Discussion :

[weed]

Je me poserais également la question si les PME se détournaient de Exchange et se tourneraient vers des alternatives tel que Postfix.

Le problème serait que le FBI n'aurait plus accès à des portes dérobés pour s'infiltrer sur les réseaux des PME et faire leur travail de renseignements.

Je suis bien conscient que Postfix n'offre pas d'écosystème (mail + réunion Teams), il y a peu de risque que les PME migrent, mais certains directeurs devraient tout de même se poser la question ..

EDIT : correction des fautes de frappes

[TotoParis]

"Nous ne voulons pas d'un avenir où le FBI détermine qu'une personne peut être vulnérable, puis s'en sert comme prétexte pour obtenir un accès."
Pourquoi pas. Mais ces 30 000 organisations ont été défaillantes en terme de cyber-sécurité.
On peut toujours discuter des inconvénients de la méthode, mais les inconvénients de ce laxisme sont pour le moins bien plus graves.

[kain_tn]

"Nous ne voulons pas d'un avenir où le FBI détermine qu'une personne peut être vulnérable, puis s'en sert comme prétexte pour obtenir un accès."
Pourquoi pas. Mais ces 30 000 organisations ont été défaillantes en terme de cyber-sécurité.
On peut toujours discuter des inconvénients de la méthode, mais les inconvénients de ce laxisme sont pour le moins bien plus graves.

Encore une fois, ils n'ont pas corrigé les vulnérabilités, ils ont juste supprimé les portes dérobées, ce qui est réversible, donc non pérenne. Ça ne va pas éduquer ces 30 000 organisations, et en plus côté intrusion ce n'est pas fantastique.

S'ils ont les moyens de s'introduire chez ces 30 000 organisations, alors c'est qu'ils ont le moyen d'identifier les serveurs Exchange non-patchés: un message à ces 30 000 organisations pour leur donner un délai d'application des patchs sous menace d'intrusion du FBI aurait été plus constructif sur le long terme, et ça ne leur aurait sans doute pas coûté bien cher.

Ça sent la panique, tout ça.

[ormond94470]

Apparemment les américains les russes les chinois peuvent accéder tranquillement à toutes les boîtes du monde, ça ne sert plus à rien de se protéger, levons toutes les restrictions !

[Invité]

Bonjour,

La Belgique se serait fait attaquée dés 2019 : https://www.rtbf.be/info/belgique/de...er?id=10769166 , bonne lecture .

Vers une attaque de grande ampleur ? . Et encore on a pas tout les tenants et aboutissants.

[Stéphane le calme]

Le groupe à l'origine de la cyberattaque SolarWinds cible désormais les ONG et les agences gouvernementales,
ses victimes sont répertoriées dans au moins 24 pays selon Microsoft

Le groupe à l'origine de la cyberattaque SolarWinds identifiée à la fin de l'année dernière cible désormais les agences gouvernementales, les groupes de réflexion, les consultants et les organisations non gouvernementales, a déclaré jeudi Microsoft Corp.

« Microsoft Threat Intelligence Center (MSTIC) a découvert une campagne de courrier électronique malveillant à grande échelle exploitée par NOBELIUM, l'acteur de la menace derrière les attaques contre SolarWinds, la porte dérobée SUNBURST, le logiciel malveillant TEARDROP, le logiciel malveillant GoldMax et d'autres composants connexes. La campagne, initialement observée et suivie par Microsoft depuis janvier 2021, a évolué au fil d'une série de vagues démontrant une expérimentation significative. Le 25 mai 2021, la campagne s'est intensifiée lorsque NOBELIUM a exploité le service de messagerie de masse légitime, Constant Contact, pour se faire passer pour une organisation de développement basée aux États-Unis et distribuer des URL malveillantes à une grande variété d'organisations et de secteurs verticaux ».

Et Microsoft d'expliquer que :

« NOBELIUM a toujours ciblé les organisations gouvernementales, les organisations non gouvernementales (ONG), les groupes de réflexion, les militaires, les fournisseurs de services informatiques, la technologie et la recherche en santé et les fournisseurs de télécommunications. Avec cette dernière attaque, NOBELIUM a tenté de cibler environ 3000 comptes individuels dans plus de 150 organisations, en utilisant un modèle établi d'utilisation d'une infrastructure et d'outils uniques pour chaque cible, augmentant ainsi leur capacité à rester non détectés pendant une période de temps plus longue.

« Cette nouvelle campagne de courrier électronique à grande échelle tire parti du service légitime Constant Contact pour envoyer des liens malveillants qui ont été masqués derrière l'URL du service de messagerie (de nombreux services de courrier électronique et de documents fournissent un mécanisme pour simplifier le partage de fichiers, fournissant des informations sur qui et quand les liens sont cliqués). En raison du volume élevé d'e-mails distribués dans le cadre de cette campagne, les systèmes automatisés de détection des menaces par e-mail ont bloqué la plupart des e-mails malveillants et les ont marqués comme spam. Cependant, certains systèmes automatisés de détection des menaces peuvent avoir réussi à remettre certains des e-mails antérieurs aux destinataires soit en raison des paramètres de configuration et de stratégie, soit avant que les détections ne soient en place ».

La campagne NOBELIUM observée par MSTIC diffère considérablement des opérations NOBELIUM qui se sont déroulées de septembre 2019 à janvier 2021, qui incluaient le piratage de la plateforme SolarWinds Orion. Microsoft estime qu'il est probable que ces observations représentent des changements dans le mode opératoire des cybercriminels et une éventuelle expérimentation à la suite de nombreuses révélations d’incidents antérieurs.

Dans le cadre de la découverte initiale de la campagne en février, MSTIC a identifié une vague d'e-mails de phishing qui ont exploité la plateforme Google Firebase pour mettre en scène un fichier ISO contenant du contenu malveillant, tout en exploitant également cette plateforme pour enregistrer les attributs de ceux qui ont accédé à l'URL. MSTIC a retracé le début de cette campagne jusqu'au 28 janvier 2021 ; à ce moment, les cybercriminels effectuaient visiblement des missions de reconnaissance, exploitant les URL Firebase pour enregistrer les cibles qui avaient cliqué dessus, mais sans leur envoyer une charge utile malveillante lors de cette première phase.

Nobelium a lancé les attaques de cette semaine en pénétrant par effraction dans un compte de marketing par courrier électronique utilisé par l'Agence des États-Unis pour le développement international (USAID) et à partir de là, en lançant des attaques de phishing contre de nombreuses autres organisations, a déclaré Microsoft.

« Lors de la campagne du 25 mai, il y a eu plusieurs itérations. Dans un exemple, les e-mails semblent provenir de l'USAID (une agence gouvernementale américaine qui administre l'aide étrangère civile et l'aide au développement) <ashainfo@usaid.gov>, tout en ayant une adresse e-mail d'expéditeur authentique qui correspond au service Constant Contact standard. Cette adresse (qui varie pour chaque destinataire) se termine par @ in.constantcontact.com, et (qui varie pour chaque destinataire), et une adresse de réponse de <mhillary@usaid.gov> a été observée ».

Les e-mails se présentent comme une alerte de l'USAID, comme indiqué ci-dessous.

