Sécurité : iOS ne fait pas mieux qu’Android, selon Microsoft
Brad Anderson, vice-président Enterprise Client & Mobility de Microsoft, vient de lancer un pavé dans la mare des OS mobiles.
En voulant faire le point sur la vulnérabilité Trident/Pegasus, Brad Anderson remet les pendules à l’heure concernant la sécurité d’iOS. Malgré le fait que l’écosystème iOS est plus fermement contrôlé par Apple que celui d’Android ne l’est par Google, il estime que les deux OS mobiles sont sujets aux mêmes risques en matière de vulnérabilités.
Et de rappeler que le couple Trident/Pegasus est le fruit de la startup NSO Group, qui l’a créé pour les besoins des gouvernements, dans le cadre de leurs actions d’écoute.« Le travail derrière le piratage d’entreprise, le vol en ligne, le cyberespionnage et le cyberterrorisme est une activité commerciale et non pas seulement le fruit d’acteurs underground », explique Brad Anderson. iOS, Android : même combat (perdu)
« Nous sommes tous sujets à des attaques constantes, et toutes les plateformes et applications ont des vulnérabilités. […] Il existe des menaces numériques qui se traduisent par des attaques réussies, en dépit des efforts déployés par les organisations chargées de construire ces plates-formes » ajoute-t-il, se référant ici à Android et iOS.
Bref un superbe exercice de communication réalisé par Microsoft. Brad Anderson ne cite ainsi pas une seule fois Apple ou Google dans son billet. Lorsqu’il se penche sur l’universalité de la menace, Windows Mobile n’est par ailleurs pas davantage nommé.
À lire aussi : Apple ouvre sa première classe de programmation iOS à Naples Le Nokia D1C sera une tablette Android 13,8 pouces Android 7.1 annoncé pour début décembre
Cyberguerre froide : les Etats-Unis étudient une cyberattaque contre la Russie
L’administration Obama étudierait une opération cyber visant la Russie, une mesure de rétorsion après ce que Washington interprète comme des piratages orchestrés par Moscou afin d’influencer la prochaine élection présidentielle américaine. Selon la chaîne NBC News, qui cite des sources anonymes issues de la communauté du renseignement américain, la CIA est chargée de proposer des options à la Maison Blanche sur une cyber-attaque susceptible d’embarrasser le Kremlin et, plus particulièrement, son locataire actuel, Vladimir Poutine.
Selon NBC, les opérations de préparation de cette opération ont déjà débuté, permettant d’identifier des cibles et des vulnérabilités. D’anciens officiers du renseignement assurent à la chaîne américaine que la CIA a déjà récupéré de nombreux documents prouvant les manœuvres de Vladimir Poutine. Et c’est in fine bien là que semble résider l’objectif de ces indiscrétions parues dans la presse. Comme le dit le vice-président Joe Biden, il s’agit avant tout « d’envoyer un message » à Poutine. De lui laisser entendre que si se poursuivent ce que Washington perçoit comme des tentatives de déstabilisation orchestrées par Moscou, des révélations sur les pratiques du Kremlin auront lieu. Celles-ci pourraient, par exemple, concerner les transferts de fonds supposément opérés par les proches de Vladimir Poutine hors de Russie…
Wikileaks instrumentalisé par Moscou ?
Récemment, Guccifer 2.0, un hacker qui se dit né en Europe de l’Est et qui a déjà orchestré le vol des données du DNC (Democratic National Committee), a affirmé avoir« piraté les serveurs de la Fondation Clinton et téléchargé des centaines de milliers de fichiers et de bases de données de donateurs ». La Fondation a nié la réalité de cette exfiltration de données. Mais Washington estime que ces actions, qui visent toutes le camp démocrate, sont orchestrées par le Kremlin, afin de déstabiliser Hillary Clinton au profit de Donald Trump, réputé plus proche de Vladimir Poutine.
Rappelons également que Wikileaks a récemment indiqué qu’il détenait un million de documents sensibles, des informations que son fondateur, Julian Assange, prévoit d’égrainer sur 10 semaines. Avec notamment des révélations relatives à l’élection américaine que Wikileaks prévoit de publier avant le vote des électeurs, le 8 novembre. Le 7 octobre, le site a ainsi mis en ligne des e-mails de John Podesta, qui préside la campagne d’Hillary Clinton. Washington estime là encore que la Russie serait une des sources de Wikileaks.
A lire aussi :
Élection US sous influence : Guccifer 2.0 publie d’autres documents sur Clinton
Donald Trump va-t-il gagner les élections grâce aux pirates russes ?
La Russie veut bannir les logiciels propriétaires de ses administrations
Verizon demande une ristourne de 1 Md$ pour racheter Yahoo
Les affaires touchant Yahoo ont – sans surprise – eu des effets néfastes sur la revente de l’activité Internet de la société àVerizon . Ce dernier demande une ristourne d’un milliard de dollars, ramenant ainsi l’acquisition à 3,8 milliards de dollars.
Rappelons que Yahoo vient d’avouer avoir été la cible d’un piratage massif des comptes de ses utilisateurs. 500 millions de personnes seraient concernées. Certaines sources indiquent toutefois que ce chiffre pourrait s’élever à plus d’un milliard de comptes Yahoo piratés.
Autre souci, l’espionnage des utilisateurs opéré pour le compte du gouvernement américain. De quoi faire fuir encore plus les internautes… et faire baisser la cote de la société.
Pas encore d’effet sur le cours de l’action
L’action de Yahoo, qui avait fortement grimpé suite à l’annonce de son acquisition partielle par Verizon, cède du terrain, mais reste au plus haut, avec une valeur à 43,30 dollars dans les échanges hors séance.
Toutefois, la journée pourrait être mouvementée sur le Nasdaq. Sauf si les investisseurs se rappellent que les 41,57 milliards de dollars de capitalisation boursière de Yahoo sont le fait essentiellement des actifs Alibaba détenus par la société et non de son activité Internet, aujourd’hui minoritaire et déclinante.
À lire aussi :
L’activité Internet de Yahoo rachetée par Verizon pour 4,8 Mds de $ Piratage de Yahoo : 1 milliard de personnes seraient concernées Piratage de Yahoo : après la stupeur, le procès
Crédit photo : © Verizon – Shutterstock
Shadow Brokers : la NSA coupable de silence et de négligence
L’enquête menée sur le vol d’outils de piratage, ainsi que des failles zero day de la NSA par le groupe Shadow Brokers montre que l’agence américaine était au courant depuis 3 ans de la perte de ces informations. Une négligence d’un des collaborateurs serait à l’origine de cette fuite, rapporte plusieurs sources à Reuters.
Pour rappel, le 15 août dernier, un groupe de hackers appelé Shadow Brokers a annoncé avoir piraté des systèmes informatiques utilisés par Equation, une organisation réputée proche de la NSA. A l’appui de ses affirmations, ce groupe jusqu’alors inconnu a posté deux archives sur des sites de partage. La première, en libre accès, renferme 300 Mo de données, où se mêlent des outils et des techniques pour infiltrer des systèmes.
Une erreur humaine et un silence de 3 ans
Bien évidemment une enquête a été diligentée et on commence à en savoir un peu plus. Selon les sources citées par l’agence de presse, les autorités américaines s’orientent vers le scénario de la négligence d’un des employés de la NSA qui a laissé un des outils d’infiltration sur le PC d’un pirate Russe. Ce dernier aurait trouvé le logiciel en question et ainsi avoir accès à d’autres méthodes de surveillance. La faute aurait été reconnue par le collaborateur qui n’est depuis plus en poste à la NSA.
Pire toujours selon les mêmes sources, la NSA aurait été au courant depuis plus de 3 ans de cette effraction par inadvertance. Mais elle a préféré se taire. Pourtant, les outils dérobés par le groupe Shadow Brokers contiennent des bombes en puissance, comme nous l’évoquions dans plusieurs papiers. Des sociétés comme Cisco, Fortinet ou Juniper ont toutes validé les failles zero day dans leurs produits. La question à laquelle devra répondre la NSA est pourquoi avoir gardé le silence sur ces failles pendant 3 ans ? Surtout que dans les orientations gouvernementales américaines, la NSA doit aider les entreprises à réparer les failles critiques.
Il est probable que, en gardant le secret, la NSA voulait certainement surveiller le trafic Internet pour savoir qui allait utiliser ces outils et vulnérabilités.
A lire aussi :
NoPen, un malware du groupe Equation pour les systèmes Unix
Une faille Shadow Brokers exploitée par des hackers : Cisco a-t-il bâclé le boulot ?
Crédit Photo : Imilian-Shutterstock
Menwith Hill : le porte-avion de la NSA au cœur de l’Europe
La plus grande base de la NSA à l’extérieur des Etats-Unis est située au milieu de la campagne anglaise, dans le Yorkshire, à quelques kilomètres de la petite ville de Harrogate, à moins de 350 kilomètres au nord de Londres. C’est cette station d’écoute – appelée Menwith Hill – que nos confrères de The Intercept détaillent aujourd’hui sur la base de documents secrets dévoilés par Edward Snowden. Y est notamment décrit le recyclage de cette base – autrefois vouée à l’espionnage des soviétiques, dans le cadre du réseau Echelon – en station d’écoute des communications électroniques sans fil, en particulier celles issues du Moyen-Orient et d’Afrique. Officiellement, les gouvernements américains et britanniques présentent Menwith Hill comme un relais radio et un centre de recherche sur les communications.
Un datacenter tout neuf
Au cours de la décennie passée, la NSA y a notamment implanté des outils de pointe permettant de localiser des personnes suspectes sur la base de leurs communications. Menwith Hill serait capable d’intercepter 300 millions d’e-mails et d’appels téléphoniques par jour.
Selon The Intercept, les investissements américains sur cette base se sont accentués à partir de 2008, sous la houlette de Keith Alexander (l’ex-directeur de la NSA). Objectif affiché par ce dernier, selon un des documents exploités par nos confrères : collecter toutes les données, tout le temps. Entre 2009 et 2012, la base a été dotée d’un nouveau centre d’opérations, dans lequel un datacenter (plus de 900 mètres carrés d’espace pour les racks) est chargé de stocker les données récoltées. Un investissement de 40 millions de dollars.
Ghosthunter : préparer les attaques de drones
La base sert en particulier à la préparation d’opérations militaires – notamment des attaques de drones -, en Irak, en Afghanistan mais aussi au Yémen, révèle The Intercept. Un programme appelé Ghosthunter, opérationnel depuis 2006, permet par exemple de localiser des cibles quand elles se connectent à Internet afin de préparer des opérations militaires (comprendre des assassinats ciblés dans la plupart des cas).
Menwith Hill, une zone militaire ultra-sécurisée et caractérisée par 30 dômes gigantesques protégeant les équipements qu’elle abrite des regards indiscrets, se concentre sur l’interception des communications sans fil. Selon les documents d’Edward Snowden, la base a deux objectifs principaux : l’écoute des faisceaux de communications que s’échangent les satellites non- américains (pour lesquels la NSA a recours à des antennes masqués par les fameux dômes) et l’utilisation des satellites américains pour espionner les communications au sol (sur réseaux mobiles et même WiFi). Ces deux programmes s’appellent respectivement Fornsat et Overhead.
En 2009 par exemple, 163 liens entre satellites non américains étaient ainsi discrètement placés sur écoute. Et, selon The Intercept, la base a peu à peu étendu son rayon d’action. Elle serait ainsi désormais en mesure, via des satellites, de cibler des communications en Chine ou en Amérique latine mais aussi d’offrir « une couverture continue de la majorité du continent européen »
Tempora + Menwith Hill
Rappelons que le GCHQ et la NSA collaborent également sur l’écoute des backbone d’Internet (via le programme Tempora), la Grande-Bretagne étant un pays charnière dans les communications par fibre optique entre l’Amérique du Nord d’un côté et l’Europe, l’Afrique ou le Moyen-Orient de l’autre. La base de Menwith Hill apparaît comme un complément de Tempora et permet en particulier à la NSA de cibler des zones où les communications par fibre optique restent l’exception, faute d’infrastructure. Les installations du Yorshire se sont donc révélées essentielles dans les programmes de lutte contre le terrorisme, dans l’Amérique post-11 septembre, quand les Etats- Unis ont tourné leurs grandes oreilles vers des pays comme l’Afghanistan, le Pakistan ou l’Irak.
Menwith Hill emploierait 2 200 personnes, en majorité américaines. Mais 600 employés seraient des Britanniques, dont certains issus du GCHQ, les services de renseignement spécialisés dans les communications électroniques de la Grande-Bretagne. Les détails des opérations menées depuis la base du Yorkshire sont embarrassants pour le gouvernement britannique, car elles prouvent sa complicité dans des opérations militaires menées dans des pays avec lesquels la Grande-Bretagne n’est pas en guerre.
