Discussion :

[Patrick Ruiz]

Un pirate parvient à dérober des secrets militaires
Parce qu’un mot de passe FTP par défaut n'a pas été changé

Les manuels de maintenance d'un drone MQ-9 ainsi que de la documentation militaire supplémentaire sont apparus sur les étals du darknet. La firme de sécurité à l’origine de l’information atteste de l’authenticité des documents proposés pour des sommes variant de 150 à 200 $.

Tout est parti de la mauvaise configuration d’un routeur comme rapporté par Future Recorded de ses échanges avec le pirate. Ce dernier s’est appuyé sur une vulnérabilité divulguée en 2016 à propos des Netgear Nighthawk R7000. « Si les utilisateurs ne modifient pas les identifiants par défaut pour l’accès aux fonctionnalités de partage de fichiers, les informations disponibles sur les supports de stockage connectés à ces routeurs sont visibles depuis l’extérieur », écrivait le site sfgate. En faisant usage du moteur de recherche shodan, l’intrus a pu repérer des milliers de dispositifs vulnérables, dont celui d’un officier de l’armée américaine sur une base du Nevada. Il a ensuite procédé à la pénétration desdits systèmes en se servant d’ « aptitudes techniques modérées. » « Le pirate a agi seul et a été capable d’identifier et exploiter toutes ces failles en une semaine », rapporte The Verge.

Dans sa gibecière, l’intrus compte également des manuels d’utilisation de chars Abrams M1 et de la doc qui instruit sur la façon de contrer certains engins explosifs. Aucune source n’est formelle sur l’origine de ce dernier groupe de contenus, mais certaines rapportent que le Pentagone est également concerné par ces développements.

Le MQ-9 est un drone capable d’opérer de façon autonome si ses possesseurs ont décidé de ne pas faire usage du mode de pilotage à distance. Il s’agit de l’une des armes les plus puissantes dont les États-Unis disposent pour le moment. Le Pentagone, le département de la Défense, la CIA et la NASA en font usage. Le fait que des tiers soient en possession de cette documentation pose donc un sérieux problème de sécurité pour les USA. Il s’agit en effet de contenus précieux pour des groupes terroristes qui pourraient ainsi en apprendre plus sur les techniques et tactiques de l’armée américaine.

Future Recorded a notifié le Département de la Sécurité intérieure des États-Unis du casse à la mi-juin. D’après la firme de sécurité, les responsables de cette administration reconnaissent que la situation est alarmante. Les investigations se poursuivent.

Sources : Forbes, The Verge

Et vous ?

Comment expliquer que des tiers puissent s’emparer aussi facilement de données sensibles au sein d’administrations de ce calibre par des temps aussi marqués par des cyberattaques en tous genres ?

Prenez-vous particulièrement les alertes sécurité au sérieux ? Sinon, quels dispositifs continuez-vous de garder vulnérables en faisant fi des règles de base en la matière ?

Voir aussi :

Un pirate s'empare d'une base de données du forum du jeu populaire Clash of Kings en exploitant une faille connue datant de 2013

Ethereum : un pirate réussit à dérober l'équivalent de près de 30 millions € en s'appuyant sur une faille dans les contrats intelligents de Parity

Un groupe de hackers aurait réussi à pirater PlayStation Network de Sony et a revendiqué l'attaque via un compte Twitter officiel de PlayStation

Un pirate d'Anonymous déclare avoir piraté les données du NHS portant sur environ 1,2 million de patients, SwiftQueue revoit ce chiffre à la baisse

USA : des hackers auraient piraté un système de gestion de carburant d'une station-service avant d'emporter 600 gallons de carburant

[archqt]

ben non, on pourrait me donner le manuel d'une bombe atomique que cela ne changerait rien.
Donc ok il sait comment réparer/maintenir le truc et après ? oui, ok si on en pique un, ah pardon on me signale que c'est compliqué d'en piquer un.
Fin de l'histoire

[grigric]