Les personnes qui ont cliqué sur le lien ont d'abord été envoyées au service légitime de Constant Contact, mais peu de temps après, elles ont été redirigées vers un fichier hébergé sur des serveurs appartenant à Nobelium, a déclaré Microsoft. Une fois les cibles redirigées, JavaScript a amené les appareils des visiteurs à télécharger automatiquement un type de fichier d'archive appelé image ISO.

Comme le montre l'image ci-dessous, l'image ISO contenait un fichier PDF, un fichier LNK nommé Reports et un fichier DLL nommé documents, qui par défaut était masqué.

Contenu du fichier ISO. Il est à noter que «Documents.dll» est un fichier caché.

La société de sécurité FireEye a déclaré qu'en plus du contenu de l'USAID, le groupe de piratage utilisait une variété d'autres leurres, y compris des notes diplomatiques et des invitations d'ambassades. Elle a poursuivi en disant que le ciblage des gouvernements, des groupes de réflexion et des organisations apparentées était un objectif traditionnel des opérations menées par le service de renseignement extérieur, connu sous le nom de SVR.

« Bien que l'activité SolarWinds ait été remarquable pour sa furtivité et sa discipline, les opérations de harponnage bruyantes et larges étaient autrefois la carte de visite des opérateurs SVR qui menaient souvent des campagnes de phishing tapageuses », a commenté John Hultquist, vice-président d'analyse chez Mandiant Threat Intelligence, propriété de FireEye. « Ces opérations ont souvent été efficaces, donnant accès aux principaux bureaux du gouvernement parmi d'autres cibles. Et si les e-mails de spear phishing ont été rapidement identifiés, nous nous attendons à ce que toute action post-compromission de ces acteurs soit hautement qualifiée et furtive ».

La société de sécurité Volexity, quant à elle, a publié jeudi son propre billet qui fournit encore plus de détails. Parmi eux: le fichier Documents.DLL a vérifié les machines cibles pour s'assurer qu'il n'était pas dans un sandbox de sécurité ou dans une machine virtuelle, comme indiqué ici:

Des victimes dans 24 pays au moins

Alors que les organisations aux États-Unis ont constitué la majorité des cibles de ces attaques, les victimes ont été répertoriées dans 24 pays au moins, selon Microsoft. Au moins un quart des organisations ciblées étaient impliquées dans le développement international, les questions humanitaires et les droits de l'homme, a déclaré l'éditeur dans un billet de blog.

Dans des déclarations publiées vendredi, le département de la sécurité intérieure et l'USAID ont tous deux déclaré qu'ils étaient au courant du piratage informatique et qu'ils enquêtaient.

Le piratage de la société de technologie de l'information SolarWinds, qui a été identifié en décembre, a donné accès à des milliers d'entreprises et de bureaux gouvernementaux qui utilisaient ses produits. Le président de Microsoft, Brad Smith, a décrit l'attaque comme « l'attaque la plus grande et la plus sophistiquée que le monde ait jamais vue ».

Ce mois-ci, le chef du service de renseignement de la Russie a nié la responsabilité de la cyberattaque SolarWinds, mais s'est dit « flatté » par les accusations des États-Unis et de la Grande-Bretagne selon lesquelles le renseignement étranger russe était à l'origine d'un piratage aussi sophistiqué.

Les États-Unis et la Grande-Bretagne ont blâmé le service russe de renseignement extérieur (SVR), successeur des opérations d'espionnage étrangères du KGB, pour le piratage qui a compromis neuf agences fédérales américaines et des centaines d'entreprises du secteur privé.

Sources : Microsoft, Volexity

[kain_tn]

Le président de Microsoft, Brad Smith, a décrit l'attaque comme « l'attaque la plus grande et la plus sophistiquée que le monde ait jamais vue ».

Ouais enfin, il ne faut pas charrier non plus, hein. C'est une "supply chain attack" classique. Ils se sont juste fait avoir pour avoir fait confiance à un éditeur tiers avec des pratiques logicielles toutes pourries. Mais bon, face aux actionnaires il ne peut pas dire ça

Les États-Unis et la Grande-Bretagne ont blâmé le service russe de renseignement extérieur (SVR), successeur des opérations d'espionnage étrangères du KGB, pour le piratage qui a compromis neuf agences fédérales américaines et des centaines d'entreprises du secteur privé.

Aaah, les Russes. Qui est-ce que les USA pourraient blâmer s'ils n'existaient pas?! Ah non, c'est bon en fait, ils en ont une pleine liste

Blâmer les autres quand on a délibérément fait du travail de cochon (et que l'on fait régulièrement la même chose), je trouve ça quand même très gros!

[Stan Adkens]

Les derniers piratages russes montrent à quel point les "groupes criminels" sont utiles au Kremlin,
Les codeurs russes travailleraient avec le gouvernement, qui, de son côté, couvre leurs activités

Les autorités américaines se heurtent à un obstacle majeur pour tenir les pirates informatiques responsables d'une vague de cyberattaques. Une raison majeure : les attaquants sont dominés par des cybercriminels russophones qui sont protégés – et parfois employés – par les services de renseignement russes, selon des chercheurs en sécurité, les forces de l'ordre américaines et l'administration Biden. Selon un rapport publié en mai par Defense One, les codeurs russes n'ont pas d'autre choix que de travailler avec leur gouvernement, qui, de son côté, nie toute connaissance de leurs activités. C'est pourquoi les activités de piratage ne montrent aucun signe de ralentissement.

Les récentes attaques de ransomware très médiatisées ont rendu plus urgents les efforts du gouvernement américain pour combattre les pirates informatiques liés à la Russie, qui ont perturbé l'approvisionnement en carburant de la côte Est des États-Unis, fait craindre une pénurie de viande à l'échelle nationale et exposé les fichiers sensibles d'une force de police de Californie du Sud. Le problème, selon les responsables du ministère américain de la Justice, est que le Kremlin pense qu'il est avantageux de permettre à ces pirates de cibler les intérêts américains, en recueillant au passage de précieux renseignements.

Bien avant ces attaques, les criminels russes qui ont orchestré le piratage de SolarWinds ont obtenu l'accès à un compte de marketing en ligne de l'USAID, ce qui a permis au groupe d'envoyer des courriels d'apparence officielle à un autre groupe de victimes potentielles, a déclaré Microsoft en mai. Les responsables russes ont rapidement nié toute implication, mais les analystes estiment que cela ne fait qu'illustrer la façon dont le Kremlin utilise des groupes ostensiblement privés pour créer un déni, un problème qui risque de perdurer.

Le groupe, Nobelium, a eu accès au compte de l'USAID chez Constant Contact, une société de marketing en ligne, a écrit Tom Burt, vice-président de Microsoft pour la sécurité et la confiance des clients, dans un billet de blog. Se faisant passer pour des expéditeurs de l'USAID, le groupe a pu envoyer des courriels liés à des logiciels malveillants à quelque 3 000 adresses électroniques dans 150 organisations.

Burt a écrit à l’époque : « Nobelium, originaire de Russie, est le même acteur que celui à l'origine des attaques contre les clients de SolarWinds en 2020. Ces attaques semblent être une continuation des multiples efforts de Nobelium pour cibler les agences gouvernementales impliquées dans la politique étrangère dans le cadre d'efforts de collecte de renseignements ».

La Maison-Blanche a attribué le piratage de SolarWinds au gouvernement russe, en particulier au SVR, un service de renseignement étranger issu du KGB, et a imposé des sanctions en réponse. Mais le Kremlin a nié toute implication. Il l'a encore fait en mai en réponse au piratage de l'USAID.

Defense One a rapporté que l'utilisation de groupes criminels comme couverture pour des piratages soutenus par l'État est une marque de fabrique des opérations de renseignement et d'influence russes qui ne date pas d’aujourd’hui. Depuis 2016, cela n'a fait qu'empirer, a déclaré le journaliste d'investigation indépendant russe Andrei Soldatov au site d’information, qui se concentre sur la défense et de la sécurité nationale des États-Unis.

Selon Soldatov, la Russie peut se vanter d'avoir un certain nombre d'informaticiens et de codeurs hautement qualifiés qui dirigent des entreprises de logiciels. Mais le marché des logiciels russes à l'échelle internationale est très étroit, en grande partie parce que les clients potentiels supposent que ces entreprises doivent travailler avec le gouvernement russe, ce qui signifierait potentiellement utiliser des logiciels développés en partenariat avec une nation adverse, a rapporté Defense One.

L'exemple le plus clair est celui de Kaspersky, qui était autrefois un exemple brillant de la réussite russe dans le domaine des technologies. La société russe de cybersécurité a connu des moments difficiles aux États-Unis, où l'on affirmait que ses logiciels recherchaient et volaient des documents présentant un intérêt pour le Kremlin. L'utilisation de ses produits par les agences gouvernementales américaines ayant été interdite, l’entreprise a été contrainte de fermer son bureau de Washington en 2017 parce qu'elle ne pouvait plus travailler avec les autorités américaines. Les entreprises privées ont suivi l'exemple du gouvernement et se sont détournées de l'entreprise.

« Nous fermons nos installations à Arlington, car l'opportunité pour laquelle le bureau a été ouvert et doté en personnel n'est plus viable », a déclaré aux médias un porte-parole de Kaspersky à l’époque.

Sous-traiter à des employés des sociétés de logiciels russes le piratage de cibles occidentales

Selon Soldatov, la meilleure, voire la seule, source de revenus pour les fabricants de logiciels russes est devenue leur propre gouvernement. C’est ainsi que naissent des groupes comme Nobelium ou DarkSide, le groupe criminel russe à l'origine du piratage de Colonial Pipeline, d’après lui. En effet, les membres de ces "groupes criminels" ont très souvent des emplois de jour dans des sociétés de logiciels russes. Le gouvernement russe sous-traite à des particuliers le piratage de cibles occidentales. Ce contrat de sous-traitance s'accompagne souvent d'un contrat plus conventionnel pour l'entreprise, portant sur des produits ou des services plus bénins.

« Vous pouvez avoir une entreprise qui est célèbre pour la création des logiciels pour la défense, très bonne dans la prévention des DDoS, n’est-ce pas ? Cela signifie qu'ils sont probablement bons dans ce domaine », a déclaré Soldatov. Les services de renseignement russes peuvent donc approcher quelqu'un de cette entreprise et lui dire : « Regardez, il y a un très bon contrat pour vous. Peut-être que vous pouvez nous aider avec quelque chose ? Mais c'est une sorte de secret, hors des livres ».

De cette façon, selon Soldatov, le gouvernement russe est devenu le seul marché pour les codeurs russes. C'est en partie la raison pour laquelle les codeurs russes qui ne font pas officiellement partie de l'armée sont pris dans les campagnes de piratage russes et se retrouvent sanctionnés ou inculpés par le ministère américain de la Justice. Et les codeurs russes, a-t-il dit, n'ont pas peur d'être extradés aux États-Unis, mais ils ont plutôt bien plus peur du gouvernement russe.

Les pays peuvent se plaindre au gouvernement russe des actions de ces groupes criminels, par l'intermédiaire du Centre national russe de coordination des incidents informatiques, qui existe depuis trois ans. Mais comme il est géré par le FSB russe, c'est un peu comme se plaindre au loup local que quelqu'un vous vole vos moutons. Personne ne prend cela au sérieux, a déclaré Soldatov.

Une épidémie mondiale ransomware paralyse les collectivités locales, les hôpitaux, les districts scolaires et les entreprises en brouillant leurs fichiers de données jusqu'à ce qu'ils paient la rançon. Les forces de l'ordre sont largement impuissantes à l'enrayer.

En avril, alors que les États-Unis ont imposé des sanctions à la Russie pour ses activités malveillantes, notamment le piratage informatique soutenu par l'État, le département du Trésor a déclaré que les services de renseignement russes avaient favorisé les attaques par ransomware en cultivant et en cooptant des pirates informatiques criminels et en leur offrant un refuge sûr. Les dommages causés par les ransomwares se chiffrant désormais en dizaines de milliards de dollars, l'ancien chef des services de renseignement britanniques, Marcus Willett, a estimé à l’époque que ce fléau était « sans doute plus dommageable sur le plan stratégique que le cyberespionnage d'État ».

Les législateurs américains ont cherché des moyens de dissuader ces pirates officiellement non officiels. « Tolérer une activité criminelle à l'intérieur de ses frontières devrait être un délit punissable. Et je pense qu'il n'y a pas un moineau qui tombe en Russie sans que Poutine ne soit au courant », a déclaré le sénateur Angus King lors d'un événement Defense One-NextGov en mai.

Le sénateur King a demandé avec insistance l'adoption de la loi sur la cyberdiplomatie. Ce projet de loi conduirait à la « création d'un bureau au sein du Département d'État, dirigé par une personne de niveau ambassadeur... confirmée par le Sénat, dont la responsabilité est de représenter les États-Unis et de travailler à l'établissement de normes et de standards internationaux ». Selon lui, cela permettrait au gouvernement américain de mieux travailler avec d'autres gouvernements pour infliger des sanctions en cas de comportement pirate.

« Si quelqu'un est un cybercriminel en Russie, je veux qu'il ne puisse pas se rendre à Monte-Carlo ou à Paris ainsi qu'à Miami et à New York », a-t-il déclaré.

En juin, les États-Unis ont décidé de mettre en place un effort, pour traiter les attaques par ransmwares avec la même priorité que les cas de terrorisme, qui sera piloté par une force opérationnelle constituée de diverses composantes du Département de la Justice des États-Unis. Cette nouvelle unité appliquera pour la première fois aux opérations de rançongiciels le même modèle d’investigation réservé aux terroristes. En outre, le président russe, Vladimir Poutine, a déclaré en juin que son pays est prêt à extrader des cybercriminels vers les États-Unis sur une base réciproque.

Source : Defense One

Et vous ?

Qu’en pensez-vous ?
Le gouvernement russe sous-traite à des employés des sociétés de logiciels russes le piratage de cibles occidentales, selon Andrei Soldatov. Quels commentaires en faites-vous ?

Voir aussi :

La cyberattaque contre Kaseya, la plus importante attaque par ransomware au monde, a touché des milliers d'entreprises dans 17 pays ; les hackers réclament 70 millions de dollars
Président de Microsoft : le piratage de SolarWinds a été « l'attaque la plus importante et la plus sophistiquée » jamais réalisée, les empreintes informatiques de plus de 1000 développeurs trouvées
Les USA vont désormais traiter les attaques aux rançongiciels avec la même priorité que les cas de terrorisme, en leur appliquant pour la première fois le même modèle d'investigation
Une plateforme Cloud classifiée de l'OTAN a été compromise, les pirates ont tenté d'obtenir une rançon en proposant de ne pas divulguer les données

[ormond94470]

Le mec qui doit désigner un coupable à la roulette est tombé 2x de suite sur la Russie, normalement la règle c'est qu'on retire le dernier désigné... Si tu me lis il doit rester que la Chine, l'Iran et la Corée du Nord. Bonne chance.

[GordonFreeman]

Mais que dire...

Il ne se passent pas un jour sans qu'on nous parle des piratages de groupuscules Russes couvert par le gouvernement. Le point commun, les accusations viennent toujours du même pays, les preuves en revanche...

A croire qu'à force de répéter quelque chose ça en devient une réalité !

Et si c'est effectivement la réalité (ce qui est plausible évidement), alors peut-être que les Russes devraient faire comme les USA, ne pas s'embarrasser de "groupes criminels" et faire ça directement au niveau du gouvernement comme le pays de l'oncle Sam (prouvé maintes fois en Europe).


D'ailleurs, on ne parle plus trop des piratages Chinois depuis un moment ?! Soit c'est moins vendeur ou utile (en matière d'intérêt) soit c'est qu'ils sont surement devenus très sage depuis j'imagine.

En résumé, la guerre de l’information a de beau jours devant elle !

[Coperniqk]

Apparemment il y a beaucoup de lèche-bottes de Vladimir Poutine et son modèle de gouvernement par la terreur sur ce forum.
Franchement les cyberactivistes russes feraient mieux de vous recruter pour compléter l'équipe qui est chargé de FAIRE TOMBER L'OCCIDENT pour faciliter la domination du couple Chine-Russie !!!

[Stéphane le calme]

Les États-Unis restreignent le commerce avec quatre sociétés informatiques et d'autres entités,
en raison de leurs liens avec la Russie

En avril, dans un avis conjoint, la National Security Agency, le FBI et la Cybersecurity and Information Security Agency ont déclaré que le service de renseignement extérieur russe, en abrégé SVR, a mené l'attaque de la chaîne d'approvisionnement contre les clients du logiciel de gestion de réseau édité par SolarWinds, basé à Austin, au Texas. Le groupe de renseignement et de sécurité, qui a enquêté sur la campagne massive de piratage informatique, avait déjà déclaré en janvier que les cybercriminels étaient « vraisemblablement d’origine russe » et que l'attaque était considérée comme un acte d'espionnage plutôt que de cyberguerre.

La campagne, qui a débuté des mois avant d’être découverte, a infecté le système de construction et de distribution des logiciels de SolarWinds et l'a utilisé pour envoyer des mises à jour détournées à environ 18 000 clients. Les pirates ont ensuite envoyé des charges utiles de suivi à une dizaine d'agences fédérales américaines et à une centaine d'organisations privées. Outre l'attaque de la chaîne d'approvisionnement de SolarWinds, les pirates ont également utilisé des mots de passe et d'autres techniques pour pénétrer dans les réseaux. Microsoft est l’une des sociétés privées de premier plan qui ont été touchées par l’opération malveillante et dont le code de ses produits a été volé et mis en vente par les cybercriminels.

Le même mois, le Département du Trésor américain a fait un communiqué qui était accompagné de sanctions en représailles à ce qu'il a qualifié « d'activités agressives et nuisibles du gouvernement de la Fédération de Russie ». Les mesures comprenaient des sanctions contre six entreprises basées en Russie qui, selon le Département, « ont soutenu les efforts des services de renseignement russes pour mener des cyberactivités malveillantes contre les États-Unis ».

Les six sociétés et instituts russes concernés par ces sanctions américaines sont : ERA Technopolis, Pasit, SVA, Neobit, AST et Positive Technologies.

« La raison pour laquelle elles ont été mentionnées est qu'elles font partie intégrante de l'opération que le SVR exécute et y participent », a déclaré le directeur de la cybersécurité de la NSA, Rob Joyce, à propos des six sociétés. « Nous espérons qu'en privant le SVR du soutien de ces sociétés, nous réduirons leur capacité à projeter certaines de ces activités malveillantes dans le monde et en particulier aux États-Unis ».

Alors que certains experts en sécurité nationale affirment que l'opération de piratage de SolarWinds pourrait être considérée comme une activité d'espionnage traditionnelle, ce qui n'est pas rare chez les pirates du gouvernement, le Département du Trésor a dit dans son communiqué que « la portée et l'ampleur de cette compromission, combinées à l'histoire de la Russie dans la réalisation de cyberopérations imprudentes et perturbatrices, en font une préoccupation de sécurité nationale ».

De nouvelles sanctions

Vendredi 16 juillet 2021, les États-Unis ont porté un nouveau coup à l'industrie russe de la cybersécurité, restreignant le commerce avec quatre sociétés de technologie de l'information et deux autres entités pour des activités « agressives et nuisibles » (y compris l'espionnage numérique) que Washington impute au gouvernement russe.

Une publication du ministère du Commerce a déclaré que les six entités avaient été sanctionnées par le département du Trésor américain en avril, qui visait des entreprises du secteur technologique qui soutiennent les services de renseignement russes.

Leur ajout à la liste noire du département du Commerce signifie que les entreprises américaines ne peuvent pas faire affaire avec eux sans licences, qui sont rarement accordées.

L'annonce fait donc suite aux sanctions d'avril, qui visaient à punir Moscou pour piratage, ingérence dans les élections américaines de l'année dernière, empoisonnement du critique du Kremlin Alexei Navalny et d'autres actions présumées malveillantes (des allégations que le Kremlin nie).

Les sanctions surviennent alors que les États-Unis répondent à un rythme d'intrusions numériques imputées à des espions soutenus par le gouvernement russe et à une série d'épidémies de ransomwares de plus en plus perturbatrices imputées aux cybercriminels russes.

Les entités ajoutées à la liste noire sont Aktsionernoe Obshchaestvo AST; Aktsionernoe Obshchestvo Pasit; Aktsionernoe Obshchestvo Pozitiv Teknolodzhiz, also known as JSC Positive Technologies; Federal State Autonomous Institution Military Innovative Technopolis Era; Federal State Autonomous Scientific Establishment Scientific Research Institute Specialized Security Computing Devices and Automation (SVA); et Obshchestvo S Ogranichennoi Otvetstvennostyu Neobit.

Era est un centre de recherche et un parc technologique exploité par le ministère russe de la Défense ; Pasit est une société informatique qui a fait de la recherche et du développement à l'appui des cyberopérations malveillantes du service russe de renseignement étranger ; SVA est une institution publique russe qui aurait également soutenu des cyberopérations malveillantes ; et les sociétés de sécurité informatique basées en Russie Neobit, AST et Positive Technologies ont des clients qui incluent le gouvernement russe, selon les États-Unis.