A lire aussi :
Piratage de l’Elysée en 2012 : le coup venait bien de la NSA
Pour Snowden, c’est la Russie qui a piraté la NSA
Piratage de drones : la NSA et le GCHQ regardaient par l’œil d’Israël
Photos parMatt Crypto —Travail personnel, Domaine public, https://commons.wikimedia.org/w/index.php?curid=416450
Télégrammes : Windows 10 anti-Chrome ; l’Allemagne façon NSA ; Obama normalise la cybersécurité, Tablette 7 pouces Google
Windows 10 bloque Chrome. Un OS qui bloque les navigateurs. C’est la dernière trouvaille de Microsoft qui, dans sa dernière mise à jour Windows 10 Anniversary Update, n’a rien trouvé de mieux que de modifier l’outil de contrôle parental du système pour… bloquer purement et simplement les navigateurs tiers, à savoir Chrome, Firefox ou encore Opera. Dans sa FAQ, l’éditeur explique que « les navigateurs les plus couramment utilisés ne disposent pas de filtrage web. Pour garantir la sécurité de vos enfants, nous bloquons automatiquement ces navigateurs sur leurs appareils. Vous pouvez toujours autoriser votre enfant à utiliser d’autres navigateurs. » Autrement dit Edge ou Internet Explorer, les navigateurs maison (mieux) coordonnés avec les paramètres de Windows 10. Certes, l’initiative de Microsoft qui centralise les paramètres d’utilisation du Net pour chaque profil d’enfant vise à simplifier la vie des parents qui n’auront pas (trop) à se soucier de la navigation de leurs chérubins. Mais pousser le contrôle jusqu’à bloquer automatiquement un produit concurrent pourrait être vu comme un moyen de booster le navigateur maison. Et fait peu de cas de la capacité des parents à gérer les pratiques en ligne de leurs enfants. Microsoft précise néanmoins que la fonction est désactivable. Encore heureux. Collecte massive de données : en Allemagne aussi. Selon un rapport jusque-là confidentiel du commissaire à la protection des données en Allemagne, l’agence de renseignement d’outre Rhin, le BND, a eu copieusement recours à la collecte massive de données personnelles de tous types d’individus, y compris des « personnes irréprochables ». Le Commissaire répertorie pas moins de 18 violations sévères de la loi allemande et a rédigé 12 réclamations formelles à l’encontre de ces pratiques, démarche qui oblige l’administration à une réponse. Selon Netzpolitik, qui dévoile ce rapport, c’est habituellement le total annuel de réclamations déposées par le Commissaire à la protection des données, Andrea Voßhoff. Ce dernier écrit : « Contrairement à ses obligations légales, le BND a créé plusieurs bases de données sans les déclarer et les a utilisées (pendant des années). » Et de demander la destruction immédiate des 7 bases de données pirates. Le rapport d’Andrea Voßhoff est basé sur les conclusions d’une visite d’un seul centre de surveillance du BND, à Bad Aibling. Selon le magazine Zeit, au moins trois autres stations de collecte de données seraient exploitées par l’agence. Une des bases de données illégales du BND n’est autre que le célèbre Xkeyscore, un outil made in NSA collectant les actions des utilisateurs sur Internet. La présence de cette base à Bad Aibling prouve la proximité entre les deux services de renseignement et signifie que les Allemands transmettent les données qu’ils recueillent à leurs partenaires de Fort Meade. Obama plaide pour une normalisation de la cybersécurité. A l’occasion d’une discussion avec le président Russe, Vladimir Poutine, Barack Obama a expliqué que « par le passé, nous avons eu des problèmes avec des intrusions provenant de Russie », mais le but aujourd’hui est de ne pas reproduire « un processus d’escalade » qui a mené jadis à une course à l’armement. Toujours selon le président américain, « la situation actuelle ne doit pas devenir une jungle (Wild West) où les pays disposant d’une capacité cyber importante se livre une concurrence malsaine à travers ces armes ». Il milite donc pour une normalisation de la cybersécurité, « les nations ont déjà assez de soucis à contrer les cyberattaques d’acteurs non étatiques pour qu’elles se piratent entre elles ». Les Etats-Unis ont déjà signé un pacte avec la Chine sur ce point du cyberespionnage. Nonobstant, cela n’a pas empêché nos alliés de pirater les comptes de l’Elysée en 2012 comme l’a confirmé Bernard Barbier, ex directeur technique de la DGSE.
Une tablette 7 pouces pour Google. Selon Evan Blass, journaliste hardware souvent bien renseigné, Google se serait associé à Huawei pour relancer une tablette sous Android 7.0 (Nougat). Dotée d’un écran de 7 pouces, elle comprendrait 4 Go e Ram. Pas plus de détails techniques ne sont donnés sur la future tablette. Le journaliste précise que la firme de Mountain View abandonnerait la marque Nexus au profit de Pixel. Google doit présenter le 4 octobre deux smartphones, le Pixel et le Pixel L. En tout cas pour la tablette, il faudra attendre la fin de l’année pour avoir confirmation.
Piratage de l’Elysée en 2012 : le coup venait bien de la NSA
Dans une conférence donnée à l’école Centrale de Paris, repérée parLe Monde, Bernard Barbier, l’ancien directeur technique de la DGSE, a confirmé que Paris était bien persuadé de la responsabilité des Etats-Unis dans le piratage de l’Elysée, en mai 2012. Entre les deux tours de l’élection présidentielle, des ordinateurs des collaborateurs du chef de l’Etat Nicolas Sarkozy avaient été écoutés.
Selon l’ex-directeur technique des services de renseignement extérieurs de la France, l’analyse de cette attaque, à laquelle il a participé à la demande du RSSI de l’Elysée, un ancien de la DGSE, a révélé la présence d’un malware dont la signature était déjà présente sur une attaque contre la Commission européenne en 2010. «Mon équipe de reverse engineering avait à l’époque compris comment ce malware très compliqué fonctionnait. On avait conclu que seuls les Américains ou les Russes avaient pu fabriquer ce malware », a expliqué Bernard Barbier, dans cette conférence tenue en juin dernier. Le mécanisme de l’infection est complexe : une connexion à Facebook depuis l’Elysée entraîne la fabrication de faux paquets IP. Cette technique sera ensuite décrite dans les documents exfiltrés par Edward Snowden sous le nom de « Quantum attack ». La méthode est jugée comme « révolutionnaire » et «redoutable » par Bernard Barbier.
« On est allé les engueuler »
Après l’attaque de l’Elysée, grâce aux métadonnées que conserve la DGSE, les services de Bernard Barbier retracent une partie de la vie de cette souche infectieuse. « J’en suis venu à la conclusion que cela ne pouvait être que les Etats-Unis », ajoute-t-il.
« On a reçu l’ordre de tout nettoyer et d’aller voir mes amis américains pour les engueuler», ajoute l’ex- directeur technique de la DGSE. « Les Américains se doutaient qu’on venait les voir à ce sujet, raison pour laquelle ils ont écrit une note pour préparer cette réunion (note qui a ensuite fuité dans Le Monde après avoir été dérobée par Edward Snowden, NDLR). Après la réunion, Alexander (le patron de la NSA à l’époque) n’était pas content. Dans le bus, il m’a expliqué que la NSA pensait que jamais on ne détecterait l’attaque. » Babar était bien français
Lors de cette même conférence (disponible sur YouTube), Bernard Barbier a également confirmé l’origine française d’un malware appelé Babar, mis en évidence dans une note dévoilée par Edward Snowden. Dans cette dernière, publiée par Le Monde en 2013, on apprend que les services secrets canadiens ont isolé un malware et qu’ils suspectent Paris. « Les Canadiens ont fait du reverse engineering sur ce malware et ils ont vu que le programmeur avait mis des commentaires dans lesquels apparaissait le mot Babar. Et ce programmeur a signé Titi ! Ils se sont dit que ça, c’était un Français. Et, effectivement, c’était un Français. »
Rappelons que, fin 2013, après sept années à la direction technique de la DGSE, Bernard Barbier a rejoint Sogeti en tant que conseiller pour la cybersécurité et la cyberdéfense.
Mise à jour le 6/09 à 9h30 : le premier lien YouTube étant inopérant (la vidéo a été supprimée par l’utilisateur), nous vous indiquons un second lien permettant de visionner la conférence de Bernard Barbier.
A lire aussi :
Projet Sauron : anatomie d’une plateforme de cyberespionnage avancée
Pour Snowden, c’est la Russie qui a piraté la NSA
Espionnage de Hollande, Sarkozy, Chirac : la NSA dit merci à Gemalto ?
Donald Trump va-t-il gagner les élections grâce aux pirates russes ?
Les Russes vont-ils faire capoter la prochaine élection présidentielle américaine du 8 novembre prochain ? La question se pose alors que le FBI a alerté les responsables électoraux que des pirates étrangers avaient infiltré le système informatique d’un État pour en exporter la base de données des électeurs. Le SI d’un second État a probablement également été infiltré, mais aucune information ne permet de confirmer que des données en ont été dérobées. SelonYahoo News, il s’agirait des États de l’Illinois et de l’Arizona respectivement.
Dans le cas de l’Illinois, le système d’inscription a dû être fermé une dizaine de jours en juillet. Environ 200 000 fiches d’électeurs ont été volées. L’attaque du réseau de l’Arizona s’est traduite par l’introduction de malwares dans le système d’inscription des électeurs, mais aucune exfiltration de données n’aurait été constatée. Pour le FBI, les auteurs de l’intrusion pourraient être originaires de Russie. Les enquêteurs s’appuient notamment sur l’origine des 8 adresses IP utilisées pour mener les attaques, dont une commune aux deux agressions. Par ailleurs, l’une d’elles est apparue dans des forums russes du darkweb. Enfin, les méthodes utilisées pour pénétrer les systèmes, dont les outils employés pour scanner les vulnérabilités exploitables, sont similaires à d’autres attaques majeures attribuées aux Russes, dont celle, début août, de l’agence mondiale antidopage (AMA).
Machines de vote électronique
Il faut savoir que les États-Unis recourent massivement aux machines électroniques pour traiter les votes des électeurs. 40 États utilisent des systèmes optiques qui, à la manière d’un fax, scannent et enregistrent le choix que les électeurs expriment sur une feuille de papier. Le résultat du vote est rendu après traitement informatique dédié. Lequel peut donc être piraté pour fausser le résultat final. Néanmoins, en cas de doute, il est toujours possible de recompter manuellement les bulletins papier. Mais six États et certains bureaux de quatre autres utilisent un système de vote directement sur écran (Direct-Recording Electronic). Les résultats qui en sortent sont donc impossibles à comparer avec une source matérielle afin d’en vérifier l’intégrité. Autant de données potentiellement piratables qui pourraient faire pencher la balance dans un sens comme dans l’autre. Pour éviter de tels risques, le FBI suggère aujourd’hui de débrancher les machines de vote du réseau Internet pour la durée de l’élection (ce qui serait efficace uniquement si l’intégrité des machines est garantie). Et invite l’ensemble des États à vérifier si leur SI lié aux inscriptions des électeurs n’a pas été compromis. A noter également que de plus en plus d’expatriés et de militaires stationnés en dehors du territoire américain peuvent voter en ligne. Avec, là encore, le risque que le résultat final ne corresponde pas à leur vote initial.
Mais quel intérêt des hackers russes auraient-ils à pirater le système de vote américain ? Le sénateur du Nevada, le démocrate Harry Reid, soupçonne le Kremlin de vouloir manipuler le résultat de la prochaine présidentielle. Il rapporte que, selon des responsables du renseignement américain, l’objectif de Vladimir Poutine est de falsifier le résultat des élections. Ou, au moins, de remettre en cause la confiance que les électeurs américains accordent à leur système de vote, pilier des valeurs démocratiques. A moins que ce ne soit pour privilégier un candidat.
Les liens de Trump avec des dirigeants russes
Sur la base des informations recueillies auprès du FBI, Harry Reid est convaincu que les Russes ont les moyens de truquer le résultat des prochaines élections. Et a demandé l’ouverture d’une enquête approfondie, alors que certains des anciens et actuels conseillers de Donald J. Trump sont liés à des dirigeants russes. Il cite notamment Carter Page, consultant et investisseur dans le fournisseur d’énergie Gazprom, et conseiller de Trump. Ce dernier a notamment critiqué la politique de sanctions des Américains à l’encontre de la Russie.
L’hypothèse d’une action souterraine de la Russie trouve aussi son origine dans un autre événement qui a touché la pré-campagne électorale américaine. Deux agences du renseignement russe, le FSB et le GRU, sont soupçonnées d’avoir piraté le réseau du Parti démocrate. Quelque 20 000 e-mails de correspondance entre les hauts responsables du parti ont notamment atterri chez Wikileaks. Officiellement l’œuvre du pirate Guccifer 2.0. Mais les Américains soupçonnent ce dernier de travailler pour le renseignement russe. La publication des courriels avait notamment révélé que le comité des Démocrates avait dénigré la campagne de Bernie Sanders, concurrent malheureux d’Hillary Clinton lors des primaires. Si l’affaire a fait grand bruit, elle n’a pas suffi à remettre en cause la candidature d’Hillary Clinton à la présidentielle.
Lire également
Pour Snowden, c’est la Russie qui a piraté la NSA Les e-mails d’Obama espionnés par des hackers russes L’attaque de TV5 Monde, un coup des Russes ?
Photo credit: bjmccray via Visualhunt.com / CC BY-NC-ND
Trois failles zero day d’iOS servaient à espionner des dissidents
La mésaventure qui vient d’arriver à Apple, obligé de déployer en urgence un correctif pour son OS mobile iOS, ne manquera pas d’alimenter le débat sur l’utilisation des vulnérabilités logicielles par les gouvernements. Et sur le bien-fondé de l’activité de très discrètes petites sociétés spécialisées dans la vente de failles zero day. Avec sa version 9.3.5 d’iOS, la firme de Cupertino vient en effet combler 3 vulnérabilités sévères exploitées probablement depuis des années pour dérober des informations sur les terminaux de la marque.
