Comment peut-on critiquer les actions de ses ennemis lorsque l'on démontre que l'on tout aussi mauvais que lui ? Ça ressemble juste à une banale rivalité enfantine... Et dans ces cas là, tout le monde fini toujours trempé
Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
Discussion :
Comment peut-on critiquer les actions de ses ennemis lorsque l'on démontre que l'on tout aussi mauvais que lui ? Ça ressemble juste à une banale rivalité enfantine... Et dans ces cas là, tout le monde fini toujours trempé
Les USA disposent de 18 agences de renseignement disposant d'un effectif supérieur à 100'000 collaborateurs avec un budget annuel supérieur à 55 milliards de dollar. A cela s'ajoute des milliers d'entreprises privées sous contrat avec le gouvernement américain portant l'effectif des services de renseignement américains à plus de 400'000 personnes...
Et donc, on veut nous faire croire que c'est seulement dans quelques semaines que les USA ayant perdu patience vont finir par organiser une action cybernétique "agressive"... C'est une farce?
Ce n'est pas bien intelligent, comme réaction. Comme quoi, Trump ou pas Trump, ils sont dirigés par une bande de gros c...Envoyé par Nancy Rey
Quel est votre avis sur le sujet ?
S'ils ne veulent pas se faire hacker, peut-être qu'ils devraient forcer leurs agences à renforcer les logiciel produits par leur industrie au lieu de passer leur temps à affaiblir le tout (attaques sur le chiffrement, introduction de backdoors, chasse au zero days non divulguées, etc).
Idem pour leurs prestataires: ils n'ont qu'à les auditer proprement, plutôt que de laisser des boîtes comme SolarWinds Inc travailler pour eux. C'est facile de venir faire sa pleureuse après et dire qu'en face ils sont méchants.
Après, c'est peut-être un effet d'annonce pour essayer de regagner un peu d'image après la raclée monumentale qui leur a été infligée par les auteurs de cette attaque.
On dirait que les USA essaient de récréer une ambiance de guerre froide, l'administration Biden essaie de faire croire que la Chine et la Russie sont des menaces pour les USA. Alors qu'en réalité ce sont plutôt les USA qui représentent une menace pour le monde. ^^
Les pirates n'ont laissé aucune preuve de leur intrusion. Si ça se trouve le piratage de SolarWinds n'a rien à voir avec le gouvernement chinois ni le gouvernement russe.
Aucun pays n'espionne plus que les USA.
Cette histoire de guerre numérique, ça me rappelle des propos d'Hillary Clinton.
Clinton Calls for Act of War Classification for Cyberattacks
Clinton vows to retaliate against foreign hackers
Dire que c'était a Trump qui reprochait de vouloir créer une guerre mondiale.
Le déclenchement d'une cyberguerre est très mauvais pour toutes les parties concernées au niveau mondial.
Pas forcément: c'est très mauvais pour nous, pas pour certains.
Avant, il fallait dire qu'un pays fabriquait des armes de destruction massive pourle piller/mettre sous sanctionsse défendre. Maintenant il suffira de dire que l'on a reçu des cyberattaques!
Les guerres sont bénéfiques pour ceux qui prêtent l'argent et ceux qui vendent les armes.
Pour les peuples c'est mauvais, mais il y a certaines entreprises qui vont bien s'en tirer.
Ouais maintenant ils peuvent créer le prétexte qui justifiera une guerre. Il n'y a même plus besoin de faire une attaque sous faux drapeau et accusé l'ennemi. On peut l'accuser à partir de rien.
Hillary Clinton était prête à envoyer l'armée en réponse à une cyberattaque.
Clinton: US should use 'military response' to fight cyberattacks from Russia and China
Ça rappelle un peu ça :
Barack Obama établit une «ligne rouge» en Syrie
Ils auraient pu refaire le coup de Colin Powell avec sa fiole.Si les stocks d'armes chimiques étaient déplacés ou utilisés, Washington envisagerait une intervention militaire.
Bonsoir,
USA = méchant et Russie/Chine = gentilQuel est votre avis sur le sujet ?. Trêve de plaisanterie, l'UE pourrait pas faire un pied de nez aux USA et travailler plus avec les Russes ... On a plus a gagner avec la Russise que les USA ...
Donc, limiter les capacités des population à se faire vacciner, ce n'est pas cibler les civils !Les États-Unis ne cibleront pas les structures ou les réseaux civils, mais le piratage est plutôt conçu comme un défi direct à Vladimir Poutine
[...]
ils prévoyaient que ces cyberattaques prendraient la forme d'une « campagne d'information à grande échelle » visant à discréditer le vaccin russe à coronavirus.
Des psychopathes ! Et ce sont les gendarmes du monde !
l'hôpital qui se fout de la charité
Les c*** ça ose tout... Ils inventent des prétextes non pour se défendre mais pour continuer à nuire. C'est exactement l'impression que tout ce délire paranoïdo- schizophrène me donne. Et puis quoi penser de qui a obligé ses partenaires à ménager des backdoors, à piper les pare-feux, les infras du monde entier? ça finit toujours par se retourner contre soi, ce genre de filouterie...
game
Les EU semblent abandonner leur vision géostratégique globale pour une approche de terrain: Guam d'abord considérée lors de la guerre du Pacifique, comme secondaire, n'opposa aucune résistance à l'invasion japonaise et la reconquête fût l'occasion d'exercer une stratégie de troupiers menés magistralement grâce aux renseignements, sans pression excessives.
Cette position isolée mais sensible, symbolique, représente bien les contraintes politique de mener parfois des guerres perdues d'avance, non pas dans le but de les gagner mais de les jouer: le "game" anglosaxon (la chasse pour les latins qui se pare du décor de la nature chez les romains).
Les responsables du DHS piratés dans l'attaque Solarwinds
Dans une news de l'Associated Press du 29 mars 2021, nous apprenons que la messagerie de Chad Wolf, chef sous Trump du Department of Homeland Security (DHS), a été accédée par les pirates de l'attaque Solarwinds. La cybersécurité des Etats-Unis a été conçue 10 ans auparavant et s'avère dépassée face à des attaquants étatiques ou pas. Le pays s'est pourtant considérablement renforcé depuis le 11 septembre 2001 avec un tribunal secret constitué de membres du Congrès et d'une loi, le Patriot Act, permettant aux services de renseignement de violer la Constitution des Etats-Unis en mettant sur écoute ses citoyens, ainsi que les peuples du monde entier révélé par Edward Snowden en 2013.
Là où le bât blesse vient de cette politique ultra-offensive qui chasse les failles sans les révéler aux éditeurs pour lutter contre le terrorisme d'après la Loi mais a eu de multiples utilisations bien moins valables comme l'espionnage du Pape ou des alliés occidentaux. Lors des révélations d'Edward Snowden, considéré comme un héros ou un traître suivant que l'on soit américain ou pas, de multiples voix se sont élevées contre cette espionnage de masse. De plus, les failles découvertes par les services de renseignement sont aussi utilisées par des pirates. Le meilleur exemple est Eternal Blue découverte sur un serveur de la NSA par les Shadow Brokers et qui a coûté des dizaines de milliards de dégâts à travers 2 attaques d'un ransomware et d'un wiper, Wanna Cry et NotPetya à la fin du printemps 2017.
Donc, cette politique de sécurité par l'offensive pouvant paraître appropriée pour la lutte contre le terrorisme, s'avère coûteuse (budget de la seule NSA : 70 milliards de dollars) et dangereuse. Dangereuse car elle n'est axée que sur l'offensive et pas la défensive comme le prône la France. D'où des défaillances comme ce piratage de Solarwinds découvert par Fire Eye 9 mois après son début présumé, et non par le DHS dont l'ADN est de protéger les Etats-Unis des cyberattaques. L'administration Biden a essayé de masquer la vérité par tous les moyens depuis son arrivée au pouvoir. Ce qui fait dire au Sénateur Mark Warner que les Etats-Unis sont dans l'inconnu.
Depuis, tous les smartphones des responsables ont migré vers la messagerie Signal chiffrée et sécurisée. Une première tranche de budget a également été dégagée d'un montant de 650 millions de dollars pour renforcer la sécurité des départements américains. Mais ce budget pourra-t-il résoudre la question des ressources humaines dans la cybersécurité ? De plus, les attaquants ont utilisé des services d'Amazon Web Services et Go Daddy pour se couvrir car toutes les communications hors Etats-Unis sont scannées par les services américains. Dans un premier temps, le 14 mars 2021, l'administration Biden s'orientait vers une nouvelle mise sur écoute de l'Internet US. Mais cette option n'a pas été retenue et un partenariat entre les techs américaines et le gouvernement a été décidé. Mais nombre de membres du Congrès déplore le manque d'un directeur de la cybersécurité nationale. Le Sénateur sans étiquette Angus King remarque que "nous sommes sur une guerre avec de multiples fronts avec personne en charge." Pourtant, la porte-parole de la Maison Blanche Emily Horne assure que la cybersécurité est une question prioritaire.
source : Associated Press
Le gouvernement américain contre-attaque le Kremlin pour la campagne de piratage contre SolarWinds
Le gouvernement américain contre-attaque le Kremlin pour la campagne de piratage contre SolarWinds,
Six entreprises russes sanctionnées pour avoir soutenu les piratages
Profitant d'une des faiblesses de la société de logiciels SolarWinds, des pirates informatiques ont pénétré dans les données des entreprises et institutions de son réseau de clients. Le problème qui a émergé des mises à jour du logiciel appelé Orion a touché les principales agences du gouvernement américain et des entreprises privées. Jeudi, les autorités américaines ont formellement accusé la Russie d'avoir soutenu l'un des pires piratages informatiques de l'histoire récente des États-Unis et ont imposé des sanctions destinées à punir cette action et d'autres actions récentes. Six entreprises russes ont été sanctionnées pour avoir soutenu les piratages – les autorités pensent qu’en privant le SVR du soutien de ces sociétés, elles réduiront leur capacité à mener certaines activités malveillantes.
Dans un avis conjoint, la National Security Agency, le FBI et la Cybersecurity and Information Security Agency ont déclaré que le service de renseignement extérieur russe, en abrégé SVR, a mené l'attaque de la chaîne d'approvisionnement contre les clients du logiciel de gestion de réseau édité par SolarWinds, basé à Austin, au Texas. Le groupe de renseignement et de sécurité, qui a enquêté sur la campagne massive de piratage informatique, avait déjà déclaré en janvier que les cybercriminels étaient « vraisemblablement d’origine russe » et que l'attaque était considérée comme un acte d'espionnage plutôt que de cyberguerre.
La campagne, qui a débuté des mois avant d’être découverte, a infecté le système de construction et de distribution des logiciels de SolarWinds et l'a utilisé pour envoyer des mises à jour détournées à environ 18 000 clients. Les pirates ont ensuite envoyé des charges utiles de suivi à une dizaine d'agences fédérales américaines et à une centaine d'organisations privées. Outre l'attaque de la chaîne d'approvisionnement de SolarWinds, les pirates ont également utilisé des mots de passe et d'autres techniques pour pénétrer dans les réseaux. Microsoft est l’une des sociétés privées de premier plan qui ont été touchées par l’opération malveillante et dont le code de ses produits a été volé et mis en vente par les cybercriminels.
Après la révélation de cette opération massive, le président de Microsoft, Brad Smith, l'a qualifiée d'« acte d'imprudence ». Lors d'un appel aux journalistes jeudi, le directeur de la cybersécurité de la NSA, Rob Joyce, a fait écho à l'évaluation selon laquelle l'opération a dépassé les normes établies en matière d'espionnage gouvernemental.
« Nous avons observé absolument de l'espionnage », a déclaré Joyce. « Mais ce qui est inquiétant, c'est qu'à partir de cette plateforme, de la large échelle de disponibilité de l'accès qu'ils ont obtenu, il y a la possibilité de faire d'autres choses, et c'est quelque chose que nous ne pouvons pas tolérer et c'est pourquoi le gouvernement américain impose des coûts et repousse ces activités ».
L'avis conjoint de jeudi indique que les pirates soutenus par le SVR sont à l'origine d'autres campagnes récentes visant les installations de recherche covid-19, à la fois en les infectant avec des logiciels malveillants connus sous les noms de WellMess et WellMail et en exploitant une vulnérabilité critique dans le logiciel Vmware. Dans une déclaration coordonnée en juillet dernier, la Grande-Bretagne, les États-Unis et le Canada ont attribué ces attaques au groupe APT29, également connu sous le nom de Cozy Bear, qui, selon eux, opérait presque certainement dans le cadre des services de renseignement russes. « Nous condamnons ces attaques ignobles contre ceux qui font un travail vital pour lutter contre la pandémie de coronavirus », avait déclaré le directeur des opérations du NCSC, Paul Chichester.
Les cinq vulnérabilités critiques, en incluant la faille VMware, sont les suivantes :
- CVE-2018-13379 Fortinet FortiGate VPN
- CVE-2019-9670 Synacor Zimbra Collaboration Suite
- CVE-2019-11510 Pulse Secure Pulse Connect Secure VPN
- CVE-2019-19781 Contrôleur et passerelle de livraison d'applications Citrix
- CVE-2020-4006 Accès à VMware Workspace ONE
Selon l'avis, les services de renseignement russes poursuivent leur campagne, notamment en ciblant les réseaux qui n'ont pas encore corrigé l'une de ces vulnérabilités critiques.
« L'atténuation de ces vulnérabilités est d'une importance capitale, car les réseaux américains et alliés sont constamment scannés, ciblés et exploités par des cyberacteurs parrainés par l'État russe », lit-on dans l'avis. La NSA, le CISA et le FBI encouragent vivement tous les acteurs de la cybersécurité à vérifier que leurs réseaux ne présentent pas d'indicateurs de compromission liés aux cinq vulnérabilités et aux techniques décrites dans l'avis, et à mettre en œuvre de toute urgence les mesures d'atténuation associées ».
Un représentant du fournisseur de VPN Pulse a noté que les correctifs pour CVE-2019-11510 ont été publiés en avril 2019. « Les clients qui ont suivi les instructions d'un avis de sécurité Pulse Secure publié à ce moment-là ont correctement protégé leurs systèmes et atténué la menace ». Au cours des dernières semaines, FortiNet a également souligné qu'il avait patché CVE-2018-13379 en mai 2019. Les fabricants des autres matériels et logiciels affectés ont également publié des correctifs.
Six entreprises russes sanctionnées pour avoir soutenu les activités de piratage du SVR
De hauts responsables américains de l’administration Trump, dont le secrétaire d'Etat Mike Pompeo, avaient précédemment suggéré que la campagne de piratage était menée par un groupe soutenu par la Russie. Tout comme les services de renseignement et de sécurité américains, la Maison-Blanche a déclaré jeudi dans un communiqué de presse que le SVR russe était responsable du piratage de SolarWinds qui a conduit à la compromission des principales agences fédérales et de centaines d'entreprises du secteur privé.
Le communiqué du Département du Trésor américain était accompagné de sanctions en représailles à ce qu'il a qualifié d'« activités agressives et nuisibles du gouvernement de la Fédération de Russie ». Les mesures comprennent des sanctions contre six entreprises basées en Russie qui, selon le Département, « ont soutenu les efforts des services de renseignement russes pour mener des cyberactivités malveillantes contre les États-Unis ».
Les six sociétés et instituts russes concernés par les nouvelles sanctions américaines sont : ERA Technopolis, Pasit, SVA, Neobit, AST et Positive Technologies.
« La raison pour laquelle elles ont été mentionnées est qu'elles font partie intégrante de l'opération que le SVR exécute et y participent », a déclaré Joyce à propos des six sociétés. « Nous espérons qu'en privant le SVR du soutien de ces sociétés, nous réduirons leur capacité à projeter certaines de ces activités malveillantes dans le monde et en particulier aux États-Unis ».
Alors que certains experts en sécurité nationale affirment que l'opération de piratage de SolarWinds pourrait être considérée comme une activité d'espionnage traditionnelle, ce qui n'est pas rare chez les pirates du gouvernement, le Département du Trésor a dit dans son communiqué que « la portée et l'ampleur de cette compromission, combinées à l'histoire de la Russie dans la réalisation de cyberopérations imprudentes et perturbatrices, en font une préoccupation de sécurité nationale ».
Cependant, les responsables du gouvernement russe ont fermement nié toute implication dans la campagne de piratages contre SolarWinds.
Le gouvernement russe « cultive et coopte des pirates informatiques criminels » pour cibler des organisations américaines, a poursuivi le Département du Trésor dans sa déclaration. Un groupe, connu sous le nom d'Evil Corp, a été sanctionné en 2019. La même année, les procureurs fédéraux ont inculpé le pivot d'Evil Corp, Maksim V. Yakubets, et ont affiché une prime de 5 millions de dollars pour toute information menant à son arrestation ou à sa condamnation.
La campagne SVR est toujours en cours et exploite actuellement les exploits mentionnés ci-dessus. Dans un tweet publié jeudi, des chercheurs ont déclaré qu'ils observent un balayage Internet destiné à identifier les serveurs qui n'ont pas encore corrigé la vulnérabilité de Fortinet, que l'entreprise a corrigée en 2019. Le balayage pour les autres vulnérabilités est également probablement en cours.
« Les vulnérabilités contenues dans le communiqué d'aujourd'hui font partie de la boîte à outils du SVR pour cibler les réseaux des secteurs publics et privés. Nous devons rendre le travail du SVR plus difficile en les éliminant », a déclaré Rob Joyce.
La NSA, la CISA et le FBI recommandent aux personnes qui gèrent des réseaux, en particulier ceux qui n'ont pas encore corrigé l'une des cinq vulnérabilités de se rapporter à la dernière alerte du CISA, qui fournit des détails techniques détaillés sur la campagne de piratage en cours et les moyens de détecter et d'atténuer les compromissions.
Sources : Communiqué de presse, Avis de cybersécurité, Alerte du CISA
Et vous ?
Voir aussi :
Les USA écoutent et piratent le monde entier notamment pour voler les secrets industriels et diplomatiques (allo Merkel ;-) ?). La belle affaire, les chancelleries occidentales en remercient leurs alliés américains et en demandent encore. Demandez à Snowden et Assange ce qu'ils en pensent. Ah ? on me dit que le dernier est au secret dans une prison de haute sécurité britannique ? (alors que toutes les charges contre lui ont été abandonnées ou les peines ont expiré ?).
Les Américains et les vassaux européens ont tellement acculé la Russie qu'au final, on semble en sortir plutôt perdants nous les Européens. On aurait pu avoir un allié, on avait un partenaire économique, et on se retrouve face à une puissance militaire qu'on rend hostile et qu'on pousse à s'allier à la Chine.
Tiens, le jour où la Chine mangera Taïwan, et obtiendra ainsi l'hégémonie mondiale sur quasi toute la chaîne de production de composants électroniques, on fera moins nos malins puisqu'il n'y en a plus en occident, notamment grâce aux entreprise françaises sans usines, puis sans R&D, puis finalement sans entreprises.
Peut être que si les Russes ne sont pas trop vaches, ils voudront bien nous faire un prix d'ami sur leurs processeurs russes
Oui, ça rappelle la Guerre Froide, où les pays européens servaient déjà de tampons entre les deux super-puissances... On est toujours les mêmes dindons de la farce, et on en redemande...Les USA écoutent et piratent le monde entier notamment pour voler les secrets industriels et diplomatiques (allo Merkel ;-) ?). La belle affaire, les chancelleries occidentales en remercient leurs alliés américains et en demandent encore. Demandez à Snowden et Assange ce qu'ils en pensent. Ah ? on me dit que le dernier est au secret dans une prison de haute sécurité britannique ? (alors que toutes les charges contre lui ont été abandonnées ou les peines ont expiré ?).
Les Américains et les vassaux européens ont tellement acculé la Russie qu'au final, on semble en sortir plutôt perdants nous les Européens. On aurait pu avoir un allié, on avait un partenaire économique, et on se retrouve face à une puissance militaire qu'on rend hostile et qu'on pousse à s'allier à la Chine.
Tiens, le jour où la Chine mangera Taïwan, et obtiendra ainsi l'hégémonie mondiale sur quasi toute la chaîne de production de composants électroniques, on fera moins nos malins puisqu'il n'y en a plus en occident, notamment grâce aux entreprise françaises sans usines, puis sans R&D, puis finalement sans entreprises.
Peut être que si les Russes ne sont pas trop vaches, ils voudront bien nous faire un prix d'ami sur leurs processeurs russes
Un tribunal autorise le FBI à pirater des ordinateurs afin de pouvoir éradiquer un piratage informatique
Un tribunal autorise le FBI à pirater des ordinateurs dans tous les États-Unis afin de pouvoir éradiquer un piratage informatique,
L'agence a supprimé une porte dérobée de centaines d'ordinateurs
Un tribunal de Houston a autorisé une opération du FBI visant à "copier et supprimer" les portes dérobées de centaines de serveurs de messagerie Microsoft Exchange aux États-Unis, quelques mois après que des pirates ont utilisé quatre vulnérabilités non découvertes auparavant pour attaquer des milliers de réseaux. Ces ordinateurs vulnérables exécutaient des versions sur site du logiciel Microsoft Exchange Server qui avaient été exploitées par des groupes de pirates informatiques en janvier et février 2021. Le ministère de la Justice a annoncé mardi dernier l'opération, qu'il a qualifiée de "réussie".
En mars, Microsoft a découvert un nouveau groupe de pirates informatiques parrainé par l'État chinois, connu sous le nom de Hafnium, qui ciblait des serveurs Exchange exécutés à partir de réseaux d'entreprise. Les quatre vulnérabilités, une fois enchaînées, permettaient aux pirates de s'introduire dans un serveur Exchange vulnérable et d'en voler le contenu. Au moins 30 000 organisations américaines ont été compromises pendant deux mois par une porte dérobée installée via ces quatre failles que Microsoft a corrigées dans Microsoft Exchange, a rapporté le journaliste spécialisé en cybersécurité Brian Krebs, en début mars.
Les victimes comprenaient un nombre important de petites entreprises, de villes et de gouvernements locaux, et les cyberespions se sont concentrés sur le vol du courrier électronique des organisations victimes. Microsoft a corrigé les vulnérabilités, mais les correctifs n'ont pas fermé les portes dérobées des serveurs qui avaient déjà été compromis. En quelques jours, d'autres groupes de pirates ont commencé à s'attaquer aux serveurs vulnérables présentant les mêmes failles pour déployer des ransomwares.
Le nombre de serveurs infectés par des Web shells illégaux placés sur les ordinateurs a diminué à mesure que les correctifs étaient appliqués par les propriétaires des systèmes infectés. Mais des centaines de serveurs Exchange sont restés vulnérables parce que les portes dérobées sont difficiles à trouver et à éliminer – d'autres propriétaires semblaient incapables de le faire (ou peut-être même inconscients de la présence de la porte dérobée) -, a déclaré le ministère de la Justice dans un communiqué la semaine dernière. Ce qui a nécessité une aide extérieure, et c'est là que le FBI doit intervenir.
« Cette opération a permis de supprimer les derniers Web shells d'un groupe de pirates qui auraient pu être utilisés pour maintenir et accroître un accès persistant et non autorisé aux réseaux américains », a indiqué le communiqué. « Le FBI a procédé à la suppression en envoyant une commande au serveur par le biais du Web shell, conçue pour que le serveur supprime uniquement le Web shell (identifié par son chemin de fichier unique) ».
Si Microsoft a peut-être été douloureusement lent dans sa réponse initiale, les clients de Microsoft Exchange Server ont également eu plus d'un mois pour corriger leurs propres serveurs après plusieurs alertes critiques. La société, qui avait initialement déclaré que les piratages consistaient en « attaques limitées et ciblées », a refusé en début mars de commenter l'ampleur du problème, mais a déclaré qu'il travaillait avec des agences gouvernementales et des sociétés de sécurité pour apporter de l'aide aux clients.
« La meilleure protection consiste à appliquer les mises à jour dès que possible sur tous les systèmes concernés », a déclaré le mois dernier un porte-parole de Microsoft dans une déclaration écrite. « Nous continuons à aider nos clients en leur fournissant des conseils supplémentaires en matière d'investigation et d'atténuation. Les clients touchés doivent contacter nos équipes d’assistance pour obtenir une aide et des ressources supplémentaires ». Des centaines d’ordinateurs sont pourtant restés compromis avant l’intervention autorisée du FBI.
Le ministère de la Justice a toutefois précisé que, bien que la campagne du FBI ait supprimé le Web Shell placé par le groupe de pirates informatiques, elle n'a pas activement corrigé la vulnérabilité sous-jacente exploitée par les pirates informatiques au départ ni supprimé les logiciels malveillants qu’ils pourraient avoir laissés derrière eux. Ce qui signifie que les ordinateurs affectés peuvent simplement être réinfectés à l'avenir si leurs propriétaires ne prennent pas de mesures pour les protéger.
Une mission de nettoyage de réseaux privés avec "succès" par le FBI
« La suppression des Web shells malveillants, autorisée par le tribunal aujourd'hui, démontre l'engagement du ministère à perturber les activités de piratage en utilisant tous nos outils juridiques, et pas seulement les poursuites judiciaires », a déclaré dans un communiqué le procureur général adjoint John C. Demers, de la division de la sécurité nationale du ministère de la Justice.
« Si l'on ajoute à cela les efforts déployés jusqu'à présent par le secteur privé et d'autres agences gouvernementales, notamment la publication d'outils de détection et de correctifs, nous montrons ensemble la force que le partenariat public-privé apporte à la cybersécurité de notre pays. Il ne fait aucun doute qu'il reste du travail à faire, mais il ne fait aucun doute non plus que le ministère s'engage à jouer son rôle intégral et nécessaire dans ces efforts ».
Le FBI a déclaré que sa mission était un succès et a même profité de l'occasion pour lancer un avertissement aux pirates informatiques potentiels. Tonya Ugoretz, directrice adjointe par intérim de la division Cyber du FBI, a déclaré :
« Notre action réussie doit servir à rappeler aux cyberacteurs malveillants que nous imposerons des risques et des conséquences pour les cyberintrusions qui menacent la sécurité nationale et la sécurité publique du peuple américain et de nos partenaires internationaux. Le FBI continuera d'utiliser tous les outils à sa disposition en tant que principale agence nationale d'application de la loi et de renseignement pour tenir les cyberacteurs malveillants responsables de leurs actions ».
En mars, des experts en cybersécurité ont déclaré que l'éradication des cybercriminels dans les réseaux va nécessiter un effort de nettoyage sans précédent et urgent à l'échelle nationale. Ils s'inquiétaient du fait que plus les victimes mettent de temps à enlever les portes dérobées, plus il est probable que les intrus poursuivent en installant des portes dérobées supplémentaires, et peut-être en élargissant l'attaque pour inclure d'autres parties de l'infrastructure réseau de la victime.
Le FBI affirme que des milliers de systèmes ont été corrigés par leurs propriétaires avant qu'il ne commence son opération de suppression de la porte dérobée de Hafnium à distance, et qu'il n'a fait que « supprimer les Web shells restants » qui auraient pu être utilisés « pour maintenir et accroître un accès persistant et non autorisé aux réseaux américains ».
On peut affirmer que le FBI rend service au monde entier en éliminant une menace de ce type, alors qu’une bonne partie des propriétaires des systèmes infectés traîne les pas pour appliquer les correctifs de Microsoft. On peut aussi se demander combien de clients de Microsoft – qui ne sont probablement pas encore au courant de l'implication du FBI – seront en colère, et combien seront reconnaissants que l’agence fédérale, et non un autre pirate, ait profité de la porte ouverte.
Toutefois, le ministère de la Justice dit qu'il « tente de fournir une notification » aux propriétaires qu'il a tenté d'aider, soit en leur envoyant un courriel à partir d'un compte de messagerie officiel du FBI, soit en envoyant un courriel à leur fournisseur d'accès à Internet. Quoi qu’il en soit, tout cela se fait avec la pleine approbation d'un tribunal du Texas, selon l’agence.
Le piratage bienveillant, également appelé piratage "white hat", est rare, notamment de la part d'acteurs étatiques, mais pas inédit. En 2016, une faiblesse généralisée des dispositifs de l'Internet des objets a conduit à la création d'un botnet appelé Mirai, qui a permis aux criminels de s'emparer de millions de dispositifs et de les diriger vers des sites Web et des services, les submergeant de trafic et les faisant tomber en panne.
Mais en 2017, on a découvert qu'un virus informatique appelé Hajime infectait les appareils par le biais de la même faiblesse, et fermait la porte derrière lui, empêchant les actions malveillantes de Mirai. Un message de l'auteur du virus disait qu'il était « juste un chapeau blanc, sécurisant certains systèmes ».
Il faut également noter que le mardi de la publication du communiqué de presse du Département de la Justice était le Patch Tuesday de Microsoft, et la mise à jour de sécurité d'avril 2021 de la société comprend de nouvelles mesures d'atténuation des vulnérabilités d'Exchange Server, selon le CISA.
« La mise à jour de sécurité d'avril 2021 de Microsoft atténue des vulnérabilités importantes affectant Exchange Server 2013, 2016 et 2019 sur site. Un attaquant pourrait exploiter ces vulnérabilités pour obtenir un accès et maintenir la persistance sur l'hôte cible. CISA recommande vivement aux organisations d'appliquer la mise à jour de sécurité de Microsoft d'avril 2021 pour atténuer ces vulnérabilités nouvellement divulguées. Remarque : les mises à jour de sécurité de Microsoft publiées en mars 2021 ne permettent pas de remédier à ces vulnérabilités », lit-on dans l’avis du CISA.
Sources : Communiqué de presse du DoJ, CISA
Et vous ?
Voir aussi :
Bonsoir,
Aux USA on ne se gène pas avec la vie privée ou le "secret industriel"Qu’en pensez-vous ?
Si le FBI ne l'avait pas fait. On se demande qui l'aurait fait ?! Cela aurait pu être une porte "ouverte" , pour d'autres piratages de masse.Quel est votre avis sur le fait que le FBI ait accédé aux réseaux privés pour mettre fin à l’intrusion de Hafnium ?
La KB5001330 ? Oui .Avez-vous appliqué les mises à jour avril 2021 de Microsoft, qui corrige d’autres vulnérabilités d’Exchange qui ne sont pas corrigées par les mises à jour précédentes ?
Le FBI aurait accédé à l’insu des entreprises pour supprimer les portes dérobées des serveurs Microsoft
Le FBI aurait accédé à l’insu des entreprises pour supprimer les portes dérobées des serveurs Microsoft Exchange,
l’acte soulève des questions sur l'orientation de la cybersécurité
La semaine dernière, le ministère américain de la Justice a révélé comment le FBI a procédé pour supprimer les portes dérobées qui utilisaient des versions vulnérables de Microsoft Exchange Server sur des centaines d'ordinateurs dans le monde. En effet, le FBI a utilisé des tactiques de piratage pour mettre à mal les pirates des serveurs Microsoft Exchange. L'opération autorisée par le tribunal du Texas permet de supprimer les portes dérobées des ordinateurs piratés. Si cette action a permis de sécuriser de nombreuses organisations, elle a également soulevé des questions sur l'orientation de la cybersécurité.
« Nous ne voulons pas d'un avenir où le FBI détermine qu'une personne peut être vulnérable, puis s'en sert comme prétexte pour obtenir un accès. N'oubliez pas que le FBI a à la fois une mission d'application de la loi et de renseignement. Ce serait comme si un agent de police pensait que votre porte n'est pas verrouillée et l'utilisait comme prétexte pour entrer », déclare David Brumley, professeur d'ingénierie électrique et informatique à l'université Carnegie Mellon.
Rappelons que le 6 mars, pas moins de 30 000 organisations américaines sont compromises par une porte dérobée installée via quatre failles dans Microsoft Exchange. Les victimes qui comprennent un nombre important de petites entreprises, de villes et de gouvernements locaux, ont été piratées par des cyberespions. Des centaines de milliers d'organisations sont touchées dans le monde entier avec des outils qui donnent aux attaquants un contrôle total et à distance sur leurs systèmes informatiques.
Les cybercriminels ont laissé derrière eux les portes dérobées, des outils d'accès et de persistance dans les systèmes compromis, auxquels on peut accéder sur Internet à partir de n'importe quel navigateur. Les portes dérobées donnent aux cybercriminels un accès administratif aux serveurs des victimes. Le centre de renseignement sur les menaces de Microsoft (MSTIC – Microsoft Threat Intelligence Center) a attribué le piratage à un groupe État-nation supposé lié à la Chine qu'il a nommé Hafnium. La société a déclaré que Hafnium avait tenté de voler des informations à des groupes tels que des chercheurs en maladies infectieuses, des cabinets d'avocats, etc.
Dans un billet de blog publié le 2 mars, Microsoft a indiqué avoir publié des mises à jour de sécurité d'urgence pour combler les quatre failles de sécurité dans les versions 2013 à 2019 d'Exchange Server que les pirates utilisaient activement pour siphonner les communications par courrier électronique des systèmes connectés à Internet et exécutant Exchange.
Cependant, le 5 mars, la Maison Blanche a fait savoir qu'elle n'est pas totalement certaine que la menace a été écartée et a mis en alerte toutes les organisations qui exploitent le service de Microsoft. « Il s'agit d'une vulnérabilité importante qui pourrait avoir des répercussions de grande envergure. C'est une menace active », a déclaré vendredi l'attachée de presse de la Maison Blanche Jen Psaki. « Tous ceux qui gèrent ces serveurs, gouvernement, secteur privé, université doivent agir maintenant pour les réparer ». Comme pour donner raison à la maison blanche, ce même 5 mars, le même groupe de cyberespionnage a considérablement intensifié les attaques sur tous les serveurs Exchange vulnérables et non patchés dans le monde.
Dans un avis conjoint publié en milieu de ce mois, la National Security Agency, le FBI et la Cybersecurity and Information Security Agency ont déclaré que le service de renseignement extérieur russe, en abrégé SVR, a mené l'attaque de la chaîne d'approvisionnement contre les clients du logiciel de gestion de réseau édité par SolarWinds, basé à Austin, au Texas. Le groupe de renseignement et de sécurité, qui a enquêté sur la campagne massive de piratage informatique, avait déjà déclaré en janvier que les cybercriminels étaient « vraisemblablement d’origine russe » et que l'attaque était considérée comme un acte d'espionnage plutôt que de cyberguerre.
Après la révélation de cette opération massive, le président de Microsoft, Brad Smith, l'a qualifiée d' « acte d'imprudence ». Lors d'un appel aux journalistes le 15 avril, le directeur de la cybersécurité de la NSA, Rob Joyce, a fait écho à l'évaluation selon laquelle l'opération a dépassé les normes établies en matière d'espionnage gouvernemental.
« Nous avons observé absolument de l'espionnage, a déclaré Joyce. Mais ce qui est inquiétant, c'est qu'à partir de cette plateforme, de la large échelle de disponibilité de l'accès qu'ils ont obtenu, il y a la possibilité de faire d'autres choses, et c'est quelque chose que nous ne pouvons pas tolérer et c'est pourquoi le gouvernement américain impose des coûts et repousse ces activités ».
Le19 avril, un tribunal de Houston a autorisé une opération du FBI visant à « copier et supprimer » les portes dérobées de centaines de serveurs de messagerie Microsoft Exchange aux États-Unis. « Cette opération a permis de supprimer les dernières portes dérobées d'un groupe de cybercriminels qui auraient pu être utilisés pour maintenir et accroître un accès persistant et non autorisé aux réseaux américains, a indiqué le communiqué. Le FBI a procédé à la suppression en envoyant une commande au serveur pour que le serveur supprime uniquement les portes dérobées ».
Le ministère de la Justice a toutefois précisé que, bien que la campagne du FBI ait supprimé les portes dérobées placées par les cybercriminels, elle n'a pas activement corrigé la vulnérabilité sous-jacente initialement exploitée par les cybercriminels ni supprimé les logiciels malveillants qu’ils pourraient avoir laissés derrière eux. Ce qui signifie que les ordinateurs affectés peuvent simplement être réinfectés à l'avenir si leurs propriétaires ne prennent pas de mesures pour les protéger.
« Cette opération est un exemple de l'engagement du FBI à combattre les cybermenaces grâce à nos partenariats durables entre le gouvernement fédéral et le secteur privé », a déclaré Tonya Ugoretz, directrice adjointe par intérim de la division cyber du FBI. « Le succès de notre action devrait servir à rappeler aux cybercriminels que nous imposerons des risques et des conséquences aux cyberintrusions qui menacent la sécurité nationale et la sécurité publique du peuple américain et de nos partenaires internationaux », a-t-elle ajouté.
Le FBI aurait accédé aux systèmes des entreprises à leur insu
Si cette action a permis de sécuriser de nombreuses organisations, elle a également soulevé des questions sur l'orientation de la cybersécurité. Certes, des mesures ont été prises en raison de la menace que les portes dérobées représentaient pour les organisations. Cependant, le FBI a indiqué qu'il tentait de notifier toutes les organisations qui ont fait l’objet d’intervention. Pour certains analystes, cela signifie que l'agence aurait accédé aux systèmes à leur insu. Même si l'intention était bonne (aider à protéger les entreprises en supprimant l'accès des cybercriminels), et autorisée par les tribunaux, il s'agirait d'une action qui peut être discutée juridiquement.
« L'effort du FBI revient à lui donner accès à des serveurs privés. Cela devrait suffire à faire comprendre que cette action n'est pas acceptable, déclare Brumley, qui est également cofondateur et PDG de ForAllSecure, une société de cybersécurité. Bien que je comprenne la bonne intention, cela crée un dangereux précédent où les forces de l'ordre reçoivent une large autorisation pour accéder aux serveurs privés. » Dans ce cas, l'accès aux réseaux a été jugé approprié par les tribunaux afin de supprimer les portes dérobées plantées par des cybercriminels et de protéger les organisations contre les cyberattaques.
« Nous ne voulons pas d'un avenir où le FBI détermine qu'une personne peut être vulnérable, puis s'en sert comme prétexte pour obtenir un accès. N'oubliez pas que le FBI a à la fois une mission d'application de la loi et de renseignement. Ce serait comme si un agent de police pensait que votre porte n'est pas verrouillée et l'utilisait comme prétexte pour entrer », ajoute-t-il.
Mais il y a aussi ceux qui pensent que l'action du FBI, qui a infiltré les réseaux et retiré les portes dérobées des serveurs Microsoft Exchange compromis, était la bonne chose à faire, en particulier lorsque les organisations mènent une cyber bataille contre des cybercriminels qui ont beaucoup plus de ressources qu'elles. « Je pense que cette implication du FBI est considérée comme très appréciée du secteur privé lorsqu'il s'agit de se protéger contre les attaques d'États-nations. À l'heure actuelle, c'est comme si le secteur privé luttait contre ces attaques d'États-nations avec une main attachée dans le dos, surtout lorsque nos adversaires ne se laissent pas faire », déclare Troy Gill, directeur de la société de sécurité Zix.
D'autres agences de sécurité aident les organisations à sécuriser leurs réseaux contre les vulnérabilités de Microsoft Exchange, mais pas en accédant au réseau sans que personne ne le sache au préalable. Par exemple, le Centre national de cybersécurité (NCSC) du Royaume-Uni a aidé à supprimer les logiciels malveillants d'Exchange sur plus de 2 300 machines Windows. Cette action a été menée en partenariat avec les organisations concernées et le NCSC n'est pas habilité à infiltrer les réseaux des entreprises privées pour corriger les vulnérabilités.
Le NCSC travaille également activement avec les organisations pour les aider à appliquer les mises à jour de sécurité nécessaires pour protéger le réseau contre les cyberattaques. Si le FBI a supprimé les portes dérobées, il n'a pas corrigé les vulnérabilités de type "zero-day" de Microsoft Exchange Server ni supprimé d'autres outils de piratage ou de logiciels malveillants qui auraient pu être placés sur les réseaux par les cybercriminels.
Cela signifie que tant qu'elles n'ont pas appliqué les correctifs ou examiné le réseau à la recherche d'activités potentiellement suspectes, les entreprises dont les portes dérobées ont été supprimées de leurs réseaux sont toujours vulnérables à de nouvelles attaques.
Et vous ?
Voir aussi :
Contribuez au club : corrections, suggestions, critiques, ... Contactez le service news et Rédigez des actualités
Éthiquement parlant, c'est quand même limite.
Je trouve l'approche du NCSC bien plus louable, surtout que d'après l'article, les failles ne sont pas corrigées suite à l'action du FBI, puisque sans patch, les serveurs peuvent être à nouveau compromis. Là on donne une fausse impression de sécurité.
Répondre avec citation
Partager