Positive Technologies a déclaré que l'annonce du département du Commerce ne contenait aucune nouvelle information et que la société s'était engagée dans « l'échange éthique d'informations avec la communauté professionnelle de la sécurité de l'information » et n'avait jamais été impliquée dans une attaque contre l'infrastructure américaine.

Les autres entités n'ont pas répondu immédiatement aux demandes de commentaires des médias ou n'ont pas pu être jointes.

Les restrictions contre l'industrie technologique russe sont en préparation depuis des mois. Le jour même où les sanctions du Trésor ont été annoncées, le procureur général adjoint de l'époque, John Demers, a déclaré aux journalistes que des responsables étaient en train d'évaluer des dizaines d'entreprises russes en vue d'un éventuel renvoi au département du Commerce.

Demers a déclaré que les enquêteurs examineraient « un lien connu entre une entreprise particulière et les services de renseignement russes » tandis qu'ils évaluaient si une entreprise représentait un risque. Les entreprises non russes qui ont des opérations de back-office en Russie seront également examinées, a-t-il déclaré.

Les États-Unis ajoutent des entités à la liste noire du commerce du département du Commerce qui, selon eux, présentent un risque pour la sécurité nationale ou les intérêts de politique étrangère des États-Unis.

Source : Département du Trésor américain

[Jade Emy]

La SEC accuse SolarWinds et son directeur de la sécurité informatique de fraude et de manquements au contrôle interne, ils auraient trompé les investisseurs sur les pratiques de cybersécurité.

La Securities and Exchange Commission a annoncé aujourd'hui des accusations contre la société de logiciels SolarWinds Corporation, basée à Austin, au Texas, et son responsable de la sécurité informatique, Timothy G. Brown, pour fraude et défaillances de contrôle interne liées à des risques et à des vulnérabilités de cybersécurité prétendument connus.

La plainte allègue que, depuis au moins son introduction en bourse en octobre 2018 jusqu'à au moins son annonce en décembre 2020 qu'elle était la cible d'une cyberattaque massive de près de deux ans, surnommée "SUNBURST", SolarWinds et Brown ont fraudé les investisseurs en surévaluant les pratiques de cybersécurité de SolarWinds et en sous-estimant ou en omettant de divulguer des risques connus. Dans les documents qu'elle a déposés auprès de la SEC au cours de cette période, SolarWinds aurait trompé les investisseurs en ne divulguant que des risques génériques et hypothétiques, alors que l'entreprise et Brown connaissaient les lacunes spécifiques des pratiques de cybersécurité de SolarWinds ainsi que les risques de plus en plus élevés auxquels l'entreprise était confrontée à la même époque.

Comme l'affirme la plainte, les déclarations publiques de SolarWinds sur ses pratiques et ses risques en matière de cybersécurité étaient en contradiction avec ses évaluations internes, notamment une présentation de 2018 préparée par un ingénieur de l'entreprise et partagée en interne, y compris avec Brown, selon laquelle la configuration de l'accès à distance de SolarWinds n'était "pas très sécurisée" et que quelqu'un exploitant la vulnérabilité "peut fondamentalement faire n'importe quoi sans que nous le détections jusqu'à ce qu'il soit trop tard", ce qui pourrait entraîner une "perte de réputation et financière majeure" pour SolarWinds. De même, comme le prétend la plainte de la SEC, les présentations de 2018 et 2019 de Brown indiquaient, respectivement, que "l'état actuel de la sécurité nous laisse dans un état très vulnérable pour nos actifs critiques" et que "l'accès et les privilèges aux systèmes/données critiques sont inappropriés".

En outre, la plainte de la SEC allègue que de multiples communications entre les employés de SolarWinds, y compris Brown, tout au long de 2019 et 2020, ont remis en question la capacité de l'entreprise à protéger ses actifs critiques contre les cyberattaques. Par exemple, selon la plainte de la SEC, en juin 2020, alors qu'il enquêtait sur une cyberattaque contre un client de SolarWinds, Brown a écrit qu'il était "très préoccupant" que l'attaquant ait pu chercher à utiliser le logiciel Orion de SolarWinds dans des attaques plus importantes, car "nos backends ne sont pas si résilients" ; et un document interne de septembre 2020 partagé avec Brown et d'autres personnes indiquait que "le volume de problèmes de sécurité identifiés au cours du mois dernier a dépassé la capacité des équipes d'ingénierie à résoudre."

La plainte de la SEC affirme que Brown était conscient des risques et des vulnérabilités de SolarWinds en matière de cybersécurité, mais qu'il n'a pas résolu les problèmes ou, parfois, ne les a pas suffisamment soulevés au sein de l'entreprise. En raison de ces manquements, l'entreprise n'aurait pas été en mesure de fournir des garanties raisonnables que ses actifs les plus précieux, notamment son produit phare Orion, étaient protégés de manière adéquate.

SolarWinds a fait une déclaration incomplète sur l'attaque de SUNBURST dans un formulaire 8-K déposé le 14 décembre 2020, à la suite de quoi le cours de ses actions a chuté d'environ 25 % au cours des deux jours suivants et d'environ 35 % à la fin du mois.

"Nous alléguons que, pendant des années, SolarWinds et Brown ont ignoré les signaux d'alarme répétés concernant les cyber-risques de SolarWinds, qui étaient bien connus dans l'ensemble de l'entreprise et ont conduit l'un des subordonnés de Brown à conclure : Nous sommes loin d'être une entreprise soucieuse de la sécurité", a déclaré Gurbir S. Grewal, directeur de la division de l'application des lois de la SEC. "Plutôt que de remédier à ces vulnérabilités, SolarWinds et Brown se sont engagés dans une campagne visant à donner une fausse image de l'environnement de cybercontrôle de l'entreprise, privant ainsi les investisseurs d'informations matérielles exactes. La mesure d'exécution prise aujourd'hui n'accuse pas seulement SolarWinds et Brown d'avoir trompé le public investisseur et de ne pas avoir protégé les actifs "joyaux de la couronne" de l'entreprise, mais souligne également notre message aux émetteurs : mettez en œuvre des contrôles solides calibrés en fonction de votre environnement de risque et informez les investisseurs de vos préoccupations connues".

La plainte de la SEC, déposée dans le district sud de New York, affirme que SolarWinds et Brown ont violé les dispositions antifraude de la loi sur les valeurs mobilières de 1933 et de la loi sur l'échange de valeurs mobilières de 1934 ; SolarWinds a violé les dispositions de la loi sur l'échange relatives à la communication d'informations et aux contrôles internes ; et Brown a aidé et encouragé les violations commises par l'entreprise. La plainte demande une injonction permanente, une restitution avec intérêts avant jugement, des sanctions civiles et une interdiction d'exercer les fonctions de dirigeant et d'administrateur à l'encontre de Brown.

Source : SEC

Et vous ?

Quel est votre avis sur cette affaire ?

Voir aussi :

Le piratage de SolarWinds pourrait être bien pire que ce que l'on craignait au départ, les fédéraux essayant toujours de savoir si ce n'était que de l'espionnage ou quelque chose de plus sinistre

SolarWinds corrige les vulnérabilités qui pourraient permettre un contrôle total du système, alors que les enquêteurs ont découvert ce qui semble être la cause de la dernière cyberattaque

L'attaque de la chaîne d'approvisionnement contre la société SolarWinds expose près de 18 000 organisations, ce piratage peut dévoiler de profonds secrets américains ; les dégâts sont encore inconnu

[Stéphane le calme]

SolarWinds : Microsoft a préféré le profit à la sécurité et a laissé le gouvernement américain vulnérable à un piratage russe, selon un lanceur d'alerte
qui affirme avoir découvert la faille en 2016

Un ancien employé de Microsoft affirme que le géant de la technologie a rejeté ses avertissements répétés au sujet d'une faille de sécurité qui a ensuite été exploitée dans le piratage SolarWinds, privilégiant les intérêts commerciaux à la sécurité des clients. Andrew Harris, qui travaillait dans l'équipe de sécurité du cloud de Microsoft, affirme avoir découvert la faiblesse en 2016, mais on lui a dit que la corriger pourrait mettre en péril un contrat gouvernemental de plusieurs milliards de dollars et l'avantage concurrentiel de l'entreprise, a rapporté ProPublica jeudi.

La faille, dans un produit Microsoft appelé Active Directory Federation Services, a permis aux pirates de contourner les mesures de sécurité et d'accéder aux données sensibles du cloud. Des pirates russes ont exploité cette vulnérabilité lors de l'attaque SolarWinds de 2020, pénétrant ainsi dans plusieurs agences américaines. Microsoft continue de nier toute faute et insiste sur le fait que la protection des clients est sa priorité absolue. Ces révélations interviennent à un moment où Microsoft fait l'objet d'un examen de plus en plus minutieux de ses pratiques en matière de sécurité et cherche à développer ses activités auprès des pouvoirs publics.

SolarWinds est une entreprise américaine spécialisée dans le développement de logiciels pour la gestion des réseaux, des systèmes et de l’infrastructure informatique. Elle propose une plateforme d’observabilité et de gestion informatique qui permet aux utilisateurs d’observer et de gérer leur infrastructure IT de manière centralisée, que ce soit dans des environnements hybrides ou multicloud.

En décembre 2020, SolarWinds a fait les gros titres lorsqu’une cyberattaque massive a été découverte. Cette attaque, connue sous le nom de “SolarWinds hack”, a affecté plusieurs agences gouvernementales américaines ainsi que de nombreuses entreprises privées. Les pirates ont exploité une vulnérabilité dans le logiciel de gestion de réseau Orion de SolarWinds, leur permettant d’insérer un code malveillant et d’accéder à des réseaux de manière à ne pas être détecté pendant des mois.

Cette cyberattaque a soulevé des questions importantes sur la sécurité des chaînes d’approvisionnement logicielles et la manière dont les entreprises comme SolarWinds peuvent se protéger contre des menaces sophistiquées. Elle a également mis en évidence la nécessité d’une collaboration accrue entre le secteur privé et les agences gouvernementales pour renforcer la cybersécurité à l’échelle nationale et internationale.

Et si Microsoft était au courant mais avait choisi de ne rien faire ?

C'est en tout cas ce que laisse entendre Andrew Harris.

Microsoft a engagé Andrew Harris pour ses compétences extraordinaires à empêcher les pirates d'accéder aux réseaux informatiques les plus sensibles du pays. En 2016, Andrew Harris travaillait d'arrache-pied sur un incident surprenant au cours duquel des intrus avaient pénétré d'une manière ou d'une autre dans une grande entreprise technologique américaine.

La violation a troublé Harris pour deux raisons. Tout d'abord, elle concernait le cloud de l'entreprise, un entrepôt virtuel contenant généralement les données les plus sensibles d'une organisation. D'autre part, les attaquants avaient réussi leur coup en laissant peu de traces.

Il s'est retiré dans son bureau à domicile pour faire des « jeux de guerre » sur les scénarios possibles, en testant les différents logiciels qui auraient pu être compromis.

Au début, il s'est concentré sur une application Microsoft qui s'assurait que les utilisateurs avaient l'autorisation de se connecter à des programmes basés sur le cloud, l'équivalent cybernétique d'un agent qui vérifie les passeports à la frontière. C'est là, après des mois de recherche, qu'il a découvert un grave problème.

Le produit, utilisé par des millions de personnes pour se connecter à leurs ordinateurs professionnels, contenait une faille qui pouvait permettre à des attaquants de se faire passer pour des employés légitimes et de fouiller dans les "joyaux de la couronne" des victimes - secrets de sécurité nationale, propriété intellectuelle de l'entreprise, courriels personnels embarrassants - sans déclencher d'alarmes.

Pour Harris, qui avait auparavant travaillé pendant près de sept ans pour le ministère de la défense, il s'agissait d'un cauchemar en matière de sécurité. Toute personne utilisant le logiciel était exposée, qu'elle ait recours à Microsoft ou à un autre fournisseur de services en ligne tel qu'Amazon. Mais Harris était surtout préoccupé par le gouvernement fédéral et les implications de sa découverte pour la sécurité nationale. Il a signalé le problème à ses collègues.

Ils ont vu les choses différemment, a déclaré Harris. Le gouvernement fédéral s'apprêtait à investir massivement dans l'informatique dématérialisée, et Microsoft voulait décrocher le marché. Reconnaître l'existence de cette faille de sécurité pourrait compromettre les chances de l'entreprise, se souvient Harris, qui a entendu un chef de produit lui dire que les conséquences financières étaient énormes. Microsoft risquait non seulement de perdre un contrat de plusieurs milliards de dollars, mais aussi de perdre la course pour dominer le marché de l'informatique dématérialisée.

Harris a déclaré qu'il avait supplié l'entreprise pendant plusieurs années de corriger la faille dans le produit, comme l'a révélé une enquête de ProPublica. Mais à chaque fois, Microsoft a ignoré ses avertissements, lui disant qu'elle travaillerait sur une solution de remplacement à long terme - laissant les services d'informatique sur le cloud du monde entier vulnérables aux attaques dans l'intervalle.

Harris était persuadé que quelqu'un trouverait le moyen d'exploiter cette faiblesse. Il avait trouvé une solution temporaire, mais celle-ci exigeait que les clients désactivent l'une des fonctions les plus pratiques et les plus populaires de Microsoft : la possibilité d'accéder à presque tous les programmes utilisés au travail à l'aide d'une seule connexion.

Il s'est empressé d'alerter certains des clients les plus sensibles de l'entreprise au sujet de la menace et a personnellement supervisé la correction pour le département de la police de New York. Frustré par l'inaction de Microsoft, il a quitté l'entreprise en août 2020.

Andrew Harris a montré son badge d'employé de Microsoft sur sa page LinkedIn lorsqu'il a annoncé son départ de l'entreprise en 2020

Des craintes confirmées

Quelques mois plus tard, ses craintes sont devenues réalité. Les autorités américaines ont confirmé les informations selon lesquelles une équipe de pirates informatiques russes parrainée par l'État avait mené SolarWinds, l'une des plus grandes cyberattaques de l'histoire des États-Unis. Ils ont utilisé la faille identifiée par Harris pour aspirer des données sensibles provenant d'un certain nombre d'agences fédérales, dont, selon ProPublica, la National Nuclear Security Administration, qui gère le stock d'armes nucléaires des États-Unis, et les National Institutes of Health, qui, à l'époque, menaient des recherches sur le COVID-19 et distribuaient des vaccins. Les Russes ont également utilisé cette faiblesse pour compromettre des dizaines de comptes de courrier électronique du département du Trésor, y compris ceux de ses plus hauts fonctionnaires. Un fonctionnaire fédéral a décrit cette intrusion comme « une campagne d'espionnage conçue pour la collecte de renseignements à long terme ».

Le récit de Harris, étayé par des entretiens avec d'anciens collègues et associés, ainsi que par des messages publiés sur les réseaux sociaux, bouleverse l'idée que le public se fait généralement du piratage de SolarWinds.

Dès que le piratage a fait surface, Microsoft a insisté sur le fait qu'elle n'avait rien à se reprocher. Le président de Microsoft, Brad Smith, a assuré au Congrès en 2021 « qu'aucune vulnérabilité d'un produit ou d'un service Microsoft n'avait été exploitée » dans SolarWinds.

Il a également déclaré que les clients auraient pu faire davantage pour se protéger.

Selon Harris, ils n'en ont jamais eu l'occasion. « Les décisions ne sont pas basées sur ce qui est le mieux pour les clients de Microsoft, mais sur ce qui est le mieux pour Microsoft », a déclaré Harris, qui travaille aujourd'hui pour CrowdStrike, une société de cybersécurité concurrente de Microsoft.

ProPublica, qui a publié son échange avec Harris, assure que Microsoft a refusé de lui accorder des entretiens avec Smith et d'autres hauts fonctionnaires, mais n'a pas contesté les conclusions de ProPublica. Au lieu de cela, l'entreprise a publié une déclaration en réponse à des questions écrites. « La protection des clients est toujours notre priorité absolue », a déclaré un porte-parole. « Notre équipe de réponse à la sécurité prend tous les problèmes de sécurité au sérieux et fait preuve de diligence raisonnable dans chaque cas en procédant à une évaluation manuelle approfondie, ainsi qu'à des confirmations croisées avec des partenaires en ingénierie et en sécurité. Notre évaluation de ce problème a fait l'objet de plusieurs examens et a été alignée sur le consensus de l'industrie ».

Une enquête qui intervient alors que le Pentagone cherche à étendre son utilisation des produits Microsoft

D'ailleurs, cette démarche qui a attiré l'attention des législateurs fédéraux à la suite d'une série de cyberattaques contre le gouvernement.

Smith doit témoigner jeudi devant la commission de la sécurité intérieure de la Chambre des représentants, qui examine le rôle de Microsoft dans une intrusion perpétrée l'année dernière par des pirates informatiques liés au gouvernement chinois. Les pirates ont exploité les failles de sécurité de Microsoft pour accéder aux courriels de hauts fonctionnaires américains. En enquêtant sur l'attaque, le comité fédéral d'examen de la cybersécurité a constaté que la « culture de sécurité de Microsoft était inadéquate et nécessitait une refonte ».

Pour sa part, Microsoft a déclaré que le travail avait déjà commencé et que la priorité absolue de l'entreprise était la sécurité « avant tout ». Une partie de l'effort consiste à adopter les recommandations du conseil d'administration. « Si vous devez choisir entre la sécurité et une autre priorité, votre réponse est claire : privilégiez la sécurité », a déclaré le PDG de l'entreprise, Satya Nadella, à ses employés à la suite du rapport du conseil d'administration, qui a identifié une « culture d'entreprise qui privait de priorité à la fois les investissements dans la sécurité de l'entreprise et la gestion rigoureuse des risques ».

L'enquête de ProPublica apporte de nouveaux détails et un contexte essentiel sur cette culture, offrant un regard troublant sur la façon dont le plus grand fournisseur de logiciels au monde gère la sécurité de ses propres produits omniprésents. Elle permet également de comprendre à quel point la recherche de profits peut influencer ces décisions en matière de sécurité, en particulier lorsque les géants de la technologie s'efforcent de dominer les frontières les plus récentes et les plus lucratives, y compris le marché de l'informatique dématérialisée (cloud).

Sources : Microsoft (1, 2), Maison Blanche, sénateur de la Commission des finances, ProPublica, témoignage de Microsoft devant le Congrès

Et vous ?

Quel est le rôle des entreprises technologiques dans la protection contre les cybermenaces étatiques ?
Dans quelle mesure les utilisateurs peuvent-ils faire confiance aux services cloud, sachant que des vulnérabilités peuvent ne pas être corrigées ?
Comment la législation actuelle pourrait-elle être améliorée pour mieux protéger les citoyens contre les failles de sécurité non divulguées ?
Quelles conséquences devraient subir les entreprises qui choisissent de ne pas corriger les vulnérabilités connues pour des raisons financières ?
Est-il éthique pour une entreprise de sacrifier la sécurité pour des avantages concurrentiels ?
Quel impact cette révélation pourrait-elle avoir sur la relation entre les entreprises technologiques et les gouvernements ?
Les lanceurs d’alerte comme Andrew Harris devraient-ils être protégés ou récompensés pour avoir mis en lumière de telles pratiques ?
Quelles mesures les consommateurs peuvent-ils prendre pour s’assurer que leurs données sont sécurisées ?
Comment les récentes cyberattaques influencent-elles votre perception de la sécurité des données dans le cloud ?
Quelle responsabilité les individus ont-ils dans la sécurisation de leurs propres données ?

[marsupial]

Dans l'attente d'une confirmation de ce lanceur d'alerte, il y aurait parjure et haute trahison de la part de Microsoft et on ne peut littéralement rien y faire tant que les clients n'exigeront pas une meilleure qualité du produit.
Tout ce que je sais sur les différents fournisseurs de cloud seul google est sécurisé. Microsoft Azure, AWS, Apple Cloud, Oracle cloud, IBM cloud tombent tous de l'ordre de quelques millisecondes. Et sans faire de bruit en étant discret. Un véritable scandale la sécurisation des clouds. Sauf Google qui a été sécurisé en partenariat avec Thales. Cela a pris 3 ans. Mais bon c'est du red teaming sauvage tant que j'avais le temps et rien à y gagner à part des coups de fouet.
Et au passage, parmi les états qui disposent de la bombe, seule la France tient le choc : nous nous servons à volonté dans l'arsenal de dissuasion tactique et stratégique russe chinois américain pakistanais indien coréen du nord israélien britannique. Je ne ferais pas ici la liste de ceux qui peuvent se servir mais je ne suis pas tout seul à pouvoir le faire. Je serai eux, avant de penser à déclencher une guerre je me pencherai sérieusement sur la sécurité de leurs armes nucléaires. Nous n'avons fait que désarmer et essentiellement les américains jusqu'ici mais si on insiste, l'holocauste n'est pas loin et très simple à déclencher. Et personne n'y pourra rien. Cela permettra aux pays pauvres de vivre sereinement sans être pris dans un conflit qui ne fait que regarder les russes les chinois et les américains. Et si ce n'est moi qui déclenche l'holocauste ce sera mon frère.

[kain_tn]

Quel est le rôle des entreprises technologiques dans la protection contre les cybermenaces étatiques ?

Leur rôle est de se faire plein d'argent. Ce sont des entreprises privées, pas du service public. Et les gens à la tête des états sont juste des hypocrites qui font semblant de ne pas le savoir, alors qu'eux même oscillent entre ces grandes entreprises et le public, au cours de leur carrière.

Dans quelle mesure les utilisateurs peuvent-ils faire confiance aux services cloud, sachant que des vulnérabilités peuvent ne pas être corrigées ?

La plupart des utilisateurs sont des pigeons. Je suis le premier navré par ce constat, mais sinon, le cloud n'aurait pas autant de succès.
Attention hein, les technologies sous-jacentes au cloud sont quand-même impressionnantes, mais les GAFAM se foutent complètement de la sécurité de leurs clients.

Comment la législation actuelle pourrait-elle être améliorée pour mieux protéger les citoyens contre les failles de sécurité non divulguées ?

Aucune chance que ça arrive. Les lois sont faites pour aider les riches et les puissants, pas pour protéger la plèbe.

Quelles conséquences devraient subir les entreprises qui choisissent de ne pas corriger les vulnérabilités connues pour des raisons financières ?

Aucune. Il faudrait simplement faire fermer les clients, avec par exemple des retraits de licences pour des banques ou des assurances. Là, ça bougerait très très vite.

Est-il éthique pour une entreprise de sacrifier la sécurité pour des avantages concurrentiels ?

Non. Ce n'est jamais éthique, mais dans un monde libéral, sans aucune conséquences, c'est cohérent.

Quel impact cette révélation pourrait-elle avoir sur la relation entre les entreprises technologiques et les gouvernements ?

Aucune. Si c'est suffisamment médiatisé, le gouvernement US fera semblant de taper du poing sur la table, et si ça fait vraiment trop de foin au point de menacer la santé 'un mastodonte de l'économie US, comme avec Boeing, on retrouvera le lanceur d'alerte suicidé quelque part, et on dira qu'en fait il était dépressif.

Les lanceurs d’alerte comme Andrew Harris devraient-ils être protégés ou récompensés pour avoir mis en lumière de telles pratiques ?

Évidemment.

Quelles mesures les consommateurs peuvent-ils prendre pour s’assurer que leurs données sont sécurisées ?

C'est quasiment mission impossible: on nous pousse des voitures connectées, des app mobile dans tous les sens, de la sauvegarde automatique dans les clouds des GAFAM. Bref...

Comment les récentes cyberattaques influencent-elles votre perception de la sécurité des données dans le cloud ?

Ça ne fait que me conforter dans mon opinion. Kubernetes permet de faire des choses incroyables, à condition de gérer ça sur son infra, et pas sur celle des autres.

On a vu les pertes de données de Google Drive, Solar Winds chez Microsoft, les attaques sur les EDR dont celui de Microsoft (les présentations de la Black Hat Asia sur le sujet étaient hillarantes), les vols de données récurrents (le dernier que j'ai en tête est celui chez Snowflake). Et pourtant, on a des gens qui ne travaillent pas chez ces entreprises et qui défendront corps et âme le fait d'utiliser leurs clouds...

Quelle responsabilité les individus ont-ils dans la sécurisation de leurs propres données ?

En temps normal, je dirais que les individus sont responsables, et ils le sont sans doute par complaisance ou par paresse, mais d'un autre côté, les grosses entreprises font tout pour devenir indispensables et se gavent de données.

[walfrat]

Dans l'attente d'une confirmation de ce lanceur d'alerte, il y aurait parjure et haute trahison de la part de Microsoft et on ne peut littéralement rien y faire tant que les clients n'exigeront pas une meilleure qualité du produit.
Tout ce que je sais sur les différents fournisseurs de cloud seul google est sécurisé. Microsoft Azure, AWS, Apple Cloud, Oracle cloud, IBM cloud tombent tous de l'ordre de quelques millisecondes. Et sans faire de bruit en étant discret. Un véritable scandale la sécurisation des clouds. Sauf Google qui a été sécurisé en partenariat avec Thales. Cela a pris 3 ans. Mais bon c'est du red teaming sauvage tant que j'avais le temps et rien à y gagner à part des coups de fouet.

Le but d'une entreprise c'est de faire de l'argent, la sécurité, c'est de la gestion de risque qui est financé selon divers travaux d'estimation (oui, ce qui sort de ces travaux peut ne pas vous plaire ou considérer que les risques lié à la sécurité sont sous évalués) et politique prisent par les entreprises, car la sécurité absolue n'existera jamais.

Non je ne suis pas contre pour plus de sécurité, mais il y'a un moment, faut aussi regarder la réalité en face. Les entreprises n'ont jamais été des organisations généreuses, ce sont des machines a remplir un besoin, le vendre, (ou en créer un) et à optimiser ses coûts. de façon plus ou moins agressive/humaine

[marsupial]

Le but d'une entreprise c'est de faire de l'argent, la sécurité, c'est de la gestion de risque qui est financé selon divers travaux d'estimation (oui, ce qui sort de ces travaux peut ne pas vous plaire ou considérer que les risques lié à la sécurité sont sous évalués) et politique prisent par les entreprises, car la sécurité absolue n'existera jamais.

Non je ne suis pas contre pour plus de sécurité, mais il y'a un moment, faut aussi regarder la réalité en face. Les entreprises n'ont jamais été des organisations généreuses, ce sont des machines a remplir un besoin, le vendre, (ou en créer un) et à optimiser ses coûts. de façon plus ou moins agressive/humaine

Bien sûr. Mais comment les entreprises du monde entier peuvent faire du fric si leur SI est troué à la solde des services de renseignement américain ? C'est bien naïf. Et comment les états comptent garder leur secret diplomatique et de la négociation des lois contre l'ingérence et le lobbying ? Et les pays sont tous sujets à corruption. Surtout les pays sous influence américaine ou russe ou chinoise.

Un exemple récent, simple à comprendre et garantie première main : Thales a lancé une recherche très secrète sur le quantique avec l'INRIA et le financement de l'état français. Non seulement ils se sont tout fait gauler par les américains mais les chinois ont tout gauler aux américains.
Où est le profit dans l'histoire ? Thales a quand même réussi à vendre pour 3 milliards de calcul quantique. Mais le marché américain ? Et chinois ? On en fait quoi exactement ?

Autre exemple. Il y a 7 ans j'ai eu un entretien avec serge dassault et Patrice Caine pour connecter le rafale à de l'intelligence artificielle. Thales a développé une puce spécialisée dans les instructions d'IA. et rendu moins gourmande l'IA dont ils disposaient. Résultat leur recherche et développement se retrouvent chez intel et Microsoft pour un gros bide sur le marché du PC. Technologies confidentielles défense soit dit en passant, mais autorisé à la vente aux civils par la DGA. Et là vous allez voir que l'IA générative c'est vraiment de la merde sans l'IA de Thales.

Moralité : utiliser des PC sans trous. Sinon il n'y a plus qu'à mettre la clé sous la porte et arrêter d'entreprendre.