Selon les chercheurs en sécurité de Lookout, société spécialisée dans la sécurité des terminaux mobiles, et du Citizen Lab, une émanation de l’université de Toronto (Canada), ces failles étaient exploitées conjointement par un logiciel espion. Cette menace, que les chercheurs ont appelée Pegasus, aurait été développé par NSO Group, société basée en Israël et passée, en 2014, sous le contrôle de Francisco Partners Management, un fonds d’investissement américain, pour 120 millions de dollars. L’enquête des chercheurs a pu déterminer que Pegasus a été utilisé pour espionner un dissident aux Emirats Arabes Unis, Ahmed Mansoor. Au-delà de ce cas particulier, le spyware pourrait avoir été utilisé par d’autres gouvernements ou entreprises afin d’espionner des dissidents, des journalistes, des concurrents, des partenaires… Le kit d’attaque est vendu environ 8 millions de dollars pour 300 licences. Cher mais pas hors de portée d’un Etat ou d’une grande entreprise. NSO : un discret et lucratif business
En novembre dernier, un article de Reuters se penchait sur l’activité de la très secrète société NSO, spécialisée dans l’assistance technique aux gouvernements pour l’espionnage de terminaux mobiles. Une société qui a plusieurs fois changé de nom et que Francisco Partners espérait revendre pas moins d’un milliard de dollars. Selon Reuters, la société israélienne, fondée en 2010 par Omri Lavie et Shalev Hulio, afficherait 75 M$ de bénéfices opérationnels par an.
L’analyse du code semble faire remonter Pegasus à 2013, l’année de la sortie d’iOS 7 ; le malware renfermant des réglages adaptés à cette version de l’OS de Cupertino. « Pegasus est l’attaque la plus sophistiquée ciblant un terminal que nous ayons jamais rencontrée parce qu’elle exploite la façon dont les terminaux mobiles s’intègrent dans nos vies et tire parti de la combinaison de fonctionnalités présente uniquement sur les mobiles : connexion permanente (WiFi, 3G/4G), communications vocales, caméra, e-mail, messages, GPS, mots de passe et liste de contacts », écrivent les chercheurs de Lookout et de l’université de Toronto. Modulaire et exploitant le chiffrement pour éviter d’être repéré, Pegasus déroule une séquence d’attaque classique : envoi d’un message texte, ouverture d’un navigateur, chargement d’une page contrefaite (la Croix Rouge, le service de visa britannique, des médias, des sites d’entreprises IT…), exploitation des trois vulnérabilités et installation de codes permettant une surveillance de la cible (avec récupération de données tous azimuts, y compris des données de localisation, l’activation du micro ou de la caméra à distance, selon la documentation de NSO Group !).
Ahmed Mansoor : cible à répétition
C’est la prudence d’Ahmed Mansoor qui a permis la mise au jour de Pegasus : le 10 août, le dissident reçoit un message sur son iPhone accompagné d’un lien lui promettant d’en savoir plus sur les tortures dans les prisons de son pays. Plutôt que de cliquer, Mansoor fait suivre ce message à un chercheur du Citizen Lab, un laboratoire travaillant sur les sujets à la croisée des droits de l’homme et de la cybersécurité. Selon ce labo, c’est la troisième fois qu’Ahmed Mansoor est la cible d’un spyware (après d’autres attaques menées avec des outils conçus par le Britannique Gamma Group en 2011 et par l’Italien Hacking Team en 2012).
Selon les chercheurs du Citizen Lab et de Lookout, Pegasus serait « hautement configurable » afin de s’adapter aux spécificités de chaque cible et à l’épaisseur du porte-feuille des ‘clients’ de NSO. « En fonction du pays concerné et des fonctions achetées par les utilisateurs, les capacités du spyware peuvent inclure les messages, les appels, les e-mails, les logs et d’autres données issues d’apps comme Gmail, Skype, WhatApp, Viber, FaceTime, Calendar, Line, Mail.ru, WeChat, Tango et d’autres », écrivent les chercheurs, qui précise que le malware semble en mesure de résister à une montée de version de l’OS (sauf évidemment celle vers iOS 9.3.5) et se montre capable de se mettre à jour pour remplacer des parties de code devenues inopérantes. Selon les premières recherches du Citizen Lab, Pegasus a aussi servi à espionner un journaliste mexicain, travaillant sur la corruption dans son pays, et une personne non identifiée au Kenya. iOS hyper-sécurisé ? Voire
Au passage, la sécurité légendaire des iPhone est passablement égratignée. Les trois failles, baptisées Trident par les chercheurs de Lookout et du Citizen Lab, montrent que le système d’Apple n’est pas hors de portée des hackers de haut vol. L’installation de Pegasus repose sur l’exploitation d’une vulnérabilité de Safari (corruption de mémoire avec CVE-2016-4655) et de deux failles du noyau d’iOS (CVE-2016-4656 & CVE-2016-4657), détaillent Lookout dans un rapport (PDF).
Ra ppelons que l’image de l’OS des iPhone et iPad avait bénéficié de la bataille qui avait opposé Apple au FBI concernant une demande de déblocage d’un smartphone frappé de la pomme ayant appartenu à un des auteurs de la tuerie de San Bernardino, aux Etats-Unis. Idem avec le bug bounty lancé l’année dernière par la société Zerodium, un autre de ces prestataires vendant des failles zero day au plus offrant, qui offrait alors un million de dollars pour un code d’exploitation permettant de prendre le contrôle total d’un iPhone. Rappelons que, de son côté, Apple valancer son propre programme de chasse aux bugs, mais n’offrira au maximum que 200 000 $ de récompense. Vu les tarifs pratiqués par NSO Group et autres sociétés vendeuses de zero day, pas sûr que ce maigre pactole suffise…
A lire aussi :
Vente de zero days : une petite entreprise qui ne connaît pas la crise
Projet Sauron : anatomie d’une plateforme de cyberespionnage avancée Télégrammes : Arrestation dans l’affaire Sage, Locky reprend le chemin de l’hôpital, Nokia et BT ensemble sur la 5G, Wikileaks truffé de malwares
Fuite chez Sage : un employé arrêté à Heathrow. Nos confrères de révèlent qu’une employée de Sage, âgée de 32 ans, a été arrêtée le 17 août à l’aéroport d’Heathrow (Londres). Quelques jours plus tôt, l’éditeur britannique avait reconnu un « accès non autorisé » à des données confidentielles de 280 entreprises britanniques clientes de ses solutions. On suppose qu’y figuraient notamment des informations bancaires sur les salariés de ces organisations ainsi que leur niveau de rémunération. L’accès non autorisé à ces informations aurait été effectué par quelqu’un utilisant un login interne. Le ransomware Locky reprend sa tournée des hôpitaux. Une alerte de FireEye avertit les utilisateurs d’une recrudescence du ransomware Locky, qui a faitde nombreuses victimes en France au printemps dernier. L’éditeur américain relève que de nouvelles campagnes de diffusion du ransomware sont apparues, exploitant des macros logées dans des fichiers de Microsoft Office envoyés en pièces jointes. Les pirates ciblent avant tout le secteur de la santé. Rappelons que Locky s’était déjà fait connaître via l’infection de plusieurs hôpitaux américains, dont celle très médiatisée du Hollywood Presbyterian Medical Center. Un établissement qui a versé 17 000 dollars aux pirates pour se débarrasser du malware. Les Etats-Unis, la Corée du Sud et le Japon sont les pays les plus touchés par cette nouvelle vague ; la France semblant pour l’heure relativement épargnée. « Ces dernières campagnes constituent un rappel pour les utilisateurs, qui doivent se montrer prudents quand ils ouvrent des pièces jointes à des e-mails car ils prennent alors le risque d’être infectés et même de perturber les opérations de leur entreprise », écrit FireEye. Nokia et BT font route vers la 5G. L’opérateur britannique BT et l’équipementier télécom Nokia ont signé un accord de co-développement commun dans la 5G. L’objet du partenariat vise à créer des prototypes (proof of concept) de solutions technologiques 5G applicables sur un réseau commercial (rappelons que BT, opérateur fixe par essence, exploite le réseau mobile d’EE après son rachat auprès d’Orange et Deutsche Telekom en 2014). Les deux partenaires vont travailler sur les technologies d’ondes millimétriques (autour des 30 GHz), la convergence fixe-mobile ainsi que des services commerciaux comme l’ultra haut débit, les services critiques et l’Internet des objets (IoT). Cet accord s’inscrit dans le prolongement de la collaboration des deux entreprises sur la mise au point d’équipement 5G radio au laboratoire de BT à Adstral Park (Suffolk). Un système radio qui s’appuie sur l’offre AirScale de Nokia, présentée en février dernier à Barcelone. Wikileaks truffé de malwares. Selon le chercheur en sécurité Vesselin Bontchev, qui a notamment créé le National Laboratory of Computer Virology en Bulgarie, pas moins de 234 instances de malwares se promèneraient parmi les e-mails mis en cache sur Wikileaks, la plate-forme de l’organisation créée par Julian Assange et ouverte aux lanceurs d’alertes. Lesquels ne sont visiblement pas les seuls à se servir de ce site qui entend dénoncer scandales politiques, corruptions et autres violations des droits de l’Homme. Les cybercriminels y déposent aussi des e-mails infectieux en espérant probablement profiter de la notoriété du site pour propager leurs malwares. Et encore ne s’agit-il là que d’une analyse partielle. « La liste est loin d’être exhaustive ; je commence tout juste l’analyse », prévient le chercheur qui a publié de premiers résultats. Un chercheur qui affirme n’avoir « aucun doute » sur la présence effective de malwares sur la plate-forme. A moins d’être assez stupide ou étourdi pour ouvrir la pièce jointe de ces courriels, un utilisateur de Wikileaks a toutefois peu de chance d’être infecté. Mais la présence des virus tend à démontrer que Wikileaks ne dispose pas de filtre contre les e-mails malveillants alors que les souches virales mises en évidence par Vesselin Bontchev sont largement détectées par VirusTotal, le service d’analyse des fichiers et URL suspects.
Télégrammes : Brexit blues, Malware intrusif au Vietnam, La France dans le Top 10 du DDoS, Google condamné en Russie
Le Brexit pèse sur le moral de l’IT britannique. Le vote en faveur du Brexit, le 23 juin dernier, a touché au moral les patrons britanniques du secteur des technologies. Selon une étude du syndicat professionnel TechUK, l’équivalent sur place du Syntec Numérique, seule une entreprise sur 5 se dit très confiante sur ses perspectives à deux ans. Soit une baisse de 52 % par rapport au précédent sondage, 5 mois plus tôt. Environ 50 % des dirigeants interrogés pensent que le Brexit aura un impact négatif sur les investissements étrangers en Grande-Bretagne, sur l’investissement en capital dans la high-tech et sur les dépenses en R&D. Malgré tout, 70 % des patrons anglais de l’IT se disent encore optimistes quant aux perspectives de leurs entreprises dans les 24 mois qui viennent. Ils étaient 93 % dans ce cas en mars dernier. Le Vietnam ciblé par un malware. Selon l’entreprise de sécurité vietnamienne Bkav, le malware qui a ciblé récemment la compagnie aérienne nationale Vietnam Airlines ainsi que les systèmes des deux principaux aéroports du pays se dissimule également sur les systèmes de diverses institutions vietnamiennes : agences gouvernementales, entreprises, banques, instituts de recherche et universités. Pour infecter ses victimes, il prend la forme d’un antivirus. Ce malware récupère des mots de passe et permet la prise de contrôle à distance des machines infectées. Le 29 dernier, via cette souche infectieuse, les hackers ont récupéré les données de 400 000 clients membres du programme de fidélité de Vietnam Airlines et ont pris le contrôle des écrans et haut-parleurs de deux aéroports majeurs du pays (Hanoi et Ho Chi Minh-Ville), pour diffuser des messages hostiles au régime communiste local et aux Philippines. Ces pirates se présentent comme faisant partie du groupe chinois 1937CN. Rappelons que le Vietnam et les Philippines vivent une période de tension avec la Chine en raison de différends territoriaux en mer de Chine. La France dans le Top 10 des attaques DDoS. Alors qu’elle ne concentre que 0,5 % des assauts, la France est entrée dans le Top 10 des pays les plus touchés par les attaques DDoS au deuxième trimestre 2016, met en lumière un rapport de Kaspersky. Elle se classe en 8e position dans un palmarès qui compte 70 pays. Paradoxalement, le taux d’agression dans l’Hexagone a baissé puisqu’il s’élevait à 0,8% le trimestre précédent. Dans tous les cas, la France reste loin derrière les 77,4% d’offensives par déni de services distribués subies par la Chine, les 8% que connaît la Corée du Sud ou les 6,7% des Etats-Unis. Le rapport nous apprend également que l’attaque DDoS la plus longue a duré 291 heures (plus de 12 jours) et que plus de 70% d’entre elles provenaient de botnets Linux. Un taux qui a doublé au cours du deuxième trimestre. Google condamné en Russie. Google a été reconnu coupable d’abus de position dominante en Russie. Son concurrent local Yandex avait porté plainte en octobre dernier accusant l’entreprise américaine de privilégier l’installation de ses propres services (Search essentiellement) sur les smartphones Android. Et surtout, d’empêcher les constructeurs d’installer les moteurs de recherche concurrents, dont Yandex, sur la plate- forme mobile. Le régulateur russe FAS a condamné Alphabet (maison mère de Google) à une amende de 438 millions de roubles (environ 6 millions d’euros), soit une part du chiffre d’affaires 2014 de Google Russie comprise entre 1 et 15 %, rapporte Bloomberg. FAS demande également à Google de changer ses accords avec les constructeurs pour leur laisser installer les moteurs alternatifs au sien. La firme de Mountain View a fait appel de la décision.
