IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #81
    Expert éminent sénior

    Homme Profil pro
    Consultant informatique
    Inscrit en
    Avril 2018
    Messages
    1 548
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Côte d'Ivoire

    Informations professionnelles :
    Activité : Consultant informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Avril 2018
    Messages : 1 548
    Points : 125 220
    Points
    125 220
    Par défaut Un tribunal autorise le FBI à pirater des ordinateurs afin de pouvoir éradiquer un piratage informatique
    Un tribunal autorise le FBI à pirater des ordinateurs dans tous les États-Unis afin de pouvoir éradiquer un piratage informatique,
    L'agence a supprimé une porte dérobée de centaines d'ordinateurs

    Un tribunal de Houston a autorisé une opération du FBI visant à "copier et supprimer" les portes dérobées de centaines de serveurs de messagerie Microsoft Exchange aux États-Unis, quelques mois après que des pirates ont utilisé quatre vulnérabilités non découvertes auparavant pour attaquer des milliers de réseaux. Ces ordinateurs vulnérables exécutaient des versions sur site du logiciel Microsoft Exchange Server qui avaient été exploitées par des groupes de pirates informatiques en janvier et février 2021. Le ministère de la Justice a annoncé mardi dernier l'opération, qu'il a qualifiée de "réussie".

    En mars, Microsoft a découvert un nouveau groupe de pirates informatiques parrainé par l'État chinois, connu sous le nom de Hafnium, qui ciblait des serveurs Exchange exécutés à partir de réseaux d'entreprise. Les quatre vulnérabilités, une fois enchaînées, permettaient aux pirates de s'introduire dans un serveur Exchange vulnérable et d'en voler le contenu. Au moins 30 000 organisations américaines ont été compromises pendant deux mois par une porte dérobée installée via ces quatre failles que Microsoft a corrigées dans Microsoft Exchange, a rapporté le journaliste spécialisé en cybersécurité Brian Krebs, en début mars.

    Nom : f01.jpg
Affichages : 3274
Taille : 30,1 Ko

    Les victimes comprenaient un nombre important de petites entreprises, de villes et de gouvernements locaux, et les cyberespions se sont concentrés sur le vol du courrier électronique des organisations victimes. Microsoft a corrigé les vulnérabilités, mais les correctifs n'ont pas fermé les portes dérobées des serveurs qui avaient déjà été compromis. En quelques jours, d'autres groupes de pirates ont commencé à s'attaquer aux serveurs vulnérables présentant les mêmes failles pour déployer des ransomwares.

    Le nombre de serveurs infectés par des Web shells illégaux placés sur les ordinateurs a diminué à mesure que les correctifs étaient appliqués par les propriétaires des systèmes infectés. Mais des centaines de serveurs Exchange sont restés vulnérables parce que les portes dérobées sont difficiles à trouver et à éliminer – d'autres propriétaires semblaient incapables de le faire (ou peut-être même inconscients de la présence de la porte dérobée) -, a déclaré le ministère de la Justice dans un communiqué la semaine dernière. Ce qui a nécessité une aide extérieure, et c'est là que le FBI doit intervenir.

    « Cette opération a permis de supprimer les derniers Web shells d'un groupe de pirates qui auraient pu être utilisés pour maintenir et accroître un accès persistant et non autorisé aux réseaux américains », a indiqué le communiqué. « Le FBI a procédé à la suppression en envoyant une commande au serveur par le biais du Web shell, conçue pour que le serveur supprime uniquement le Web shell (identifié par son chemin de fichier unique) ».

    Si Microsoft a peut-être été douloureusement lent dans sa réponse initiale, les clients de Microsoft Exchange Server ont également eu plus d'un mois pour corriger leurs propres serveurs après plusieurs alertes critiques. La société, qui avait initialement déclaré que les piratages consistaient en « attaques limitées et ciblées », a refusé en début mars de commenter l'ampleur du problème, mais a déclaré qu'il travaillait avec des agences gouvernementales et des sociétés de sécurité pour apporter de l'aide aux clients.

    « La meilleure protection consiste à appliquer les mises à jour dès que possible sur tous les systèmes concernés », a déclaré le mois dernier un porte-parole de Microsoft dans une déclaration écrite. « Nous continuons à aider nos clients en leur fournissant des conseils supplémentaires en matière d'investigation et d'atténuation. Les clients touchés doivent contacter nos équipes d’assistance pour obtenir une aide et des ressources supplémentaires ». Des centaines d’ordinateurs sont pourtant restés compromis avant l’intervention autorisée du FBI.

    Le ministère de la Justice a toutefois précisé que, bien que la campagne du FBI ait supprimé le Web Shell placé par le groupe de pirates informatiques, elle n'a pas activement corrigé la vulnérabilité sous-jacente exploitée par les pirates informatiques au départ ni supprimé les logiciels malveillants qu’ils pourraient avoir laissés derrière eux. Ce qui signifie que les ordinateurs affectés peuvent simplement être réinfectés à l'avenir si leurs propriétaires ne prennent pas de mesures pour les protéger.

    Une mission de nettoyage de réseaux privés avec "succès" par le FBI

    « La suppression des Web shells malveillants, autorisée par le tribunal aujourd'hui, démontre l'engagement du ministère à perturber les activités de piratage en utilisant tous nos outils juridiques, et pas seulement les poursuites judiciaires », a déclaré dans un communiqué le procureur général adjoint John C. Demers, de la division de la sécurité nationale du ministère de la Justice.

    « Si l'on ajoute à cela les efforts déployés jusqu'à présent par le secteur privé et d'autres agences gouvernementales, notamment la publication d'outils de détection et de correctifs, nous montrons ensemble la force que le partenariat public-privé apporte à la cybersécurité de notre pays. Il ne fait aucun doute qu'il reste du travail à faire, mais il ne fait aucun doute non plus que le ministère s'engage à jouer son rôle intégral et nécessaire dans ces efforts ».

    Le FBI a déclaré que sa mission était un succès et a même profité de l'occasion pour lancer un avertissement aux pirates informatiques potentiels. Tonya Ugoretz, directrice adjointe par intérim de la division Cyber du FBI, a déclaré :

    « Notre action réussie doit servir à rappeler aux cyberacteurs malveillants que nous imposerons des risques et des conséquences pour les cyberintrusions qui menacent la sécurité nationale et la sécurité publique du peuple américain et de nos partenaires internationaux. Le FBI continuera d'utiliser tous les outils à sa disposition en tant que principale agence nationale d'application de la loi et de renseignement pour tenir les cyberacteurs malveillants responsables de leurs actions ».

    Nom : f02.png
Affichages : 3394
Taille : 291,2 Ko

    En mars, des experts en cybersécurité ont déclaré que l'éradication des cybercriminels dans les réseaux va nécessiter un effort de nettoyage sans précédent et urgent à l'échelle nationale. Ils s'inquiétaient du fait que plus les victimes mettent de temps à enlever les portes dérobées, plus il est probable que les intrus poursuivent en installant des portes dérobées supplémentaires, et peut-être en élargissant l'attaque pour inclure d'autres parties de l'infrastructure réseau de la victime.

    Le FBI affirme que des milliers de systèmes ont été corrigés par leurs propriétaires avant qu'il ne commence son opération de suppression de la porte dérobée de Hafnium à distance, et qu'il n'a fait que « supprimer les Web shells restants » qui auraient pu être utilisés « pour maintenir et accroître un accès persistant et non autorisé aux réseaux américains ».

    On peut affirmer que le FBI rend service au monde entier en éliminant une menace de ce type, alors qu’une bonne partie des propriétaires des systèmes infectés traîne les pas pour appliquer les correctifs de Microsoft. On peut aussi se demander combien de clients de Microsoft – qui ne sont probablement pas encore au courant de l'implication du FBI – seront en colère, et combien seront reconnaissants que l’agence fédérale, et non un autre pirate, ait profité de la porte ouverte.

    Toutefois, le ministère de la Justice dit qu'il « tente de fournir une notification » aux propriétaires qu'il a tenté d'aider, soit en leur envoyant un courriel à partir d'un compte de messagerie officiel du FBI, soit en envoyant un courriel à leur fournisseur d'accès à Internet. Quoi qu’il en soit, tout cela se fait avec la pleine approbation d'un tribunal du Texas, selon l’agence.

