IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #41
    Membre averti
    Profil pro
    Inscrit en
    janvier 2011
    Messages
    118
    Détails du profil
    Informations personnelles :
    Localisation : France, Paris (Île de France)

    Informations forums :
    Inscription : janvier 2011
    Messages : 118
    Points : 444
    Points
    444
    Par défaut
    J'y connais pas grand chose mais si il existe autant de développeurs sur le projet (on parle que des devs, pas de l'ensemble des personnes ayant collaboré sur le projet), c'est étonnant que la nature de ce projet n'est pas été découverte par les services d'espionnage d'une nation ou d'une autre. A titre de comparaison, si je regarde wikipedia, l'unité cyber de la DGSE c'est 3600 personnes (encore une fois pas que des devs).

  2. #42
    Membre averti
    Homme Profil pro
    IT Specialist
    Inscrit en
    octobre 2019
    Messages
    136
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Eure (Haute Normandie)

    Informations professionnelles :
    Activité : IT Specialist
    Secteur : Industrie

    Informations forums :
    Inscription : octobre 2019
    Messages : 136
    Points : 313
    Points
    313
    Par défaut
    Orgoff : Ils peuvent dire le chiffre qu'ils veulent. Déjà, c'est forcément un arrondis. Mais à combien commence tu à parler de 1000 quand tu t'es prit une branlé?

    Bref, ils ne savent rien et on a pas finit d'en apprendre tout les jours. Manquerai plus qu'ils manipule une IA pour le hack....

  3. #43
    Invité
    Invité(e)
    Par défaut
    Haa ! Les américains ! Tellement fiers de leur Quick and Dirty ! Et voilà...

  4. #44
    Chroniqueur Actualités

    Homme Profil pro
    Rédacteur technique
    Inscrit en
    juin 2016
    Messages
    1 945
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Bénin

    Informations professionnelles :
    Activité : Rédacteur technique
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : juin 2016
    Messages : 1 945
    Points : 41 205
    Points
    41 205
    Par défaut Selon la Maison Blanche, 100 entreprises privées ont été touchées par le piratage de SolarWinds
    Selon la Maison Blanche, 100 entreprises privées ont été touchées par le piratage de SolarWinds
    mais d'autres pourraient l'être également

    Le pirate de SolarWinds l'année dernière a laissé de nombreuses interrogations qui mettront certainement des années à être résolues, et d'autres ne le seront peut-être jamais. Le gouvernement américain, qui continue les investigations afin d'évaluer l'ampleur des dégâts causés, a déclaré lors d'un briefing mercredi avoir la certitude que 9 agences fédérales et 100 entreprises privées ont été touchées par ce piratage. Toutefois, la Maison Blanche a refusé de les nommer spécifiquement, avant d'ajouter que d'autres entreprises pourraient avoir aussi été touchées, mais n'ont pas encore été identifiées pour l'instant.

    Neuf agences fédérales et 100 entreprises privées ont été compromises

    L'attaque de SolarWinds est probablement encore dans l'esprit de beaucoup, car elle a suscité à la fois la stupeur dans la communauté et une profonde crainte chez les entreprises clientes de SolarWinds. L'attaque a été si inédite que le président de Microsoft, Brad Smith, a déclaré qu'il s'agissait de « l'attaque la plus importante et la plus sophistiquée jamais réalisée », car les empreintes informatiques de plus de 1000 développeurs ont été trouvées. Autrement dit, plus de 1000 hackers auraient pris part à cette gigantesque campagne de piratage, touchant des milliers d'entreprises privées et agences gouvernementales.

    Nom : solarwinds-hack-explained-government-agencies-cyber-security-2020-12.jpg
Affichages : 1993
Taille : 57,2 Ko

    Depuis que l'attaque a été révélée en décembre dernier, le secteur privé et le secteur public mènent chacun son enquête afin de détecter les brèches, les corriger et probablement identifier la source du piratage. Lors d'un briefing mercredi, la conseillère adjointe à la sécurité nationale pour les cybertechnologies et les technologies émergentes Anne Neuberger a déclaré que l'enquête du gouvernement américain sur le piratage de SolarWinds devrait prendre "plusieurs mois" au moins. Cependant, Neuberger a confié aux journalistes qu'à ce stade, l'enquête leur a permis d'avoir certaines certitudes.

    « À ce jour, 9 agences fédérales et au moins 100 entreprises du secteur privé ont été compromises », a déclaré Anne Neuberger lors du briefing de mercredi, bien qu'elle se soit opposée à l'idée de les nommer de façon spécifique. « Comme vous le savez, environ 18 000 entités ont téléchargé la mise à jour malveillante. L'ampleur de l'accès potentiel a donc largement dépassé le nombre de compromissions connues. Plusieurs compromissions du secteur privé sont des entreprises technologiques, y compris des réseaux d'entreprises dont les produits pourraient être utilisés pour lancer des intrusions supplémentaires », a-t-elle ajouté.

    Ces chiffres sont les plus précis jamais publiés par le gouvernement sur la portée et l'ampleur du piratage, bien qu'ils restent largement inchangés par rapport aux déclarations antérieures des enquêteurs. Jusqu'à aujourd'hui, les responsables américains avaient déclaré que moins de dix agences fédérales avaient été impliquées dans la campagne. Ils avaient en effet estimé le nombre d'entités infectées à un total de 250 agences fédérales et entreprises privées, bien que Neuberger a averti que l'enquête en est encore à ses "débuts" et que "des compromis supplémentaires" pourraient être trouvés.

    Bien que le piratage soit "probablement d'origine russe", Neuberger a déclaré mercredi que les pirates ont lancé leur attaque depuis l'intérieur des États-Unis. Notons que les remarques de Neuberger surviennent alors que les législateurs et les analystes politiques américains se demandent qui, au sein de l'administration Biden, dirige la réponse du gouvernement au piratage.

    En effet, des rôles clés restent à pourvoir au sein de l'administration Biden, dont le directeur de l'Agence de la cybersécurité et de la sécurité des infrastructures du ministère de la Sécurité intérieure. De même, le siège du directeur national de la cybernétique, un poste nouvellement créé par le Congrès le mois dernier, est également vacant.

    Beaucoup critiquent la réponse gouvernementale à l'attaque

    Jusqu'à 18 000 clients de SolarWinds pourraient avoir été involontairement affectés par une vulnérabilité logicielle que des pirates étrangers ont discrètement glissée dans les mises à jour normales du logiciel de la société. Cette vulnérabilité a donné aux pirates informatiques la possibilité de lancer des attaques de suivi très personnalisées destinées à compromettre des cibles d'intérêt spécifiques. Les ministères de l'Agriculture, du Commerce, de l'Énergie, de la Sécurité intérieure, de la Justice, du Trésor et de l'État ont tous été touchés par le piratage.

    En outre, le système judiciaire fédéral et le service postal américain enquêtent toujours pour savoir s'ils ont pu être compromis. À ce jour, l'on ne sait toujours pas à quelles données les pirates ont pu accéder, bien que le ministère de la Justice ait déclaré qu'environ 3 % de ses comptes de messagerie Microsoft avaient été violés, dans le compte rendu le plus détaillé des dommages à ce jour. Mercredi, Neuberger a déclaré aux journalistes que les victimes de l'agence fédérale étaient toutes "d'un grand intérêt pour le renseignement étranger".

    Par la suite, elle a refusé de donner un délai pour la réponse de l'administration à ce piratage. « En raison de la sophistication des techniques qui ont été utilisées, nous pensons que nous sommes au début de la compréhension de la portée et de l'échelle, et nous pourrions trouver d'autres compromis », a déclaré Neuberger face aux journalistes, en compagnie de l'attaché de presse de la Maison Blanche Jen Psaki. « Ce que l'on sait déjà sur l'étendue et l'échelle de l'espionnage, cependant, fait de la campagne russe "plus qu'un cas isolé d'espionnage », a-t-elle ajouté.

    Le mois dernier, Jen Psaki a déclaré que « l'administration se réservera le droit de répondre à tout moment et de la manière de notre choix à toute cyberattaque ». D'après les analystes, l'allocution de Neuberger a mis en évidence la manière dont l'administration Biden tente toujours de contourner ce piratage dévastateur par les armes.

    Elle a déclaré qu'elle a eu de fréquentes discussions avec les législateurs sur la question, et a promis une action exécutive prochaine pour combler les lacunes en matière de sécurité que l'enquête a révélées jusqu'à présent. Neuberger a déclaré que l'action exécutive pourrait inclure au moins huit dispositions, sans toutefois donner trop de détails.

    Source : La Maison Blanche

    Et vous ?

    Quel est votre avis sur le sujet ?

    Voir aussi

    Président de Microsoft : le piratage de SolarWinds a été « l'attaque la plus importante et la plus sophistiquée » jamais réalisée, les empreintes informatiques de plus de 1000 développeurs trouvées

    L'attaque de la chaîne d'approvisionnement contre la société SolarWinds expose près de 18 000 organisations, ce piratage peut dévoiler de profonds secrets américains ; les dégâts sont encore inconnus

    Le piratage de SolarWinds pourrait être bien pire que ce que l'on craignait au départ, les fédéraux essayant toujours de savoir si ce n'était que de l'espionnage ou quelque chose de plus sinistre

    Les pirates informatiques de SolarWinds ont pu accéder au code source de Microsoft, qui avait précédemment détecté sur son réseau une porte dérobée sans incidence sur son système de production

    SolarWinds corrige les vulnérabilités qui pourraient permettre un contrôle total du système, alors que les enquêteurs ont découvert ce qui semble être la cause de la dernière cyberattaque
    Contribuez au club : corrections, suggestions, critiques, ... Contactez le service news et Rédigez des actualités

  5. #45
    Chroniqueur Actualités

    Homme Profil pro
    Rédacteur technique
    Inscrit en
    juin 2016
    Messages
    1 945
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Bénin

    Informations professionnelles :
    Activité : Rédacteur technique
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : juin 2016
    Messages : 1 945
    Points : 41 205
    Points
    41 205
    Par défaut Les hackers de SolarWinds ont étudié le code source de Microsoft pour l'authentification et le courrier
    Les hackers de SolarWinds ont étudié le code source de Microsoft pour l'authentification et le courrier électronique
    notamment en téléchargeant une partie du code source d'Azure, Exchange et Intune

    À la suite du piratage inédit qui a frappé SolarWinds en 2020, et révélé mi-décembre, les organisations des secteurs public et privé continuent les investigations pour connaître l'ampleur des dégâts et colmater les brèches. Microsoft, qui avait précédemment annoncé que les cyberattaquants avaient bien sûr réussi à consulter des parties de son code source, mais sans les avoir modifiés, a déclaré jeudi que ces derniers ont néanmoins étudié son code source pour l'authentification et le courrier électronique en les téléchargeant. Cela concerne notamment des produits Azure relatifs à la sécurité, Microsoft Exchange, Microsoft Intune.

    Microsoft dit avoir terminé son analyse et n'a pas constaté d'incidents majeurs

    Après que l'existence d'une brèche dans le logiciel de SolarWinds, qui a permis aux pirates d'attaquer toute la chaîne d'approvisionnement ciblant les clients de l'entreprise, a été signalée en décembre dernier, Microsoft a rapidement procédé à des enquêtes internes sur leur utilisation de la plateforme SolarWinds. L'entreprise a ensuite annoncé qu'il a été touché par l'attaque et que les pirates ont pu accéder à un nombre limité de dépôts de code source, mais qu'ils n'avaient pas pris l'initiative de modifier les dépôts concernés. Jeudi, Microsoft a déclaré avoir terminé son analyse de l'incident et a publié son dernier rapport.

    Nom : Solarwinds-sunburst-orion-timeline.jpg
Affichages : 3296
Taille : 45,9 Ko

    L'équipe de sécurité de Microsoft a déclaré dans le rapport qu'elle n'a trouvé aucune preuve que des pirates aient abusé de ses systèmes internes ou de ses produits officiels afin de pivoter et attaquer les utilisateurs finaux et les clients professionnels. En outre, le géant de Redmond a ajouté que les pirates avaient étudié certaines parties des instructions du code source qu'ils ont pu consulter, notamment en les téléchargeant. « Il n'y a eu aucun cas où tous les référentiels liés à un seul produit ou service ont été consultés. Il n'y avait pas d'accès à la grande majorité du code source », a déclaré l'équipe.