Biométrie : les internautes français restent méfiants
Selon une étude menée par YouGov pour le compte de GMX/Caramail,55 % des internautes français préfèrent l’utilisation d’un mot de passe aux solutions d’identification biométriques. Seuls 9 % d’entre eux considèrent que ces dernières sont correctement sécurisées.
« L’étude démontre que les méthodes d’identification biométriques sont encore loin de devenir incontournables sur le marché français. Pourtant, si l’on veut assurer aux consommateurs une meilleure sécurité sur Internet, il est primordial de développer des méthodes d’authentification alternatives, comme la biométrie », explique Jan Oetjen, président-directeur général de GMX.
Pas assez sécurisé par les entreprises
Pourquoi cette méfiance ? En fait, 38 % des personnes interrogées ne souhaitent pas que les entreprises conservent leurs données biométriques en mémoire et 34 % craignent des problèmes techniques les empêchant par la suite d’accéder à leur compte en ligne.
« Pour répondre aux préoccupations des utilisateurs, les fournisseurs doivent satisfaire des critères élevés en ce qui concerne le stockage et l’utilisation des données biométriques », constate Jan Oetjen.
Malgré cette prudence, 12 % des internautes français utilisent aujourd’hui un capteur d’empreintes digitales, 4 % les scans d’iris, 2 % la reconnaissance faciale et 2 % la reconnaissance vocale.
Des informations piratables ?
Autre frein, 28 % des personnes interrogées craignent que despirates puissent déjouer les méthodes d’identification biométriques. De quoi faire sourire certains experts, une empreinte digitale ou un iris étant difficilement reproductibles.
Certes, mais avec des services en ligne, rien n’empêche dans la pratique un cybercriminel d’envoyer des données contrefaites, qui ne sont pas collectées au moment de la tentative de connexion par un lecteur biométrique ‘réel’. Et c’est bien là le talon d’Achille de cette solution, lorsqu’elle est utilisée sur la Toile. Peut-on faire confiance à du matériel qui n’est pas placé sous le contrôle de l’opérateur du service en ligne ?
Dans cette optique, la défiance des utilisateurs est légitime, ces derniers se montrant ici plutôt avisés. Car s’il est possible de changer un mot de passe découvert par un pirate, il sera difficile de modifier ses mains, ses yeux, son visage (quoique) ou sa voix.
La solution : multiplier les dispositifs ?
Selon l’étude de YouGov, seuls 9 % des internautes français considèrent donc que les méthodes biométriques sont sans risque.
Toutefois, cette technologie n’est pas rejetée en bloc. 24 % des personnes interrogées estiment en effet que ces mesures d’identification peuvent être un excellent complément des mots de passe ou des codes PIN. Des utilisateurs qui devraient donc être convaincus par les solutions d’authentification multifacteurs, qui tendent maintenant à se démocratiser.
À lire aussi : Les changements fréquents de mots de passe nuisent à la sécurité + 8 % : les dépenses de sécurité IT s’envolent en 2016 NTT se dote d’une division sécurité Crédit photo : © Cio – Shutterstock
Projet Sauron : anatomie d’une plateforme de cyberespionnage avancée
Symantec et Kaspersky mettent au jour ce qu’ils présentent comme un nouvel acteur du cyberespionnage, probablement soutenu par un État étant donné le niveau de sophistication atteint et les investissements requis (plusieurs millions de dollars, selon les chercheurs de l’éditeur russe). Kaspersky explique que la découverte de ce qu’il a baptisé le Projet Sauron, un nom que les assaillants emploient dans leurs fichiers de configuration, remonte à septembre 2015, suite à la détection de trafic réseau anormal au sein d’une organisation gouvernementale, via un de ses produits. Selon le Russe, la menace, qui cible les environnements Windows, est active depuis au moins juin 2011. Symantec, de son côté, a baptisé la nouvelle menace du nom de Strider. Chez l’éditeur américain également, la détection provient d’anomalies remontées par un de ses produits, travaillant par analyse comportementale.
Suite à leur première découverte, les équipes de Kaspersky racontent avoir isolé un étrange exécutable chargé en mémoire sur le serveur du contrôleur de domaine d’une organisation infectée. Une librairie enregistrée comme un filtre de mots de passe Windows, fonction utilisée par les administrateurs pour obliger les utilisateurs à respecter les règles de sécurité ; et surtout un module ayant accès à des informations sensibles, comme les mots de passe desdits administrateurs. « La backdoor passive de Projet Sauron démarre chaque fois qu’un domaine, un utilisateur local ou un administrateur se connecte ou change son mot de passe, et elle récupère alors rapidement les mots de passe en clair », écrit Kaspersky. Cibler les communications chiffrées
Au fil de son enquête, l’éditeur russe a pu mieux cerner les contours de cette menace jusqu’alors inconnue. Pour le spécialiste de la sécurité informatique, Projet Sauron masque une organisation à la pointe en matière de cyber-espionnage, une organisation à la tête d’une plate-forme modulaire de piratage, « conçue pour orchestrer des campagnes de long terme via des mécanismes de persistance furtifs couplés à de multiples méthodes d’exfiltration d’information». Certaines d’entre elles étant peu communes. La plate-forme recourt notamment au protocole DNS pour exfiltrer des données. Tous les modules ou protocoles réseau de Sauron emploient par ailleurs des algorithmes de cryptage forts, comme RC4, RC5, RC6 ou AES.
D’autres éléments témoignent de la sophistication de cette menace et de son intérêt pour des informations hautement confidentielles. Comme l’utilisation de codes fonctionnant uniquement en mémoire, ce qui rend leur détection plus complexe. Une technique déjà exploitée parDuqu, une menace déjà mise au jour par Kaspersky et à l’œuvre… sur ses propres systèmes ! Le Russe explique encore que Projet Sauron s’intéresse tout particulièrement aux logiciels de chiffrement de ses cibles, tentant de dérober des clefs, des fichiers de configuration et les adresses IP des serveurs gérant les clefs. Autre détail révélateur de la volonté de Sauron de pénétrer les organisations les mieux protégées : la capacité, sur des réseaux isolés d’Internet (employés dans les domaines les plus sensibles), à exfiltrer des données sur des supports de stockage USB spécialement reconfigurés pour abriter une zone invisible du système d’exploitation hôte, zone dans laquelle vont être stockées des données à exfiltrer.
Si Kaspersky admet ne pas connaître le vecteur d’infection qu’utilisent les assaillants pour compromettre un premier système, il explique que Sauron détourne les scripts des administrateurs système de sa cible pour déployer ses malwares sur le réseau de sa victime. Des scripts normalement dédiés au déploiement de logiciels légitimes… De quoi faciliter les déplacements latéraux des assaillants une fois un premier système compromis.
Disparition des indicateurs de compromission
Pour Kaspersky, Projet Sauron a par ailleurs appris des erreurs d’autres acteurs similaires (comme Duqu, Flame, Equation ou Regin), évitant par exemple d’utiliser les mêmes artefacts d’une cible à l’autre. « Ce qui réduit leur valeur comme indicateurs de compromission pour les futures victimes », relève l’éditeur. Kaspersky estime que plus de 50 types différents de plug-ins peuvent venir se connecter sur la plate-forme de cyber-espionnage de Projet Sauron. « Presque tous les implants cœur de Projet Sauron sont uniques, possèdent des tailles et des noms de fichiers différents et sont bâtis individuellement pour chaque cible », écrit Kaspersky. Bref, pour l’éditeur, les assaillants ont intégré les méthodes des chercheurs en sécurité, qui traquent des schémas ou comportements identiques d’une cible à l’autre afin d’identifier de nouvelles menaces. « Sans ces schémas, l’opération sera plus difficile à mettre au jour », résume la société russe.
Cette dernière dit avoir identifié 30 organisations attaquées. « Mais nous sommes sûrs qu’il ne s’agit là que du minuscule sommet de l’iceberg. » Les organisations attaquées sont situées en Russie, en Iran et au Rwanda. Et opèrent dans des secteurs sensibles : gouvernement, recherche scientifique, armée, opérateurs télécoms, finance. S’y ajouteraient des cibles situées dans les pays italophones, selon Kaspersky, qui relève que la plate-forme de Sauron a été configurée pour cibler des organisations utilisant cette langue. De son côté, Symantec explique avoir identifié la menace chez 4 organisations ou individus en Russie, au sein d’une compagnie aérienne chinoise, dans une organisation suédoise et dans les murs d’une ambassade située en Belgique.
Difficile évidemment de déterminer d’où émane l’attaque. Kaspersky estime qu’il s’agit même là d’un problème « insoluble », étant donné la capacité des assaillants à multiplier les écrans de fumée afin de brouiller les pistes. L’éditeur russe relève toutefois un détail intéressant : l’emploi de termes renvoyant aux manuels Unix et notamment de ‘Cruft’ (désignant un élément superflu du logiciel), utilisé par les spécialistes de BSD. Pour Kaspersky, cette bizarrerie pourrait indiquer la présence, dans les équipes du Projet Sauron, de développeurs ‘old school’ ayant effectué leurs premières armes au sein de ces environnements. A moins qu’il ne s’agisse là que d’un écran de fumée de plus.
A lire aussi :
Quand les sous-marins américains piratent les réseaux tiers
Le déficit de compétences en cybersécurité fragilise les organisations crédit photo © GlebStock – Shutterstock
Le service de support des terminaux point de vente Micros d’Oracle piraté
Intrusion détectée chez Micros, opérateur de terminaux point de vente appartenant à Oracle. Les solutions de la société sont aujourd’hui utilisées dans des restaurants et hôtels. Elles se placent dans le top3 des fournisseurs de terminaux point de vente.
Des centaines de serveurs d’Oracle auraient été compromis lors de cette attaque, dont certains utilisés par Micros pour gérer ses services. Selon les dernières informations, près de 700 machines seraient touchées par ce problème.
KrebsOnSecurity, le blog du journaliste spécialisé Brian Krebs, dévoile que l’attaque aurait été opérée par un groupe de cybercriminels russes, connus pour avoir précédemment subtilisé des sommes colossales au sein de diverses banques.
330.000 points de vente concernés
Interrogé par KrebsOnSecurity, Oracle reconnaît avoir détecté et retiré du code infecté de certains de ses serveurs Micros. La firme demande aux utilisateurs de cette offre dechanger le mot de passe leur permettant d’accéder au site de support en ligne Micros. Reste à déterminer quelles données ont pu être volées par les pirates.
À ce jour, les terminaux point de vente Micros sont déployés dans plus de200 000 bars et restaurants, plus de 100 000 commerces de détail et plus de 30 000 hôtels. Autant de clients qui devront rapidement changer leurs identifiants de connexion.
À lire aussi : Oracle toujours investi dans Java EE Résultats : Oracle soutenu par ses activités Cloud Oracle corrige les failles de ses produits… et de Java
Crédit photo : © LDprod – Shutterstock
Quand les sous-marins américains piratent les réseaux tiers
Défense, surveillance et cyberattaque… Les États-unis équipent également leurs sous-marins pour infiltrer les réseaux et systèmes d’autres États, rapporte le Washington Post. L’information n’est pas nouvelle, mais elle fait l’objet d’un autre éclairage. Et ce après publication et analyse de documents de la NSA (Agence nationale de sécurité américaine) exfiltrés par Edward Snowden en juin 2013.
Dans les années 1970 déjà, le gouvernement américain avait ordonné à ses sous-marins militaires de se connecter aux câbles sous-marins installés au large de la Russie. Et ce pour espionner des communications émanant du bloc soviétique. Aujourd’hui, certains sous-marins américains sont équipés d’antennes capables d’intercepter et manipuler les communications de tiers. Les données peu protégées par le chiffrement sont tout particulièrement ciblées. La surveillance massive pratiquée par la NSA s’inscrit dans ce mouvement.
Lutte informatique offensive
En une semaine, la Marine américaine effectuerait des centaines« d’exploitations de réseaux informatiques tiers » (Computer Network Exploitation – CNE) pour les services de renseignement américains, selon un billet de blog de 2015 dont le Washington Post s’est fait l’écho.
C’est notamment le cas de l’USS Annapolis. Toujours en service dans l’US Navy, il serait l’un des premiers sous-marins dotés de capacités de lutte informatique offensives.« Annapolis et ses semblables sont les agents infiltrés de la nouvelle cyberguerre », ont écrit l’an dernier William M. Arkin, spécialiste du renseignement américain, et le journaliste d’investigation Adam Weinstein.
Ces sous-marins « se rapprochent de l’ennemi quel qu’il soit – à l’intérieur de leur zone de défense – pour s’infiltrer, tromper et pirater. Ils le font par le biais d’antennes et de systèmes de collecte. Certains d’entre eux sont des dispositifs uniques conçus pour atteindre une ou des cibles spécifiques .» Pour compléter ces capacités, la Marine américaine prévoit de doter ses engins de drones sous-marins (UUV).
Lire aussi :
La NSA prépare les États-Unis à la cyberguerre
La Navy américaine recrute un spécialiste des failles zero day crédit photo : U.S. Department of Defense Current Photos via VisualHunt.com
SFG : un malware cousin de Furtim cible les énergéticiens européens
En mai dernier, des chercheurs la société EnSilo ont découvertun malware baptisé Furtim qui devait son nom à une obsession virant à la paranoïa de ne pas être détecté par les outils de sécurité. De la préparation à son installation jusqu’à son implémentation, le malware scrute, analyse et bloque tout ce qui touche de près ou de loin à la sécurité IT.
