoile les outils utilisés par la CIA pour infecter les PC Windows et échapper à la détection des logiciels de sécurité
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  6. #86
    Membre éprouvé Avatar de marsupial
    Homme Profil pro
    DevOp, Tech leader
    Inscrit en
    mars 2014
    Messages
    563
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : DevOp, Tech leader

    Informations forums :
    Inscription : mars 2014
    Messages : 563
    Points : 1 267
    Points
    1 267

    Par défaut

    L'information en elle même ne réside pas dans les failles que MS annonce patchées pour l'essentiel mais bien que le secret bancaire a été violé. Surtout celui des banques centrales du monde entier donnant des informations primordiales aux US sur le cours des changes et les politiques monétaires. Je ne suis pas spécialiste financier, loin de là, par contre je pense que ces données valaient bien plus que leur pesant d'or sur le terrain de la guerre économique et financière comme celle que se livre américains et chinois.
    Repeat after me
    Le monsieur lutte pour la défense des libertés individuelles et collectives

    Repeat after me...

  7. #87
    Membre éprouvé
    Homme Profil pro
    Développeur .NET
    Inscrit en
    juillet 2005
    Messages
    424
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 35
    Localisation : France, Saône et Loire (Bourgogne)

    Informations professionnelles :
    Activité : Développeur .NET
    Secteur : Distribution

    Informations forums :
    Inscription : juillet 2005
    Messages : 424
    Points : 1 062
    Points
    1 062

    Par défaut

    Bah après c'est pas nouveau, ça fait presque 20 ans maintenant que les US ont un accès illégitime à SWIFT !
    Fallait être naif de croire qu'en signant un traité ils allaient couper l'accès...

    J@ck.
    Pas de réponse par MP, merci.

    Penser au ça fait plaisir

  8. #88
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    2 855
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 2 855
    Points : 62 810
    Points
    62 810

    Par défaut Des milliers de machines ont été compromises par des exploits de la NSA divulgués par Shadow Brokers

    Des milliers de machines ont été compromises par des exploits de la NSA divulgués par Shadow Brokers,
    selon des chercheurs

    Il y a déjà un peu plus d’une semaine, les pirates de Shadow Brokers ont publié des documents internes de la NSA contenant entre autres du code informatique d'une série d'exploits, d'implants et d'autres outils de piratage. Aussitôt, dans le darknet, des pirates ont commencé à s’organiser pour pouvoir faire de la rétro-ingénierie et recycler des fonctionnalités pour leur propre intérêt.

    C’est ce qu’ont indiqué des analystes du renseignement du secteur privé. Des chercheurs de SenseCy, un cabinet de renseignement du darknet en Israël, ont assuré que sur des forums, les pirates ont partagé des didacticiels sur la façon d’utiliser certains des outils de la NSA. D’ailleurs, les membres d’un forum ont montré un intérêt particulier pour un framework divulgué par les Shadow Brokers, semblable à Metasploit, et qui est appelé FUZZBUNCH.

    En effet, le cabinet a identifié une série de conversations sur un forum caché utilisé par des cybercriminels s’exprimant en russe sur la manière dont les membres pourraient exploiter un bogue dans Windows Server Message Block, un protocole de partage de fichiers réseau.

    « Les pirates informatiques ont partagé les informations [des outils de la NSA] divulguées sur diverses plateformes, y compris des explications [pour savoir comment utiliser les outils] publiées dans des blogs russes », a déclaré Gilles Perez, Directeur de SenseCy. « Nous avons identifié une discussion portant sur l'exploit de SMB [ETERNALBLUE], où les pirates ont exprimé leur intérêt pour son exploitation et partagent des instructions sur la façon de le faire ».

    Résultat ? Des milliers de machines tournant sur Windows ont été affectées dans le monde par cette porte dérobée de la NSA que des pirates ont déployée en réutilisant le code divulgué par les Shadow Brokers, d’après plusieurs chercheurs en sécurité.

    L'un de ces outils de piratage, un implant de déverrouillage nommé DOUBLEPULSAR qui est utilisé pour exécuter un code malveillant sur un dispositif déjà compromis, a été installé sur une fourchette d’hôtes comprise entre 30 000 et 50 000 hôtes, selon le fondateur du groupe Phobos, Dan Tentler. D'autres chercheurs ont également conçu différents scripts de détection pour explorer rapidement internet à la recherche d’ordinateurs infectés. Une fois installé, DOUBLEPULSAR est une porte dérobée furtive qui est difficile à détecter et envoie continuellement de nouvelles informations au serveur C&C.