@archqt,
je pense que le rédacteur voulait plus mettre en lumière le problème que si une personne arrive à se connecter à distance sur l'équipement, il pourrait lui donner une mission (de bombardement par exemple) nno désirée.
Et d'après l'article ci-dessous, il semble que ce soit possible de prendre le controle d'un drone.
prise de controle d'un drone par des scientifiques

[Invité]

Ce que j'ai du mal à comprendre avec ce genre d'histoires (mot de passe par défaut non changé), c'est que toujours rien n'est fait du côté des fabricants (surtout avec des clients "sensibles") pour détecter que le mot de passe par défaut est toujours le même... Une petite alerte qui détecte que le mot de passe est toujours celui par défaut ce serait trop chiant à mettre en place ? Si ce pirate a pu détecter les éléments vulnérables, d'autres entités peuvent le faire.
Je ne dis pas que c'est forcément au constructeur de faire l'effort, c'est avant tout à l'utilisateur d'assurer sa protection mais on pourrait faire un effort des deux côtés.

[Hermione-V]

Un pirate parvient à dérober des secrets militaires
Parce qu'un mot de passe FTP par défaut n'a pas été changé

Quelle négligeance!

Quel est le sort de ce pirate?

[Ryu2000]

Comment expliquer que des tiers puissent s’emparer aussi facilement de données sensibles au sein d’administrations de ce calibre par des temps aussi marqués par des cyberattaques en tous genres ?

Les militaires ont besoin d'une formation sur la sécurité informatique.
Il faut bien faire attention à changer les mots de passe par défaut.
On devrait leur expliquer qu'il y a des données sensible et que des gens cherchent à éxploiter des failles.

Prenez-vous particulièrement les alertes sécurité au sérieux ? Sinon, quels dispositifs continuez-vous de garder vulnérables en faisant fi des règles de base en la matière ?

Je ne respect pas les protocoles de sécurité. (c'est un peu l'air con pour un informaticien...)
Normalement il faut des mot de passes avec majuscule + minuscule + lettre + caractère spéciaux, ils ne doivent pas contenir de mot, ils doivent être unique pour chaque site (parce que si t'utilises le même partout et qu'on te le vol à un endroit t'es baisé) :
En 8 caractères ça ferait des choses comme ça :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
U5Wf4a.:
$xL4t4A.
G.z4#gT4
Kz_62De:
z6n4]EJ&
8b=Pi6-T
c9Fx9/^C
)/vHX98c
S[8/bRd5
@VnuJ8:9

Mais c'est difficile à se rappeler...

Après moi je n'ai pas d'info sensible...
Je n'ai pas de webcam ou de micro sur mon PC, donc ça va encore.

Le fait que des tiers soient en possession de cette documentation pose donc un sérieux problème de sécurité pour les USA. Il s’agit en effet de contenus précieux pour des groupes terroristes qui pourraient ainsi en apprendre plus sur les techniques et tactiques de l’armée américaine.

Il y a un paquet de clients potentiel, parce que les ennemis des USA ce n'est pas ce qui manque...

Bon après ce ne sont que des manuels et de la documentation militaire, ça ne va pas trop loin...
C'est pas comme quand l'Iran a capturé un drone US, a réussi à le contrôler et à créé des copies ^^
L'Iran dévoile un drone copié sur un modèle américain capturé en 2011

C'était pas une grande idée de faire voler un drone au dessus de l'Iran...
L'armée américaine se permet n'importe quoi, elle se croit intouchable, elle est arrogante.

===
J’espère que les armées ne vont pas trop loin dans le délire des armes connectés, parce que ça pourrait se retourner contre elles.
Si une autre armée prend le contrôle des appareils, ça risque d'être le cirque.

[benjani13]

beegeebogs> Deux choses. Premièrement, oui, les fournisseurs de matériels ou de logiciel doivent arrêter avec les mots de passes par défaut. Il faut soit que l'utilisateur ait un mot de passe généré aléatoirement, soit que celui-ci soit obligé de le changer avant que le système se mette en route la première fois. Deuxièmement, c'est à celui qui utilise le logiciel/materiel de vérifier que les mots de passe ont bien été changé. Cela peut être fait via un inventaire à jour des matériels et logiciels déployés et par l'utilisation de scanners de vulnérabilités qui peuvent détecter ça.