    « Pour presque tous les référentiels de code consultés, seuls quelques fichiers individuels ont été visualisés à la suite d'une recherche dans le référentiel ». Microsoft a expliqué que les cybercriminels ont accédé à quelques parties du code source de ses programmes Azure liés à l'identité et à la sécurité, du serveur de messagerie Exchange et d'Intune, son service cloud de gestion des appareils mobiles (MDM) et de gestion des applications mobiles (MAM). Selon la société, une partie du code a été téléchargée, ce qui aurait permis aux pirates informatiques d'avoir encore plus de liberté pour rechercher des failles de sécurité.

    Ils pourraient ainsi créer des copies avec de nouvelles failles ou examiner la logique pour trouver des moyens d'exploiter les installations des clients. En effet, à travers la faille, qui a été initialement découverte par le fournisseur de sécurité FireEye Inc, les attaquants ont utilisé des compétences avancées pour insérer des logiciels d'espionnage dans des programmes de gestion de réseau largement utilisés. Parmi les milliers de clients de SolarWinds qui ont été exposés l'année dernière (plus de 18 000 clients utilisent les logiciels de SolarWinds) les pirates ont ajouté de nouvelles identités Azure.

    Ils ont en outre ajouté des droits à des identités existantes ou manipulé les programmes Microsoft, principalement pour voler les courriels. Des rapports ont révélé que certains pirates ont également utilisé de telles méthodes sur des cibles qui n'utilisaient pas SolarWinds. Microsoft a précédemment reconnu que certains de ses revendeurs, qui ont souvent un accès continu aux systèmes des clients, avaient été utilisés dans les piratages. L'entreprise réfute toutefois l'affirmation selon laquelle des failles dans tout ce qu'elle fournit directement ont été utilisées comme vecteur d'attaque initial.

    La Maison Blanche enquête toujours et des réponses devraient arriver bientôt

    Les autorités américaines ont déclaré mercredi que les violations révélées en décembre s'étaient étendues à neuf agences fédérales et à 100 entreprises privées, dont de grands fournisseurs de technologies et des sociétés de sécurité. « À ce jour, 9 agences fédérales et au moins 100 entreprises du secteur privé ont été compromises », a déclaré Anne Neuberger, la conseillère adjointe à la sécurité nationale pour les cybertechnologies et les technologies émergentes, lors d'un point de presse mercredi, bien qu'elle se soit opposée à l'idée de nommer les organisations concernées de façon spécifique.

    « Comme vous le savez, environ 18 000 entités ont téléchargé la mise à jour malveillante. L'ampleur de l'accès potentiel a donc largement dépassé le nombre de compromissions connues. Plusieurs compromissions du secteur privé sont des entreprises technologiques, y compris des réseaux d'entreprises dont les produits pourraient être utilisés pour lancer des intrusions supplémentaires », a-t-elle ajouté. Selon les autorités américaines, le gouvernement russe est probablement à l'origine de cette frénésie, ce que Moscou a nié.

    Cela dit, si ces dernières estiment que le piratage est "probablement d'origine russe", Neuberger a déclaré mercredi que les pirates ont lancé leur attaque depuis l'intérieur des États-Unis. Les remarques de Neuberger surviennent alors que les législateurs et les analystes politiques américains se demandent qui, au sein de l'administration Biden, dirige la réponse du gouvernement au piratage. En effet, au regard de la portée de l'attaque, la société civile américaine est impatiente et attend des réponses plus précises de la part du gouvernement.

    Les analystes notent que, depuis l'investiture du 20 janvier dernier, des rôles clés restent à pourvoir au sein de l'administration Biden, dont le directeur de l'Agence de la cybersécurité et de la sécurité des infrastructures du ministère de la Sécurité intérieure. De même, le siège du directeur national de la cybernétique, un poste nouvellement créé par le Congrès le mois dernier, est également vacant. Cependant, en s'adressant aux journalistes mercredi, Neuberger a toutefois refusé de donner un délai pour la réponse de l'administration à ce piratage.

    « En raison de la sophistication des techniques qui ont été utilisées, nous pensons que nous sommes au début de la compréhension de la portée et de l'échelle, et nous pourrions trouver d'autres compromis », a déclaré Neuberger face aux journalistes, en compagnie de l'attaché de presse de la Maison Blanche Jen Psaki. « Ce que l'on sait déjà sur l'étendue et l'échelle de l'espionnage, cependant, fait de la campagne russe "plus qu'un cas isolé d'espionnage », a-t-elle ajouté. Le mois dernier, Jen Psaki a déclaré que « l'administration se réservera le droit de répondre à tout moment et de la manière de notre choix à toute cyberattaque ».

    D'après les analystes, l'allocution de Neuberger a mis en évidence la manière dont l'administration Biden tente toujours de contourner ce piratage dévastateur par les armes. Elle a déclaré qu'elle a eu de fréquentes discussions avec les législateurs sur la question, et a promis une action exécutive prochaine pour combler les lacunes en matière de sécurité que l'enquête a révélées jusqu'à présent. Neuberger a déclaré que l'action exécutive pourrait inclure au moins huit dispositions, sans toutefois donner trop de détails.

    Source : Microsoft

    Et vous ?

    Quel est votre avis sur le sujet ?
    Pensez-vous que les pirates sont parvenus à exploiter les comptes Exchange compris ?

    Voir aussi

    Les pirates informatiques de SolarWinds ont pu accéder au code source de Microsoft, qavait précédemment détecté sur son réseau une porte dérobée sans incidence sur son système de production

    Selon la Maison Blanche, 100 entreprises privées ont été touchées par le piratage de SolarWinds, mais d'autres pourraient l'être également

    L'attaque de la chaîne d'approvisionnement contre la société SolarWinds expose près de 18 000 organisations, ce piratage peut dévoiler de profonds secrets américains ; les dégâts sont encore inconnus

    Président de Microsoft : le piratage de SolarWinds a été « l'attaque la plus importante et la plus sophistiquée » jamais réalisée, les empreintes informatiques de plus de 1000 développeurs trouvées
    Contribuez au club : corrections, suggestions, critiques, ... Contactez le service news et Rédigez des actualités

  6. #46
    Membre expert
    Avatar de e-ric
    Homme Profil pro
    Bienfaiteur de tritons et autres bestioles
    Inscrit en
    mars 2002
    Messages
    1 538
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 52
    Localisation : France, Bas Rhin (Alsace)

    Informations professionnelles :
    Activité : Bienfaiteur de tritons et autres bestioles

    Informations forums :
    Inscription : mars 2002
    Messages : 1 538
    Points : 3 831
    Points
    3 831
    Par défaut
    Salut

    Je n'ai jamais vu l'autorité d'un pays témoigner avec une telle fierté d'une telle incompétence surtout avec les moyens dont les EI disposent. C'est un sacré compliment pour les hackers supposés russes.

    Tchüss

    M E N S . A G I T A T . M O L E M
    Debian 64bit, Lazarus + FPC -> n'oubliez pas de consulter les FAQ Delphi et Pascal ainsi que les cours et tutoriels Delphi et Pascal

    "La théorie, c'est quand on sait tout, mais que rien ne marche. La pratique, c'est quand tout marche, mais qu'on ne sait pas pourquoi. En informatique, la théorie et la pratique sont réunies: rien ne marche et on ne sait pas pourquoi!".
    Mais Emmanuel Kant disait aussi : "La théorie sans la pratique est inutile, la pratique sans la théorie est aveugle."

  7. #47
    Membre expert Avatar de kain_tn
    Homme Profil pro
    Inscrit en
    mars 2005
    Messages
    1 021
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations forums :
    Inscription : mars 2005
    Messages : 1 021
    Points : 3 741
    Points
    3 741
    Par défaut
    Citation Envoyé par e-ric Voir le message
    Salut

    Je n'ai jamais vu l'autorité d'un pays témoigner avec une telle fierté d'une telle incompétence surtout avec les moyens dont les EI disposent. C'est un sacré compliment pour les hackers supposés russes.

    Tchüss
    Ben ils se sont fait pougner comme des brèles, alors ils ne vont pas dire: "On est vraiment des nazes. Ce genre d'attaque existe depuis des décennies et d'habitude notre pays est un des premiers à participer". Ils vont plutôt dire: "C'était une attaque terrifiante, d'une ingéniosité incroyable et personne n'aurait pu y échapper"
    Copier c'est copier; voler c'est vendre un CD une vingtaine d'euros!


    Code C : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    #include <stdio.h>
     
    int main(int argc, char **argv) {
     
        printf("So long, and thanks for the fish, Dennis...\n");
        return 0;
    }

  8. #48
    Chroniqueur Actualités

    Homme Profil pro
    Consultant informatique
    Inscrit en
    avril 2018
    Messages
    1 547
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Côte d'Ivoire

    Informations professionnelles :
    Activité : Consultant informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : avril 2018
    Messages : 1 547
    Points : 32 634
    Points
    32 634
    Par défaut Microsoft n'a pas réussi à renforcer les défenses qui auraient pu limiter le piratage de SolarWinds
    Microsoft n'a pas réussi à renforcer les défenses qui auraient pu limiter le piratage de SolarWinds,
    Selon un sénateur américain

    Le bureau du sénateur américain Ron Wyden a critiqué Microsoft à propos de la cyberattaque « la plus importante et la plus sophistiquée » jamais réalisée qui a utilisé une entreprise technologique américaine comme tremplin pour compromettre les principales agences fédérales américaines ainsi que plusieurs entreprises privées, dont Microsoft. Selon le bureau, l’incapacité de Microsoft Corp à résoudre les problèmes connus de son logiciel de gestion du cloud a facilité le piratage massif de SolarWinds qui a compromis au moins neuf agences du gouvernement fédéral. Les experts en sécurité sont aussi parvenus à cette conclusion.

    Une vulnérabilité révélée publiquement pour la première fois par des chercheurs en 2017 permet aux pirates de falsifier l'identité des employés autorisés pour accéder aux services cloud des clients. Cette technique était l'une des nombreuses utilisées dans le cadre du piratage de SolarWinds, selon les experts en sécurité. Le sénateur Wyden, qui a critiqué les entreprises technologiques sur les questions de sécurité et de confidentialité en tant que membre de la commission sénatoriale du renseignement, a reproché à Microsoft de ne pas faire plus pour empêcher les fausses identités ou en avertir les clients.

    Nom : m01.png
Affichages : 2490
Taille : 29,2 Ko

    « Le gouvernement fédéral dépense des milliards pour les logiciels de Microsoft », a déclaré Wyden à Reuters avant une audition sur SolarWinds qui aura lieu ce vendredi à la Chambre des représentants. « Il devrait être prudent dans ses dépenses avant que nous découvrions pourquoi la société n'a pas averti le gouvernement de la technique de piratage utilisée par les Russes, que Microsoft connaissait depuis au moins 2017 », a-t-il ajouté.

    Le président de Microsoft, Brad Smith, témoignera vendredi devant la commission parlementaire chargée d'enquêter sur les piratages de SolarWinds. Les responsables américains ont blâmé la Russie pour l'opération massive de renseignement qui a pénétré dans SolarWinds, qui fabrique des logiciels pour gérer les réseaux, ainsi que Microsoft et d'autres, pour voler les données de plusieurs gouvernements et d'une centaine de sociétés. La Russie nie toute responsabilité.

    Selon les enquêteurs, c’est en mars 2020 que les cybercriminels russes présumés ont saboté une mise à jour d’un produit logiciel de surveillance de réseau appelé Orion et développé par la société SolarWinds. La porte dérobée aurait pu compromettre les réseaux informatiques de jusqu'à 18 000 clients de SolarWind, dont ceux des Départements de l’État américain et ceux des sociétés privées.

    Les espions russes ont eu le temps de fouiller dans les fichiers numériques des ministères américains de la Justice, de l'État, du Trésor, de l'Énergie et du Commerce et, pendant neuf mois, ils ont non seulement eu un accès illimité à des courriels, mais probablement aussi aux communications de haut niveau, aux documents judiciaires et même aux secrets nucléaires. Les enquêteurs du privé et du gouvernement avaient déjà qualifié l'attaque de sans précédent par son audace et son ampleur.

    Un peu plus tôt ce mois, s'exprimant dans le cadre de l'émission 60 Minutes de CBS, le président de Microsoft, Brad Smith, a confirmé cela et a suggéré même que les cyberespions seraient toujours dans des réseaux ciblés. Les experts en cybersécurité ont déclaré qu'il pourrait falloir des mois pour identifier les systèmes compromis et expulser les pirates. « Je pense que du point de vue du génie logiciel, il est probablement juste de dire que c'est l'attaque la plus grande et la plus sophistiquée que le monde ait jamais vue », a déclaré Smith lors de l’interview.

    4032 lignes de code informatique de SolarWinds Orion ont été réécrites clandestinement et distribuées aux clients lors de la mise à jour de routine, ouvrant ainsi une porte dérobée secrète aux réseaux infectés. Smith a déclaré que le code derrière la porte dérobée introduite dans le logiciel populaire par les cybercriminels est le travail d'un millier de développeurs ou plus.

    « Je pense que lorsque vous regardez la sophistication de cet attaquant, il y a un avantage asymétrique pour quelqu'un qui joue à l'offensive », a répondu Smith lors de l’interview lorsqu’on lui a demandé la raison pour laquelle l’attaque a pu passer sous les radars de Microsoft. « Il est presque certain que ces attaques continuent ».

    Les programmes de Microsoft n'étaient pas conçus pour détecter le vol d'outils d'identité permettant d'accéder au cloud

    Maintenant, Microsoft est mis en cause en partie dans le piratage informatique contre les États-Unis. Microsoft a contesté les conclusions de Wyden, déclarant que la conception de ses services d'identité n'était pas en cause.

    Nom : m02.jpg
Affichages : 2445
Taille : 28,3 Ko

    Dans une réponse aux questions écrites de Wyden le 10 février, un lobbyiste de Microsoft a déclaré que l'astuce d'identité, connue sous le nom de Golden SAML, « n'avait jamais été utilisée dans une attaque réelle » et « n'était pas considérée comme un risque prioritaire par la communauté du renseignement, ni n'était signalée par les agences civiles », d’après Reuters.

    Mais dans un avis public après le piratage de SolarWinds, le 17 décembre, l'Agence de sécurité nationale a appelé à une surveillance plus étroite des services d'identité, notant que « cette technique de falsification du SAML est connue et utilisée par les cyberacteurs depuis au moins 2017 ».

    En réponse à des questions supplémentaires de Wyden cette semaine, Microsoft a reconnu que ses programmes n'étaient pas conçus pour détecter le vol d'outils d'identité permettant d'accéder au cloud.

    Trey Herr, directeur de la Cyber Statecraft Initiative chez Atlantic Council, a déclaré que cet échec montrait que les risques de sécurité dans le cloud devraient être une priorité plus importante. L'abus sophistiqué des identités par les pirates informatiques « révèle une faiblesse inquiétante dans la façon dont les géants du Cloud Computing investissent dans la sécurité, peut-être en ne parvenant pas à atténuer de manière adéquate le risque de défaillances à fort impact et à faible probabilité dans les systèmes à la base de leur modèle de sécurité », a déclaré Herr.

    Lors d'un témoignage au Congrès mardi, Smith de Microsoft a déclaré que seulement environ 15 % des victimes de la campagne SolarWinds ont été touchées via Golden SAML. Même dans ces cas, les pirates informatiques devaient avoir déjà eu accès aux systèmes avant de déployer la méthode.

    En décembre dernier, après la révélation de la campagne de cyberespionnage, Microsoft avait commencé par dire que nous « pouvons confirmer que nous avons détecté des binaires SolarWinds malveillants dans notre environnement, que nous avons isolés et supprimés. Nous n'avons trouvé aucune preuve d'accès aux services de production ou aux données des clients. Nos enquêtes, qui sont en cours, n'ont trouvé absolument aucune indication que nos systèmes ont été utilisés pour attaquer d'autres personnes ».

    Ensuite Microsoft a révélé en fin janvier avoir détecté « des tentatives d'activités allant au-delà de la simple présence de code SolarWinds malveillant dans notre environnement ». « Nous avons détecté une activité inhabituelle sur un petit nombre de comptes internes et après examen, nous avons découvert qu'un compte avait été utilisé pour consulter le code source dans plusieurs dépôts de code source », avait déclaré la société dans son article de blog.

    Peu de temps après, les attaquants, qui prétendent être responsables de l'attaque de la chaîne d'approvisionnement de SolarWinds, ont affirmé qu'ils ont des données de leurs exploits qu'ils souhaitent vendre. Parmi les données proposées figurent le code source partiel de Microsoft Windows, le code source de plusieurs produits Cisco, le code source des produits SolarWinds et les outils FireEye Red Team.

    Il y a une semaine, Microsoft a déclaré avoir terminé son analyse de l'incident et a publié son dernier rapport. L'équipe de sécurité de Microsoft a déclaré dans le rapport qu'elle n'a trouvé aucune preuve que des pirates aient abusé de ses systèmes internes ou de ses produits officiels afin de pivoter et attaquer les utilisateurs finaux et les clients professionnels. Ces derniers ont néanmoins étudié son code source pour l'authentification et le courrier électronique en les téléchargeant.

    Le personnel du bureau du sénateur Wyden a déclaré que le Trésor américain, l'une des victimes de la cyberattaque, a perdu les courriels de dizaines de fonctionnaires. Attendons de voir la suite après le témoignage de Brad Smith ce vendredi.

    Source : Bureau du sénateur américain Ron Wyden

    Et vous ?

    Qu’en pensez-vous ?
    Microsoft a reconnu que ses programmes n'étaient pas conçus pour détecter le vol d'outils d'identité permettant d'accéder au cloud. Quel commentaire en faites-vous ?
    15 % des victimes de la campagne SolarWinds ont été touchées via Golden SAML, selon Smith, après que Microsoft ait déclaré que la conception de ses services d'identité n'était pas en cause. Qu’en pensez-vous ?

    Voir aussi :

    Les pirates informatiques de SolarWinds ont pu accéder au code source de Microsoft, qui avait précédemment détecté sur son réseau une porte dérobée sans incidence sur son système de production
    Les pirates informatiques proposent de vendre à Microsoft et Cisco davantage de code source lié à l'incident Solarwinds, et offrent l'accès au code source de Windows 10 volé pour 600 000 dollars
    La vaste campagne de piratage informatique a atteint Microsoft, qui qualifie la violation de la chaîne d'approvisionnement contre SolarWinds d'« acte d'imprudence »
    Président de Microsoft : le piratage de SolarWinds a été « l'attaque la plus importante et la plus sophistiquée » jamais réalisée, les empreintes informatiques de plus de 1000 développeurs trouvées
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  9. #49
    Chroniqueur Actualités

    Homme Profil pro
    Consultant informatique
    Inscrit en
    avril 2018
    Messages
    1 547
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Côte d'Ivoire

    Informations professionnelles :
    Activité : Consultant informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : avril 2018
    Messages : 1 547
    Points : 32 634
    Points
    32 634
    Par défaut Le PDG de SolarWinds blâme un stagiaire pour une fuite de mot de passe
    Le PDG de SolarWinds blâme un stagiaire pour une fuite de mot de passe,
    Il n'est, cependant, pas encore certain que cela ait joué un rôle dans le piratage de SolarWinds

    Profitant d'une des faiblesses de SolarWinds, des pirates informatiques ont pénétré dans les données des entreprises et institutions de son réseau de clients. Le problème qui a émergé des mises à jour du logiciel appelé Orion aurait touché presque toutes les entreprises du Fortune 500. Des informations particulièrement importantes des institutions du gouvernement américain sont passées entre les mains de pirates. Un autre rebondissement dans l’affaire a révélé une grave erreur dans la sécurité : un mot de passe peu sûr "solarwinds123" sur un serveur, et SolarWinds attribue la faute à un stagiaire.

    SolarWinds est une société américaine qui aide ses entreprises à gérer leurs réseaux, leurs systèmes et leur infrastructure technologique. L'entreprise dispose d'un très grand réseau de clients, parmi lesquels il y a certaines institutions du gouvernement américain. Il y a encore peu de temps, l'entreprise, dont presque personne n'avait entendu parler, s’est fait connaître à la fin de 2020 avec un grand scandale de sécurité informatique, que les enquêteurs qualifient de très sophistiqué.

    Nom : s01.jpg
Affichages : 23315
Taille : 28,6 Ko

    Le gouvernement américain, qui a ouvert une enquête sur l'incident, a découvert d’autres détails intéressants dans l’affaire. Lors d'une audition conjointe des représentants des commissions de surveillance et de sécurité intérieure de la Chambre des représentants, les cadres supérieurs actuels et anciens de SolarWinds accusent un stagiaire de l'entreprise d'avoir commis une grave erreur dans la sécurité des mots de passe qui n'a apparemment pas été diagnostiquée pendant des années. Il s'agit d’un mot de passe risible défini sur l'un des serveurs de la société.

    Plusieurs législateurs américains se sont moqués de SolarWinds pour la question du mot de passe vendredi, lors de l’audition. « J'ai un mot de passe plus fort que "solarwinds123" pour empêcher mes enfants de trop regarder YouTube sur leur iPad », a déclaré la représentante Katie Porter. « Vous et votre entreprise étiez censés empêcher les Russes de lire les e-mails du ministère de la Défense ! »

    Toutefois, le président de Microsoft, Brad Smith, qui témoignait également lors de l'audience de vendredi, a déclaré plus tard qu'il n'y avait aucune preuve que le Pentagone était réellement affecté par la campagne d'espionnage russe. Microsoft fait partie des entreprises qui ont mené l'enquête médico-légale sur la campagne de piratage. « Il n'y a aucune indication, à ma connaissance, que le DoD ait été attaqué », a déclaré Smith.

    Confronté à la représentante Rashida Tlaib, l'ancien PDG de SolarWinds, Kevin Thompson, a déclaré que le problème du mot de passe était « une erreur commise par un stagiaire ». « Ils ont violé notre politique en matière de mot de passe et ont publié ce mot de passe sur un compte interne, sur leur propre compte Github privé », a déclaré Kevin Thompson, selon un communiqué de presse de la Commission parlementaire sur le contrôle et la réforme.

    Les représentants de SolarWinds ont déclaré aux législateurs vendredi que dès que le problème de mot de passe a été signalé, il a été corrigé en quelques jours. « Dès qu'il a été identifié et porté à l'attention de mon équipe de sécurité, ils l'ont retiré ». Ni Thompson ni Ramakrishna n'ont expliqué aux législateurs pourquoi la technologie de la société permettait de tels mots de passe.


    Le mot de passe "solarwinds123", utilisé pour protéger un serveur de SolarWinds, exposé en ligne pendant plus d’un an

    Le problème de sécurité du mot de passe remonte au moins à 2018, bien que le témoignage fourni par SolarWinds vendredi indique qu'il pourrait remonter encore plus loin. Le chercheur qui a découvert la fuite du mot de passe, Vinoth Kumar, a précédemment déclaré à CNN qu'avant que la société ne corrige le problème en novembre 2019, le mot de passe était accessible en ligne depuis au moins juin 2018.

    Cependant, lors de l'audition, Sudhakar Ramakrishna, l’actuel PDG de SolarWinds, a déclaré aux législateurs que le mot de passe "solarwinds123" avait été utilisé sur l'un des serveurs en 2017. « Je crois que c'est un mot de passe qu'un stagiaire a utilisé sur un de ses serveurs Github en 2017, qui a été signalé à notre équipe de sécurité et a été immédiatement supprimé », a déclaré Ramakrishna lors de l’audition. Ce délai est considérablement plus long que ce qui avait été signalé par le chercheur qui a découvert la fuite du mot de passe.