Il semble que ce malware revienne sous une autre forme pour s’attaquer au système industriel des entreprises énergétiques européennes. Des chercheurs de SentinelOne l’ont détecté au sein du réseau d’un énergéticien européen. Cette menace a un nom, SFG, et a été trouvée à la fois par une remontée d’information des logiciels de SentinelOne, mais aussi sur des forums privés. Les experts ont travaillé sur les échantillons pour comprendre son fonctionnement. Les résultats de cette analyse montrent que le comportement, la sophistication et la furtivité du malware sont l’œuvre d’un Etat ou pour le moins d’une organisation soutenue par un gouvernement. Les experts penchent pour une initiative provenant de l’Europe de l’Est.
Jusqu’au sabotage du réseau énergétique
Dans le détail, le cousin de Furtim s’appuie sur les mêmes exploits pour éviter d’être repéré par les outils de sécurité (antivirus, firewall next gen, solution endpoint, sandboxing). Plusieurs développeurs de haut niveau ont mis la main à la pâte pour perfectionner SFG. L’objectif est multiple, extraire des données ou faire tomber le réseau d’énergie, sans laisser de traces. Le malware affecte toutes les versions de Windows, précise SentinelOnedans un blog. Il situe ses débuts au mois de mai dernier et il est encore actif.
Ce n’est pas la première fois que les entreprises énergétiques sont visées par des malwares ayant pour ambition le sabotage du réseau. On pense bien évidemment au premier virus qui visait les SCADA, Stuxnet. Mais plus récemment, l’Ukraine a été victime d’une panne de courant provoquée par une cyberattaque s’appuyant sur le malware Blackenergy. Ce type de menaces est pris très au sérieux par les gouvernements au point de forcer les entreprises à remonter leurs niveaux de sécurité. En France, l’ANSSI peaufineles arrêtés sectoriels sur la sécurité des OIV (opérateurs d’importance vitale) notamment dans le domaine de l’énergie.
A lire aussi :
La sécurité des OIV mise au pas par l’Etat… petit à petit Scada : une cyberattaque peut-elle faire dérailler un train ? crédit photo © igor.stevanovic / shutterstock
Les cyberattaques chinoises s’assagissent contre les Etats-Unis
Une guerre larvée entre les Etats-Unis et la Chine se déroule depuis quelques années dans le domaine du cyberespace. L’Empire du milieu a été accusé à de multiples reprises d’avoir mené des attaques contre des sociétés américaines et l’administration, pour voler différentes données, y compris médicales. Or il semble que ces cyberattaques contre des cibles américaines se soient estompées depuis la mi-2014, souligne un rapport de FireEye. Cela ne signifie pas que la Chine ne soit plus dangereuse, mais en 2016, les éditeurs de sécurité n’ont pas constaté de groupes chinois capables de mener une moyenne plus de 10 attaques par mois. Une réforme militaire unificatrice
Pourquoi cette baisse depuis mi-2014, FireEye considère plusieurs facteurs d’amélioration. En premier lieu, il y a une cause politique avec la réforme militaire diligentée par le président Chinois, Xi Jinping. Depuis son accession au pouvoir en 2012, il a souhaité que le gouvernement et l’armée cessent d’utiliser les ressources de l’Etat pour leur propre agenda. Entendez par là les ressources militaires physiques, mais aussi les opérations de cyber-espionnage. Selon les statistiques de FireEye, pas moins de 72 groupes liés au cyber-espionnage étaient à pied d’œuvre pour le compte du gouvernement ou des militaires. A partir de 2013, puis en 2014, la réforme militaire a unifié les ressources informatiques au sein d’une seule structure, PLA Cyberspace Strategic Intelligence Research Center, entraînant un contrôle plus stricte sur les ressources.
Toujours en 2014, les éditeurs de sécurité ont publié plusieurs rapports sur des campagnes massives de cyber-espionnage liées à la Chine et ont éveillé les consciences du public et du gouvernement américain. Ce dernier a commencé à prendre des mesures face à ces attaques. Cela s’est traduit notamment par l’arrestation de 5 officiers chinois, puis de l’affaire Su Bin (un homme d’affaires Chinois résidant au Canada accusé d’espionnage dans l’aéronautique). Enfin, en 2015, les Etats-Unis ont haussé le ton avec la menace d’imposer des sanctions économiques contre la Chine.
Représailles et diplomatie
Après la politique, la diplomatie est un élément incontournable de cette « pacification » du cyberespace entre les Etats-Unis et la Chine. Point d’orgue du ballet diplomatique, en septembre 2015, Barack Obama et Xi Jinping ont signé un pacte où les gouvernements s’engagent à «ne pas conduire ou soutenir sciemment des vols de propriétés intellectuelles via le cyberespace ». Le résultat ne s’est pas fait attendre. Suite à ce pacte, les opérations de cyber-espionnage d’origine chinoise ont chuté à 10 par mois contre 35 en moyenne précédemment et jusqu’à 75 mensuellement. Et elles continuent à ralentir.
Un changement spectaculaire, mais qui n’a pas éteint complètement le cyber-espionnage chinois sur les cibles américaines. FireEye considère que les attaques sont maintenant plus ciblées, sur des projets militaires, des sociétés de haute technologie, etc. L’éditeur constate par ailleurs que le gouvernement chinois vise maintenant d’autres cibles comme ses voisins pour des questions politiques et de souveraineté en particulier.
A lire aussi :
La Chine voit rouge sur la migration forcée de Windows 10
Chiffrement : la Chine ouvre la boîte de Pandore crédit photo © kebox – Fotolia.com BusyBotNet, le BusyBox des routeurs piratés ?
BusyBox est un logiciel qui combine de multiples outils du monde UNIX au sein d’un unique exécutable de petite taille. Une offre regroupant des dizaines d’utilitaires pourmoins d’un mégaoctet et qui se montre très populaire dans les systèmes embarqués.
Il lui manque toutefois des outils de sécurité. C’est ce que propose le projetBusyBotNet 1.0, un dérivé de BusyBox axé sur le chiffrement et la sécurité. Divers outils de chiffrement et de scan réseau sont présents, mais aussi de quoi mener des tests d’attaque. L’outil d’attaque par force brute THC Hydra est ainsi présent dans BusyBotNet.
Pour des botnets à base de routeurs ?
Comme souvent, ce type d’outil servira aussi bien les besoins des experts en sécurité que des pirates. Ces derniers pourront remplacer le BusyBox présent dans les routeurs par cette version, capable de mener des attaques contre des réseaux informatiques (une fonctionnalité à peine cachée, le nom de BusyBotNet étant relativement explicite).
Compilé avec toutes les options, BusyBotNet se montrera toutefois trois fois plus gros que l’original et ne pourra donc être installé sur toutes les machines initialement pourvues de BusyBox. Pour des usages traditionnels, BusyBox devrait donc garder la préférence des administrateurs système, en conjonction avec d’autres outils, commeDropbear , qui apporte la connectivitéSSL , cliente et serveur, pour environ 110 ko.
À lire aussi : Le navigateur web embarqué NetSurf se met au JavaScript DMP étoffe sa gamme de machines x86 embarquées Minix3 : mises à jour à chaud et sécurité renforcée pour l’OS embarqué
Le cyberespace devient un terrain d’opérations pour l’Otan
L’Otan (Organisation du Traité de l’Atlantique Nord) a validé que le cyberespace entrait dans son spectre opérationnel en cas de conflit. Il devient ainsi un terrain d’actions au même titre, l’espace aérien, maritime et terrestre. Cet accord vise aussi à renforcer la défense des systèmes informatiques de l’organisation. Le secrétaire général de l’Otan, Jen Stoltenberg, a souligné que cette décision des 28 membres de considérer officiellement les opérations dans le cyberespace comme un domaine militaire ne vise pas un pays en particulier. Il rappelle que les alliés doivent être en mesure de mieux se défendre et de répondre aux attaques sur leurs réseaux informatiques.
Un long débat sur le cyberespace
Cet accord a été long à trouver, dans un contexte tendu avec la Russie qui a montré à plusieurs occasions sa volonté de lancer des attaques informatiques contre d’autres Etats. Des pirates russes ont été accusés il y a 2 ans, de s’être introduit dans le réseau informatique non sensible du Pentagone et de l’Otan.
Les Américains, par la voix d’Ash Carter, Secrétaire d’Etat à la Défense, militaient pour que l’Otan améliore sa capacité à se protéger avant de se doter de moyens de cyberguerres. Les Etats-Unis avaient promis une expertise aux alliés pour les aider à diagnostiquer leurs vulnérabilités et réduire les risques sur les infrastructures critiques.
En 2014, après plusieurs années de débat, l’Otan a finalement considéré qu’une cyberattaque pouvait atteindre le niveau d’une agression militaire et pouvait déclencher les protections de l’article 5 du traité. Il donne à l’Alliance une obligation d’assistance mutuelle en cas d’une attaque sur un de ses membres. L’Otan va donc coordonner et organiser les efforts pour se protéger contre les cyberattaques de manière plus efficace. Il y a quelques années, l’Alliance s’était dotée d’une force d’action rapide dans l’optique de protéger les systèmes informatiques de l’Otan.
A lire aussi :
La France incite ses étudiants à devenir réservistes cyber
FIC 2016 : moins d’uniformes, plus de business
Crédit Photo : jcjgphotography-Shutterstock
Télégrammes : 800 000 euros d’amende pour Uber France; Sopra Steria recrute; Les comptes LinkedIn volés en vente; Google Project Fi s’étoffe
UberPop condamné à 800 000 euros d’amende. UberPop va coûter cher à Uber France. 800 000 euros précisément. C’est l’amende que vient d’infliger le tribunal correctionnel de Paris à la filiale française du VTC mondial, dont la moitié (400 000 euros) en sursis. Cette condamnation découle de l’application qui permettait à tout un chacun de devenir chauffeur d’un jour et qui avait déclenché les foudres des sociétés de taxis, qui y voyaient une concurrence déloyale. Le tribunal leur a donné raison et a également condamné Uber à dédommager les 38 parties civiles ayant porté plainte de plusieurs dizaines de milliers d’euros. Uber France a fait appel de ce jugement, ce qui suspend l’exécution de la décision. Le VTC avait déjà été condamné à payer, d’un côté, 150 000 euros d’amende pour pratique commerciale trompeuse par la cour d’appel de Paris et, de l’autre, 50 000 euros par le tribunal correctionnel de Lille pour les même raisons. Et ses dirigeants avaient également été condamnés à des amendes avec sursis (30 000 pour Pierre-Dimitri Gore-Coty et 20 000 pour Thibaud Simphal). Sopra Steria recrute. Sopra Steria organise, depuis le 8 juin, des soirées de recrutements, qui s’étaleront au cours des prochaines semaines. Onze grandes villes de provinces sont concernées : Aix-en-Provence, Clermont-Ferrand, Lille, Lyon, Le Mans, Metz, Montpellier, Nantes, Sophia-Antipolis, Strasbourg et Tours. Objet de la manœuvre : trouver des talents (jeunes diplômés Bac +5 issus d’écoles d’ingénieurs, de commerce ou d’universités) pour se développer en région. Les heureux élus décrocheront un CDI de consultant et d’ingénieur d’études. L’ESN entend recruter 2 600 personnes en 2016. Toutes les informations sur cette page. La base des comptes LinkedIn volés à vendre. Tessa88 ([email protected]), un hacker russe en lien avec les récents vols de comptes LinkedIn, Tumblr et MySpace, a déclaré détenir la base des données des fichiers en question. Celle-ci contient des noms d’utilisateurs, des emails et mots de passe en clair. Une base de données que le pirate entreprend de vendre pour 10 bitcoins (environ 5 000 euros). Tessa88 revendique 379 millions de comptes. Mais, selon LeakedSource, la base serait réduite à moins de 33 millions de comptes après suppression des doublons et comptes invalides. Il n’en reste pas moins qu’à partir de là, les pirates pourront partir à la chasse aux autres comptes de réseaux sociaux et de messageries, en essayant de se connecter avec les identifiants trouvés dans la base volée. Comme l’a tristement illustré l’affaire du compte Twitter piraté de Mark Zuckerberg (à lire dans cetélégramme ). En résumé, renouvelez régulièrement vos mots de passe et n’utilisez pas de sésame commun pour une multitude de services différents. Un troisième opérateur pour Google Project Fi. Opérateur mobile de réseau virtuel (MVNO) aux Etats-Unis depuis plus d’un an avec leProject Fi, Google vient étoffer la couverture de son offre. Il vient de signer un accord de roaming avec US Cellular, le 5e opérateur mobile du pays. Celui-ci viendra compléter les réseaux de T-Mobile (3e) et Sprint (4e). Cellular US couvre 23 Etats du pays, en 4G LTE pour 99% de ses utilisateurs. Rappelons que le Project Fi s’illustre par l’ambition de toujours proposer la meilleure connectivité disponible à ses abonnés, sur réseau mobile ou Wifi, en fonction de la qualité de couverture de ses fournisseurs opérateurs. Une façon de palier l’absence de couverture d’un fournisseur sans que l’utilisateur s’en aperçoive. Swift a été attaqué par la Corée du Nord, juge Mikko Hyppönen
Lors d’une conférence au salon Infosec 2016, à Londres, l’expert en sécurité Mikko Hyppönen estime que la Corée du Nord est sans aucun doute l’auteur des fraudes qui ont permis d’exfiltrer plusieurs dizaines de millions de dollars de plusieurs banques, en particulier de la banque centrale du Bangladesh, via le piratage du réseau international de transfert de fonds Swift.
Sony Pictures : les certitudes de la NSA
En mai, Symantec a annoncé avoir remonté à l’origine de la fraude, et que cette enquête pointait en direction de la Corée du Nord, suite à la mise au jour d’un morceau de code exploité dans l’attaque contre Swift et également présent dans le hack de Sony Pictures, fin 2014. L’indice en question est une clé de chiffrement qui permet aux attaquants d’être informés des progrès de leurs attaques. « Nous avons déjà vu cela en une occasion, en décembre 2014, lors d’une attaque complètement indépendante, dans un malware complètement différent mais utilisant la même clé », résume Hyppönen.
« Il y a un lien entre ces deux attaques. Or, Sony Pictures a été la cible d’un piratage majeur après avoir annoncé la sortie d’un film se moquant du dictateur de la Corée du Nord. L’assaillant était inhabituellement agressif. Ils ont ainsi fait fuiter les emails de chaque employé. Et, dès que ces événements ont commencé, le gouvernement américain a annoncé que c’était l’œuvre de la Corée du Nord. Comment pouvait-il savoir ? », relève Hyppönen. Rappelons que, selon le New York Times, les certitudes américaines concernant Sony Pictures s’appuyaient sur l’espionnage de la NSA, qui avait préalablement infiltré les réseaux de Corée du Nord et avait pu suivre la cyberattaque en direct.
Bref, pour Mikko Hyppönen, l’implication du pays asiatique dans le piratage du studio de cinéma ne fait guère de doute. Et la présence, dans l’attaque contre les banques connectées à Swift, d’un élément aussi significatif qu’une clef de chiffrement est plus que troublante.
900 M$ : beaucoup d’argent pour la Corée du Nord
Avant de se pencher sur les motivations potentielles des hackers. «Les assaillants ont essayé de détourner plus de 900 millions de dollars. C’est beaucoup d’argent, en particulier pour un gouvernement en difficulté comme celui la Corée du Nord du Nord », remarque Hyppönen.
Pour le spécialiste de la sécurité, qui travaille pour la firme de sécurité F-Secure depuis 25 ans (il en est le responsable de la recherche), le piratage de Swift pourrait être un moyen pour ce régime de compenser ses déficits. « Savez-vous quel est le budget annuel de la Corée du Nord ? Un peu moins de 4 milliards de dollars. Donc, est-ce que la Corée du Nord tente de corriger son déficit budgétaire en volant au reste du monde ? Peut-être. » « Ce que nous savons avec certitude, c’est qu’il s’agit de la première fois dans l’histoire que nous avons affaire une attaque d’un Etat-nation dont l’objectif n’est ni l’espionnage, ni le sabotage, mais qui est réellement menée pour voler de l’argent. Et pour cela, elle est tout à fait unique », résume l’expert.
« Les cyberarmes sont parfaites car invisibles »
Pour Mikko Hyppönen, le cas, et l’implication quasi-établie d’un pays en particulier, seraient toutefois presque inhabituels. L’expert de F-Secure compare en effet l’état actuel de la cyberguerre à un brouillard où il est rare de pouvoir déterminer avec certitude qui agit. «Le monde autour de nous est en train de changer. J’utilise le terme de ‘brouillard de la cyberguerre’. Bien sûr, des attaques comme celle contre Swift ne peuvent pas être comparées à la cyberguerre. Mais d’autres exemples récents d’attaques en sont beaucoup plus proches », note Hyppönen, citant les attaques contre le réseau électrique ukrainien en décembre dernier.
« Le brouillard de la cyberguerre nous entoure, car nous ne connaissons pas les capacités des autres pays. Nous venons juste de sortir de la course aux armements. Nous venons juste de sortir de la guerre froide. Mais nous entrons la tête la première dans une nouvelle course aux armements, la course aux armements cyber, dit l’expert. La course aux armements nucléaires était toute entière tournée vers la dissuasion. Vers la connaissance de qui possède l’arme nucléaire. Nous ne disposons pas cette information pour les cyberarmes. Car les cyberarmes sont invisibles. »
« Que savons-nous des capacités d’attaque du Brésil ? De celle du Vietnam ou de l’Australie? Les cyberarmes sont les armes parfaites. Elles ne coûtent pas cher, sont efficaces, et on peut nier les avoir eu en sa possession. C’est une combinaison extraordinaire », résume Hyppönen.
Article adapté de notre confrère de TechWeekEurope, Ben Sullivan
A lire aussi :
Le spectre de Sony Pictures plane sur les attaques Swift
Fraude Swift au Bangladesh : non pas une, mais trois attaques
Piratage de Swift : la faute à une mise à jour mal maîtrisée ?
Télégrammes : Toyota intéressé par les robots de Boston Dynamics; razzia sur les comptes de Tumblr et MySpace; IBM intègre les jeunes; Censure numérique en Iran
Boston Dynamics bientôt propriété de Toyota ? Google (Alphabet) serait sur le point de se désengager de Boston Dynamics. Selon Tech Insider, la firme de Mountain View serait sur le point de signer avec Toyota. Racheté en 2013, à l’époque sous la houlette d’Andy Rubin qui quittait le groupe un an plus tard, Boston Dynamics s’est fait une réputation dans la mise au point de robots à caractères humanoïde ou animalier à l’image de ses modèles phares BigDog ou Atlas. Des divergences stratégiques et un manque de clarté de retour sur investissement pourraient expliquer le désengagement de Google qui préfèrerait poursuivre ses investissements sur l’intelligence artificielle tout en maintenant une division ad hoc baptisée Replicant. 65 millions de données volées pour Tumblr, 425 millions pour MySpace. Les deux réseaux sociaux viennent de voir publier sur le Darknet deux jeux de données (identifiants et mots de passe) par le pirate Peace à qui l’on doit déjà la vente des 117 millions de comptes Linkedin. Sur Tumblr, le site avait annoncé le 12 mai dernier qu’un jeu de mots de passe et identifiants datant de 2013 avait été trouvé sur le Net. Mais Tumblr n’avait pas communiqué sur le nombre d’utilisateurs touchés. Selon le site Motherboard, Troy Hunt, éditeur du site « Have I been Pwned » a obtenu une copie de ce jeu de données. Au final, c’est 65 millions de personnes (65 469 298 pour être exact) qui sont impactés, mais les mots de passe avaient été chiffrés avec SHA1 avec en plus une technique dite de « salage ». Une difficulté qui fait que le jeu de données est vendu 0.4255 bitcoin, soit environ 200 euros. Autre victime, MySpace, le réseau social musical qui a eu son heure de gloire au début des années 2000. Là Peace indique avoir un jeu de 425 millions de comptes à vendre. Les mots de passe sont chiffrés avec SHA1, mais sans être « salés » donc plus facilement déchiffrable et exploitable. Il en propose 6 bitcoins, soit 2900 euros. IBM crée le Millenial Corps. Comment intégrer la génération des jeunes salariés nés entre 1980 et 2000, souvent qualifiée de génération Y ou de Millenials ? Pour prendre à bras le corps ce défi – certaines études suggèrent qu’en 2020, un salarié sur deux sera issu de ces classes d’âge -, IBM crée une équipe de 4 000 personnes chargée de faciliter l’intégration de ces salariés dans l’entreprise. Composée de salariés de tous âges, cette communauté doit réfléchir à l’amélioration de l’expérience des Millenials au sein d’IBM. Big Blue explique avoir pris conscience de cette nécessité à l’occasion de réflexions sur le programme interne d’évaluation des salariés. Les jeunes IBMers réclamant une mesure de performances constante, et non plus des évaluations espacées. Big Blue entend également développer la culture entrepreneuriale, autour de son Paas Bluemix et de sa plate-forme d’IA Watson. IBM emploie près de 380 000 personnes dans le monde. Les messageries instantanées censurées en Iran. Le signal d’ouverture lancé par le président Hassan Rohani a fait long feu. L’Iran veut imposer aux éditeurs et opérateurs d’outils de messagerie instantanée étrangers de conserver toutes les données échangées depuis le pays. C’est le Conseil Suprême du Cyberespace d’Iran qui a fixé cet ultimatum aux firmes étrangères. Elles ont un an pour s’y conformer. Auxquel cas, elles seront purement et simplement menacées de fermeture de leurs services fournis localement. Parmi elles, la Telegram utilisé par quelque 20 millions d’internautes en Iran serait la principale victime de cette nouvelle censure qui ne fait que renfermer un peu plus le web du pays sur lui-même. Une chose est sûr, l’accès aux conversations privée en ligne par les autorités limitera fortement la liberté de critique du pouvoir en place par les Iraniens.
Télégrammes : Swift compte ses victimes; Facetime menacé d’interdiction; Google offre la dataviz; Bouygues Telecom a 20 ans.
Une 4ème victime de la faille SWIFT. Selon les experts de Symantec, pas de doutes, le modus operandi et la similitude du code font qu’une banque Philippine a peut-être été le patient zéro des attaques s’appuyant sur les faiblesses du réseau SWIFT. Rappelons que l’alarme a été tirée par la réserve fédérale du Bangladesh qui a perdu 81 millions de dollars. Plus tard, les cybercriminels se sont attaqués à une banque vietnamienne, sans succès, mais une banque équatorienne a été délestée de 12 millions de dollars. Symantec rejoint les enquêteurs de la firme anglaise BAE Systems en pointant du doigt le groupe Lazarus comme responsable de ces « cyber-braquages ». Ce groupe de pirates est considéré comme à l’origine des attaques contre Sony Pictures. FaceTime et iMessage menacés d’interdiction. VirnetX, un patent troll, en veut encore à Apple. Fort d’une victoire en justice qui a condamné la firme de Cupertino à payer 625,6 millions de dollars pour viol de brevets sur les technologies de sécurisation de communication utilisées dans l’iPhone et l’iPad, la société a demandé à un tribunal du Texas de faire interdire FaceTime et iMessage. Dans sa requête, elle demande en plus un bonus de 190 millions de dollars à Apple en matière de dommages. Apple n’entend pas se laisser faire et va se battre juridiquement contre cette attaque. Google s’invite dans la DataViz. Google a lancé Data Studio, un outil de visualisation des données, gratuit, présent dans la suite Analytics. Data Studio dispose des connecteurs pour AdWords, Sheets et d’autres solutions Google mais il peut aussi s’interconnecter avec BigQuery et devrait également se brancher sur SQL dans le courant de l’année. Le brassage de l’ensemble de ces données analysées se traduit ensuite sous formes de rapport enrichis de graphiques qui facilitent l’interprétation des données brutes. Un sérieux concurrent à Power BI de Microsoft. Si Data Studio est gratuit, il est en revanche limité à l’édition de 5 rapports. Les entreprises qui ont des besoins plus poussés pourront se tourner vers le service, payant, Data Studio 360. Bouygues Telecom a 20 ans. « On a failli pas les fêter », a déclaré non sans humour Benoît Torloting, directeur du marché grand public chez Bouygues Telecom en ouverture de la soirée fêtant les 20 ans de l’opérateur. Il faisait évidemment référence aux mouvements de concentration qui ont animé le secteur ces deux dernières années. Sans conséquences pour Bouygues Telecom à ce jour, finalement. Du coup, l’opérateur a rappelé avoir été le premier à lancer une offre forfaitaire dès 1996, avec son haute qualité, puis le forfait Millenium en 1999 (en voix illimitée le week-end), le Edge (c’était cela dit le seul) avant la 3G puis le plus grand réseau 4G dès 2013. 20 ans d’innovations techniques et commerciales qui vont se poursuivre sous forme de cadeaux aux actuels clients mobiles et fixes. Signalons ceux des forfaits mobile Sensation dont l’offre data 5 Go passe à 20 Go et son prix tombe de 39,99 à 35,99 euros. L’ensemble des forfaits Sensation bénéficient désormais de la data illimitée le week-end. Et de manière permanente pendant 2 ans (avec la Golden SIM) pour les plus fidèles clients de Bouygues Telecom, c’est-à-dire ceux qui utilisent ses services depuis 1996. « Il y en a quelques dizaines de milliers », a évoqué Benoît Torteling. Et l’illimité pour tous les autres, c’est pour les 30 ans ?
Les attaques DDoS en hausse de 40% au 4e trimestre 2015
Entre les 3e et 4e trimestres 2015, le nombre d’attaques DDoS a progressé de près de 40%. Et de près de 149% sur 12 mois. Les attaques d’applications web ont pour leur part augmenté de plus de 28% sur le trimestre (dont 28,65% pour les applications en HTTP et 24,05% en HTTPS). Lerapport d’Akamai, d’où sont issus ces chiffres, note par ailleurs que les recours aux injections SQL connaissent une recrudescence de plus de 12% sur les trois derniers mois de l’année 2015.
Globalement sur cette période, le fournisseur de solutions de CDN mâtinées de service de sécurité a recensé pas moins de 3 693 tentatives d’attaques depuis sa plate-forme de routage du trafic. Soit une hausse séquentielle de 38%. « Cette augmentation a largement été tirée par les attaques répétées sur quelques clients plutôt qu’un élargissement du nombre de cibles », souligne les auteurs du rapport. En moyenne, chaque client d’Akamai a subi 24 agressions numériques contre 17 surle précédent trimestre. Mais la durée moyenne des attaques recule : elle passe de près de 19 heures à moins de 15 heures. Tout comme leur intensité avec 5 attaques à plus de 100 Gbit/s contre 8 précédemment.
Très loin du record des 17 méga attaques constatées au 3e trimestre 2014. Néanmoins, l’attaque la plus massive a atteint les 309 Mbit/s, plus de deux fois plus que la plus imposante du 3e trimestre 2015 avec 149 Gbit/s. Les test de charge toujours plus utilisés
Selon Akamai, ces résutats s’expliquent notamment par l’adoption toujours plus grande d’outils de test de charge réseau dans les attaques DDoS fournis par des services en ligne et qui permettent aux attaquants d’inonder leurs cibles de trafic massif par des technologies dites de réflexion. « Parce que la grande majorité de ces sites sont utilisés sur la base d’un abonnement et permettent habituellement seulement des attaques de 20 à 60 minutes, leur utilisation a diminué la durée moyenne des attaques ,» explique le rapport. Que ce soit DNS, Chargen (Character Generator Protocol), UDP ou SNMP, la plupart des services IP ont vu leur trafic augmenter dans le cadre des attaques (respectivement de 92%, 52%, 20% et 57%). Les méthodes d’attaques DDoS multivectoriels (qui utilisent plusieurs outils simultanément) sont désormais utilisées dans 66% des cas (dont 35% à deux vecteurs et 13% à trois vecteurs).
Depuis le 2e trimestre 2014, les sites de jeux en ligne restent la première cible des attaquants. Particulièrement au cours de ce trimestre où ils concentrent 54% des charges. L’industrie IT (notamment les fournisseurs de Saas et particulièrement les services de messagerie instantanée) sont prisées par les acteurs malveillants à hauteur de 23%, un léger mieux en regard des 25% précédents. Mais le nombre des assauts est en croissance, note Akamai. Suivent les services financiers (7%), les média et divertissements (5%), Internet et les télécoms (4% mais à travers les sites hébergés par les fournisseurs), le commerce en ligne (3%), l’éducation (3%) et le secteur public (1%). Mais sur les attaques d’applications, le retail revient en première ligne (dans plus de 58% des cas).
La Chine, premier lanceur de DDoS
Plus d’un quart (27,6%) de ces attaques proviennent de Chine (ce qui ne signifie pas nécessairement qu’elles sont opérées depuis ce pays). Précédemment deuxième, l’Empire du milieu détrône le Royaume-Uni qui tombe à la 9e position. Surprise, la Turquie arrive ce trimestre en 2e place des régions les plus agressives avec 22% des attaques. « La hausse du trafic des attaques de la Turquie était due à un événement impliquant l’utilisation illégitime d’un site générateur de revenus affilié protégé par Akamai », justifie néanmoins le CDN. Les Etats-Unis restent en 3e position (15% des attaques) mais en première sur les charge contre les applications web (56%). Sur ce point, la France arrive en 5e place avec 6% des attaques d’applications web derrière le Brésil (8%), la Russie (7%), les Pays-Bas (7%) et devant la Chine (5%). En revanche, l’Hexagone n’entre pas dans le classement des 10 premiers pays visés par les attaques d’applications largement dominé par les Etats-Unis (77% à eux seuls) et alors que nos voisins britanniques (4%), allemands (3%) et néerlandais (2%) y figurent. Sommes-nous à ce point si peu attractifs aux yeux des pirates ?
Lire également 12% des attaques DDoS menées par des concurrents Sécurité : les DDoS applicatifs montent en puissance Attaques DDoS : bluffer suffit pour bien gagner Crédit Photo : Lightspring-Shutterstock
Télégrammes : Tim Cook en Chine; 6 failles OpenSSL; Prédire les cyber-attaques; Google et Honeywell accordent leurs thermostats
Tim Cook en Chine pour sauver Apple. Tim Cook, le patron d’Apple, programme un déplacement en Chine dans le courant du mois, croit savoir Reuters. Le patron d’Apple prévoit d’y rencontrer des officiels de hauts rangs du gouvernement chinois. Pour quelle raison ? Difficile à dire mais, si ce n’est certes pas son premier voyage à Pékin, ce nouveau déplacement interviendrait alors que les ventes d’iPhone de la firme de Cupertino sont en perte de vitesse. Notamment en Chine, alors que la région est appelée à devenir le premier marché pour les smartphones devant les Etats-Unis. Apple y est par ailleurs confronté à des conflits de marque et la suspension de certains services en ligne, notamment les ventes de films et livres. Par-dessus, l’attitude de la firme qui a refusé de coopérer avec le FBI dans l’affaire du déverrouillage de l’iPhone 5c de la tuerie de San Bernadino n’est certainement pas du goût des autorités chinoises qui réclament d’ailleurs depuis deux ans le code source d’iOS, en vain jusqu’à présent. Bref, les sujets concernant la firme à la pomme ne manquent pas. Reste à savoir ce que Tim Cook pourra obtenir d’un gouvernement qui cherche plutôt à s’émanciper des technologies informatiques étrangères. OpenSSL victime de 6 nouvelles failles de sécurité. OpenSSL, la librairie d’outils de chiffrement, est de nouveaux victime de 6 nouvelles failles de sécurité dont 2 jugées critiques (High severity). La première de ces deux vulnérabilités, la CVE-2016-2107 permet une attaque de type homme-du-milieu visant à exploiter la faille« Padding Oracle » pour déchiffrer un trafic HTTPS utilisant une connextion AES-CBC avec un serveur AES-NI. L’autre vulnérabilité critique, CVE-2016-2018, est liée à une corruption de la mémoire dans le standard d’encodage/décodage ASN.1 d’OpenSSL qui permet à un attaquant d’exécuter du code malveillant sur un serveur distant. Autant de failles à combler au plus vite dont on retrouve les détails sur le bulletin de sécurité d’OpenSSL. Les Etats-Unis veulent cibler les pirates à coup sûr. La NSA, on le sait, collecte un nombre incalculable d’informations puisées des communications passées sur l’ensemble du globe. Mais l’agence de sécurité américaine est aujourd’hui relativement incapable de les traiter à la volée pour repérer les éventuelles cyber-attaques en cours, voire en préparation. Prédire les prochaines attaques des hackers est l’objectif que vise aujourd’hui le Pentagon. La DARPA (Defense Advanced Projects Agency) lance le programme Enhanced Attribution en direction des chercheurs en sécurité qui pourraient aider l’agence américaine à développer des algorithmes notamment capables « d’élaborer des profils comportementaux prédictifs dans le cadre de cyber-campagnes ». Au total, 5 projets sont proposés pour développer des techniques et outils pour générer des informations pertinentes permettant de déceler les futures cyber-attaques. Des données que l’agence de recherche militaire entend partager avec les victimes potentielles pour contrer les attaques. Les candidats intéressés peuvent déposer leur dossier jusqu’au 7 juin. Google réchauffe ses relations avec Honeywell. Google, ou plutôt sa maison mère Alphabet, et Honeywell ont mis fin à leur litige juridique. Un conflit qui remonte à 4 ans et concernait Nest, la start-up spécialisée en thermostats connectés, avant son rachat pour 3,2 milliards de dollars par Google en 2014. Honeywell, également constructeur de thermostats dotés d’intelligence artificielle, accusait Nest d’avoir violé 7 de ses brevets déposés à l’USPTO et poursuivait son concurrent devant les tribunaux. Nest avait contesté la validité des dits brevets. En 2012, la procédure judiciaire avait été interrompue après que l’USPTO ait accepté de réexaminer 5 des 7 brevets litigieux. L’accord, probablement financier mais dont les termes n’ont pas été dévoilés, trouvé entre Google et Honeywell met fin aux poursuites judiciaires.
La France incite ses étudiants à devenir réservistes cyber
La cyberdéfense française veut inciter un plus grand nombre d’ingénieurs et étudiants en informatique à devenir réservistes « cyber ». Dans le cadre d’une réserve opérationnelle, certains d’entre eux pourront être appelés en renfort en cas d’attaques informatiques menées par des groupes criminels, des pirates ou des forces armées étrangères, contre la France, ses sites stratégiques et ses opérateurs d’importance vitale (OIV), rapporte Le Point. Il s’agit donc à la fois de soutenir l’action des unités de cyberdéfense, et d’impliquer les talents de la société civile.
Dans ce but, la Réserve citoyenne cyberdéfense (RCC), premier réseau spécialisé de réservistes cyber, a été créée il y deux ans. Cette réserve de citoyens, ou« collaborateurs bénévoles du service public », compte à l’heure actuelle 150 membres, essentiellement des chercheurs et des enseignants chargés de sensibiliser les PME-PMI. Ils sont répartis en 7 groupes de travail et 8 équipes régionales.
Un réseau d’experts pour la cyberdéfense
Les actions de la RCC vont de l’organisation d’événements à la réalisation de travaux de réflexion ou de sensibilisation aux enjeux de cyberdéfense (du Symposium académique de recherche en cyberdéfense au défi « Ma thèse 3.0 » auquel peuvent encore participer des doctorants et post- doctorants, comme l’indique la RCC sur son compte Facebook et sur Twitter).
La Réserve citoyenne cyberdéfense est présidée par Luc-François Salvador, en collaboration avec le vice-amiral Arnaud Coustilliere, officier général à la cyberdéfense. La RCC travaille également en lien avec la Direction générale de la gendarmerie nationale (DGGN), l’Agence nationale de sécurité des systèmes d’information (ANSSI) et la Direction générale de l’armement (DGA). Alors que l’action de la RCC se limite aujourd’hui à de la sensibilisation et de l’information, la réserve opérationnelle mise en place progressivement pourra intervenir en cas de cyberattaque d’ampleur contre la France.
Comme l’avait annoncé en janvier Jean-Marc Todeschini, secrétaire d’État chargé des Anciens Combattants, lors du Forum International de la Cybersécurité (FIC), l’objectif affiché par le ministère de la Défense est de dépasser les 4 000 réservistes cyber en 2019, dont 500 dès 2016.
Lire aussi :
FIC 2016 : moins d’uniformes, plus de business
Assises de la sécurité 2015 : L’Anssi couve les OIV crédit photo © ronstik / shutterstock.com
Cyber-sécurité du nucléaire : où en est-on ? (Tribune)
Si l’Agence Internationale de l’Energie Atomique (AIEA), créée en 1957 sous l’égide de l’ONU, encourage et facilite le développement de l’énergie atomique à des fins pacifiques, elle favorise aussi la recherche et se préoccupe depuis quelques années de cyber-sécurité. L’organisation a ainsi pour objectif de fournir aux Etats des conseils et des ressources pour détecter et répondre aux cyber-attaques, ciblant ou impliquant une infrastructure ou une activité se rattachant au nucléaire.
Dans ce cadre, l’AIEA a organisé en juin 2015, la 1ère Conférence internationale « Cyber-sécurité en environnement atomique », rassemblant des spécialistes du monde entier, dont une équipe de chercheurs de Trend Micro. Ceux-ci y apportent leur expertise et des réponses concrètes aux questions spécifiques des constructeurs et opérateurs du domaine nucléaire venant d’une centaine de pays. Ces échanges désormais réguliers entre experts permettront d’intensifier la coopération internationale dans ce domaine et d’anticiper les problématiques à venir (1).
Vers une stratégie mondiale de cyber-sécurité ?
Le rapport 2016 sur les risques mondiaux du Forum économique mondial de Davos (WEF) analyse la nature des risques dans tous les domaines, de l’environnement à la géopolitique, en passant par la vie sociale ou les technologies. Cette année, la hiérarchie des risques a bougé : les cyber- attaques, le plus important danger pour le monde des affaires, figurent désormais dans le quart le plus élevé du Quadrant magique des risques majeurs identifiés. Elles n’épargnent personne, visant indifféremment entreprises, administrations et organismes de tous types, quel que soit leur pays.
Depuis 28 ans, la cyber-sécurité est le sujet de prédilection de Trend Micro(2) qui, outre son rôle d’expert dans le secteur IT traditionnel, devient un interlocuteur reconnu par des acteurs industriels et scientifiques de premier plan, comme l’AIEA. Ainsi doit-il en être pour des organismes de recherche comme le CEA ou administrations en charge de problématiques sensibles comme le ministère de la Santé, le nucléaire civil touchant des domaines d’activités très variés.
Le secteur de l’énergie nucléaire : une cible claire
« Les risques de cyber-attaques contre les centrales nucléaires se multiplient », titrait Le Monde le 6 octobre dernier. Ces risques augmentent avec la numérisation croissante de l’industrie nucléaire qui offre de nouvelles portes d’entrée aux attaquants. Hacktivistes, services secrets, mafieux ou terroristes tentent de voler des informations, de monnayer leurs intrusions dans le système d’information d’une centrale ou d’exercer un chantage pouvant toucher des franges entières de la population. L’organisation Etat islamique Daech ou n’importe quel groupe terroriste peut envisager les pires cyber-attentats.
Le manque de maturité dans la chaîne cyber peut toucher à la catastrophe. C’est ce qui est arrivé au Korea Hydro and Nuclear Power (KHNP), récemment victime d’une cyber-attaque. Les données personnelles de près de 11 000 employés et des plans de réacteurs et de leurs circuits de refroidissement ont partiellement été diffusés par les pirates sur des portails sud-coréens et sur Twitter. Les pirates ont ensuite menacé de divulguer d’autres informations si les réacteurs de deux centrales coréennes n’étaient pas arrêtés. A mettre en perspective avec lesrécentes attaques contre l’Ukraine…
Le large faisceau de l’écosystème nucléaire civil
Le nucléaire civil recouvre des techniques et des industries très différentes, de l’électricité à la médecine nucléaire. L’environnement nucléaire élargi, c’est aussi le domaine de la santé. Le secteur utilise de nombreux dispositifs possédant leur « source » pour des techniques d’imagerie souvent essentielles au diagnostic médical. A cela s’ajoute évidemment le traitement de certains cancers par radiothérapie. Dans ces domaines, la conservation et l’intégrité des données sont essentielles. La perte ou l’altération des dossiers des malades serait catastrophique pour la suite de leur traitement, sans préjuger des répercussions sur leur vie privée en cas de divulgation à des tiers. Face au risque d’attaque avec remise à zéro des matériels d’un centre de médecine nucléaire, la volonté affirmée du ministère de la santé d’équiper tous les sites sensibles de la protection et des systèmes de contrôle adéquats était devenue indispensable. Sur un autre front, la récente prise en otage des systèmes informatiques duHollywood Presbyterian Medical Center en Californie, conforte le bien-fondé d’une telle décision. Il s’agirait du quatrième établissement médical américain victime d’un ransomware ces derniers mois. Lutter d’abord avec de bonnes pratiques
Une étude de l’ICS-CERT indique une augmentation régulière des cyber-intrusions dans les systèmes industriels américains. Pour les systèmes de contrôle industriel (ICS), « la question n’est pas de savoir si une intrusion va avoir lieu, mais quand ». En 2015, 295 incidents ont été signalés à l’ICS- CERT, mais beaucoup d’autres n’ont pas été mentionnés, ni même détectés. On peut penser qu’il en est (au moins) de même dans les pays d’Europe où l’obligation déclarative est moins forte qu’aux Etats-Unis.
Dans son récent guide de bonnes pratiques (“Seven steps to effectively defend industrial control systems”), l’ICS-CERT insiste sur la mise en place d’Application White Listings (AWL). Ces logiciels simples permettent de contrôler que les tâches qui s’exécutent sont autorisées, et elles seules. D’autres outils de contrôle mobiles et souples existent pour les unités isolées. On évite ou empêche ainsi l’installation de malware qui détourneraient certains appareils de leurs fonctions(3). Le même constat a été fait par l’ICS-CERT quant à l’Ukraine : AWL !
Attention toutefois, les acteurs traditionnels de la sécurité IT (Information Technology) ne disposent pas de l’expertise, de l’exigence et de la R&D particulière nécessaires àOT l’ (Operational Technology) ; Trend Micro, présent auControl Systems Security Center de Sendai créé par le gouvernement japonais après le tsunami de Fukushima, est pour sa part en première ligne.
L’alerte est désormais donnée au plus haut niveau
Pour le vice-amiral Michael S. Rogers, à la tête de laNSA (National Security Agency), les infrastructures industrielles sont exposées à un grave danger. Son avis rejoint celui émis par le gouvernement et les instances politiques en France, toutes tendances confondues. La Loi de Programmation Militaire (LPM) qui prévoit les dispositions de sécurité nationale, préconise le renforcement de la sécurité des systèmes d’information des Opérateurs d’Importance Vitale (OIV). Présentée en octobre dernier par le Premier ministre, laStratégie nationale pour la sécurité du numérique exprime la volonté de mise en place de moyens immédiats et sur le long terme, notamment par la consolidation de la sécurité des infrastructures vitales. Le document affirme queces « cyberattaques sont susceptibles de désorganiser les activités vitales de notre pays, de déstabiliser les entreprises, de vampiriser leurs savoir-faire… » Les OIV doivent ainsi mettre en place des audits et des méthodes de contrôle et de protection de l’ensemble de leurs outils informatiques (IT et OT), connectés ou non.
Dans ces différents domaines, pour protéger données, matériels et potentiellement vies humaines, il convient donc de s’appuyer sur des spécialistes compétents, depuis longtemps partenaires des instances de sécurité industrielles voire nucléaires, disposant ainsi de solutions éprouvées et fiables, au cœur du sujet.
Tribune rédigée par Loïc Guézo,CyberSecurity Strategist SEUR Trend Micro, et membre de l’ARCSI (Association des Réservistes du Chiffre et de la Sécurité de l’Information)
1. A l’image des coopérations policières existantes: partenaire historique d’Interpol, Trend Micro travaille également avec Europol en Europe et avec la nouvelle Sous-Direction de Lutte contre la Cybercriminalité de la DCPJ en France. 2. Trend Micro participe à des groupes de travail ad’hoc au sein duClusif ou du CESIN par exemple, en France, pour la définition des bonnes pratiques, en lien direct avec les professionnels concernés. 3. Trend Micro va dans le sens préconisé par l’ICS-CERT et les recommandations de l’ANSSI avec la création de saclé de sécurité simple à utiliser par des non-spécialistes, connectable sur tout type de serveur ou de PC industriel, ainsi que son système de verrouillage industriel (AWL).
Télégrammes : GFI qatari, Reddit mobile, Lumière sur le Dark Web, Swift intéresse Google
GFI : Mannai contrôle 25 % du capital. Dans un communiqué, la SSII française GFI indique que le groupe qatari Mannai a acquis 25 % de son capital auprès d’Apax, d’Altamir et de Boussard & Gavaudan. Soit quelque 16,7 millions d’actions au prix unitaire de 8,5 euros. Ce qui valorise GFI aux environs de 570 millions. A l’issue de ce qui n’est quela première étape de la prise de contrôle de Mannai, la groupe qatari va déposer une offre publique d’achat, à l’attention des actionnaires minoritaires, portant sur les actions, à un prix unitaire de 8,50 €, et sur les acquisitions d’actions remboursables (ou BSAAR), au tarif de 4,66 euros l’une. A l’issue de l’offre publique, la groupe qatari va acquérir auprès d’Apax France, d’Altamir et de Boussard & Gavaudan un nombre d’actions complémentaires lui permettant de détenir 51 % du capital et des droits de vote de GFI. Rappelons que le rachat de GFI par Mannai est une opération amicale, approuvée par le conseil d’administration de la SSII. En 2015, GFI a réalisé un chiffre d’affaires de 894 millions d’euros (11 % de croissance), pour un bénéfice de 22 millions. La société emploie 11 800 personnes. Reddit arrive sur mobile. Les applications iOS et Android (dont une bêta de la déclinaison Android avait été lancée plus tôt dans l’année) officielles de la plateforme communautaire Reddit sont enfin là, souligne ITespresso.fr. Ou pour le moins en cours de déploiement. Jusqu’à présent, Reddit proposait uniquement Alien Blue sur iOS (iPhone, iPad et iPod Touch), une application très populaire développée par Jason Morrissey, un développeur indépendant. Pour autant, le site communautaire a décidé de ne pas continuer avec Alien Blue en raison de limites techniques et de repartir de zéro pour la création des apps mobiles. Ces dernières devraient dynamiser l’audience du site qui compte plus de la moitié des utilisateurs sur smartphone. Seulement 30 000 sites sur le Dark Web. L’entreprise européenne Intelliagg et son homologue aémaricaine Darksum se sont penchées sur le Dark Web, la partie du web non référencée par les moteurs de recherche traditionnels et pointée du doigt pour héberger nombre de contenus et services illégaux. Le résultat de leur recherche est surprenant. Il n’y aurait que 29 532 sites en .onion (l’extension des sites du réseau anonyme Tor). Un chiffre bien éloigné des estimations précédentes et, dans tous les cas, des millions de sites « légitimes » qui peuplent la Toile. Néanmoins, les chercheurs précisent que nombre de sites qui apparaissent sur Tor ont des durées de vie très limitée et disparaissent tout aussi vite et que l’on peut soupçonner d’être utilisés dans le cadre de campagnes d’attaques informatiques. Ainsi, la moitié (54%) des 30 000 sites découverts ont disparu le temps de dresser la carte. L’étude nous apprend également que 76% des sites sont en anglais, 4% en Allemand et 3,7% en chinois. Les autres langages représentent moins de 3% des sites. Enfin, une analyse manuelle des sites accessibles révèle que 68% des contenus qu’ils hébergent sont considérés comme illégaux selon les lois anglo-saxonnes. Google louche sur Swift pour remplacer Java. Google envisagerait d’utiliser Swift comme langage de « première classe » pour Android, rapporte The Next Web. Autrement dit, remplacer Java par le langage d’Apple pour motoriser son OS mobile. Un choix qui serait motivé par les poursuites incessantes d’Oracle qui accuse Google de violation de brevets sur Java. De plus, Apple a basculé Swift sous licence Open Source en décembre dernier. Ce qui permettra à Mountain View de conserver le modèle ouvert de sa plate- forme. Enfin, Swift est de plus en plus adopté par les développeurs. Néanmoins, pour adopter Swift, Google devra développer son propre moteur d’exécution, et proposer de nouveaux SDK et API. Google n’est pas le seul à s’intéresser à Swift. Facebook et Uber aussi. Les trois entreprises se sont rencontrées à Londres pour en discuter.
Télégrammes : Le Net contre la radicalisation, des aspirateurs-armes, Gneural Network lancé, Claranet se renforce sur AWS
Google, Facebook, Twitter et d’autres s’unissent contre la radicalisation. Après les attentats de novembre 2015, le gouvernement français avait sollicité l’aide des acteurs du web pour lutter contre la radicalisation des individus sur le web. Il semble que les choses avancent, car, selon nos confrères d’Europe 1, une fondation dédiée au sujet verrait le jour « dans les prochaines semaines ». Cette structure pourrait financer des campagnes de diffusion de témoignages de jeunes revenus d’Irak et de Syrie. Une information non confirmée par les différents protagonistes, même si, chez les géants du web, on souligne qu’une approche commune fédérerait les actions à mener. Les acteurs du web veulent aussi travailler en collaboration avec plusieurs associations. Transformer un aspirateur en arme. La DARPA est prête à payer 130 000 dollars pour changer n’importe quel produit quotidien en arme. Four, lave-vaisselle, réfrigérateur ou aspirateur pourraient devenir demain une arme, en les commandant à distance via un smartphone. La DARPA (Defense Advanced Research Projects Agency) vient de lancer un concours en ce sens, avec la clé des récompenses allant de 40 000 $ pour mener une étude de faisabilité, jusqu’à 70 000 $ pour la construction d’un prototype et 20 000 $ pour son évaluation. Les successeurs de « Q » ont jusqu’au 13 avril pour rendre leur copie. L’agence proche du Pentagone choisira alors les meilleures prestations pour laisser ensuite 75 jours aux gagnants pour la réalisation d’un prototype. L’objectif affiché est d’anticiper les idées de l’adversaire en ayant une vision d’inventeur – plus qu’une vision militaire – et en pouvant réaliser ces solutions rapidement (moins de 90 jours).
IA : Gneural Network lancé. La Free Software Foundation veut se faire une place dans l’intelligence artificielle en proposant la version 0.0.1 de Gneural Networks. Elle le définit comme un ensemble GNU pour un réseau neuronal programmable. «Ce réseau sera dynamique capable d’apprendre des tâches très simples comme l’ajustement des courbes », précise GNU Project qui promet un enrichissement du catalogue prochainement. Cette initiative est surtout là pour dénoncer la mainmise des entreprises et des laboratoires sur les technologies d’intelligence artificielle. Même si de plus en plus d’acteurs de l’IT ouvrent leurs algorithmes de Machine Learning. Plusieurs voix se sont élevées pour demander des données – et non des plateformes – afin de se former à l’IA. Dans ce cadre, Yahoo a publié 13,5 To de données, un jeu à destination des chercheurs et développeurs.
Claranet renforce son expertise sur AWS. L’hébergeur britannique Claranet se porte acquéreur de son compatriote Bashton Limited, une société de services créée en 2004 et spécialisée dans le Devops et les services managés sur AWS, le Cloud d’Amazon. Bashton réalise un chiffre d’affaires modeste de 1,5 million d’euros par an. Ce nouveau rachat suit ceux dufrancilien Morea et de Celingest en Espagne, deux autres spécialistes de la gestion d’applications sur AWS. Claranet (228 millions d’euros de chiffre d’affaires annuel, plus de 1 000 employés) s’est aussi récemment porté acquéreur d’Aspaway, un spécialiste français du Saas qui a, de son côté, négocié le virage du Cloud grâce à un partenariat avec IBM SoftLayer.
Télégrammes : la Norvège accuse la Chine, anti-DDoS gratuit, Dell-EMC : le oui de l’UE
La Norvège accuse la Chine de vol de secrets militaires. Le procédé est suffisamment inhabituel pour être souligné : le lieutenant-général Morten Haga Lunde, responsable d’une agence de renseignement norvégienne (E-tjenesten), accuse officiellement la Chine d’avoir dérobé des informations à des entreprises de son pays. Selon le militaire, les cyberespions chinois ont récupéré des données sur des technologies militaires norvégiennes, informations qui ont été exploitées par l’industrie chinoise. La Norvège occupe une position géostratégique importante (du fait de sa production pétrolière notamment) et est membre de l’OTAN.
Google offre gratuitement l’anti-DDoS. Annoncé pour la première fois en 2013, Project Shield voit officiellement le jour : cet outil visant à contrer les attaques par déni de service (DDoS) est offert gratuitement par Google. Visant avant tout à protéger média et ONG, ce service exploite les infrastructures du groupe de Mountain View. Google précise que son outil n’acceptera pas les entreprises privées (hors du secteur des média) et les blogs individuels. Pour bénéficier du service, les sites doivent donner à Google un accès aux données détaillées relatives à leur trafic.
Dell-EMC : feu vert de l’UE. L’Union européenne donne son feu vert au rachat d’EMC par Dell, une acquisition monstre pour laquelle le Texan doit débourser pas moins de 67 milliards de dollars. Cette opération, la plus importante jamais réalisée dans l’IT, a été dévoilée en octobre dernier. La semaine dernière, la commission du commerce américaine (Federal Trade Commission) a elle aussi validé l’opération. Le rachat d’EMC, qui devrait être effectif à l’automne 2016, reste conditionné à l’approbation de ses actionnaires et à lacapacité de Dell de réunir la somme promise. Pour y parvenir, le constructeur texan n’hésite pas à vendre certaines de ses filiales.