    Le piratage bienveillant, également appelé piratage "white hat", est rare, notamment de la part d'acteurs étatiques, mais pas inédit. En 2016, une faiblesse généralisée des dispositifs de l'Internet des objets a conduit à la création d'un botnet appelé Mirai, qui a permis aux criminels de s'emparer de millions de dispositifs et de les diriger vers des sites Web et des services, les submergeant de trafic et les faisant tomber en panne.

    Mais en 2017, on a découvert qu'un virus informatique appelé Hajime infectait les appareils par le biais de la même faiblesse, et fermait la porte derrière lui, empêchant les actions malveillantes de Mirai. Un message de l'auteur du virus disait qu'il était « juste un chapeau blanc, sécurisant certains systèmes ».

    Il faut également noter que le mardi de la publication du communiqué de presse du Département de la Justice était le Patch Tuesday de Microsoft, et la mise à jour de sécurité d'avril 2021 de la société comprend de nouvelles mesures d'atténuation des vulnérabilités d'Exchange Server, selon le CISA.

    « La mise à jour de sécurité d'avril 2021 de Microsoft atténue des vulnérabilités importantes affectant Exchange Server 2013, 2016 et 2019 sur site. Un attaquant pourrait exploiter ces vulnérabilités pour obtenir un accès et maintenir la persistance sur l'hôte cible. CISA recommande vivement aux organisations d'appliquer la mise à jour de sécurité de Microsoft d'avril 2021 pour atténuer ces vulnérabilités nouvellement divulguées. Remarque : les mises à jour de sécurité de Microsoft publiées en mars 2021 ne permettent pas de remédier à ces vulnérabilités », lit-on dans l’avis du CISA.

    Sources : Communiqué de presse du DoJ, CISA

    Et vous ?

    Qu’en pensez-vous ?
    Quel est votre avis sur le fait que le FBI ait accédé aux réseaux privés pour mettre fin à l’intrusion de Hafnium ?
    Avez-vous appliqué les mises à jour avril 2021 de Microsoft, qui corrige d’autres vulnérabilités d’Exchange qui ne sont pas corrigées par les mises à jour précédentes  ?

    Voir aussi :

    Au moins 30 000 organisations US ont été piratées via des failles dans Microsoft Exchange, des correctifs ont été publiés mais l'attaque continuerait sur les serveurs non patchés
    Microsoft publie des mises à jour de sécurité pour les anciennes versions d'Exchange qui ne sont plus prises en charge à la suite du piratage de son serveur de messagerie
    Des critiques s'élèvent contre la suppression du code d'exploit des vulnérabilités d'Exchange par GitHub de Micrososft, pour certains les avantages de publier ce code "l'emportent sur les risques"
    Le code source du malware Mirai, qui est responsable de l'attaque DDoS de 620 Gbps lancée contre Krebs, a été publié en ligne
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #82
    Inactif  

    Profil pro
    Inscrit en
    Janvier 2011
    Messages
    3 064
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations forums :
    Inscription : Janvier 2011
    Messages : 3 064
    Points : 4 604
    Points
    4 604
    Par défaut
    Bonsoir,

    Qu’en pensez-vous ?
    Aux USA on ne se gène pas avec la vie privée ou le "secret industriel"

    Quel est votre avis sur le fait que le FBI ait accédé aux réseaux privés pour mettre fin à l’intrusion de Hafnium ?
    Si le FBI ne l'avait pas fait. On se demande qui l'aurait fait ?! Cela aurait pu être une porte "ouverte" , pour d'autres piratages de masse.

    Avez-vous appliqué les mises à jour avril 2021 de Microsoft, qui corrige d’autres vulnérabilités d’Exchange qui ne sont pas corrigées par les mises à jour précédentes ?
    La KB5001330 ? Oui .

  3. #83
    Chroniqueur Actualités
    Avatar de Bruno
    Homme Profil pro
    Rédacteur technique
    Inscrit en
    Mai 2019
    Messages
    1 826
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Rédacteur technique
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : Mai 2019
    Messages : 1 826
    Points : 36 056
    Points
    36 056
    Par défaut Le FBI aurait accédé à l’insu des entreprises pour supprimer les portes dérobées des serveurs Microsoft
    Le FBI aurait accédé à l’insu des entreprises pour supprimer les portes dérobées des serveurs Microsoft Exchange,
    l’acte soulève des questions sur l'orientation de la cybersécurité

    La semaine dernière, le ministère américain de la Justice a révélé comment le FBI a procédé pour supprimer les portes dérobées qui utilisaient des versions vulnérables de Microsoft Exchange Server sur des centaines d'ordinateurs dans le monde. En effet, le FBI a utilisé des tactiques de piratage pour mettre à mal les pirates des serveurs Microsoft Exchange. L'opération autorisée par le tribunal du Texas permet de supprimer les portes dérobées des ordinateurs piratés. Si cette action a permis de sécuriser de nombreuses organisations, elle a également soulevé des questions sur l'orientation de la cybersécurité.

    « Nous ne voulons pas d'un avenir où le FBI détermine qu'une personne peut être vulnérable, puis s'en sert comme prétexte pour obtenir un accès. N'oubliez pas que le FBI a à la fois une mission d'application de la loi et de renseignement. Ce serait comme si un agent de police pensait que votre porte n'est pas verrouillée et l'utilisait comme prétexte pour entrer », déclare David Brumley, professeur d'ingénierie électrique et informatique à l'université Carnegie Mellon.

    Rappelons que le 6 mars, pas moins de 30 000 organisations américaines sont compromises par une porte dérobée installée via quatre failles dans Microsoft Exchange. Les victimes qui comprennent un nombre important de petites entreprises, de villes et de gouvernements locaux, ont été piratées par des cyberespions. Des centaines de milliers d'organisations sont touchées dans le monde entier avec des outils qui donnent aux attaquants un contrôle total et à distance sur leurs systèmes informatiques.

    Nom : Ms ExchB.png
Affichages : 9515
Taille : 43,9 Ko

    Les cybercriminels ont laissé derrière eux les portes dérobées, des outils d'accès et de persistance dans les systèmes compromis, auxquels on peut accéder sur Internet à partir de n'importe quel navigateur. Les portes dérobées donnent aux cybercriminels un accès administratif aux serveurs des victimes. Le centre de renseignement sur les menaces de Microsoft (MSTIC – Microsoft Threat Intelligence Center) a attribué le piratage à un groupe État-nation supposé lié à la Chine qu'il a nommé Hafnium. La société a déclaré que Hafnium avait tenté de voler des informations à des groupes tels que des chercheurs en maladies infectieuses, des cabinets d'avocats, etc.

    Dans un billet de blog publié le 2 mars, Microsoft a indiqué avoir publié des mises à jour de sécurité d'urgence pour combler les quatre failles de sécurité dans les versions 2013 à 2019 d'Exchange Server que les pirates utilisaient activement pour siphonner les communications par courrier électronique des systèmes connectés à Internet et exécutant Exchange.

    Cependant, le 5 mars, la Maison Blanche a fait savoir qu'elle n'est pas totalement certaine que la menace a été écartée et a mis en alerte toutes les organisations qui exploitent le service de Microsoft. « Il s'agit d'une vulnérabilité importante qui pourrait avoir des répercussions de grande envergure. C'est une menace active », a déclaré vendredi l'attachée de presse de la Maison Blanche Jen Psaki. « Tous ceux qui gèrent ces serveurs, gouvernement, secteur privé, université doivent agir maintenant pour les réparer ». Comme pour donner raison à la maison blanche, ce même 5 mars, le même groupe de cyberespionnage a considérablement intensifié les attaques sur tous les serveurs Exchange vulnérables et non patchés dans le monde.

    Dans un avis conjoint publié en milieu de ce mois, la National Security Agency, le FBI et la Cybersecurity and Information Security Agency ont déclaré que le service de renseignement extérieur russe, en abrégé SVR, a mené l'attaque de la chaîne d'approvisionnement contre les clients du logiciel de gestion de réseau édité par SolarWinds, basé à Austin, au Texas. Le groupe de renseignement et de sécurité, qui a enquêté sur la campagne massive de piratage informatique, avait déjà déclaré en janvier que les cybercriminels étaient « vraisemblablement d’origine russe » et que l'attaque était considérée comme un acte d'espionnage plutôt que de cyberguerre.

    Après la révélation de cette opération massive, le président de Microsoft, Brad Smith, l'a qualifiée d' « acte d'imprudence ». Lors d'un appel aux journalistes le 15 avril, le directeur de la cybersécurité de la NSA, Rob Joyce, a fait écho à l'évaluation selon laquelle l'opération a dépassé les normes établies en matière d'espionnage gouvernemental.