    Selon les courriels entre Kumar et SolarWinds vu par CNN, le mot de passe divulgué permettait à Kumar de se connecter et de déposer avec succès des fichiers sur le serveur de la société. En utilisant cette tactique, Kumar a averti l'entreprise que tout pirate pouvait télécharger des programmes malveillants sur SolarWinds.

    Cependant, on ne sait toujours pas quel rôle, le cas échéant, le mot de passe divulgué a pu jouer pour permettre à des pirates informatiques russes présumés d'espionner plusieurs agences fédérales et entreprises dans l'une des plus graves violations de la sécurité de l'histoire des États-Unis.

    Le vol d'identifiants est l'une des trois voies d'attaque possibles sur lesquelles SolarWinds enquête pour tenter de découvrir comment il a d'abord été compromis par les pirates, qui ont ensuite dissimulé des codes malveillants dans des mises à jour de logiciels que SolarWinds a ensuite diffusées à quelque 18 000 clients, dont de nombreuses agences fédérales.

    Selon Ramakrishna, d'autres théories sont à l'étude, notamment la découverte par la force brute des mots de passe de l'entreprise, ainsi que la possibilité que les pirates informatiques aient pu entrer par le biais de logiciels tiers compromis.

    Ce mois-ci, la conseillère à la sécurité nationale de la Maison-Blanche, Anne Neuberger, a déclaré qu'environ 100 entreprises différentes et neuf agences fédérales, dont celle qui supervise les armes nucléaires du pays, avaient été compromises par des pirates informatiques étrangers.

    Le gouvernement enquête actuellement sur ce piratage, et on ne sait toujours pas à quelles données les pirates ont pu avoir accès. L'enquête devrait prendre plusieurs mois. Kevin Mandia, PDG de FireEye, la société de cybersécurité qui a découvert le piratage, a déclaré que nous pourrions ne jamais connaître l'ampleur de l'attaque. Mandia a participé à l’audition du vendredi.

    « Le résultat final : nous ne connaîtrons peut-être jamais l'étendue et l'ampleur des dégâts, et nous ne saurons peut-être jamais dans quelle mesure les informations volées profitent à un adversaire », a déclaré Mandia. Néanmoins, nous savons qu’un pauvre stagiaire pourrait être en partie tenu responsable de l’une des causes de l’attaque.

    Nom : s02.jpg
Affichages : 6690
Taille : 36,5 Ko

    Le SVR russe n’a pas besoin d’un mot de passe faible sur les serveurs pour atteindre leurs cibles, selon un chercheur en sécurité

    Les déclarations faites depuis par les agences de sécurités américaines et des entreprises, y compris Microsoft, étaient que les pirates soutenus par le gouvernement russe étaient derrière l'attaque, qui est considérée comme la plus grande campagne d'intrusion étrangère de l'histoire des États-Unis.

    Selon Thaddeus E. Grugq, chercheur en sécurité de l'information, les services de renseignement étrangers russes n'ont pas besoin d'accéder à la cible via un mot de passe faible sur les serveurs de compilation. « Si c'est ce qu'ils utilisent, alors c'est ce qu'ils utilisent, mais ce n'est pas le facteur décisif pour l'opération », a-t-il écrit dans un article publié dimanche sur son site Web.

    Selon le chercheur, les attaquants de SolarWinds, des services de renseignement étrangers russes, formés à partir de la crème de l'ancien KGB, ont des cibles et ils trouveront les techniques pour y accéder. « En tant que SVR, ils sont toujours aussi redoutables », dit-il.

    Selon lui, le SVR ne commence pas d’abord par déterminer une technique pour ensuite chercher des cibles auxquelles ils peuvent accéder. Pour atteindre leur objectif, ils iront même jusqu’à recruter un développeur dans l'entreprise et de le piéger pour qu'il installe des logiciels malveillants, d’après Grugq.

    « La porte dérobée SolarWinds a été profondément intégrée dans le code, elle a été injectée pendant leur processus de construction, et il n'est pas possible que le serveur ayant un mot de passe faible ait été le facteur déterminant. Comme si les services secrets russes allaient abandonner s'il y avait un mot de passe fort à la place ! », a indiqué le chercheur. « Il n'y a pratiquement aucune chance que le mot de passe du serveur ait eu un quelconque rapport avec le piratage dans son ensemble ».

    « L'infraction est régulièrement sous-estimée. Lorsque des entreprises sont piratées, elles réagissent comme si elles n'avaient fait qu'une seule chose ou évité une seule erreur, tout aurait été correct. L'adversaire est traité comme s'il avait juste eu de la chance », a écrit le chercheur rapportant une citation du livre "Network Attacks and Exploitation: A Framework".

    Selon le chercheur, il serait d'accord avec les personnes qui suggèrent que l'exemple du mot de passe faible est pertinent, si cela illustre les mauvaises pratiques de sécurité en général. Mais ce n'est pas le cas. « Je suis tout à fait d'accord avec le "c'est un exemple de mauvaise pratique en matière de sécurité", mais... ce n'est pas ce qui a été dit. Ils ont littéralement dit que le mot de passe faible signifie que l'attaquant peut être n'importe qui. N'importe qui peut le faire. C'est la suggestion la plus absurde ».

    « Je suis parfaitement disposé à croire que leurs serveurs de compilation utilisaient "admin:admin" et que c'est comme ça que les Russes ont eu accès à leur code... mais, c'était une opération clandestine de renseignement. Ils n'ont pas réussi simplement parce que SolarWind avait une mauvaise hygiène des mots de passe », a noté le chercheur. Selon le chercheur, SolarWind n’a pas été choisi en raison de sa faible sécurité.

    Il admet qu’il aurait pu être trop difficile pour le KGB d’utiliser SolarWinds dans une opération d'habilitation. La société pourrait atteindre ce niveau de sécurité. « La création d'une forte capacité de détection rapide avec des mesures correctives et une réponse rapide aux incidents rendra difficile pour les attaquants de rester pendant un certain temps, ou de persister sur le système après avoir obtenu l'accès. Cela exige de la vigilance et un certain effort, mais c'est possible ». Il ajoute que « SolarWind n'était pas près d'atteindre ce niveau ».

    Sources : Audition des représentants, Thaddeus Grugq

    Et vous ?

    Qu’en pensez-vous ?
    SolardWinds utilisait, pour protéger un serveur, le mot de passe "solarwinds123", qui est resté exposé sur internet pendant plus d’un an. Qu’en pensez-vous ?
    Quel commentaire faites-vous du fait que SolarWinds ait cédé l'accès administrateur à un stagiaire ?
    « Il n'y a pratiquement aucune chance que le mot de passe du serveur ait eu un quelconque rapport avec le piratage dans son ensemble », selon un chercheur. Qu’en pensez-vous ?

    Voir aussi :

    Un ancien conseiller de SolarWinds avait mis en garde contre le laxisme de la sécurité des années avant le piratage, mais son plan pour réduire les risques aurait été ignoré
    Président de Microsoft : le piratage de SolarWinds a été « l'attaque la plus importante et la plus sophistiquée » jamais réalisée, les empreintes informatiques de plus de 1000 développeurs trouvées
    Les pirates informatiques de SolarWinds ont pu accéder au code source de Microsoft, qui avait précédemment détecté sur son réseau une porte dérobée sans incidence sur son système de production
    L'attaque de la chaîne d'approvisionnement contre la société SolarWinds expose près de 18 000 organisations, ce piratage peut dévoiler de profonds secrets américains ; les dégâts sont encore inconnus
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  10. #50
    Membre confirmé Avatar de der§en
    Homme Profil pro
    Meaux
    Inscrit en
    septembre 2005
    Messages
    517
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Seine et Marne (Île de France)

    Informations professionnelles :
    Activité : Meaux
    Secteur : Transports

    Informations forums :
    Inscription : septembre 2005
    Messages : 517
    Points : 554
    Points
    554
    Par défaut
    Rhooo, la faute d'un stagiaire, franchement quel manque d'imagination...

  11. #51
    Membre confirmé
    Profil pro
    maçon
    Inscrit en
    novembre 2004
    Messages
    227
    Détails du profil
    Informations personnelles :
    Localisation : France, Haute Loire (Auvergne)

    Informations professionnelles :
    Activité : maçon

    Informations forums :
    Inscription : novembre 2004
    Messages : 227
    Points : 477
    Points
    477
    Par défaut
    Plus c'est gros plus ça passe .
    Microsoft ose tout :
    Nom : image.png
Affichages : 5833
Taille : 38,1 Ko

  12. #52
    Expert confirmé

    Profil pro
    Inscrit en
    janvier 2011
    Messages
    2 889
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations forums :
    Inscription : janvier 2011
    Messages : 2 889
    Points : 4 184
    Points
    4 184
    Par défaut
    Bonsoir

    Le PDG de SolarWinds blâme un stagiaire pour une fuite de mot de passe, il n'est, cependant, pas encore certain que cela ait joué un rôle dans le piratage de SolarWinds .

    Qu’en pensez-vous ?
    "Taper" sur un stagiaire est assez "facile" est mesquin ... D'autant qu'aux USA si l'on envie de "runier" la carrière de quelqu'un ... C'est assez simple. J'imagine le tronche du stagiaire qui reçoit une convocation ou une visite des services fédéraux ...

    SolardWinds utilisait, pour protéger un serveur, le mot de passe "solarwinds123", qui est resté exposé sur internet pendant plus d’un an. Qu’en pensez-vous ?
    Acte accidentel avec oubli de d'enlever le mot de passe , lors de la publication du code source ? Acte réellement malveillant avec "durée" dans le temps histoire de "brouiller" les pistes. Cette affaire laisse en tout cas perplexe.

    Quel commentaire faites-vous du fait que SolarWinds ait cédé l'accès administrateur à un stagiaire ?
    Tout stagiaire peut a tout moment être amené a tout moment à devoir prendre la main sur une activité de prod , donc rien de surprenant .

    « Il n'y a pratiquement aucune chance que le mot de passe du serveur ait eu un quelconque rapport avec le piratage dans son ensemble », selon un chercheur. Qu’en pensez-vous ?
    La masse d'infos et de logs a analyser pour déduire et / ou remetter jusqu'à un potentiel "coupable" est quasi impossible. Les responsabilités étant également tellement "diluées".

  13. #53
    Membre confirmé
    Homme Profil pro
    retraité
    Inscrit en
    septembre 2014
    Messages
    211
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : retraité

    Informations forums :
    Inscription : septembre 2014
    Messages : 211
    Points : 485
    Points
    485
    Par défaut
    Citation Envoyé par der§en Voir le message
    Rhooo, la faute d'un stagiaire, franchement quel manque d'imagination...
    Pire : ils ont osé. Mais j'attendais cette information.

  14. #54
    Membre confirmé
    Homme Profil pro
    retraité
    Inscrit en
    septembre 2014
    Messages
    211
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : retraité

    Informations forums :
    Inscription : septembre 2014
    Messages : 211
    Points : 485
    Points
    485
    Par défaut
    Citation Envoyé par tanaka59 Voir le message
    Bonsoir
    "Taper" sur un stagiaire est assez "facile" est mesquin ... D'autant qu'aux USA si l'on envie de "runier" la carrière de quelqu'un ... C'est assez simple. J'imagine le tronche du stagiaire qui reçoit une convocation ou une visite des services fédéraux ...
    Mais donc le code source a été publié. C'est aussi le risque de l'Open Source.
    Citation Envoyé par tanaka59 Voir le message
    Acte accidentel avec oubli de d'enlever le mot de passe , lors de la publication du code source ? Acte réellement malveillant avec "durée" dans le temps histoire de "brouiller" les pistes. Cette affaire laisse en tout cas perplexe.
    Comment ont peut avoir une politique aussi laxiste, avec des clients aussi prestigieux et sensibles ???
    Citation Envoyé par tanaka59 Voir le message
    Tout stagiaire peut a tout moment être amené a tout moment à devoir prendre la main sur une activité de prod , donc rien de surprenant .
    Euh, non justement, un stagiaire ne devrait jamais avoir a toucher à Production, jamais. C'est une règle des plus élémentaires, il est là pour faire un stage dans le cadre de ses études, pas pour faire un travail productif.
    Citation Envoyé par tanaka59 Voir le message
    La masse d'infos et de logs a analyser pour déduire et / ou remetter jusqu'à un potentiel "coupable" est quasi impossible. Les responsabilités étant également tellement "diluées".
    Très certainement. Et si elles sont conservées assez longtemps en plus...

  15. #55
    Chroniqueur Actualités

    Homme Profil pro
    Consultant informatique
    Inscrit en
    avril 2018
    Messages
    1 547
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Côte d'Ivoire

    Informations professionnelles :
    Activité : Consultant informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : avril 2018
    Messages : 1 547
    Points : 32 634
    Points
    32 634
    Par défaut Au moins 30 000 organisations US ont été piratées via des failles dans Microsoft Exchange
    Au moins 30 000 organisations US ont été piratées via des failles dans Microsoft Exchange,
    Des correctifs ont été publiés, mais l’attaque continuerait sur les serveurs non patchés

    Pas moins 30 000 organisations américaines ont été compromises ces derniers jours par une porte dérobée installée via quatre failles récemment corrigées dans Microsoft Exchange, ont dit vendredi, au journaliste spécialisé en cybersécurité Brian Krebs, des personnes connaissant bien la réponse du gouvernement américain à l’incident. Les victimes, qui comprennent un nombre important de petites entreprises, de villes et de gouvernements locaux, ont été piratées par des cyberespions agressifs qui se concentrent sur le vol du courrier électronique des organisations victimes.

    Les failles exploitées par les attaquants ont été récemment découvertes dans Microsoft Exchange Server. Le piratage a déjà atteint plus d'endroits que la totalité du code corrompu téléchargé de SolarWinds, la société au cœur d'une autre vague de piratage massive découverte en décembre. KrebsOnSecurity a rapporté vendredi que des centaines de milliers d'organisations sont touchées dans le monde entier avec des outils qui donnent aux attaquants un contrôle total et à distance sur leurs systèmes informatiques.

    Nom : m01.jpg
Affichages : 17905
Taille : 32,0 Ko

    Dans un billet de blog publié le 2 mars, Microsoft a informé les clients avoir publié des mises à jour de sécurité d'urgence pour combler les quatre failles de sécurité dans les versions 2013 à 2019 d'Exchange Server que les pirates utilisaient activement pour siphonner les communications par courrier électronique des systèmes connectés à Internet et exécutant Exchange. Mais malgré cela, pendant les trois jours suivants, le même groupe de cyberespionnage a considérablement intensifié les attaques sur tous les serveurs Exchange vulnérables et non patchés dans le monde, selon les experts en sécurité.

    Microsoft et les sources qui travaillent avec la réponse américaine ont attribué la première vague d'attaques à des acteurs soutenus par le gouvernement chinois. Les intrus ont laissé derrière eux un "web shell", un outil de piratage facile à utiliser et protégé par un mot de passe, auquel on peut accéder sur Internet à partir de n'importe quel navigateur, selon le billet de Microsoft. Le web shell donne aux attaquants un accès administratif aux serveurs des victimes. Un porte-parole du gouvernement chinois a déclaré que le pays n'était pas derrière ces intrusions, a rapporté Reuters.

    S'exprimant sous couvert d'anonymat, deux experts en cybersécurité qui ont informé les conseillers américains en matière de sécurité nationale de l'attaque ont déclaré à Krebs que le groupe de pirates chinois que l'on pense responsable a pris le contrôle de "centaines de milliers" de serveurs Microsoft Exchange dans le monde entier – chaque système victime représentant environ une organisation qui utilise Exchange pour traiter son courrier électronique.

    Microsoft a déclaré mardi que les failles d'Exchange sont la cible d'une équipe de piratage chinoise non identifiée auparavant, qu'il a surnommée "Hafnium", et que le groupe a mené des attaques ciblées sur des systèmes de courrier électronique utilisés par une série de secteurs industriels, notamment des chercheurs en maladies infectieuses, des cabinets d'avocats, des établissements d'enseignement supérieur, des entreprises de défense, des groupes de réflexion sur les politiques et des ONG.

    Dans son avis de mardi, Microsoft a exprimé sa reconnaissance à la société de réponses aux incidents Volexity pour avoir signalé les vulnérabilités. Le président de Volexity, Steven Adair, a déclaré que la société a vu pour la première fois des attaquants exploiter discrètement les bugs d’Exchange le 6 janvier 2021, le jour où tous les yeux étaient rivés sur le Capitole américain pour la confirmation de l’élection du président Joe Biden, mais surtout à cause de l'émeute des partisans de Donald Trump.

    Mais c’est au cours de ces derniers jours que le groupe de pirates est passé à la vitesse supérieure, d’après Adair, passant rapidement à l'analyse d'Internet pour trouver les serveurs Exchange qui n'étaient pas encore protégés par les mises à jour de sécurité publiées par Microsoft mardi.

    « Nous avons travaillé sur des douzaines d'affaires jusqu'à présent, où des web shell ont été mis sur le système de la victime le 28 février [avant que Microsoft n'annonce ses correctifs], jusqu'à aujourd'hui », a déclaré Adair. « Même si vous avez mis des correctifs le jour même où Microsoft a publié ses correctifs, il y a toujours une forte chance qu'il y ait un web shell sur votre serveur. La vérité est que si vous utilisez Exchange et que vous n'avez pas encore appliqué les correctifs, il y a de fortes chances que votre organisation soit déjà compromise ».

    Nom : m02.png
Affichages : 2860
Taille : 68,5 Ko

    Un effort nécessaire de nettoyage sans précédent et urgent à l'échelle nationale afin d’éradiquer les portes dérobées

    Microsoft, qui avait initialement déclaré que les piratages consistaient en « attaques limitées et ciblées », a refusé de commenter l'ampleur du problème vendredi, mais a déclaré qu'il travaillait avec des agences gouvernementales et des sociétés de sécurité pour apporter de l'aide aux clients.

    « La meilleure protection consiste à appliquer les mises à jour dès que possible sur tous les systèmes concernés », a déclaré un porte-parole de Microsoft dans une déclaration écrite. « Nous continuons à aider nos clients en leur fournissant des conseils supplémentaires en matière d'investigation et d'atténuation. Les clients touchés doivent contacter nos équipes d’assistance pour obtenir une aide et des ressources supplémentaires ».

    « Ce sont les services de police, les hôpitaux, des tonnes de villes et d'états, ainsi que les coopératives de crédit », a déclaré à Krebs une source qui travaille en étroite collaboration avec les fonctionnaires fédéraux sur la question. « Presque tous ceux qui utilisent Outlook Web Access en mode autohébergé et qui n'ont pas encore reçu de correctif il y a quelques jours ont été victimes d'une attaque "zero-day" ».

    Selon Reuters, une analyse des appareils connectés a montré que seulement 10 % des personnes vulnérables avaient installé les correctifs vendredi, bien que le nombre soit en augmentation. Un autre expert en cybersécurité du gouvernement qui a participé à un appel récent avec de multiples parties prenantes touchées par cette série de piratage s'inquiète de l'effort de nettoyage nécessaire qui va être énorme.

    « Lors de l'appel, de nombreuses questions ont été posées par des districts scolaires ou des gouvernements locaux qui ont tous besoin d'aide », a déclaré la source, qui s'est exprimée à condition de garder son anonymat. « Si ces chiffres se comptent par dizaines de milliers, comment réagir à l'incident ? Il n'y a tout simplement pas assez d'équipes de réponse aux incidents pour faire cela rapidement ».

    Adair et d'autres disent, selon KrebsOnSecurity, que l'éradication de ces intrus va nécessiter un effort de nettoyage sans précédent et urgent à l'échelle nationale. Ils s'inquiètent du fait que plus les victimes mettent de temps à enlever les portes dérobées, plus il est probable que les intrus poursuivent en installant des portes dérobées supplémentaires, et peut-être en élargissant l'attaque pour inclure d'autres parties de l'infrastructure réseau de la victime.

    Plus tôt vendredi, l'attachée de presse de la Maison-Blanche Jen Psaki a déclaré aux journalistes que les vulnérabilités trouvées dans les serveurs Exchange de Microsoft, largement utilisés, étaient « importantes » et « pourraient avoir des impacts de grande portée ». « Nous sommes préoccupés par le grand nombre de victimes », a déclaré Psaki.

    D'autres attaques sont attendues de la part d'autres hackers à mesure que le code utilisé pour prendre le contrôle des serveurs de messagerie se répand. Les pirates n'ont utilisé les portes dérobées pour entrer et se déplacer dans les réseaux infectés que dans un faible pourcentage de cas, probablement moins de 1 sur 10, a déclaré l’une des sources proches du gouvernement.

    Cyberattaque contre SolarWinds : Microsoft a trouvé trois autres logiciels malveillants utilisés par les attaquants

    Microsoft a déclaré que les incursions de Hafnium sur les serveurs Exchange vulnérables ne sont en aucun cas liées aux attaques distinctes liées à SolarWinds, dans lesquelles un groupe de renseignements russe présumé a installé des portes dérobées dans des logiciels de gestion de réseau utilisés par plus de 18 000 organisations. L’entreprise a d’ailleurs révélé jeudi d'autres logiciels malveillants qui ont été utilisés par ces pirates informatiques qui ont placé des logiciels malveillants dans SolarWinds Orion.

    Jusqu'à présent, Microsoft et le fournisseur de sécurité FireEye avaient identifié les logiciels malveillants Sunburst (que Microsoft a appelé Solorigate) et Teardrop. En janvier, l'entreprise de sécurité CrowdStrike a trouvé Sunspot, un logiciel dédié à la surveillance du serveur de compilation pour les commandes de compilation qui ont assemblé Orion.

    Nom : m03.jpg
Affichages : 2760
Taille : 14,9 Ko

    Microsoft a maintenant révélé trois nouveaux composants de logiciels malveillants utilisés par les pirates que Microsoft a baptisés "Nobelium" : GoldMax, GoldFinder et Sibot.

    GoldMax est considéré par Microsoft comme un implant qui sert de porte dérobée de commande et de contrôle (C2). Cette porte dérobée a été écrite dans le langage de programmation système de Google, Go. FireEye a déclaré qu'il ne savait pas comment ce malware était installé, mais qu'il s'agissait d'une porte dérobée de deuxième niveau qui a été abandonnée après un premier compromis. La société a décrit le design de SUNSHUTTLE (c’est le nom qu’elle a donné au malware) comme « sophistiqué » et « élégant ».

    « La nouvelle porte dérobée SUNSHUTTLE est une porte dérobée sophistiquée de deuxième niveau qui démontre des techniques simples de détection, mais élégantes par le biais de ses capacités de trafic "intégré" pour les communications C2 », note FireEye dans son analyse.

    « Le malware écrit un fichier de configuration chiffré sur le disque, où le nom du fichier et les clés de chiffrement AES-256 sont uniques par implant et basés sur des variables environnementales et des informations sur le réseau où il fonctionne », a expliqué Microsoft.

    « GoldMax établit une clé de session sécurisée avec son C2 et utilise cette clé pour communiquer de manière sécurisée avec le C2, empêchant les connexions non initiées par GoldMax de recevoir et d'identifier le trafic malveillant ». Ce choix a permis à GoldMax d'éviter de déclencher des alarmes dans la plupart des produits de sécurité qui examinent les scores de réputation, selon Microsoft.

    Quant à Sibot, construit avec Visual Basic Scripting (VBScript) de Microsoft, il est un malware à double usage, selon Microsoft. « Le fichier VBScript reçoit un nom qui imite les tâches légitimes de Windows et est soit stocké dans le registre du système compromis, soit dans un format obscurci sur le disque. Le VBScript est ensuite exécuté via une tâche planifiée », note Microsoft.

    Son principal objectif était la persistance sur une machine infectée afin qu'elle puisse télécharger et exécuter une charge utile à partir d'un serveur C2 distant. Microsoft a identifié trois variantes de Sibot qui téléchargent toutes une charge utile malveillante.

    GoldFinder, qui est également écrit en Go, est considéré comme un outil de traçage HTTP personnalisé qui enregistre la route ou les sauts qu'un paquet prend pour atteindre un serveur C2 codé en dur.

    Sources : Microsoft (1 & 2), FireEye

    Et vous ?

    Que pensez-vous de ce nouveau problème de cybersécurité introduit via des failles dans Microsoft Exchange Server ?
    La première fois que les attaquants ont exploité les bugs d’Exchange date de depuis 6 janvier 2021, selon le président de Volexity. Quel commentaire en faites-vous ?
    Quelles solutions proposeriez-vous aux organisations pour éviter d’être exposées aux attaques via ce genre de bugs dans Exchange ?

    Voir aussi :

    Les pirates informatiques proposent de vendre à Microsoft et Cisco davantage de code source lié à l'incident Solarwinds, et offrent l'accès au code source de Windows 10 volé pour 600 000 dollars
    Les pirates informatiques de SolarWinds ont pu accéder au code source de Microsoft, qui avait précédemment détecté sur son réseau une porte dérobée sans incidence sur son système de production
    Président de Microsoft : le piratage de SolarWinds a été « l'attaque la plus importante et la plus sophistiquée » jamais réalisée, les empreintes informatiques de plus de 1000 développeurs trouvées
    Le PDG de SolarWinds blâme un stagiaire pour une fuite de mot de passe, il n'est, cependant, pas encore certain que cela ait joué un rôle dans le piratage de SolarWinds
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  16. #56
    Chroniqueur Actualités

    Homme Profil pro
    Rédacteur technique
    Inscrit en
    juin 2016
    Messages
    1 945
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Bénin

    Informations professionnelles :
    Activité : Rédacteur technique
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : juin 2016
    Messages : 1 945
    Points : 41 205
    Points
    41 205
    Par défaut Malgré le patch de Microsoft dans Exchange, le gouvernement US met en garde contre la "menace active"
    Malgré le correctif de Microsoft dans son serveur de messagerie Exchange, le gouvernement US met en garde contre la "menace active qui continue de se développer"
    et appelle à l'action

    Après la vaste campagne de piratage de SolarWinds l'année dernière, Microsoft a de nouveau été touché par une cyberattaque d'envergure. L'attaque, perpétrée via des failles dans son serveur de messagerie Exchange, aurait permis aux pirates d'atteindre environ 30 000 clients aux États-Unis et environ 250 000 dans le monde. Si Microsoft dit avoir corrigé les vulnérabilités ayant permis l'attaque, la Maison Blanche n'en est pas totalement sûre. Elle a déclaré vendredi que l'on est en présence d'une "menace active" et que les organisations utilisant Exchange doivent s'activer pour s'assurer que les brèches ont été effectivement refermées.

    Maison Blanche : "Avant tout, il s'agit d'une menace active"

    La vulnérabilité en question a été révélée par le directeur de Microsoft, Tom Burt, dans un article de blogue mardi et a annoncé des mises à jour pour contrer les failles de sécurité qui, selon lui, ont permis aux pirates d'accéder aux serveurs Exchange. Le centre de renseignement sur les menaces de Microsoft (MSTIC – Microsoft Threat Intelligence Center) a attribué les attaques avec une "grande confiance" à un "attaquant parrainé par l'État basé en Chine" qu'elle a nommé Hafnium. La société a déclaré que Hafnium avait tenté de voler des informations à des groupes tels que des chercheurs en maladies infectieuses, des cabinets d'avocats, etc.

    Nom : 12.png
Affichages : 1957
Taille : 35,0 Ko

    La liste des victimes comprend également des établissements d'enseignement supérieur et des entreprises de défense. Cependant, vendredi, la Maison Blanche a fait savoir qu'elle n'est pas totalement certaine que la menace a été écartée et a mis en alerte toutes les organisations qui exploitent le service de Microsoft. « Il s'agit d'une vulnérabilité importante qui pourrait avoir des répercussions de grande envergure. C'est une menace active », a déclaré vendredi l'attachée de presse de la Maison Blanche Jen Psaki. « Tous ceux qui gèrent ces serveurs, gouvernement, secteur privé, université doivent agir maintenant pour les réparer ».

    Psaki a expliqué aux journalistes que la Maison Blanche était "préoccupée par le grand nombre de victimes". En effet, alors que Microsoft a publié un patch la semaine dernière pour corriger les failles de son logiciel de messagerie, le remède laisserait toujours ouverte une prétendue porte dérobée qui pourrait permettre l'accès à des serveurs compromis et perpétuer de nouvelles attaques par d'autres. Samedi, le Conseil national de sécurité américain (US National Security Council) a déclaré qu'il était "essentiel que toute organisation ayant un serveur vulnérable prenne des mesures immédiates" pour déterminer si elle avait été ciblée.

    Le secrétaire de presse du Pentagone, John Kirby, a déclaré vendredi aux journalistes que le ministère de la Défense travaillait actuellement à déterminer si la faille avait eu un impact négatif sur lui. « Nous en sommes conscients et nous l'évaluons  », a déclaré Kirby. « Et c'est vraiment le plus loin que je puisse aller pour le moment ». En outre, la nouvelle de la brèche a incité l'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA – Cybersecurity and Infrastructure Security Agency) à publier une directive d'urgence demandant aux agences et départements de prendre des mesures urgentes.

    Jake Sullivan, le conseiller à la sécurité nationale de la Maison Blanche, a également exhorté les propriétaires de réseaux à télécharger les correctifs de sécurité dès que possible. Microsoft n'a pas confirmé le nombre de victimes annoncées, mais a déclaré vendredi qu'il travaillait en étroite collaboration avec les agences gouvernementales américaines. Il a expliqué aux clients que "la meilleure protection" était "d'appliquer les mises à jour dès que possible sur tous les systèmes concernés". Microsoft prévoit de publier des techniques d'atténuation conçues pour aider ceux qui ne sont pas en mesure d'exécuter rapidement les mises à jour. Par ailleurs, il a averti qu'elles n'étaient pas "une solution si vos serveurs Exchange ont déjà été compromis ni une protection complète contre les attaques".

    La Maison Blanche devrait dédier un groupe de travail à ce piratage

    Selon les analystes, c'est la huitième fois au cours des 12 derniers mois que Microsoft accuse publiquement des groupes d'État-nation de cibler des institutions essentielles à la société civile. En outre, cette annonce marque la dernière crise de cybersécurité à frapper les États-Unis après que FireEye, Microsoft et d'autres ont signalé la campagne de piratage russe présumée qui a commencé par l'infiltration de la société de logiciels SolarWinds. Cet effort a conduit à la compromission d'au moins neuf agences fédérales et des centaines d'entreprises privées.

    Nom : 13.png
Affichages : 1930
Taille : 25,6 Ko

    Microsoft a déclaré que l'attaque révélée la semaine dernière n'avait aucun lien avec celle de SolarWinds. Il semble toutefois persuadé que, même si le groupe auteur de l'attaque est lié à Pékin, il a opéré depuis l'intérieur des États-Unis. « Bien que Hafnium soit basée en Chine, elle mènerait ses opérations principalement à partir de serveurs privés virtuels loués aux États-Unis », a déclaré Microsoft. Un responsable de la Maison Blanche connaissant le sujet a déclaré qu'au regard de l'ampleur de l'incident, l'administration devrait mettre sur pied un groupe de travail pour traiter cette attaque majeure subie par la firme de Redmond.

    « Nous entreprenons une réponse de l'ensemble du gouvernement pour évaluer et traiter l'impact. L'Agence pour la cybersécurité et la sécurité des infrastructures a émis une directive d'urgence à l'intention des agences et nous travaillons maintenant avec nos partenaires et examinons de près les prochaines étapes que nous devons franchir. Il s'agit d'une menace active qui se développe encore et nous demandons instamment aux opérateurs de réseaux de la prendre très au sérieux », a déclaré le responsable de la Maison Blanche.

    « Le groupe de travail ou "Unified Coordination Group" est un effort multiagences initié par le Conseil national de sécurité, qui comprend le FBI, l'agence pour la cybersécurité et la sécurité des infrastructures et d'autres », a déclaré le fonctionnaire américain. Selon une autre source proche du dossier, l'Agence nationale de sécurité a également un rôle dans la réponse, bien qu'il ne soit pas immédiatement clair si son implication est codifiée dans le cadre de la directive UCG. « Cela peut potentiellement affecter simultanément des organisations qui sont essentielles à la vie quotidienne aux États-Unis », a-t-elle déclaré.

    Notons que, alors que de nombreuses entreprises technologiques américaines entretiennent des relations tumultueuses avec le gouvernement chinois, Microsoft maintient une présence dans le pays depuis 1992. Contrairement à Facebook et Twitter, le réseau social dédié aux professionnels détenu par Microsoft, LinkedIn, est toujours accessible en Chine. Il en va de même pour son moteur de recherche Bing, bien que Baidu, une entreprise locale, domine le marché de la recherche. Pourtant, l'entreprise ne manque pas souvent d'accuser publiquement la Chine d'orchestrer ou de parrainer des campagnes de piratage visant ses installations ou celles d'autres entités américaines.

    Sources : Communiqué de la Maison Blanche, La CISA

    Et vous ?

    Quel est votre avis sur le sujet ?

    Voir aussi

    Au moins 30 000 organisations US ont été piratées via des failles dans Microsoft Exchange, des correctifs ont été publiés, mais l'attaque continuerait sur les serveurs non patchés

    Les pirates informatiques proposent de vendre à Microsoft et Cisco davantage de code source lié à l'incident Solarwinds et offrent l'accès au code source de Windows 10 volé pour 600 000 dollars

    Les pirates informatiques de SolarWinds ont pu accéder au code source de Microsoft, qui avait précédemment détecté sur son réseau une porte dérobée sans incidence sur son système de production

    Président de Microsoft : le piratage de SolarWinds a été « l'attaque la plus importante et la plus sophistiquée » jamais réalisée, les empreintes informatiques de plus de 1000 développeurs trouvées

    Le PDG de SolarWinds blâme un stagiaire pour une fuite de mot de passe, il n'est, cependant, pas encore certain que cela ait joué un rôle dans le piratage de SolarWinds
    Contribuez au club : corrections, suggestions, critiques, ... Contactez le service news et Rédigez des actualités

  17. #57
    Membre extrêmement actif
    Homme Profil pro
    Technicien de maintenance / Developpeur PHP
    Inscrit en
    mai 2015
    Messages
    347
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Loire (Rhône Alpes)

    Informations professionnelles :
    Activité : Technicien de maintenance / Developpeur PHP
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : mai 2015
    Messages : 347
    Points : 1 271
    Points
    1 271
    Par défaut
    Quel est votre avis sur le sujet ?

    C'est pas pour enfoncer des portes ouvertes, mais les serveurs de mails sont quand même souvent configuré à l'arrache tellement ils sont peut conviviaux et error prone à configurer.
    Sans compter qu' Exchange est encore à un autre level, puisqu'en plus des protocoles standard qu'ils faut activer à l'installation (sinon pas de POP ou SMTP), ils propose une palanquée de fonctionnalités annexe qui pour des raisons de sécurité, n'ont rien à faire sur un serveur en bordure de réseau (oui je sais, il faut aussi installer des passerelles/relais, mais ce n'est pas toujours fait, ni comprit apparemment).
    Si en plus vous ajoutez à ça qu'il faut au moins deux instance de serveurs par réseau et qu'il ne doit pas être installer sur un noeud AD, vous avais une joyeuse usine à gaz qui marchouille quand ça veut.
    Pas étonnant que les serveur soit de plus en plus externalisé, au vu des difficultés à les maintenir OP.

  18. #58
    Membre extrêmement actif
    Profil pro
    Inscrit en
    juin 2010
    Messages
    750
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : juin 2010
    Messages : 750
    Points : 906
    Points
    906
    Par défaut
    Citation Envoyé par defZero Voir le message
    Quel est votre avis sur le sujet ?

    C'est pas pour enfoncer des portes ouvertes, mais les serveurs de mails sont quand même souvent configuré à l'arrache tellement ils sont peut conviviaux et error prone à configurer.
    Sans compter qu' Exchange est encore à un autre level, puisqu'en plus des protocoles standard qu'ils faut activer à l'installation (sinon pas de POP ou SMTP), ils propose une palanquée de fonctionnalités annexe qui pour des raisons de sécurité, n'ont rien à faire sur un serveur en bordure de réseau (oui je sais, il faut aussi installer des passerelles/relais, mais ce n'est pas toujours fait, ni comprit apparemment).
    Si en plus vous ajoutez à ça qu'il faut au moins deux instance de serveurs par réseau et qu'il ne doit pas être installer sur un noeud AD, vous avais une joyeuse usine à gaz qui marchouille quand ça veut.
    Pas étonnant que les serveur soit de plus en plus externalisé, au vu des difficultés à les maintenir OP.
    Déployer, maintenir et sécuriser Exchange n'est pas difficile le problème est surtout un manque de compétence des équipes et le zéro politique de sécurité. Chez mon ancien client, il y a des machines qui n'ont pas vu un seul patch de sécurité depuis 6 ans voir plus.

    Dans mon équipe nous avons réussi à tordre le bras de la DSI et avoir nos propres ordi en dehors de leur "gestion" si cela peut être installé ainsi. Pareil pour nos serveurs, rien à voir avec les leurs, ils sont up-to-date h24, j'ai un script qui effectue les basculement automatiquement pour ne pas avoir de coupure de service, on a déployé des gateways sous forme de conteneurs docker sur AWS avec vpn entre le lan aws et les machines en interne, le tout passant par des raspberry vu que nous avons monté tout une couche de sécu en mode edge. Bon après il s'agit d'un cas particulier puisque nous sommes l'équipe innovation

  19. #59
    Chroniqueur Actualités

    Homme Profil pro
    Rédacteur technique
    Inscrit en
    juin 2016
    Messages
    1 945
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Bénin

    Informations professionnelles :
    Activité : Rédacteur technique
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : juin 2016
    Messages : 1 945
    Points : 41 205
    Points
    41 205
    Par défaut Microsoft publie des mises à jour de sécurité pour les anciennes versions d'Exchange
    Microsoft publie des mises à jour de sécurité pour les anciennes versions d'Exchange qui ne sont plus prises en charge
    à la suite du piratage de son serveur de messagerie

    Piraté de nouveau la semaine passée, après les déboires de SolarWinds en fin d'année 2020, Microsoft a publié rapidement un correctif pour corriger la faille à l'origine de l'attaque. Mais malgré le correctif d'urgence de Microsoft, la Maison Blanche a demandé à toutes les organisations utilisatrices du serveur de messagerie de rester vigilantes, principalement celles qui exécutent une version d'Exchange sur site, car la menace est toujours "active". Ainsi, pour sécuriser davantage le logiciel, Microsoft, a publié lundi des mises à jour de sécurité pour les anciennes versions d'Exchange qui ne sont plus prises en charge.

    Mises à jour de sécurité pour les versions d'Exchange n'ayant plus de support

    Microsoft a attribué le nouveau piratage du serveur de messagerie Exchange à un groupe État-nation supposé lié à la Chine qu'il a nommé Hafnium. L'entreprise a déclaré que Hafnium avait tenté de voler des informations à des groupes tels que des chercheurs en maladies infectieuses, des cabinets d'avocats, etc. Selon le centre de renseignement sur les menaces de Microsoft (MSTIC – Microsoft Threat Intelligence Center), les attaques exploitaient quatre vulnérabilités de sécurité récemment découvertes. Cela a amené la firme de Redmond à publier des correctifs d'urgence hors bande pour Exchange Server 2013, Exchange Server 2016 et Exchange Server 2019.

    Nom : microsoft_exchange_hack-e1615268127580.jpg
Affichages : 2043
Taille : 88,3 Ko

    Cependant, à la lumière des cyberattaques en cours exploitant les failles, Microsoft a produit des mises à jour de sécurité pour les versions antérieures d'Exchange qu'elle ne corrige pas autrement (ces versions ne sont plus prises en charge). Les mises à jour de sécurité pour les anciennes versions d'Exchange ne concernent que les quatre failles récemment divulguées qui sont suivies comme CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, et CVE-2021-27065. Selon les explications fournies par Microsoft, les problèmes corrigés par ces mises à jour ne concernent que les serveurs Exchange sur site. Voici un aperçu des quatre vulnérabilités.

    • CVE-2021-26855 : CVSS 9.1 : une vulnérabilité de type SSRF (Server Side Request Forgery) qui conduit à l'envoi de requêtes HTTP élaborées par des attaquants non authentifiés. Les serveurs doivent pouvoir accepter des connexions non fiables sur le port 443 pour que le bogue soit déclenché ;
    • CVE-2021-26857 : CVSS 7.8 : une vulnérabilité de désérialisation non sécurisée dans le service de messagerie unifiée Exchange, permettant le déploiement de code arbitraire sous SYSTEM. Cependant, cette vulnérabilité doit être combinée avec une autre ou des identifiants volés doivent être utilisés ;
    • CVE-2021-26858 : CVSS 7.8 : une vulnérabilité d'écriture de fichier arbitraire post-authentification pour écrire dans les chemins d'accès ;
    • CVE-2021-27065 : CVSS 7.8 : vulnérabilité en écriture d'un fichier arbitraire post-authentification à écrire dans les chemins d'accès.

    Notons, bien que les correctifs pour les produits Microsoft non pris en charge soient rares, la société a été contrainte de les publier à plusieurs reprises au cours des cinq dernières années pour faire face aux cyberattaques mondiales. Elle a, par exemple, publié des correctifs pour Windows XP, dont le support a pris fin en 2014, en 2017 après les attaques du ransomware WannaCry. Microsoft a noté lundi que cette mise à jour de sécurité pour Exchange ne concerne que les quatre nouvelles failles et ne signifie pas que les versions d'Exchange, telles qu'Exchange 2010 et antérieures, sont désormais prises en charge.

    Les correctifs sont conçus pour mettre à jour des mises à jour cumulatives spécifiques (CU) d'Exchange. Il y a Exchange Server 2010 (la mise à jour nécessite le SP 3 ou toute UR SP 3. Il s'agit d'une mise à jour de Défense en profondeur), Exchange Server 2013 (la mise à jour nécessite la CU 23), Exchange Server 2016 (la mise à jour nécessite la CU 19 ou la CU 18) et Exchange Server 2019 (la mise à jour nécessite la CU 8 ou la CU 7). En outre, Microsoft a publié une série supplémentaire de mises à jour de sécurité (SU) qui peuvent être appliquées à certaines mises à jour cumulatives (CU) plus anciennes (et non prises en charge).

    Cela dit, il rappelle que la disponibilité de ces mises à jour ne signifie pas que vous n'avez pas besoin de tenir votre environnement à jour. « Il s'agit uniquement d'une mesure temporaire destinée à vous aider à protéger les machines vulnérables dès maintenant. Vous devez encore effectuer une mise à jour vers la dernière CU prise en charge, puis appliquer les SU applicables. Si vous êtes déjà à mi-chemin de la mise à jour vers une CU plus récente, vous devez poursuivre cette mise à jour », a déclaré l'entreprise.

    La Maison Blanche indique que l'on est en présence d'une menace active

    Après les correctifs d'urgence de Microsoft la semaine dernière, la Maison a déclaré être sceptique quant à leur efficacité. Elle a fait savoir qu'elle n'est pas totalement certaine que la menace a été écartée et a mis en alerte toutes les organisations qui utilisent Exchange. « Il s'agit d'une vulnérabilité importante qui pourrait avoir des répercussions de grande envergure. C'est une menace active », a déclaré vendredi l'attachée de presse de la Maison Blanche Jen Psaki. « Tous ceux qui gèrent ces serveurs, gouvernement, secteur privé, université doivent agir maintenant pour les réparer », a-t-elle ajouté.

    Psaki a expliqué aux journalistes que la Maison Blanche était "préoccupée par le grand nombre de victimes". Les correctifs fournis par Microsoft laisseraient toujours ouverte une prétendue porte dérobée qui pourrait permettre l'accès à des serveurs compromis et perpétuer de nouvelles attaques par d'autres. Samedi, le Conseil national de sécurité américain (US National Security Council) a déclaré qu'il était "essentiel que toute organisation ayant un serveur vulnérable prenne des mesures immédiates" pour déterminer si elle avait été ciblée. Dans le cas échéant, elle devrait suivre les consignes indiquées.

    En effet, les équipes de cybersécurité du monde entier ont été très occupées ces derniers mois après que l'attaque de la chaîne d'approvisionnement de SolarWinds a été révélée par Microsoft et FireEye à la mi-décembre. Ces équipes sont déjà sous pression après avoir soutenu des dispositifs pour rendre possible le télétravail pendant la pandémie. Chris Krebs, l'ancien directeur de la CISA (Cybersecurity and Infrastructure Security Agency), a déclaré lundi que les équipes de réponses aux incidents sont épuisées. Il a recommandé de réparer Exchange maintenant si possible et de supposer que l'organisation a déjà été violée.

    Si la recherche de signes de compromission n'est pas possible actuellement, il a recommandé de suivre les conseils de la CISA : déconnecter et reconstruire le serveur Exchange. Microsoft a indiqué que les nouvelles mises à jour d'Exchange ne sont disponibles que par le biais du centre de téléchargement de Microsoft et non sur le service Microsoft Update. Microsoft a aussi averti que cette mise à jour de sécurité pose des problèmes qui peuvent entraîner le blocage d'Outlook sur le Web, selon la configuration.

    « Lorsque vous essayez d'installer manuellement cette mise à jour de sécurité en double-cliquant sur le fichier de mise à jour (.msp) pour l'exécuter en mode normal (c'est-à-dire pas en tant qu'administrateur), certains fichiers ne sont pas correctement mis à jour », a averti Microsoft dans un document d'assistance. « Lorsque ce problème survient, vous ne recevez pas de message d'erreur ni d'indication que la mise à jour de sécurité n'a pas été correctement installée. Cependant, la version Web d'Outlook et le panneau de contrôle d'Exchange (ECP) peuvent cesser de fonctionner », a-t-il ajouté.

    Selon l'entreprise, ce problème se produit sur les serveurs qui utilisent le contrôle de compte d'utilisateur (UAC – User Account Control). « Le problème se produit parce que la mise à jour de sécurité n'arrête pas correctement certains services liés à Exchange », a-t-il déclaré.

    Source : Microsoft

    Et vous ?

    Quel est votre avis sur le sujet ?

    Voir aussi

    Malgré le correctif de Microsoft dans son serveur de messagerie Exchange, le gouvernement US met en garde contre la "menace active qui continue de se développer" et appelle à l'action

    Au moins 30 000 organisations US ont été piratées via des failles dans Microsoft Exchange, des correctifs ont été publiés mais l'attaque continuerait sur les serveurs non patchés

    Les pirates informatiques proposent de vendre à Microsoft et Cisco davantage de code source lié à l'incident SolarWinds et offrent l'accès au code source de Windows 10 volé pour 600 000 dollars

    Président de Microsoft : le piratage de SolarWinds a été « l'attaque la plus importante et la plus sophistiquée » jamais réalisée. Les empreintes informatiques de plus de 1000 développeurs trouvées
    Contribuez au club : corrections, suggestions, critiques, ... Contactez le service news et Rédigez des actualités

  20. #60
    Chroniqueur Actualités

    Homme Profil pro
    Consultant informatique
    Inscrit en
    avril 2018
    Messages
    1 547
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Côte d'Ivoire

    Informations professionnelles :
    Activité : Consultant informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : avril 2018
    Messages : 1 547
    Points : 32 634
    Points
    32 634
    Par défaut Des critiques s'élèvent contre la suppression du code d'exploit des vulnérabilités d'Exchange par GitHub
    Des critiques s'élèvent contre la suppression du code d'exploit des vulnérabilités d'Exchange par GitHub de Microsoft,
    Pour certains les avantages de publier ce code "l'emportent sur les risques"

    Github a déclenché une tempête de critiques après que le dépôt de partage de code appartenant à Microsoft a supprimé une preuve de concept d'exploit pour les vulnérabilités critiques de Microsoft Exchange qui ont conduit à près de 100 000 infections de serveurs au cours des dernières semaines. Microsoft avait déjà publié des mises à jour de sécurité d'urgence pour combler les quatre failles de sécurité dans les versions 2013 à 2019 d'Exchange Server et dans les plus anciennes qui ne sont plus prises en charge. Certains chercheurs sont toutefois d’accord avec cette suppression.