    John Matherly, le PDG du fabricant d'outils de numérisation Internet Shodan.io, a déclaré que plus de 100 000 ordinateurs pourraient être touchés. « Shodan a actuellement indexé plus de 2 millions d'adresses IP exécutant un service SMB public sur le port 445. 0,04 pour cent des services SMB que nous observons dans nos données firehose sont susceptibles d’avoir été infectés par DOUBLEPULSAR, ce qui représente environ 100 000 périphériques sur internet », a expliqué Matherly dans un courrier électronique. « Shodan a déjà indexé 45 000 [infections] confirmées jusqu'à présent ».

    Les machines appartenant aux fournisseurs de stockage de données Enzu et Psychz Networks ont été les plus durement touchées par l'implant, selon les informations recueillies à l'aide de Shodan.io.

    Ces résultats sont importants, car ils illustrent, entre autres, le rythme rapide auquel les cybercriminels peuvent adopter efficacement et ensuite lancer des cyberattaques avec des armes numériques complexes comme celles de la NSA. De plus, l'importance des infections de DOUBLEPULSAR souligne le fait que de nombreux ordinateurs étaient déjà vulnérables à l'intrusion.

    « DOUBLEPULSAR est essentiellement un quai de chargement pour les logiciels malveillants supplémentaires. Son but est de communiquer sur le port [Microsoft Server Message Block], d'écouter le trafic et de recevoir et d'exécuter du shellcode ou DLL qu'un attaquant enverra. Il n'ouvre pas un nouveau port, il n'écrit rien sur le disque, il se trouve en mémoire et il écoute », rappelle Tentler. « S’il est installé, vous pouvez ensuite lui donner des instructions et lui dire par exemple “exécute cette DLL pour moi” et il le fera. Vous pouvez même lancer des Shell Mavesploit, Empire, Puppy ou Pedalcheap, qui figurent dans la boîte à outils de la NSA ».

    En théorie, les pirates pourraient exploiter d'autres fonctionnalités de la boîte à outils de la NSA qui ont été divulguées pour pénétrer une machine, ce qui est nécessaire avant de pouvoir installer la porte dérobée. En plus de DOUBLEPULSAR, les Shadow Brokers ont publié les outils ETERNALBLUE et FUZZBUNCH, qui peuvent être utilisés pour lancer un exploit efficace contre les anciennes versions des systèmes d'exploitation Microsoft, y compris Windows XP, Vista et Server 2008 R2.

    Des didacticiels sur la façon d'utiliser à la fois FUZZBUNCH et ETERNALBLUE sont disponibles dans les forums de piratage du dark web depuis le 14 avril.

    Bien que Microsoft a déjà publié un correctif de sécurité pour la majorité des vulnérabilités exploitées dans les systèmes d'exploitation concernés, il reste difficile de savoir combien de machines les ont appliqués.

    Source : CS

    Voir aussi :

    Un chercheur en sécurité publie un outil permettant de détecter un implant logiciel de la NSA dénommé DoublePulsar, pour lutter contre l'espionnage
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  9. #89
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    2 855
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 2 855
    Points : 62 810
    Points
    62 810

    Par défaut Des hackers lancent une levée de fonds pour payer les Shadow Brokers

    Des hackers lancent une levée de fonds pour payer les Shadow Brokers
    afin d'entrer en possession du reste des outils dérobés à la NSA

    Après la multiplication des attaques lancées grâce aux exploits de la NSA que les Shadow Brokers ont fait fuiter (qui ont servi à armer notamment le ransomware WannaCry ou le botnet Adylkuzz), deux experts en sécurité répondant aux pseudonymes x0rz et Hacker Fantastic ont décidé de lancer une levée de fonds pour pouvoir réunir suffisamment de fonds et payer les Shadow Brokers. L’objectif ? Mettre la main sur les failles zero day que l’entité n’a pas encore publiées et qui n’ont fait l’objet d’aucun correctif.

    « Les Shadow Brokers ont annoncé qu'ils proposent un service de “dump mensuel” qui nécessite un abonnement de 100 ZCASH. Actuellement, cela équivaut à environ 17 688,29 £, mais pourrait changer en raison de la nature éphémère de la cryptomonnaie. En payant aux Shadow Brokers l'argent qu'ils demandent, nous espérons rassembler des ressources et éviter d'éventuels incidents de type WannaCry. Ceci est une chance pour ceux qui n'ont peut-être pas de grands budgets (les PME, les startups, mais aussi les particuliers) dans la communauté de hacking éthique et de Whitehat pour regrouper les ressources et acheter un abonnement pour les nouvelles données publiées par mois », ont-ils déclaré.

    « Nous publierons toutes les informations que nous recevrons, une fois que nous les aurons analysées et que nous aurons alerté tous les fournisseurs sur d'éventuelles failles zero day. Notre activité ne consiste pas à rendre les infrastructures moins sécurisées et dès lors que nous obtiendrons les données, nous allons nous assurer qu'elles sont traitées avec la diligence et la responsabilité nécessaires », ont-ils assuré.

    Pour expliquer leur initiative, ils avancent que dans un monde idéal, les gouvernements qui stockent des exploits comprendraient l'hypothèse qu'une vulnérabilité dans un système est une vulnérabilité en tout. « La nature interconnectée et anarchique des systèmes informatiques signifie que toute vulnérabilité qui est armée et utilisée dans les conflits cybernétiques peut être perdue, volée et éventuellement détournée pour des abus ».

    Pour eux, si nous ne travaillons pas tous vers un Internet sécurisé global et un accès gratuit à l'information pour tous, alors nous suivons certainement un programme qui peut entraîner des perturbations et nuire à la vie du public.

    Au moment où nous rédigeons ces lignes, ils ont déjà obtenu un peu plus de 2250 dollars sur les 25 000 qu’ils demandent pour payer la mensualité.


    Interrogé par Le Figaro, Nicholas Weaver, chercheur à l'International Computer Science Institute de Berkeley (Californie), n'est pas certain de l'issue d'une telle initiative, qu'il indique pourtant soutenir. « Nous ne pouvons pas être sûrs que les Shadow Brokers révèleront les outils de la NSA, une fois les 23 000 dollars versés. Je pense personnellement que cette mise en vente relève surtout de l'opération de communication », écrit-il. « Il n'empêche que les Shadow Brokers ont été honnêtes jusqu'à présent, par rapport au contenu de leurs révélations. Il vaut donc la peine de prendre le risque de verser un montant limité d'argent, dans l'éventualité où ils seraient également honnêtes cette fois-ci. »
    D’ailleurs, le lancement de cette campagne est loin de faire l’unanimité. Certaines personnes, comme l’ingénieur Jeremy Mill, considèrent qu’il ne faut pas payer un centime aux Shadow Brokers qu’ils qualifient de terroristes. Mais à ceux-là, les compères répondent : « Le fait d’envisager de payer nous rend très tristes, mais les innombrables appels des personnes touchées par WannaCry et MS17-010 également. Si l’épisode WannaCry avait pu être évité en échange de quelques pièces de cryptomonnaie, pourquoi pas? Ce n'est pas une question que nous sommes prêts à nous poser de nouveau, quels que soient ces outils, ils sont déjà entre les mains de quelqu'un d'autre que la NSA et pourraient être répandus et atterrir entre les mains de personnes plus dangereuses.

    Si la NSA est prête à nous informer de ce qu'elle a perdu, des capacités et des vulnérabilités qu’elle a exploitées afin que nous puissions prendre des décisions éclairées pour défendre nos réseaux, nous allons abandonner cette option ».

    Source : patreon, Le Figaro

    Et vous ?

    Que pensez-vous de cette initiative ?
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  10. #90
    Membre éprouvé Avatar de marsupial
    Homme Profil pro
    DevOp, Tech leader
    Inscrit en
    mars 2014
    Messages
    563
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : DevOp, Tech leader

    Informations forums :
    Inscription : mars 2014
    Messages : 563
    Points : 1 267
    Points
    1 267

    Par défaut

    Kryptos Logic dénombre à ce jour entre 14 et 16 millions de systèmes infectés par WannaCry. Aujourd'hui encore des millions de systèmes sont porteurs sains du ver grâce au kill switch. Cela veut dire que les admin sys n'ont pas pu faire leur travail pour x raisons : manque de temps, d'argent, impossibilité de patcher, etc..
    Si Kryptos Logic ferme le nom de domaine, la situation serait pire que lors de la fin de semaine du 12 mai !
    Dans ce cas, à quoi bon acheter des failles pour les fixer si derrière ça ne suit pas ?

    On s'étonne que la cybercriminalité s'estime à 8 000 milliards pour les 5 prochaines années.

    L'action est stoppée par décision légale. source lefigaro.fr
    Repeat after me
    Le monsieur lutte pour la défense des libertés individuelles et collectives

    Repeat after me...

Discussions similaires

  1. [UC] Cas d'utilisations d'un site de vente aux enchère (par ex. ebay)
    Par wang_xue dans le forum Cas d'utilisation
    Réponses: 34
    Dernier message: 14/11/2011, 03h56
  2. Réponses: 16
    Dernier message: 25/11/2010, 11h04
  3. [MCD] Site de vente aux enchères
    Par nicolas54 dans le forum Schéma
    Réponses: 10
    Dernier message: 21/04/2008, 08h45
  4. Réponses: 6
    Dernier message: 03/01/2007, 18h44

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo