Archives de catégorie : backdoor

backdoor, Cybersécurité, Espionnae, Fuite de données, Leak, Propriété Industrielle

Le Groupement des Industries Françaises Aéronautiques et Spatiales attaqué

Depuis plus de trois semaines, des pirates informatiques louchent sur des données militaires appartenant à des sociétés américaines et Françaises. D’après la société WebSense, dans la liste des sites visés, celui du Groupement des Industries Françaises Aéronautiques et Spatiales (GIFAS). Les pirates, une nouvelle fois des Chinois sont montrés du doigt, auraient exploité un 0Day [CVE-2014-0322  – faille non publique, ndr] visant Internet Explorer 9 et 10.

Les pirates auraient diffusé des courriels ciblés à l’encontre d’employés membre de le GIFAS. Missives électroniques qui incitaient à visiter un site malveillant. Page web, comme le montre notre capture écran, qui  déclenche le téléchargement d’un outil d’espionnage à partir d’une « pixel » flash pirate.

L’url proposé dans le courriel usurpait l’adresse web de l’association : https://www.gifas.asso.fr. Les pirates ayant enregistré gifas.assso.net [assso.net, avec trois S, ndr datasecuritybreach.fr]. La page se fait passer, elle est toujours active, pour l’espace presse du GIFAS.

Finalité de l’attaque, intercepter mots de passe et permettre des accès à des documents sensibles. Les pirates (qui utilisent la même technique que les groupes Deputy Dog et Ephemeral Hydra) ont-ils cherché à connaitre les « contrats »/ »accords » signés entre les USA et le FRANCE lors de la visite du Président de la République Française sur le sol de l’Oncle Sam ? Il faut dire que de nombreux patrons de l’aéronautique française/US (Jean-Paul Herteman, PDG de Safran, David Joyce, PDG de GE Aviation, Jean-Paul Ebanga, PDG de CFM International, …) se sont retrouvés ces derniers jours à Washington.

A noter que Microsoft conseille de passer à Internet Explorer 11 pour éviter d’être piéger par de vieille faille. Voilà une bonne idée… comme celle de penser à stopper l’utilisation de Windows XP !

backdoor, Chiffrement, cryptage, Logiciels

Qui a encore confiance en RSA Security ?

La National Security Agency, la NSA, aurait payé RSA Security 10 millions de dollars pour affaiblir la sécurité d’un algorithme de chiffrement. Voilà une information passée quelque peu sous silence, à la veille de Noël. Reuters explique (Le New York Times l’avait déjà fait en septembre dernier) que la NSA a fait créer un algorithme plus faible, histoire de le casser sans trop de fatigue. Bref, de quoi permettre aux grandes oreilles de l’Oncle Sam d’écouter, sans se casser la tête. Reuters indique que la société RSA Security, du groupe EMC, était le principal distributeur de ce chiffrement via son kit BSAFE. L’agence de presse affirme que la NSA a versé 10 millions de dollars à RSA pour alléger l’algorithme Dual Elliptic Curve. Pour rappel, le DEC est devenu le paramètre par défaut des boîtes à outils de RSA. Autant dire que les entreprises qui utilisent ce chiffrement, qu’ils ont payé le prix fort, auront apprécié l’humour.

Pour sa défense, RSA explique avoir toujours communiqué sur ses relations avec la NSA. Depuis septembre, RSA invite ses clients à ne plus utiliser l’algorithme DEC. RSA Security explique dans son communiqué de presse n’avoir jamais incorporé de backdoor dans ses produits « nous affirmons aussi catégoriquement n’avoir jamais signé de contrat, ni avoir collaboré à un projet dans l’intention d’affaiblir les produits de RSA« .

Ce même 23 décembre, RSA annonçait une faille dans son générateur de nombre aléatoire. Trois chercheurs (Daniel Genkin, Adi Shamir et Eran Tromer) ont trouvé une méthode de cryptanalyse acoustique. Ils ont ainsi pu casser une clé RSA 4.096 bits en se servant simplement d’un microphone pour écouter le son diffusé par un ordinateur lorsqu’il décrypte un message chiffré.

Il va être intéressant de voir qui va se rendre, comme conférencier, lors des prochaines « RSA Conference 2014« . Le patron de F-Secure et celui d’Atredis Partners ont annulé leur présence en février prochain, à San Francisco.

A noter que le journal Ars Technica a indiqué, il y a peu, que l’opérateur américain AT&T a revendu à la CIA des enregistrements téléphoniques.

 

 

 

 

Argent, backdoor, Cyber-attaque, Fuite de données, Paiement en ligne, Virus

Neverquest, un trojan qui pourrait bien gâcher les fêtes de Noël

L’éditeur de solutions de sécurité informatique Kaspersky Lab vient d’identifier un programme malicieux « capable d’attaquer n’importe quelle banque dans le monde », selon ses créateurs. D’après les experts Kaspersky Lab, plusieurs milliers de tentatives d’infection ont déjà été enregistrées et 28 sites bancaires sont pour le moment concernés, y compris en Allemagne, en Italie et en Turquie. C’est au mois de juillet de cette année que les chercheurs ont découvert l’existence de ce cheval de Troie bancaire après avoir vu une annonce pour la vente d’un nouveau cheval de Troie sur un forum clandestin. Le vendeur le présentait comme un bot privé capable d’attaquer près de 100 banques américaines via l’insertion d’un code dans les pages de leur site pendant le chargement dans différents navigateurs.

Baptisé Neverquest, ce trojan prend en charge pratiquement toutes les techniques connues et utilisées pour passer outre les systèmes de sécurité des banques en ligne : injection Web, accès système à distance, social engineering, etc. Au regard de sa capacité à se dupliquer, une augmentation rapide des attaques Neverquest est à prévoir, avec donc de nombreux préjudices financiers.

Serge Golovanov, expert chez Kaspersky Lab, signale que « ce programme malveillant est relativement récent et les individus malintentionnés ne l’utilisent pas encore à pleine capacité. Les individus malintentionnés peuvent obtenir le nom d’utilisateur et le mot de passe saisis par l’utilisateur et modifier le contenu de la page Internet. Toutes les données que l’utilisateur saisit sur cette page modifiée sont également transmises aux individus malintentionnés.« 

L’argent volé est transféré sur un compte contrôlé par les individus malintentionnés ou, pour brouiller les pistes, sur le compte d’autres victimes. Vu les capacités de Neverquest en terme de diffusion automatique, le nombre d’utilisateurs attaqués pourrait augmenter sensiblement en un bref laps de temps.

backdoor, Cybersécurité, Espionnae, Fuite de données, Leak

Backdoor dans le routeur Tenda

Nous vous expliquions, en octobre, comment une backdoor, une porte cachée donnant accès à l’administration d’un espace informatique, avait été découvert dans plusieurs routeurs de la marque D-Link. Début novembre, nouvelle marque chinoise dans le collimateur avec Tenda.

TTSO a découvert un accès possible et cela via un seul petit paquet UDP. Après extraction du firmware dédié à ce routeur sans fil (Tenda W302R), il a été découvert une possibilité d’écoute des informations. A la différence de D-Link, l’espionnage ne peut se faire qu’en mode réseau local, pas d’exploit à partir du WAN. Ou est donc le problème vont rapidement chantonner les plus pointilleux. L’exploit passe via le réseau mobile. Ce dernier a le WPS activé par défaut, sans aucune limitation de test de mots de passe. Autant dire que le brute forçage de la bête n’est plus qu’un détail. Cette backdoor existe dabs le Tenda W302R, mais aussi dans le Tenda W330R, ainsi que dans le Medialink MWN-WAPR150N.

Il y a un déjà, une étonnante fuite visant Tenda (un ingénieur ?) expliquait comment la porte cachée « MfgThread » fonctionnait. Bref, si vous n’invitez pas la planète sur votre réseau, que le WPS n’est pas activé et que l’utilisation d’un mot de passe digne de ce nom en WPA vous est familier, peu de risque. Il est possible aussi que cette porte cachée soit un oubli d’un codeur local, payé quelques euros, utilisée lors de la fabrication de l’outil et qui n’a pas été effacée.