    « Nous avons observé absolument de l'espionnage, a déclaré Joyce. Mais ce qui est inquiétant, c'est qu'à partir de cette plateforme, de la large échelle de disponibilité de l'accès qu'ils ont obtenu, il y a la possibilité de faire d'autres choses, et c'est quelque chose que nous ne pouvons pas tolérer et c'est pourquoi le gouvernement américain impose des coûts et repousse ces activités ».

    Le19 avril, un tribunal de Houston a autorisé une opération du FBI visant à « copier et supprimer » les portes dérobées de centaines de serveurs de messagerie Microsoft Exchange aux États-Unis. « Cette opération a permis de supprimer les dernières portes dérobées d'un groupe de cybercriminels qui auraient pu être utilisés pour maintenir et accroître un accès persistant et non autorisé aux réseaux américains, a indiqué le communiqué. Le FBI a procédé à la suppression en envoyant une commande au serveur pour que le serveur supprime uniquement les portes dérobées ».

    Le ministère de la Justice a toutefois précisé que, bien que la campagne du FBI ait supprimé les portes dérobées placées par les cybercriminels, elle n'a pas activement corrigé la vulnérabilité sous-jacente initialement exploitée par les cybercriminels ni supprimé les logiciels malveillants qu’ils pourraient avoir laissés derrière eux. Ce qui signifie que les ordinateurs affectés peuvent simplement être réinfectés à l'avenir si leurs propriétaires ne prennent pas de mesures pour les protéger.

    « Cette opération est un exemple de l'engagement du FBI à combattre les cybermenaces grâce à nos partenariats durables entre le gouvernement fédéral et le secteur privé », a déclaré Tonya Ugoretz, directrice adjointe par intérim de la division cyber du FBI. « Le succès de notre action devrait servir à rappeler aux cybercriminels que nous imposerons des risques et des conséquences aux cyberintrusions qui menacent la sécurité nationale et la sécurité publique du peuple américain et de nos partenaires internationaux », a-t-elle ajouté.

    Le FBI aurait accédé aux systèmes des entreprises à leur insu

    Si cette action a permis de sécuriser de nombreuses organisations, elle a également soulevé des questions sur l'orientation de la cybersécurité. Certes, des mesures ont été prises en raison de la menace que les portes dérobées représentaient pour les organisations. Cependant, le FBI a indiqué qu'il tentait de notifier toutes les organisations qui ont fait l’objet d’intervention. Pour certains analystes, cela signifie que l'agence aurait accédé aux systèmes à leur insu. Même si l'intention était bonne (aider à protéger les entreprises en supprimant l'accès des cybercriminels), et autorisée par les tribunaux, il s'agirait d'une action qui peut être discutée juridiquement.

    « L'effort du FBI revient à lui donner accès à des serveurs privés. Cela devrait suffire à faire comprendre que cette action n'est pas acceptable, déclare Brumley, qui est également cofondateur et PDG de ForAllSecure, une société de cybersécurité. Bien que je comprenne la bonne intention, cela crée un dangereux précédent où les forces de l'ordre reçoivent une large autorisation pour accéder aux serveurs privés. » Dans ce cas, l'accès aux réseaux a été jugé approprié par les tribunaux afin de supprimer les portes dérobées plantées par des cybercriminels et de protéger les organisations contre les cyberattaques.

    « Nous ne voulons pas d'un avenir où le FBI détermine qu'une personne peut être vulnérable, puis s'en sert comme prétexte pour obtenir un accès. N'oubliez pas que le FBI a à la fois une mission d'application de la loi et de renseignement. Ce serait comme si un agent de police pensait que votre porte n'est pas verrouillée et l'utilisait comme prétexte pour entrer », ajoute-t-il.

    Mais il y a aussi ceux qui pensent que l'action du FBI, qui a infiltré les réseaux et retiré les portes dérobées des serveurs Microsoft Exchange compromis, était la bonne chose à faire, en particulier lorsque les organisations mènent une cyber bataille contre des cybercriminels qui ont beaucoup plus de ressources qu'elles. « Je pense que cette implication du FBI est considérée comme très appréciée du secteur privé lorsqu'il s'agit de se protéger contre les attaques d'États-nations. À l'heure actuelle, c'est comme si le secteur privé luttait contre ces attaques d'États-nations avec une main attachée dans le dos, surtout lorsque nos adversaires ne se laissent pas faire », déclare Troy Gill, directeur de la société de sécurité Zix.

    D'autres agences de sécurité aident les organisations à sécuriser leurs réseaux contre les vulnérabilités de Microsoft Exchange, mais pas en accédant au réseau sans que personne ne le sache au préalable. Par exemple, le Centre national de cybersécurité (NCSC) du Royaume-Uni a aidé à supprimer les logiciels malveillants d'Exchange sur plus de 2 300 machines Windows. Cette action a été menée en partenariat avec les organisations concernées et le NCSC n'est pas habilité à infiltrer les réseaux des entreprises privées pour corriger les vulnérabilités.


    Le NCSC travaille également activement avec les organisations pour les aider à appliquer les mises à jour de sécurité nécessaires pour protéger le réseau contre les cyberattaques. Si le FBI a supprimé les portes dérobées, il n'a pas corrigé les vulnérabilités de type "zero-day" de Microsoft Exchange Server ni supprimé d'autres outils de piratage ou de logiciels malveillants qui auraient pu être placés sur les réseaux par les cybercriminels.

    Cela signifie que tant qu'elles n'ont pas appliqué les correctifs ou examiné le réseau à la recherche d'activités potentiellement suspectes, les entreprises dont les portes dérobées ont été supprimées de leurs réseaux sont toujours vulnérables à de nouvelles attaques.

    Et vous ?

    Quel est votre avis sur le fait que le FBI aurait accédé à l’insu des entreprises pour supprimer les portes dérobées des serveurs Microsoft Exchange ?

    Voir aussi :

    Un tribunal autorise le FBI à pirater des ordinateurs dans tous les États-Unis afin de pouvoir éradiquer un piratage informatique, l'agence a supprimé une porte dérobée de centaines d'ordinateurs

    Microsoft publie des mises à jour de sécurité pour les anciennes versions d'Exchange qui ne sont plus prises en charge, à la suite du piratage de son serveur de messagerie

    Malgré le correctif de Microsoft dans son serveur de messagerie Exchange, le gouvernement US met en garde contre la "menace active qui continue de se développer" et appelle à l'action

    Au moins 30 000 organisations US ont été piratées via des failles dans Microsoft Exchange, des correctifs ont été publiés mais l'attaque continuerait sur les serveurs non patchés
    Contribuez au club : corrections, suggestions, critiques, ... Contactez le service news et Rédigez des actualités

  4. #84
    Expert éminent Avatar de kain_tn
    Homme Profil pro
    Inscrit en
    Mars 2005
    Messages
    1 562
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations forums :
    Inscription : Mars 2005
    Messages : 1 562
    Points : 7 267
    Points
    7 267
    Par défaut
    Citation Envoyé par Bruno Voir le message
    Quel est votre avis sur le fait que le FBI aurait accédé à l’insu des entreprises pour supprimer les portes dérobées des serveurs Microsoft Exchange ?
    Éthiquement parlant, c'est quand même limite.

    Je trouve l'approche du NCSC bien plus louable, surtout que d'après l'article, les failles ne sont pas corrigées suite à l'action du FBI, puisque sans patch, les serveurs peuvent être à nouveau compromis. Là on donne une fausse impression de sécurité.
    Copier c'est copier; voler c'est vendre un CD une vingtaine d'euros!


    Code C : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    #include <stdio.h>
     
    int main(int argc, char **argv) {
     
        printf("So long, and thanks for the fish, Dennis...\n");
        return 0;
    }

  5. #85
    Membre expérimenté
    Profil pro
    MOA
    Inscrit en
    Décembre 2002
    Messages
    1 006
    Détails du profil
    Informations personnelles :
    Localisation : France, Eure et Loir (Centre)

    Informations professionnelles :
    Activité : MOA

    Informations forums :
    Inscription : Décembre 2002
    Messages : 1 006
    Points : 1 741
    Points
    1 741
    Par défaut
    Je me poserais également la question si les PME se détournaient de Exchange et se tourneraient vers des alternatives tel que Postfix.

    Le problème serait que le FBI n'aurait plus accès à des portes dérobés pour s'infiltrer sur les réseaux des PME et faire leur travail de renseignements.

    Je suis bien conscient que Postfix n'offre pas d'écosystème (mail + réunion Teams), il y a peu de risque que les PME migrent, mais certains directeurs devraient tout de même se poser la question ..

    EDIT : correction des fautes de frappes

  6. #86
    Membre expérimenté
    Homme Profil pro
    retraité
    Inscrit en
    Septembre 2014
    Messages
    604
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : retraité

    Informations forums :
    Inscription : Septembre 2014
    Messages : 604
    Points : 1 441
    Points
    1 441
    Par défaut
    "Nous ne voulons pas d'un avenir où le FBI détermine qu'une personne peut être vulnérable, puis s'en sert comme prétexte pour obtenir un accès."
    Pourquoi pas. Mais ces 30 000 organisations ont été défaillantes en terme de cyber-sécurité.
    On peut toujours discuter des inconvénients de la méthode, mais les inconvénients de ce laxisme sont pour le moins bien plus graves.

  7. #87
    Expert éminent Avatar de kain_tn
    Homme Profil pro
    Inscrit en
    Mars 2005
    Messages
    1 562
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations forums :
    Inscription : Mars 2005
    Messages : 1 562
    Points : 7 267
    Points
    7 267
    Par défaut
    Citation Envoyé par TotoParis Voir le message
    "Nous ne voulons pas d'un avenir où le FBI détermine qu'une personne peut être vulnérable, puis s'en sert comme prétexte pour obtenir un accès."
    Pourquoi pas. Mais ces 30 000 organisations ont été défaillantes en terme de cyber-sécurité.
    On peut toujours discuter des inconvénients de la méthode, mais les inconvénients de ce laxisme sont pour le moins bien plus graves.
    Encore une fois, ils n'ont pas corrigé les vulnérabilités, ils ont juste supprimé les portes dérobées, ce qui est réversible, donc non pérenne. Ça ne va pas éduquer ces 30 000 organisations, et en plus côté intrusion ce n'est pas fantastique.

    S'ils ont les moyens de s'introduire chez ces 30 000 organisations, alors c'est qu'ils ont le moyen d'identifier les serveurs Exchange non-patchés: un message à ces 30 000 organisations pour leur donner un délai d'application des patchs sous menace d'intrusion du FBI aurait été plus constructif sur le long terme, et ça ne leur aurait sans doute pas coûté bien cher.

    Ça sent la panique, tout ça.
    Copier c'est copier; voler c'est vendre un CD une vingtaine d'euros!


    Code C : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    #include <stdio.h>
     
    int main(int argc, char **argv) {
     
        printf("So long, and thanks for the fish, Dennis...\n");
        return 0;
    }

  8. #88
    Membre actif
    Profil pro
    Inscrit en
    Mars 2012
    Messages
    79
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Mars 2012
    Messages : 79
    Points : 275
    Points
    275
    Par défaut
    Apparemment les américains les russes les chinois peuvent accéder tranquillement à toutes les boîtes du monde, ça ne sert plus à rien de se protéger, levons toutes les restrictions !

  9. #89
    Inactif  

    Profil pro
    Inscrit en
    Janvier 2011
    Messages
    3 064
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations forums :
    Inscription : Janvier 2011
    Messages : 3 064
    Points : 4 604
    Points
    4 604
    Par défaut
    Bonjour,

    La Belgique se serait fait attaquée dés 2019 : https://www.rtbf.be/info/belgique/de...er?id=10769166 , bonne lecture .

    Vers une attaque de grande ampleur ? . Et encore on a pas tout les tenants et aboutissants.

  10. #90
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    Mars 2013
    Messages
    8 388
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : Mars 2013
    Messages : 8 388
    Points : 196 520
    Points
    196 520
    Par défaut Le groupe à l'origine de la cyberattaque SolarWinds cible désormais les ONG et les agences gouvernementales
    Le groupe à l'origine de la cyberattaque SolarWinds cible désormais les ONG et les agences gouvernementales,
    ses victimes sont répertoriées dans au moins 24 pays selon Microsoft

    Le groupe à l'origine de la cyberattaque SolarWinds identifiée à la fin de l'année dernière cible désormais les agences gouvernementales, les groupes de réflexion, les consultants et les organisations non gouvernementales, a déclaré jeudi Microsoft Corp.

    « Microsoft Threat Intelligence Center (MSTIC) a découvert une campagne de courrier électronique malveillant à grande échelle exploitée par NOBELIUM, l'acteur de la menace derrière les attaques contre SolarWinds, la porte dérobée SUNBURST, le logiciel malveillant TEARDROP, le logiciel malveillant GoldMax et d'autres composants connexes. La campagne, initialement observée et suivie par Microsoft depuis janvier 2021, a évolué au fil d'une série de vagues démontrant une expérimentation significative. Le 25 mai 2021, la campagne s'est intensifiée lorsque NOBELIUM a exploité le service de messagerie de masse légitime, Constant Contact, pour se faire passer pour une organisation de développement basée aux États-Unis et distribuer des URL malveillantes à une grande variété d'organisations et de secteurs verticaux ».

    Et Microsoft d'expliquer que :

    « NOBELIUM a toujours ciblé les organisations gouvernementales, les organisations non gouvernementales (ONG), les groupes de réflexion, les militaires, les fournisseurs de services informatiques, la technologie et la recherche en santé et les fournisseurs de télécommunications. Avec cette dernière attaque, NOBELIUM a tenté de cibler environ 3000 comptes individuels dans plus de 150 organisations, en utilisant un modèle établi d'utilisation d'une infrastructure et d'outils uniques pour chaque cible, augmentant ainsi leur capacité à rester non détectés pendant une période de temps plus longue.

    « Cette nouvelle campagne de courrier électronique à grande échelle tire parti du service légitime Constant Contact pour envoyer des liens malveillants qui ont été masqués derrière l'URL du service de messagerie (de nombreux services de courrier électronique et de documents fournissent un mécanisme pour simplifier le partage de fichiers, fournissant des informations sur qui et quand les liens sont cliqués). En raison du volume élevé d'e-mails distribués dans le cadre de cette campagne, les systèmes automatisés de détection des menaces par e-mail ont bloqué la plupart des e-mails malveillants et les ont marqués comme spam. Cependant, certains systèmes automatisés de détection des menaces peuvent avoir réussi à remettre certains des e-mails antérieurs aux destinataires soit en raison des paramètres de configuration et de stratégie, soit avant que les détections ne soient en place ».

    La campagne NOBELIUM observée par MSTIC diffère considérablement des opérations NOBELIUM qui se sont déroulées de septembre 2019 à janvier 2021, qui incluaient le piratage de la plateforme SolarWinds Orion. Microsoft estime qu'il est probable que ces observations représentent des changements dans le mode opératoire des cybercriminels et une éventuelle expérimentation à la suite de nombreuses révélations d’incidents antérieurs.

    Dans le cadre de la découverte initiale de la campagne en février, MSTIC a identifié une vague d'e-mails de phishing qui ont exploité la plateforme Google Firebase pour mettre en scène un fichier ISO contenant du contenu malveillant, tout en exploitant également cette plateforme pour enregistrer les attributs de ceux qui ont accédé à l'URL. MSTIC a retracé le début de cette campagne jusqu'au 28 janvier 2021 ; à ce moment, les cybercriminels effectuaient visiblement des missions de reconnaissance, exploitant les URL Firebase pour enregistrer les cibles qui avaient cliqué dessus, mais sans leur envoyer une charge utile malveillante lors de cette première phase.

    Nobelium a lancé les attaques de cette semaine en pénétrant par effraction dans un compte de marketing par courrier électronique utilisé par l'Agence des États-Unis pour le développement international (USAID) et à partir de là, en lançant des attaques de phishing contre de nombreuses autres organisations, a déclaré Microsoft.

    « Lors de la campagne du 25 mai, il y a eu plusieurs itérations. Dans un exemple, les e-mails semblent provenir de l'USAID (une agence gouvernementale américaine qui administre l'aide étrangère civile et l'aide au développement) <ashainfo@usaid.gov>, tout en ayant une adresse e-mail d'expéditeur authentique qui correspond au service Constant Contact standard. Cette adresse (qui varie pour chaque destinataire) se termine par @ in.constantcontact.com, et (qui varie pour chaque destinataire), et une adresse de réponse de <mhillary@usaid.gov> a été observée ».

    Les e-mails se présentent comme une alerte de l'USAID, comme indiqué ci-dessous.

    Nom : usaid.png
Affichages : 9727
Taille : 56,1 Ko

    Les personnes qui ont cliqué sur le lien ont d'abord été envoyées au service légitime de Constant Contact, mais peu de temps après, elles ont été redirigées vers un fichier hébergé sur des serveurs appartenant à Nobelium, a déclaré Microsoft. Une fois les cibles redirigées, JavaScript a amené les appareils des visiteurs à télécharger automatiquement un type de fichier d'archive appelé image ISO.

    Comme le montre l'image ci-dessous, l'image ISO contenait un fichier PDF, un fichier LNK nommé Reports et un fichier DLL nommé documents, qui par défaut était masqué.

    Nom : pc.png
Affichages : 1875
Taille : 57,1 Ko
    Contenu du fichier ISO. Il est à noter que «Documents.dll» est un fichier caché.

    La société de sécurité FireEye a déclaré qu'en plus du contenu de l'USAID, le groupe de piratage utilisait une variété d'autres leurres, y compris des notes diplomatiques et des invitations d'ambassades. Elle a poursuivi en disant que le ciblage des gouvernements, des groupes de réflexion et des organisations apparentées était un objectif traditionnel des opérations menées par le service de renseignement extérieur, connu sous le nom de SVR.

    « Bien que l'activité SolarWinds ait été remarquable pour sa furtivité et sa discipline, les opérations de harponnage bruyantes et larges étaient autrefois la carte de visite des opérateurs SVR qui menaient souvent des campagnes de phishing tapageuses », a commenté John Hultquist, vice-président d'analyse chez Mandiant Threat Intelligence, propriété de FireEye. « Ces opérations ont souvent été efficaces, donnant accès aux principaux bureaux du gouvernement parmi d'autres cibles. Et si les e-mails de spear phishing ont été rapidement identifiés, nous nous attendons à ce que toute action post-compromission de ces acteurs soit hautement qualifiée et furtive ».

    La société de sécurité Volexity, quant à elle, a publié jeudi son propre billet qui fournit encore plus de détails. Parmi eux: le fichier Documents.DLL a vérifié les machines cibles pour s'assurer qu'il n'était pas dans un sandbox de sécurité ou dans une machine virtuelle, comme indiqué ici:

    Nom : copie.png
Affichages : 1858
Taille : 132,9 Ko

    Des victimes dans 24 pays au moins

    Alors que les organisations aux États-Unis ont constitué la majorité des cibles de ces attaques, les victimes ont été répertoriées dans 24 pays au moins, selon Microsoft. Au moins un quart des organisations ciblées étaient impliquées dans le développement international, les questions humanitaires et les droits de l'homme, a déclaré l'éditeur dans un billet de blog.

    Dans des déclarations publiées vendredi, le département de la sécurité intérieure et l'USAID ont tous deux déclaré qu'ils étaient au courant du piratage informatique et qu'ils enquêtaient.

    Le piratage de la société de technologie de l'information SolarWinds, qui a été identifié en décembre, a donné accès à des milliers d'entreprises et de bureaux gouvernementaux qui utilisaient ses produits. Le président de Microsoft, Brad Smith, a décrit l'attaque comme « l'attaque la plus grande et la plus sophistiquée que le monde ait jamais vue ».

    Ce mois-ci, le chef du service de renseignement de la Russie a nié la responsabilité de la cyberattaque SolarWinds, mais s'est dit « flatté » par les accusations des États-Unis et de la Grande-Bretagne selon lesquelles le renseignement étranger russe était à l'origine d'un piratage aussi sophistiqué.

    Les États-Unis et la Grande-Bretagne ont blâmé le service russe de renseignement extérieur (SVR), successeur des opérations d'espionnage étrangères du KGB, pour le piratage qui a compromis neuf agences fédérales américaines et des centaines d'entreprises du secteur privé.

    Sources : Microsoft, Volexity
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  11. #91
    Expert éminent Avatar de kain_tn
    Homme Profil pro
    Inscrit en
    Mars 2005
    Messages
    1 562
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations forums :
    Inscription : Mars 2005
    Messages : 1 562
    Points : 7 267
    Points
    7 267
    Par défaut
    Citation Envoyé par Stéphane le calme Voir le message
    Le président de Microsoft, Brad Smith, a décrit l'attaque comme « l'attaque la plus grande et la plus sophistiquée que le monde ait jamais vue ».
    Ouais enfin, il ne faut pas charrier non plus, hein. C'est une "supply chain attack" classique. Ils se sont juste fait avoir pour avoir fait confiance à un éditeur tiers avec des pratiques logicielles toutes pourries. Mais bon, face aux actionnaires il ne peut pas dire ça

    Citation Envoyé par Stéphane le calme Voir le message
    Les États-Unis et la Grande-Bretagne ont blâmé le service russe de renseignement extérieur (SVR), successeur des opérations d'espionnage étrangères du KGB, pour le piratage qui a compromis neuf agences fédérales américaines et des centaines d'entreprises du secteur privé.
    Aaah, les Russes. Qui est-ce que les USA pourraient blâmer s'ils n'existaient pas?! Ah non, c'est bon en fait, ils en ont une pleine liste

    Blâmer les autres quand on a délibérément fait du travail de cochon (et que l'on fait régulièrement la même chose), je trouve ça quand même très gros!
    Copier c'est copier; voler c'est vendre un CD une vingtaine d'euros!


    Code C : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    #include <stdio.h>
     
    int main(int argc, char **argv) {
     
        printf("So long, and thanks for the fish, Dennis...\n");
        return 0;
    }

  12. #92
    Expert éminent sénior

    Homme Profil pro
    Consultant informatique
    Inscrit en
    Avril 2018
    Messages
    1 548
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Côte d'Ivoire

    Informations professionnelles :
    Activité : Consultant informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Avril 2018
    Messages : 1 548
    Points : 125 220
    Points
    125 220
    Par défaut Les derniers piratages russes montrent à quel point les "groupes criminels" sont utiles au Kremlin
    Les derniers piratages russes montrent à quel point les "groupes criminels" sont utiles au Kremlin,
    Les codeurs russes travailleraient avec le gouvernement, qui, de son côté, couvre leurs activités

    Les autorités américaines se heurtent à un obstacle majeur pour tenir les pirates informatiques responsables d'une vague de cyberattaques. Une raison majeure : les attaquants sont dominés par des cybercriminels russophones qui sont protégés – et parfois employés – par les services de renseignement russes, selon des chercheurs en sécurité, les forces de l'ordre américaines et l'administration Biden. Selon un rapport publié en mai par Defense One, les codeurs russes n'ont pas d'autre choix que de travailler avec leur gouvernement, qui, de son côté, nie toute connaissance de leurs activités. C'est pourquoi les activités de piratage ne montrent aucun signe de ralentissement.

    Les récentes attaques de ransomware très médiatisées ont rendu plus urgents les efforts du gouvernement américain pour combattre les pirates informatiques liés à la Russie, qui ont perturbé l'approvisionnement en carburant de la côte Est des États-Unis, fait craindre une pénurie de viande à l'échelle nationale et exposé les fichiers sensibles d'une force de police de Californie du Sud. Le problème, selon les responsables du ministère américain de la Justice, est que le Kremlin pense qu'il est avantageux de permettre à ces pirates de cibler les intérêts américains, en recueillant au passage de précieux renseignements.

    Nom : c01.jpg
Affichages : 5162
Taille : 46,4 Ko

    Bien avant ces attaques, les criminels russes qui ont orchestré le piratage de SolarWinds ont obtenu l'accès à un compte de marketing en ligne de l'USAID, ce qui a permis au groupe d'envoyer des courriels d'apparence officielle à un autre groupe de victimes potentielles, a déclaré Microsoft en mai. Les responsables russes ont rapidement nié toute implication, mais les analystes estiment que cela ne fait qu'illustrer la façon dont le Kremlin utilise des groupes ostensiblement privés pour créer un déni, un problème qui risque de perdurer.

    Le groupe, Nobelium, a eu accès au compte de l'USAID chez Constant Contact, une société de marketing en ligne, a écrit Tom Burt, vice-président de Microsoft pour la sécurité et la confiance des clients, dans un billet de blog. Se faisant passer pour des expéditeurs de l'USAID, le groupe a pu envoyer des courriels liés à des logiciels malveillants à quelque 3 000 adresses électroniques dans 150 organisations.

    Burt a écrit à l’époque : « Nobelium, originaire de Russie, est le même acteur que celui à l'origine des attaques contre les clients de SolarWinds en 2020. Ces attaques semblent être une continuation des multiples efforts de Nobelium pour cibler les agences gouvernementales impliquées dans la politique étrangère dans le cadre d'efforts de collecte de renseignements ».

    La Maison-Blanche a attribué le piratage de SolarWinds au gouvernement russe, en particulier au SVR, un service de renseignement étranger issu du KGB, et a imposé des sanctions en réponse. Mais le Kremlin a nié toute implication. Il l'a encore fait en mai en réponse au piratage de l'USAID.

    Defense One a rapporté que l'utilisation de groupes criminels comme couverture pour des piratages soutenus par l'État est une marque de fabrique des opérations de renseignement et d'influence russes qui ne date pas d’aujourd’hui. Depuis 2016, cela n'a fait qu'empirer, a déclaré le journaliste d'investigation indépendant russe Andrei Soldatov au site d’information, qui se concentre sur la défense et de la sécurité nationale des États-Unis.

    Selon Soldatov, la Russie peut se vanter d'avoir un certain nombre d'informaticiens et de codeurs hautement qualifiés qui dirigent des entreprises de logiciels. Mais le marché des logiciels russes à l'échelle internationale est très étroit, en grande partie parce que les clients potentiels supposent que ces entreprises doivent travailler avec le gouvernement russe, ce qui signifierait potentiellement utiliser des logiciels développés en partenariat avec une nation adverse, a rapporté Defense One.

    L'exemple le plus clair est celui de Kaspersky, qui était autrefois un exemple brillant de la réussite russe dans le domaine des technologies. La société russe de cybersécurité a connu des moments difficiles aux États-Unis, où l'on affirmait que ses logiciels recherchaient et volaient des documents présentant un intérêt pour le Kremlin. L'utilisation de ses produits par les agences gouvernementales américaines ayant été interdite, l’entreprise a été contrainte de fermer son bureau de Washington en 2017 parce qu'elle ne pouvait plus travailler avec les autorités américaines. Les entreprises privées ont suivi l'exemple du gouvernement et se sont détournées de l'entreprise.

    « Nous fermons nos installations à Arlington, car l'opportunité pour laquelle le bureau a été ouvert et doté en personnel n'est plus viable », a déclaré aux médias un porte-parole de Kaspersky à l’époque.

    Sous-traiter à des employés des sociétés de logiciels russes le piratage de cibles occidentales

    Selon Soldatov, la meilleure, voire la seule, source de revenus pour les fabricants de logiciels russes est devenue leur propre gouvernement. C’est ainsi que naissent des groupes comme Nobelium ou DarkSide, le groupe criminel russe à l'origine du piratage de Colonial Pipeline, d’après lui. En effet, les membres de ces "groupes criminels" ont très souvent des emplois de jour dans des sociétés de logiciels russes. Le gouvernement russe sous-traite à des particuliers le piratage de cibles occidentales. Ce contrat de sous-traitance s'accompagne souvent d'un contrat plus conventionnel pour l'entreprise, portant sur des produits ou des services plus bénins.

    « Vous pouvez avoir une entreprise qui est célèbre pour la création des logiciels pour la défense, très bonne dans la prévention des DDoS, n’est-ce pas ? Cela signifie qu'ils sont probablement bons dans ce domaine », a déclaré Soldatov. Les services de renseignement russes peuvent donc approcher quelqu'un de cette entreprise et lui dire : « Regardez, il y a un très bon contrat pour vous. Peut-être que vous pouvez nous aider avec quelque chose ? Mais c'est une sorte de secret, hors des livres ».

    De cette façon, selon Soldatov, le gouvernement russe est devenu le seul marché pour les codeurs russes. C'est en partie la raison pour laquelle les codeurs russes qui ne font pas officiellement partie de l'armée sont pris dans les campagnes de piratage russes et se retrouvent sanctionnés ou inculpés par le ministère américain de la Justice. Et les codeurs russes, a-t-il dit, n'ont pas peur d'être extradés aux États-Unis, mais ils ont plutôt bien plus peur du gouvernement russe.

    Les pays peuvent se plaindre au gouvernement russe des actions de ces groupes criminels, par l'intermédiaire du Centre national russe de coordination des incidents informatiques, qui existe depuis trois ans. Mais comme il est géré par le FSB russe, c'est un peu comme se plaindre au loup local que quelqu'un vous vole vos moutons. Personne ne prend cela au sérieux, a déclaré Soldatov.

    Une épidémie mondiale ransomware paralyse les collectivités locales, les hôpitaux, les districts scolaires et les entreprises en brouillant leurs fichiers de données jusqu'à ce qu'ils paient la rançon. Les forces de l'ordre sont largement impuissantes à l'enrayer.

    Nom : c02.jpg
Affichages : 2167
Taille : 27,0 Ko

    En avril, alors que les États-Unis ont imposé des sanctions à la Russie pour ses activités malveillantes, notamment le piratage informatique soutenu par l'État, le département du Trésor a déclaré que les services de renseignement russes avaient favorisé les attaques par ransomware en cultivant et en cooptant des pirates informatiques criminels et en leur offrant un refuge sûr. Les dommages causés par les ransomwares se chiffrant désormais en dizaines de milliards de dollars, l'ancien chef des services de renseignement britanniques, Marcus Willett, a estimé à l’époque que ce fléau était « sans doute plus dommageable sur le plan stratégique que le cyberespionnage d'État ».

    Les législateurs américains ont cherché des moyens de dissuader ces pirates officiellement non officiels. « Tolérer une activité criminelle à l'intérieur de ses frontières devrait être un délit punissable. Et je pense qu'il n'y a pas un moineau qui tombe en Russie sans que Poutine ne soit au courant », a déclaré le sénateur Angus King lors d'un événement Defense One-NextGov en mai.

    Le sénateur King a demandé avec insistance l'adoption de la loi sur la cyberdiplomatie. Ce projet de loi conduirait à la « création d'un bureau au sein du Département d'État, dirigé par une personne de niveau ambassadeur... confirmée par le Sénat, dont la responsabilité est de représenter les États-Unis et de travailler à l'établissement de normes et de standards internationaux ». Selon lui, cela permettrait au gouvernement américain de mieux travailler avec d'autres gouvernements pour infliger des sanctions en cas de comportement pirate.

    « Si quelqu'un est un cybercriminel en Russie, je veux qu'il ne puisse pas se rendre à Monte-Carlo ou à Paris ainsi qu'à Miami et à New York », a-t-il déclaré.

    En juin, les États-Unis ont décidé de mettre en place un effort, pour traiter les attaques par ransmwares avec la même priorité que les cas de terrorisme, qui sera piloté par une force opérationnelle constituée de diverses composantes du Département de la Justice des États-Unis. Cette nouvelle unité appliquera pour la première fois aux opérations de rançongiciels le même modèle d’investigation réservé aux terroristes. En outre, le président russe, Vladimir Poutine, a déclaré en juin que son pays est prêt à extrader des cybercriminels vers les États-Unis sur une base réciproque.

    Source : Defense One

    Et vous ?

    Qu’en pensez-vous ?
    Le gouvernement russe sous-traite à des employés des sociétés de logiciels russes le piratage de cibles occidentales, selon Andrei Soldatov. Quels commentaires en faites-vous ?

    Voir aussi :

    La cyberattaque contre Kaseya, la plus importante attaque par ransomware au monde, a touché des milliers d'entreprises dans 17 pays ; les hackers réclament 70 millions de dollars
    Président de Microsoft : le piratage de SolarWinds a été « l'attaque la plus importante et la plus sophistiquée » jamais réalisée, les empreintes informatiques de plus de 1000 développeurs trouvées
    Les USA vont désormais traiter les attaques aux rançongiciels avec la même priorité que les cas de terrorisme, en leur appliquant pour la première fois le même modèle d'investigation
    Une plateforme Cloud classifiée de l'OTAN a été compromise, les pirates ont tenté d'obtenir une rançon en proposant de ne pas divulguer les données
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  13. #93
    Membre actif
    Profil pro
    Inscrit en
    Mars 2012
    Messages
    79
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Mars 2012
    Messages : 79
    Points : 275
    Points
    275
    Par défaut
    Le mec qui doit désigner un coupable à la roulette est tombé 2x de suite sur la Russie, normalement la règle c'est qu'on retire le dernier désigné... Si tu me lis il doit rester que la Chine, l'Iran et la Corée du Nord. Bonne chance.

  14. #94
    Membre éclairé
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Février 2017
    Messages
    101
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 45
    Localisation : Suisse

    Informations professionnelles :
    Activité : Ingénieur développement logiciels

    Informations forums :
    Inscription : Février 2017
    Messages : 101
    Points : 656
    Points
    656
    Par défaut Next
    Mais que dire...

    Il ne se passent pas un jour sans qu'on nous parle des piratages de groupuscules Russes couvert par le gouvernement. Le point commun, les accusations viennent toujours du même pays, les preuves en revanche...

    A croire qu'à force de répéter quelque chose ça en devient une réalité !

    Et si c'est effectivement la réalité (ce qui est plausible évidement), alors peut-être que les Russes devraient faire comme les USA, ne pas s'embarrasser de "groupes criminels" et faire ça directement au niveau du gouvernement comme le pays de l'oncle Sam (prouvé maintes fois en Europe).


    D'ailleurs, on ne parle plus trop des piratages Chinois depuis un moment ?! Soit c'est moins vendeur ou utile (en matière d'intérêt) soit c'est qu'ils sont surement devenus très sage depuis j'imagine.

    En résumé, la guerre de l’information a de beau jours devant elle !

  15. #95
    Inactif  

    Profil pro
    Inscrit en
    Janvier 2011
    Messages
    3 064
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations forums :
    Inscription : Janvier 2011
    Messages : 3 064
    Points : 4 604
    Points
    4 604
    Par défaut
    Bonsoir,

    Ce n'est pas le gouvernement Russe qui est a blamer ... plutôt les mafias des pays de l'est. On reparle des mafias roumaines, bulgares, hongroises, ukrainiennes et j'en passe ?

    Puis bon on accuse toujours "la Russie , la Russie , la Russie " ... A un moment il serait bon aussi de s'interesser à ce qu'ils font. C'est clair que c'est moins glamour de dire qu'on a une solution de sécurité franco-russe ou belgo-russe , qu'une solution amerloc ...

    Peut être qu'en s’intéressant plus à la Russie on s'apercevrait que les piratages de viennent pas de chez eux , voir mieux qu'on en aurait pas tout court ! ... C'est plus facile d'accuser et d'isoler en même temps ... La Russie c'est pas la peste non plus ...

  16. #96
    Candidat au Club
    Homme Profil pro
    Développeur Web
    Inscrit en
    Décembre 2011
    Messages
    5
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Togo

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : Associations - ONG

    Informations forums :
    Inscription : Décembre 2011
    Messages : 5
    Points : 3
    Points
    3
    Par défaut Beaucoup de lèche-bottes sur ce forum
    Apparemment il y a beaucoup de lèche-bottes de Vladimir Poutine et son modèle de gouvernement par la terreur sur ce forum.
    Franchement les cyberactivistes russes feraient mieux de vous recruter pour compléter l'équipe qui est chargé de FAIRE TOMBER L'OCCIDENT pour faciliter la domination du couple Chine-Russie !!!

  17. #97
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    Mars 2013
    Messages
    8 388
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : Mars 2013
    Messages : 8 388
    Points : 196 520
    Points
    196 520
    Par défaut Les États-Unis restreignent le commerce avec quatre sociétés informatiques et d'autres entités
    Les États-Unis restreignent le commerce avec quatre sociétés informatiques et d'autres entités,
    en raison de leurs liens avec la Russie

    En avril, dans un avis conjoint, la National Security Agency, le FBI et la Cybersecurity and Information Security Agency ont déclaré que le service de renseignement extérieur russe, en abrégé SVR, a mené l'attaque de la chaîne d'approvisionnement contre les clients du logiciel de gestion de réseau édité par SolarWinds, basé à Austin, au Texas. Le groupe de renseignement et de sécurité, qui a enquêté sur la campagne massive de piratage informatique, avait déjà déclaré en janvier que les cybercriminels étaient « vraisemblablement d’origine russe » et que l'attaque était considérée comme un acte d'espionnage plutôt que de cyberguerre.

    Nom : 1.PNG
Affichages : 7980
Taille : 296,9 Ko

    La campagne, qui a débuté des mois avant d’être découverte, a infecté le système de construction et de distribution des logiciels de SolarWinds et l'a utilisé pour envoyer des mises à jour détournées à environ 18 000 clients. Les pirates ont ensuite envoyé des charges utiles de suivi à une dizaine d'agences fédérales américaines et à une centaine d'organisations privées. Outre l'attaque de la chaîne d'approvisionnement de SolarWinds, les pirates ont également utilisé des mots de passe et d'autres techniques pour pénétrer dans les réseaux. Microsoft est l’une des sociétés privées de premier plan qui ont été touchées par l’opération malveillante et dont le code de ses produits a été volé et mis en vente par les cybercriminels.

    Le même mois, le Département du Trésor américain a fait un communiqué qui était accompagné de sanctions en représailles à ce qu'il a qualifié « d'activités agressives et nuisibles du gouvernement de la Fédération de Russie ». Les mesures comprenaient des sanctions contre six entreprises basées en Russie qui, selon le Département, « ont soutenu les efforts des services de renseignement russes pour mener des cyberactivités malveillantes contre les États-Unis ».

    Les six sociétés et instituts russes concernés par ces sanctions américaines sont : ERA Technopolis, Pasit, SVA, Neobit, AST et Positive Technologies.

    « La raison pour laquelle elles ont été mentionnées est qu'elles font partie intégrante de l'opération que le SVR exécute et y participent », a déclaré le directeur de la cybersécurité de la NSA, Rob Joyce, à propos des six sociétés. « Nous espérons qu'en privant le SVR du soutien de ces sociétés, nous réduirons leur capacité à projeter certaines de ces activités malveillantes dans le monde et en particulier aux États-Unis ».

    Alors que certains experts en sécurité nationale affirment que l'opération de piratage de SolarWinds pourrait être considérée comme une activité d'espionnage traditionnelle, ce qui n'est pas rare chez les pirates du gouvernement, le Département du Trésor a dit dans son communiqué que « la portée et l'ampleur de cette compromission, combinées à l'histoire de la Russie dans la réalisation de cyberopérations imprudentes et perturbatrices, en font une préoccupation de sécurité nationale ».

    De nouvelles sanctions

    Vendredi 16 juillet 2021, les États-Unis ont porté un nouveau coup à l'industrie russe de la cybersécurité, restreignant le commerce avec quatre sociétés de technologie de l'information et deux autres entités pour des activités « agressives et nuisibles » (y compris l'espionnage numérique) que Washington impute au gouvernement russe.

    Une publication du ministère du Commerce a déclaré que les six entités avaient été sanctionnées par le département du Trésor américain en avril, qui visait des entreprises du secteur technologique qui soutiennent les services de renseignement russes.

    Leur ajout à la liste noire du département du Commerce signifie que les entreprises américaines ne peuvent pas faire affaire avec eux sans licences, qui sont rarement accordées.

    L'annonce fait donc suite aux sanctions d'avril, qui visaient à punir Moscou pour piratage, ingérence dans les élections américaines de l'année dernière, empoisonnement du critique du Kremlin Alexei Navalny et d'autres actions présumées malveillantes (des allégations que le Kremlin nie).

    Les sanctions surviennent alors que les États-Unis répondent à un rythme d'intrusions numériques imputées à des espions soutenus par le gouvernement russe et à une série d'épidémies de ransomwares de plus en plus perturbatrices imputées aux cybercriminels russes.

    Les entités ajoutées à la liste noire sont Aktsionernoe Obshchaestvo AST; Aktsionernoe Obshchestvo Pasit; Aktsionernoe Obshchestvo Pozitiv Teknolodzhiz, also known as JSC Positive Technologies; Federal State Autonomous Institution Military Innovative Technopolis Era; Federal State Autonomous Scientific Establishment Scientific Research Institute Specialized Security Computing Devices and Automation (SVA); et Obshchestvo S Ogranichennoi Otvetstvennostyu Neobit.

    Era est un centre de recherche et un parc technologique exploité par le ministère russe de la Défense ; Pasit est une société informatique qui a fait de la recherche et du développement à l'appui des cyberopérations malveillantes du service russe de renseignement étranger ; SVA est une institution publique russe qui aurait également soutenu des cyberopérations malveillantes ; et les sociétés de sécurité informatique basées en Russie Neobit, AST et Positive Technologies ont des clients qui incluent le gouvernement russe, selon les États-Unis.

    Positive Technologies a déclaré que l'annonce du département du Commerce ne contenait aucune nouvelle information et que la société s'était engagée dans « l'échange éthique d'informations avec la communauté professionnelle de la sécurité de l'information » et n'avait jamais été impliquée dans une attaque contre l'infrastructure américaine.

    Les autres entités n'ont pas répondu immédiatement aux demandes de commentaires des médias ou n'ont pas pu être jointes.

    Les restrictions contre l'industrie technologique russe sont en préparation depuis des mois. Le jour même où les sanctions du Trésor ont été annoncées, le procureur général adjoint de l'époque, John Demers, a déclaré aux journalistes que des responsables étaient en train d'évaluer des dizaines d'entreprises russes en vue d'un éventuel renvoi au département du Commerce.

    Demers a déclaré que les enquêteurs examineraient « un lien connu entre une entreprise particulière et les services de renseignement russes » tandis qu'ils évaluaient si une entreprise représentait un risque. Les entreprises non russes qui ont des opérations de back-office en Russie seront également examinées, a-t-il déclaré.

    Les États-Unis ajoutent des entités à la liste noire du commerce du département du Commerce qui, selon eux, présentent un risque pour la sécurité nationale ou les intérêts de politique étrangère des États-Unis.

    Source : Département du Trésor américain
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  18. #98
    Communiqués de presse

    Femme Profil pro
    Traductrice Technique
    Inscrit en
    Juin 2023
    Messages
    831
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Localisation : France

    Informations professionnelles :
    Activité : Traductrice Technique

    Informations forums :
    Inscription : Juin 2023
    Messages : 831
    Points : 58 563
    Points
    58 563
    Par défaut La SEC accuse SolarWinds de fraude et de manquements au contrôle interne
    La SEC accuse SolarWinds et son directeur de la sécurité informatique de fraude et de manquements au contrôle interne, ils auraient trompé les investisseurs sur les pratiques de cybersécurité.

    La Securities and Exchange Commission a annoncé aujourd'hui des accusations contre la société de logiciels SolarWinds Corporation, basée à Austin, au Texas, et son responsable de la sécurité informatique, Timothy G. Brown, pour fraude et défaillances de contrôle interne liées à des risques et à des vulnérabilités de cybersécurité prétendument connus.

    La plainte allègue que, depuis au moins son introduction en bourse en octobre 2018 jusqu'à au moins son annonce en décembre 2020 qu'elle était la cible d'une cyberattaque massive de près de deux ans, surnommée "SUNBURST", SolarWinds et Brown ont fraudé les investisseurs en surévaluant les pratiques de cybersécurité de SolarWinds et en sous-estimant ou en omettant de divulguer des risques connus. Dans les documents qu'elle a déposés auprès de la SEC au cours de cette période, SolarWinds aurait trompé les investisseurs en ne divulguant que des risques génériques et hypothétiques, alors que l'entreprise et Brown connaissaient les lacunes spécifiques des pratiques de cybersécurité de SolarWinds ainsi que les risques de plus en plus élevés auxquels l'entreprise était confrontée à la même époque.

    Comme l'affirme la plainte, les déclarations publiques de SolarWinds sur ses pratiques et ses risques en matière de cybersécurité étaient en contradiction avec ses évaluations internes, notamment une présentation de 2018 préparée par un ingénieur de l'entreprise et partagée en interne, y compris avec Brown, selon laquelle la configuration de l'accès à distance de SolarWinds n'était "pas très sécurisée" et que quelqu'un exploitant la vulnérabilité "peut fondamentalement faire n'importe quoi sans que nous le détections jusqu'à ce qu'il soit trop tard", ce qui pourrait entraîner une "perte de réputation et financière majeure" pour SolarWinds. De même, comme le prétend la plainte de la SEC, les présentations de 2018 et 2019 de Brown indiquaient, respectivement, que "l'état actuel de la sécurité nous laisse dans un état très vulnérable pour nos actifs critiques" et que "l'accès et les privilèges aux systèmes/données critiques sont inappropriés".


    En outre, la plainte de la SEC allègue que de multiples communications entre les employés de SolarWinds, y compris Brown, tout au long de 2019 et 2020, ont remis en question la capacité de l'entreprise à protéger ses actifs critiques contre les cyberattaques. Par exemple, selon la plainte de la SEC, en juin 2020, alors qu'il enquêtait sur une cyberattaque contre un client de SolarWinds, Brown a écrit qu'il était "très préoccupant" que l'attaquant ait pu chercher à utiliser le logiciel Orion de SolarWinds dans des attaques plus importantes, car "nos backends ne sont pas si résilients" ; et un document interne de septembre 2020 partagé avec Brown et d'autres personnes indiquait que "le volume de problèmes de sécurité identifiés au cours du mois dernier a dépassé la capacité des équipes d'ingénierie à résoudre."

    La plainte de la SEC affirme que Brown était conscient des risques et des vulnérabilités de SolarWinds en matière de cybersécurité, mais qu'il n'a pas résolu les problèmes ou, parfois, ne les a pas suffisamment soulevés au sein de l'entreprise. En raison de ces manquements, l'entreprise n'aurait pas été en mesure de fournir des garanties raisonnables que ses actifs les plus précieux, notamment son produit phare Orion, étaient protégés de manière adéquate.

    SolarWinds a fait une déclaration incomplète sur l'attaque de SUNBURST dans un formulaire 8-K déposé le 14 décembre 2020, à la suite de quoi le cours de ses actions a chuté d'environ 25 % au cours des deux jours suivants et d'environ 35 % à la fin du mois.

    "Nous alléguons que, pendant des années, SolarWinds et Brown ont ignoré les signaux d'alarme répétés concernant les cyber-risques de SolarWinds, qui étaient bien connus dans l'ensemble de l'entreprise et ont conduit l'un des subordonnés de Brown à conclure : Nous sommes loin d'être une entreprise soucieuse de la sécurité", a déclaré Gurbir S. Grewal, directeur de la division de l'application des lois de la SEC. "Plutôt que de remédier à ces vulnérabilités, SolarWinds et Brown se sont engagés dans une campagne visant à donner une fausse image de l'environnement de cybercontrôle de l'entreprise, privant ainsi les investisseurs d'informations matérielles exactes. La mesure d'exécution prise aujourd'hui n'accuse pas seulement SolarWinds et Brown d'avoir trompé le public investisseur et de ne pas avoir protégé les actifs "joyaux de la couronne" de l'entreprise, mais souligne également notre message aux émetteurs : mettez en œuvre des contrôles solides calibrés en fonction de votre environnement de risque et informez les investisseurs de vos préoccupations connues".


    La plainte de la SEC, déposée dans le district sud de New York, affirme que SolarWinds et Brown ont violé les dispositions antifraude de la loi sur les valeurs mobilières de 1933 et de la loi sur l'échange de valeurs mobilières de 1934 ; SolarWinds a violé les dispositions de la loi sur l'échange relatives à la communication d'informations et aux contrôles internes ; et Brown a aidé et encouragé les violations commises par l'entreprise. La plainte demande une injonction permanente, une restitution avec intérêts avant jugement, des sanctions civiles et une interdiction d'exercer les fonctions de dirigeant et d'administrateur à l'encontre de Brown.
    Source : SEC

    Et vous ?

    Quel est votre avis sur cette affaire ?

    Voir aussi :

    Le piratage de SolarWinds pourrait être bien pire que ce que l'on craignait au départ, les fédéraux essayant toujours de savoir si ce n'était que de l'espionnage ou quelque chose de plus sinistre

    SolarWinds corrige les vulnérabilités qui pourraient permettre un contrôle total du système, alors que les enquêteurs ont découvert ce qui semble être la cause de la dernière cyberattaque

    L'attaque de la chaîne d'approvisionnement contre la société SolarWinds expose près de 18 000 organisations, ce piratage peut dévoiler de profonds secrets américains ; les dégâts sont encore inconnu
    Publication de communiqués de presse en informatique. Contribuez au club : corrections, suggestions, critiques, ... Contactez le service news et Rédigez des actualités

Discussions similaires

  1. Réponses: 1
    Dernier message: 07/04/2021, 17h22
  2. Réponses: 17
    Dernier message: 13/01/2021, 21h01
  3. Réponses: 0
    Dernier message: 07/11/2011, 12h06
  4. quels sont les checkbox qui sont cochés?
    Par debutant.informatique dans le forum Général JavaScript
    Réponses: 5
    Dernier message: 16/03/2006, 22h18
  5. [Mathématiques] A quel point les utilisez vous ?
    Par Évariste Galois dans le forum Etudes
    Réponses: 138
    Dernier message: 17/08/2005, 11h20

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo