cybersecurité | VMF 214

Articles Tagués ‘cybersecurité’

Wannacry: un ransomware dérivé d’un logiciel de la NSA passe à l’attaque… massive

Publié: 13 Mai 2017 dans Informatique et IA, Non classé
Tags:bitcoin, cybersecurité, NSA, ransomware, shadowbrokers, wannacry, wcry

cry0

Vous avez peut-être suivi il y a quelques semaines la divulgation d’informations confidentielles de la NSA par le groupe TheShadowBrokers, dont l’objectif était de crier leur insatisfaction dans le contexte de la présidence de Donald Trump. Oh, pas pour protester contre les différents décrets, mais pour manifester leur colère… Le Donald aurait en effet « abandonné sa base », et les aurait déçus de ne pas en faire assez. Pour protester notamment contre l’éviction de Steve Bannon du Conseil de Sécurité, ou encore pour manifester contre l’attaque en Syrie en représailles à l’utilisation d’armes chimiques, ces petits génies ( !) ont décidé d’offrir au monde les nouveaux outils de surveillance de la NSA.

cry7

Pour ce faire, ils ont hacké des systèmes utilisés par Equation, un groupe lié à la cellule TAO de la NSA : TAO pour Tailored Access Operations. Un euphémisme pour un service dont le métier est d’infiltrer, de renseigner, de hacker, donc, les systèmes informatiques potentiellement utilisables contre les Etats-Unis (ce qui en soi, n’est pas un critère très limitatif).

Ce faisant, la boite de Pandore s’est non seulement ouverte, mais a allégrement déversé un flot de potentielles menaces ; en divulguant les techniques de prise de contrôle et de piratage utilisées par la NSA, ils ont ainsi pu gentiment expliquer à tous les gentils pirates en puissance comment faire pour hacker n’importe quelle machine. Bon, compte tenu de l’anglais des hackers de Shadow Brokers, plane l’ombre de certains pays. Un sujet d’actualité. Même si l’on pense que la motivation initiale du groupe était plutôt financière, la divulgation publique des outils de la NSA ayant été précédée d’enchères infructueuses.

Dernière conséquence en date : le « ver » WannaCry. Rappelons qu’un ver informatique (worm en anglais) est un programme autonome souvent nocif, capable de s’auto-reproduire en utilisant les mécanismes et protocoles réseau. En l’occurrence, il s’agit d’un « ransomware » dont le principe est simple : soit vous payez, soit vos fichiers sont cryptés et inutilisables à jamais.

Ce programme, baptisé WannaCry, ou Wanna, ou encore Wcry, aurait infecté environ 60 000 ordinateurs aujourd’hui. Bizarrement, c’est la Russie qui est la plus touchée, comme le montre le tableau ci-dessous.

cry1

Mais le souci, c’est que les principales machines infectées le sont dans de grandes organisations : des banques (BBVA, Santander), des hopitaux (l’hôpital anglais Victoria de Blackpool), des services de communication… Des sociétés comme FedeX ou les opérateurs espagnols Telefonica ou Vodafone Espana sont massivement touchées (plus de 85% des ordinateurs de Telefonica !). Tout comme (et c’est très inquiétant) Iberdrola, un fournisseur d’énergie espagnol. Et la liste n’est pas exhaustive.

cry6

Wcry ne fait pas uniquement que crypter : il utilise aussi une « arme informatique » nommée EternalBlue, développée par la NSA pour prendre le contrôle d’ordinateurs Windows à distance. Le ver Wcry se transmet ainsi de machine en machine, sans avoir besoin que l’utilisateur ouvre un mail ou un fichier.

Les auteurs du ver Wcry ont émis un ultimatum : Une rançon de 300 à 600 euros en équivalent bitcoins doit être payée pour chaque PC infecté avant le 15 mai (ou en dernier recours avant le 19 mai mais c’est plus cher). Faute de quoi, l’ordinateur restera inutilisable à jamais. Rappelons pour mémoire qu’au moment où vous lisez ces lignes, le bitcoin vaut environ 1540 EUR. Donc moins de 1 bitcoin par ordinateur, mais il faut multiplier par le nombre d’infections.

cry4

Ce qui est dommage, c’est que Microsoft avait émis un patch pour éliminer la vulnérabilité exploitée par Eternalblue en mars 2017, comme le montre le bulletin ci-dessous.

cry2

Tout ceci montre une certaine frénésie aujourd’hui autour des ransomwares, et les conséquences exponentielles d’une divulgation (et franchement, bravo à Equation, pour des guerriers du cyberespace, le fait de se faire voler des informations, c’est comme se faire dérober du plutonium quand on construit des armes nucléaires). Comme le montre la carte ci-dessous, l’effet est immédiatement international.

cry3

Cela montre également, s’il en était besoin, l’extrême vulnérabilité de certaines de nos infrastructures. Même si la France n’est pas touchée aujourd’hui, attention à tous nos réseaux et nos automates industriels de contrôle (les SCADA). Car la prise en otage d’une centrale nucléaire ou d’un réseau de transport d’électricité, ce n’est hélas plus aujourd’hui de l’ordre de la science-fiction.

Une visualisation du réseau anonyme TOR et de ses relais

Publié: 17 septembre 2015 dans Contre-terrorisme, Informatique et IA
Tags:cyberdefense, cybersecurité, onion router, OnionView, TOR

Alors que l’université d’été de la Défense a souligné l’importance du contrôle Cyber dans la défense et la sécurité, (et au passage a démontré qu’il est difficile d’assister à un tel évènement et de garder en même temps le rythme du blog – désolé pour cette parenthèse), voici OnionView, un portail web permettant de visualiser le développement du réseau TOR.

On rappelle que TOR est un réseau dont le nom est l’acronyme de « The Onion Router » ( !) car il repose sur le principe du « routage en oignon ». Conçue initialement par le Naval Research Laboratory en 1990, cette technologie permet de faire « rebondir » les échanges TCP au sein d’Internet afin de transmettre des flux de manière anonyme. On peut l’assimiler à un réseau superposé à Internet, dans lequel chaque client choisit un chemin aléatoire parmi des nœuds TOR. Chacun des nœuds n’a accès qu’à l’adresse IP du précédent et du suivant. De plus, chaque nœud repose sur une cryptographie hybride : il dispose d’une clef secrète qui lui est propre et ne connaît que son prédécesseur et son successeur au sein du chemin.

Je simplifie évidemment l’explication : si vous souhaitez comprendre le principe de TOR, vous pouvez aller consulter cette page.

En 2010, le réseau TOR comptait 2000 nœuds. Il en compte près de 6500 aujourd’hui. Le portail OnionView (dont vous comprenez maintenant le nom) a pour but de compter les nœuds et de suivre l’expansion du réseau. Pour mémoire, voici le « top 3 » des pays ayant le plus de « nœuds TOR » :

Allemagne : 1364
USA : 1328
France : 714

Le centre d’excellence de l’OTAN en cyberdéfense a néanmoins montré que l’anonymat procuré par TOR n’était pas garanti à 100% – mais que sa combinaison avec d’autres technologies (comme les VPN) pouvait améliorer significativement les performances d’un tel réseau. Se posent alors un certain nombre de questions légales et judiciaires, comme la responsabilité légale des opérateurs d’un nœud, ou la valeur juridique d’une collecte de preuves ayant transité par le réseau.

Dans le contexte de l’expansion des cyberterroristes liés à des organisations comme Daech (ou au « DarkWeb » comme SilkRoad – voir image ci-dessus), se pose néanmoins la question de la surveillance du réseau TOR, et de sa faisabilité technique et juridique. Autant de questions qui devraient intéresser la toute nouvelle réserve dédiée à la cyberdéfense. Il y a peu, le US Homeland Security Dept a essayé d’intimider une petite bibliothèque de Lebanon (New Hampshire) afin qu’elle ferme son hébergement d’un nœud TOR. Après une brève fermeture…elle a ouvert de nouveau l’accès au réseau.

Pour accéder à OnionView et visualiser l’expansion de TOR, suivez ce lien.

Est-ce un jeu ? La réalité ? Quelle est la différence ?

Publié: 9 Mai 2015 dans Informatique et IA
Tags:cybersecurité, DARPA, stormbound, verigames, xylem

Cette réplique extraite du film « Wargames » de John Badham pourrait fort bien s’appliquer au studio de jeux Verigames. Verigames comme « verification games ». Un studio de jeu subventionné par… la DARPA. Explication.

L’identification de failles de sécurité dans les logiciels est un enjeu majeur, qui nécessite de vérifier formellement des dizaines de millions de lignes de code pour chaque logiciel critique. La DARPA s’est donc posé la question de savoir comment recruter des milliers de volontaires pour l’aider. Et la solution est simple : transformer une tâche fastidieuse de cybersécurité en un jeu !

Au travers du programme Crowd Sourced Formal Verification (CSFV), la DARPA a donc financé un portail de jeu dont chaque titre contient des énigmes. Lorsque le joueur parvient à en résoudre une pour passer au niveau supérieur, il génère – sans le savoir – des annotations et des vérifications de preuves mathématiques pour prouver l’absence de failles dans des programmes C ou JAVA. Le portail est accessible ici.

Des titres comme Stormbound ou Xylem servent donc à identifier des parties de code potentiellement dangereuses ou vulnérables, et permettent aux analystes de la DARPA de se consacrer en priorité à ces menaces, plutôt que de devoir vérifier l’intégralité du code. Les jeux sont gratuits, mais réservés au plus de 18 ans non en raison de leur contenu, mais parce que les joueurs sont considérés comme « travailleurs volontaires ».

Une excellente innovation en cybersécurité, qui permet d’accélérer considérablement la vérification de logiciels open source ou sur étagères, susceptibles d’être utilisés dans des systèmes gouvernementaux (c’est en tout cas l’objet de la campagne). Et un modèle dont, encore une fois, la France pourrait s’inspirer compte tenu de ses atouts à la fois en mathématiques, en termes de créativité en jeu vidéo, et par le nombre de communautés qu’elle héberge dans le domaine des loisirs numériques.

Au Salon du Livre 2015, quelques ouvrages sur l’innovation technologique de défense

Publié: 24 mars 2015 dans Aéronautique, Informatique et IA, robotique
Tags:ceam, cyberdefense, cybersecurité, cybertactique, drones, robotique, salon du livre

La Défense nationale était présente lors de l’édition 2015 du Salon du Livre, et présentait quelques ouvrages dans les domaines qui nous intéressent ici. Ce ne sont pas tous des nouveautés, mais je profite de leur présence au Salon pour les signaler ici.

En premier lieu, sur le stand de l’Armée de l’Air, les drones sont les sujets de deux livres :

Les Drones Aériens, de Lionel Chauprade. Le pitch du livre : « En réalisant une photographie globale du monde des drones, secteur industriel en constante évolution, cet ouvrage établit un point de situation sur le sujet et tente en particulier de définir la plus-value réelle de ces machines, ainsi que leur complémentarité par rapport aux aéronefs habités. »

Une très riche iconographie, avec les caractéristiques et faits saillants concernant les drones aériens civiles et militaires, mais surtout un ouvrage dense et complet (historique, les drones comme systèmes de systèmes, les pays émergents, les drones civils etc…).

Un autre bel ouvrage sur le même sujet, plutôt orienté sur la photographie : Drones, l’aviation de demain ? par Michel Polacco aux éditions Privat.

Un livre plus grand public, mais remarquablement illustré, avec des images assez rares de drones en opérations.

L’armée de l’air était décidément en première ligne, avec plusieurs ouvrages sur les centres mythiques d’essais dont CEAM 1933-2013, Une histoire de l’armée de l’air par Louis Pena.

Ce livre raconte, à l’occasion de son 80^e anniversaire, l’histoire du centre d’expériences aériennes militaires. On y trouve les différentes expérimentations dont celles concernant les avions de chasse (Mirage F1, Mirage 2000, Rafale…), mais également celles des avions de transport et de liaisons, des drones ou encore des radars. Un beau livre, un peu cher mais très riche.

L’autre tendance du stand Défense, c’est la présence d’ouvrages sur la cyberdéfense. En particulier :

Attention : Cyber ! : Vers le combat cyber-électronique par le COL Aymeric Bonnemaison et le LCL Dossé : un ouvrage très complet (malgré une couverture dont l’esthétique peut être discutable) qui propose une description synthétique du combat cyber-électronique contemporain, avec une mise en perspective historique et prospective.

Sur le même sujet, le désormais classique Cybertactique : Conduire la Guerre Numerique, par Bertrand Boyer. Un ouvrage sorti en 2014, qui considère l’arme numérique, décrit les opérations de cybertactique, et souligne que l’action numérique s’inscrit dans la continuité de spécialités déjà existantes comme la guerre électronique.

Je n’ai pas (encore) lu l’intégralité de ces livres, mais cette édition du Salon du Livre montre, s’il en était encore besoin, la réalité des deux grandes tendances de l’innovation technologique de défense : la robotique autonome et les drones, et la cyberdéfense.

Cybersécurité (suite) – une carte en temps réel

Publié: 22 février 2015 dans Informatique et IA
Tags:carte, cyberdefense, cybersecurité, ipviking, norse

Pour faire suite à mon post sur la cybersécurité, je me suis souvenu qu’en visitant le Microsoft Innovation Center à Issy-les-Moulineaux, un mur d’images présentait une carte du monde des cyberattaques en temps réel. Après une rapide recherche, c’est la société NORSE, pour promouvoir son service IPViking, qui a mis en ligne cette carte. Pour être précis, il s’agit d’attaques contre un « pot de miel » (honeypot), donc un ensemble de serveurs préparés pour servir de leurres informatiques aux pirates. Mais c’est tout de même impressionnant.

Pour voir cette carte en temps réel, cliquez ici.

VMF 214 – le blog

Articles récents

Catégories

Abonnez-vous à ce blog par e-mail.

Suivez-moi sur Twitter

Étiquettes

La communauté EchoRadaR

Statistiques du blog

Liens