Ryu> Pour les mots de passes tu peux essayer les méthodes des premières lettres ou les méthodes phonétiques, qui donnent des MDP plus facilement mémorisables. (Cf : ANSSI)
Sans oublier les outils type Keepass (tant qu'on oublie pas le mot de passe principal ), l’authentification à deux facteurs avec par exemple Yubikey, l’authentification par certificat pour les services critiques, etc.

[Daïmanu]

ben non, on pourrait me donner le manuel d'une bombe atomique que cela ne changerait rien.

Toi individuellement non, mais il existe certainement un marché noir et des États peu scrupuleux qui seront plus à mêmes d'exploiter ces documents, au moins pour analyser les capacités de l'« ennemi ».

Et m'est avis que ce pirate n'a pas un éthique exemplaire.

[benjani13]

J’espère que les armées ne vont pas trop loin dans le délire des armes connectés, parce que ça pourrait se retourner contre elles.
Si une autre armée prend le contrôle des appareils, ça risque d'être le cirque.

En 2015, un couple de chercheurs en sécurité a démontré qu'un fusil sniper à visé automatique était piratable (le rendant inefficace voir lui faisant changer de cible) car il proposait... du wifi... : https://www.wired.com/2015/07/hacker...change-target/

[Ryu2000]

les fournisseurs de matériels ou de logiciel doivent arrêter avec les mots de passes par défaut.

Moi je trouvais ça super pratique, t'arrivais dans l'administration d'une livebox tu mettais "admin" - "admin" et t'étais connecté.
Après le mot de passe par défaut c'était la clé wifi par défaut et c'est tout de suite beaucoup plus chiant que "admin".

Ma Freebox m'a demandé de choisir un mot de passe, j'ai choisi "admin"
Mais j'ai changé, parce qu'on peut changer le mot de passe en appuyant sur la freebox.

Et m'est avis que ce pirate n'a pas un éthique exemplaire.

Ça va... Pour des blacks hats ça n'a rien de choquant ^^
C'est pas de la documentation pour créer une bombe non plus... (manuels d’utilisation de chars Abrams M1 et de la doc qui instruit sur la façon de contrer certains engins explosifs)

La surveillance US doit voler des informations sensible partout dans le monde.
Donc c'est de bonne guerre. Ce n'est que justice que les USA se fassent voler de la documentation.

Ce qui serait marrant c'est que les backdoors installé dans différents système pour la NSA se fassent exploité par une autre force.
Si vous avez un routeur Netgear Nighthawk R7000, n'oubliez pas de changer le mot de passe par défaut ^^

[sambia39]

Bonjour,

Il a ensuite procédé à la pénétration desdits systèmes en se servant d’ « aptitudes techniques modérées. » « Le pirate a agi seul et a été capable d’identifier et exploiter toutes ces failles en une semaine », rapporte The Verge.

Dans sa gibecière, l’intrus compte également des manuels d’utilisation de chars Abrams M1 et de la doc qui instruit sur la façon de contrer certains engins explosifs. Aucune source n’est formelle sur l’origine de ce dernier groupe de contenus, mais certaines rapportent que le Pentagone est également concerné par ces développements.

Future Recorded a notifié le Département de la Sécurité intérieure des États-Unis du casse à la mi-juin. D’après la firme de sécurité, les responsables de cette administration reconnaissent que la situation est alarmante. Les investigations se poursuivent.
Et vous ?

Comment expliquer que des tiers puissent s’emparer aussi facilement de données sensibles au sein d’administrations de ce calibre par des temps aussi marqués par des cyberattaques en tous genres ?

Ce passage est un peu fort et élogieux. Certes, il a usé d’exploit et vulnérabilité connue, mais dire qu’en un temps donné (une semaine) il a traité toutes les machines vulnérables, c’est un peu fort.
Je pense surtout que l’attaquant a exploité un vecteur simple. Il cartographie et obtient la liste de machines mal configurée grâce shodan. Suite ça, il a probablement configuré, utilisé et déployé des bots en fonctions de la liste avec pour objectifs testés des combinaisons/le couple «*login/password*» de son dictionnaire (téléchargeable gratuitement sur le net) voire exploité d’autre vulnérabilité et ce, jusqu’à a ce qu’il se log ou épuiser l'ensemble des techniques/vulnérabilités connus.
L’ensemble des machines qui ont accepté le couple de logins/password sont alors répertoriées pour une ultérieure investigation. Suite a ça il faut encore pas mal de temps pour tomber sur le bon sauf, s’il sait ou chercher.

Bref, peut-être que c’est vrai, mais je doute que l’attaquant ait passé une semaine pour traiter l’ensemble des machines cibles. Si ça se peut, il est peut-être tombé sur le serveur en question de l’armée au bout de la quatrième machine dans lequel il n'y avait des informations intéressantes. Mais s’il était question de PDF livres de cuisine recommandés par le caporal Tatane commis de cuisine je doute que l’on puisse entendre parler de piratage de documents sensible/ que l’attaquant face parler de luis
Bref, c’est mon avis personnel je sais pas se que vous en pensé. Sinon bon article.

Je ne respect pas les protocoles de sécurité. (c'est un peu l'air con pour un informaticien...)
Normalement il faut des mot de passes avec majuscule + minuscule + lettre + caractère spéciaux, ils ne doivent pas contenir de mot, ils doivent être unique pour chaque site (parce que si t'utilises le même partout et qu'on te le vol à un endroit t'es baisé) :
En 8 caractères ça ferait des choses comme ça :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
U5Wf4a.:
$xL4t4A.
G.z4#gT4
Kz_62De:
z6n4]EJ&
8b=Pi6-T
c9Fx9/^C
)/vHX98c
S[8/bRd5
@VnuJ8:9

Mais c'est difficile à se rappeler...

En plus qu'ils ne soient potentiellement pas faciles à retenir, l’ensemble des mots de passe ci-dessous en exemples sont largement faciles à casser pour celui qui possède une bonne machine. Dans le cas présent et à titre d'exemple, il faut a un attaquant entre 22 à 72 heures au maximum pour qu'il casse un mot de passe de la liste et entre 7 et 15 heures au minimum pour casser certains mots de passe de cette même liste.

• 7 à 10 heures pour les mots de passe suivants: 8b=Pi6-T
• 11 à 14 heures grand max pour les mots de passe suivants: U5Wf4a.: et S[8/bRd5
• 16 à 72 heures grand max pour les mots de passe suivants: )/vHX98c c9Fx9/^C et @VnuJ8:9

Le minimum de 8 mots de passe ne tient plus la route à condition d’avoir une complexité dans l’élaboration du mot de passe en utilisant diverses méthodes pour le complexifier exemple la méthode complexification se basant sur a la phonétique par exemple. Bref personnellement, une longueur de mots de passe de 12 du style "j,7[.e{79J%3" avec une hygiène de mots de passe (changement régulier de mots de passe) garantit l’essentiel. D’un autre, coter ont peut faire bête et méchant et robuste temporairement un mot de passe du style à 30 fois est bien plus robuste tout comme 20 fois le caractère espace mais déconseiller. Aux finales plus la taille du mot de passe est cours plus le mot de passe est facile trouver.

à bientôt

[Ryu2000]

Dans le cas présent et à titre d'exemple, il faut a un attaquant entre 22 à 72 heures au maximum pour qu'il casse un mot de passe de la liste et entre 7 et 15 heures au minimum pour casser certains mots de passe de cette même liste.

Ouais mais il ne me semble pas qu'on puisse faire des attaques par force brut sur un site...
Au bout de 5 essais tu vas être bloqué, au mieux il va y avoir un captcha et le but du truc c'est de bloquer les robots.

Voici la liste des 25 mots de passe les plus populaires (et probablement les moins sûrs) de 2017
Est-ce que vous croyez que c'est pire d'avoir comme mot de passe "c9Fx9/^C" ou "123456789" ?
Il y a un caractère de plus dans le deuxième, donc quelque part ça augmente ça complexité (selon comment on regarde), mais je trouve que le premier semble plus sécurisé.
C'est pareil si tu mets ton prénom + nom, tu vas avoir un long mot de passe, mais c'est pas forcément très sécurisé.

Avoir "c9Fx9/^C" comme mot de passe, ce serait déjà beaucoup mieux que la plupart des mots de passe.
Il y a peut être des fous de la sécurité qui n'utilisent que des mots de passe qui ressemblent à des clés WPA du genre "epgVXg8fcozKUNvoJL8WKd2l697IqAtue4r0u0KHWPGLtRFvielq7acNuTmSxmV" qu'ils changent tous les mois ^^ En les notant nulle part et en ne les sauvegardant pas dans le navigateur.

[benjani13]

Ryu> Ce qu'il se passe la plupart du temps est que quelqu'un réussi à récupérer la BDD d'un site, et casse les hash des mots de passe en offline (sur GPU).

"c9Fx9/^C" sera plus robuste que "123456789", mais comme tu le dis (avec ton exemple prenom + nom), le nombre de caractère et le charset utilisé ne sont pas les seuls critères pour qualifier la robustesse d'un mot de passe. Notamment, sa forme compte beaucoup. Il est possible de casser des mots de passes qui semblent forts car ils ont en fait une forme très commune.

Par exemple une forme très commune est d'avoir un mot débutant avec une lettre majuscule et finissant par un nombre. Mettont que ton mot de passe était toto, et que tu le change pour "Toto1986" pour être plus robuste. Pour casser ce mot de passe, on va faire ce qu'on appelle de la mutation. Tu prend un dictionnaire de mots (qui contient surement "toto"), pour chaque mot tu créer toutes les formes possibles avec une majuscule en première lettre et une année à la fin (mettons de 1950 à 2000). Tu met tout ça dans un nouveau dictionnaire enrichie (en vrai ça peut être fait à la volée par les programmes adéquats). Tu vois ainsi que "Toto1986" n'est pas vraiment plus robuste que "toto", de par sa forme très commune.

Un autre point assez amusant et l'analyse lexicale des mots de passes. Si tu as volé la base d'un site d'automobile, tu auras a coup sur beaucoup de mots de passes contenant des mots du lexique de l'automobile ("Ferrari21", "mercedes4ever", ...). Donc en élaborant un dictionnaire contenant plutôt du lexique automobile tu maximise tes chances de casser les mots de passes de cette base. Le dictionnaire peut même être réalisé automatiquement à partir du contenu du site en question (et ça c'est forte je trouve).

[Ryu2000]

Je suis tout à fait d'accord.
Donc ma liste de mot de passe n'est pas trop mal , puisqu'il n'y a pas de mot trouvable dans un dictionnaire, pas de structure facile comme une majuscule au début + un nombre à la fin.
C'est la chaos, entre minuscule, majuscule, chiffre et caractère spéciaux.

Tu peux savoir le prénom, le nom, les passions d'un mec, si son mot de passe c'est «S[8/bRd5» ça ne va pas t'aider.
Ok avec du brut force c'est cassable.

===
Tout ça pour dire qu'il est difficile de se maintenir sécurisé.
Le moindre petit détail peu avoir des conséquences catastrophique.
Ceux qui font de la sécurité informatique doivent être minutieux, parce que c'est facile d'oublier un truc.
J'aime bien penser à tout ce qui pourrait mal se passer, mais pas au point de faire dans la sécurité

Maintenant on trouve même des failles dans les processeurs, donc qu'est-ce que tu veux faire...

[tabouret]

si son mot de passe c'est «S[8/bRd5» ça ne va pas t'aider.

D'après https://howsecureismypassword.net/ ca prend 13 heures à retrouver le mot de passe en force brute.

on après il n'y a pas que le mot de passe le salage entre aussi en compte.

[Ryu2000]

ca prend 13 heures à retrouver le mot de passe en force brute.

Waaah mais c'est énorme !!!
Les gens n'ont pas besoin de plus.
Personne ne va dépenser autant de temps et d'énergie pour retrouver le mot de passe d'un type random.

C'est déjà 1000 fois mieux que les mots de passe que la plupart des gens utilisent.