    ProxyLogon est le nom que les chercheurs ont donné à l'une des quatre failles de Microsoft Exchange que Microsoft a corrigées dans une version hors bande le 2 mars. Selon les chercheurs, Hafnium, un groupe de pirates parrainé par l'État et basé en Chine, a commencé à exploiter ces vulnérabilités en janvier et, quelques semaines plus tard, cinq autres APT, pour "advanced persistent threat groups", lui ont emboîté le pas. À ce jour, pas moins de 10 APT soutenus par l’État ont utilisé les vulnérabilités pour cibler des serveurs dans le monde entier, d’après l'éditeur de logiciels de sécurité ESET.

    Nom : m01.png
Affichages : 24248
Taille : 17,4 Ko

    Bien que Microsoft ait publié des correctifs d'urgence, environ 125 000 serveurs Exchange ne les avaient pas encore installés, selon un avis publié mardi par la société de sécurité Palo Alto Networks. Le FBI et l'Agence américaine pour la cybersécurité et la sécurité des infrastructures ont averti que ProxyLogon et les autres failles dans Exchange constituent une menace sérieuse pour les entreprises, les organisations à but non lucratif et les agences gouvernementales qui restent vulnérables.

    Mercredi, le chercheur Nguyen Jang a publié ce que l'on pense être la première preuve de concept (PoC) d'exploit largement opérationnel pour l’une des vulnérabilités d'Exchange. Le code PoC consistait en un fichier Python de 169 lignes. Il tirait parti du bug CVE-2021-26855 aussi appelé ProxyLogon, une faille de Microsoft Exchange Server qui permet à un attaquant de contourner l'authentification et d'agir avec des privilèges administratifs.

    Basé au Vietnam, le chercheur a également publié un compte rendu de son travail décrivant le fonctionnement de l'exploit. Si le code PoC est fait pour le bug CVE-2021-26855, le framwork open source de piratage fournit tous les outils nécessaires qui pourraient permettre aux pirates informatiques, après quelques modifications, de lancer leurs propres RCE (remote code execution).

    La publication d'exploits PoC pour les vulnérabilités corrigées est une pratique courante chez les chercheurs en sécurité. Cela les aide à comprendre comment les attaques fonctionnent afin de pouvoir construire de meilleures défenses. Dans son article, Jang avait inséré un lien vers le code PoC hébergé sur GitHub, mais quelques heures plus tard, le lien ne fonctionnait plus. Le dépôt de partage de code appartenant à Microsoft venait ainsi de supprimer le code d'exploit, laissant certains chercheurs très furieux contre Microsoft et sa plateforme.

    Les critiques ont accusé Microsoft de censurer des contenus d'un intérêt vital pour la communauté de la sécurité parce qu'ils nuisaient à ses intérêts. Certains critiques se sont engagés à retirer une grande partie de leurs travaux sur Github en réponse.

    « Wow, je suis complètement sans voix ici », a écrit sur Twitter Dave Kennedy, fondateur de la société de sécurité TrustedSec. « Microsoft a vraiment retiré le code PoC de GitHub. C'est énorme, retirer de GitHub le code d'un chercheur en sécurité contre leur propre produit et qui a déjà été patché ».

    Nom : m02.png
Affichages : 3467
Taille : 144,5 Ko

    « Y a-t-il un avantage à Metasploit, ou est-ce que littéralement tout le monde qui l'utilise est un "script kiddie" ?, a déclaré sur Twitter Tavis Ormandy, membre du Project Zero de Google, un groupe de recherche sur les vulnérabilités qui publie régulièrement des PoC presque immédiatement après qu'un patch soit disponible. « Il est regrettable qu'il n'y ait aucun moyen de partager la recherche et les outils avec les professionnels sans les partager également avec les attaquants, mais beaucoup de gens (comme moi) pensent que les avantages l'emportent sur les risques ».

    GitHub accusé d’avoir deux poids deux mesures

    Certains chercheurs ont affirmé que Github avait deux poids deux mesures en autorisant le code PoC pour les vulnérabilités corrigées affectant les logiciels d'autres organisations, mais en les supprimant pour les produits Microsoft. Alors que le code PoC restait accessible dans des dépôts de code hébergés ailleurs, comme chez le concurrent GitLab, les chercheurs en sécurité ont rapidement condamné GitHub pour ses normes incohérentes et Microsoft pour sa supposée ingérence intéressée.

    « Si la politique dès le début était "pas de PoC/metasploit/etc." – ça craindrait, mais c'est leur service », a déclaré Ormandy via Twitter. « Au lieu de cela, ils ont dit OK, et maintenant que c'est devenu la norme pour les Pros de la sécurité de partager du code, ils se sont élus les arbitres de ce qui est "responsable". Comme c'est pratique ».

    Nom : m03.png
Affichages : 3389
Taille : 49,7 Ko

    Mais comme d'autres personnes discutant du retrait du code l'ont fait valoir, si un correctif a été publié, il n'a pas nécessairement été appliqué par toutes les entreprises exploitant des serveurs Exchange. En d'autres termes, étant donné le nombre de systèmes encore vulnérables et faisant l'objet d'attaques actives, peut-on vraiment reprocher à Microsoft d'essayer de limiter la diffusion du code d'exploit qui pourrait être utilisé pour mettre ces installations à genoux ?

    C’est le point de vue de Marcus Hutchins, chercheur en sécurité chez Kryptos Logic, qui s’oppose à ceux qui critiquent Microsoft. Dans une déclaration, il a justifié la suppression de l'exploit Exchange par Github.

    « J'ai déjà vu GitHub supprimer du code malveillant, et pas seulement du code visant les produits Microsoft », a-t-il dit. « Je doute fortement que Microsoft ait joué un rôle dans la suppression et qu'il ait tout simplement enfreint la politique de GitHub relative aux "logiciels malveillants ou exploits actifs" dans les [conditions de service], en raison du caractère extrêmement récent de l'exploit et du grand nombre de serveurs exposés à un risque imminent de ransomware ».

    Répondant à Kennedy sur Twitter, Hutchins a ajouté : « "A déjà été corrigé". Mec, il y a plus de 50 000 serveurs Exchange non corrigés dans le monde. Publier une chaîne RCE complète prête à l'emploi n'est pas de la recherche en sécurité, c'est de l'imprudence et de la stupidité ».

    Dans une déclaration publiée sur Motherboard, GitHub a fourni une explication qui a confirmé la supposition de Hutchins que le PoC a été supprimé parce qu'il violait les conditions de service de GitHub. Voici ci-dessous un extrait de la déclaration :

    « Nous comprenons que la publication et la distribution de code de preuve de concept d'exploit ont une valeur éducative et de recherche pour la communauté de la sécurité, et notre objectif est d'équilibrer cet avantage avec le maintien de la sécurité de l'écosystème plus large. Conformément à nos politiques d'utilisation acceptable, nous avons désactivé le gist suite à des rapports indiquant qu'il contient du code de preuve de concept pour une vulnérabilité récemment divulguée qui est activement exploitée ».

    Des serveurs non corrigés toujours exposés à une nouvelle menace de ransomware

    Le 2 mars, Microsoft a exhorté ses clients à installer immédiatement les correctifs en raison du risque que d'autres cybercriminels et pirates soutenus par l’État exploitent les failles dans les semaines et les mois à venir. Microsoft a émis une alerte selon laquelle les pirates utilisant une souche de ransomware connue sous le nom de DearCry ciblent désormais les serveurs Exchange non corrigés et toujours exposés aux quatre vulnérabilités exploitées par des pirates présumés du gouvernement chinois. Vendredi, la société a averti une nouvelle fois les clients d'Exchange d'appliquer ces correctifs d'urgence qu'elle a publiés pour les failles critiques.

    Les cybercriminels cherchent à profiter des bugs d'Exchange. Selon Microsoft, les opérateurs de ransomware qui diffusent la souche DearCry tentent d'installer le malware après avoir compromis les serveurs Exchange.

    « Nous avons détecté et bloqué une nouvelle famille de ransomware utilisée après une compromission initiale de serveurs Exchange sur site non corrigés. Microsoft protège contre cette menace connue sous le nom de Ransom:Win32/DoejoCrypt.A, et également sous le nom de DearCry », a averti Microsoft dans un tweet. Ransom:Win32/DoejoCrypt.A est le nom sous lequel l'antivirus Defender de Microsoft détectera la nouvelle menace.

    Nom : m04.png
Affichages : 3371
Taille : 53,4 Ko

    Microsoft a ajouté que les clients utilisant l'antivirus Microsoft Defender qui ont recours aux mises à jour automatiques n'ont pas besoin de prendre des mesures supplémentaires après avoir appliqué les correctifs au serveur Exchange. Il faut noter que Microsoft semble traiter cet ensemble de bogues d’Exchange comme une urgence à corriger, et a fourni des mises à jour de sécurité supplémentaires pour corriger la faille dans les versions non prises en charge d'Exchange.

    La semaine dernière, la CISA du ministère de la Sécurité intérieure a ordonné aux agences fédérales de corriger les failles d'Exchange ou de couper les serveurs vulnérables d'Internet. La CISA a ajouté qu'elle était « consciente que des acteurs de la menace utilisent des outils open source pour rechercher des serveurs Microsoft Exchange vulnérables, et conseille aux entités d'enquêter sur les signes de compromission à partir du 1er septembre 2020 au moins ».

    Les chercheurs en sécurité indépendants derrière le compte MalwareHunterTeam sur Twitter disent avoir vu des attaques contre des entreprises au Canada, au Danemark, aux États-Unis, en Australie et en Autriche, les premières victimes ayant été observées le 9 mars – sept jours après que Microsoft a publié les correctifs et averti les clients d'Exchange de les mettre à jour immédiatement.

    La CISA et Microsoft encouragent les administrateurs d'Exchange à exécuter un script que Microsoft a publié sur GitHub afin d’aider à déterminer si leurs systèmes sont compromis.

    Sources : Tweets(1 & 2), Microsoft

    Et vous ?

    Qu’en pensez-vous ?
    Êtes-vous d’accord avec les chercheurs qui condamnent la suppression du code PoC de GitHub ?
    Un autre chercheur est d’accord avec la suppression du code, sous prétexte que tous les serveurs n’ont pas encore été corrigés. Quel commentaire en faites-vous ?

    Voir aussi :

    Au moins 30 000 organisations US ont été piratées via des failles dans Microsoft Exchange, des correctifs ont été publiés mais l'attaque continuerait sur les serveurs non patchés
    Microsoft publie des mises à jour de sécurité pour les anciennes versions d'Exchange qui ne sont plus prises en charge à la suite du piratage de son serveur de messagerie
    Microsoft n'a pas réussi à renforcer les défenses qui auraient pu limiter le piratage de SolarWinds, selon un sénateur américain
    Les pirates informatiques à l'origine d'une présumée attaque par ransomware contre Kia exigent des millions de dollars en bitcoins, plusieurs services en ligne de la société auraient été touchés
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

Discussions similaires

  1. Réponses: 1
    Dernier message: 07/04/2021, 16h22
  2. Réponses: 17
    Dernier message: 13/01/2021, 20h01
  3. Réponses: 0
    Dernier message: 07/11/2011, 11h06
  4. quels sont les checkbox qui sont cochés?
    Par debutant.informatique dans le forum Général JavaScript
    Réponses: 5
    Dernier message: 16/03/2006, 21h18
  5. [Mathématiques] A quel point les utilisez vous ?
    Par Évariste Galois dans le forum Etudes
    Réponses: 138
    Dernier message: 17/08/2005, 10h20

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo