Srizbi



[Gregor Seither – 20/11/2008]

Les services informatiques de l’Armée US sont attaqués depuis plus d’une semaine par un ver informatique, qui se propage très rapidement sur les différents serveurs du Pentagone et du DoD ainsi que les unités opérationnelles, y compris dans les bases en Irak, à Doha ou dans l’Océan Indien.

Afin d’endiguer la propagation de ce ver, l’état major de l’armée US a formellement interdit l’utilisation de clés-USB, de CD-R, de cartes mémoire et de tout autre support de stockage externe… « depuis le disque dur externe et les CD jusqu’aux disquettes (sic) et cartes compact-flash ». Des scripts sont activés toutes les deux heures sur les systèmes centraux afin de détecter une éventuelle nouvelle infection.

Une note a été diffusée à l’ensemble du personnel, lui ordonnant de cesser immédiatement toute utilisation de supports de stockage USB, tant que ce support n’aura pas été examiné de manière appropriée et déterminé comme étant libre de tout programme néfaste (malware). La note précise que, dans certains cas exceptionnels, pour des raisons de service, certains supports seront à nouveau autorisés à se connecter. “Mais à partir de maintenant tout appareil personnel ou non authorisé sera strictement interdit en connexion sur n’importe quel appareil appartenant au parc informatique de l’armée » précise la note.

La menace d’infection virale via des supports amovibles avait reculé ces dernières années, remplacée par des programmes néfastes utilisant Internet pour leur diffusion. Mais avec la prolifération des supports externes comme les clés-USB, les statistiques montrent que les infections par le biais de ces supports sont en augmentation constante. En 2008, le nombre de détection de ces infections a augmenté de 10%.


[Bruno Kerouanton – 23/05/2008]

Ce billet est sans doute polémique. Je ne cherche pas à provoquer, mais il y a quand même des points sur lesquels j’ai des inquiétudes et qui méritent réflexion. Par coïncidence, la semaine dernière – une fois n’est pas coutume – je me suis retrouvé à regarder la télévision en pleine nuit, ne souhaitant pas dormir. Me voilà donc devant Arte à 1h30 du matin, face à une émission fort intéressante traitant avec force détails la raison pour laquelle peu de personnes même brillantes n’ont pas vu venir la seconde guerre mondiale, malgré ce que son instigateur avait pourtant marqué noir sur blanc. Tout était écrit… Mais vu que cet ouvrage est censuré dans de nombreux pays, difficile pour les historiens et les prospectivistes de faire correctement leur travail. De plus la veille j’avais vu l’excellent film La vie des autres, une histoire de la Stasi et de ses conséquences, ce qui a contribué à renforcer mon ressentiment.

La vision de ce documentaire ne m’a pas laissé indifférent, puisque je venais le soir même de prendre connaissance puis de lire en détail les différents appels d’offres de l’armée américaine concernant leur nouvel armageddon numérique, j’en parle plus loin. Je me risque en tout cas ici à faire un parallèle pouvant être discuté et critiqué : Le réarmement massif de Berlin en 1936 a laissé beaucoup de monde indifférent. Et pourtant de nombreux pays se réarment en ce moment – ce qui ne semble manifestement pas être le cas de la France, soit dit en passant. Tout comme la Chine qui connaît un accroissement phénoménal de ses forces armées depuis quelques années et qui inquiète sincèrement Washington depuis 2007, l’armée américaine continue à s’équiper en technologies de toutes nature.

Sur le plan qui m’intéresse plus particulièrement, à savoir la guerre numérique, les travaux de recherche et d’équipement vont bon train. Le Pentagone avait déjà créé en 2006 une branche de son armée de l’air spécialisée dans les combats numériques, le Cyber-Command, mais depuis peu les chantiers avancent à grand pas. Tiens, vous pouvez même directement aller zieuter leur site pour juger.

En tout cas, quatre évènement ont défrayé la chronique ces dernières semaines : La déclaration du secrétaire du Homeland Security Department au sujet du projet Cyber-Manhattan, un article paru dans la presse militaire faisant état du souhait de l’armée américaine de s’équiper d’un botnet militaire, un appel d’offres concernant l’étude et la mise en place d’une telle arme, et un second appel d’offres concernant la mise en place d’un simulateur de batailles numériques Internet. (suite…)


Le fournisseur d’accès BT espionne ses clients pour mieux les cibler

[CNET France – 07/04/2008]

The Register vient de révéler que British Telecom aurait installé un spyware chez 18 000 de ses clients Internet afin de mieux cibler leurs habitudes de consommation et augmenter ainsi le prix de la publicité facturée aux annonceurs.

L’affaire remonte à 2006 et concernerait 18 000 clients à l’Internet haut débit de l’opérateur historique britannique. Celui-ci aurait installé un spyware mis au point par la société Phorm, afin d’épier leurs habitude sur Internet et de mieux cibler leurs sujets d’intérêts. Des données personnelles qui auraient permis à British Telecom (BT) de vendre plus cher la publicité à certains annonceurs en leur promettant un ciblage tout particulier. Mais obtenue sans le consentement des intéressés, cette manoeuvre est illégale en droit britannique.

BT se défend en argumentant sur le fait que ces données personnelles n’ont pas été conservées ni associées à des adresses physiques ou à des noms d’abonnés. Du côté de Phorm, on va même plus loin, en indiquant au site The Register, qui a révélé l’affaire, que « leur technologie améliore la confidentialité en ligne ». Virgin Media et Carphone Warehouse, deux autres FAI britanniques, ont eux aussi des partenariats avec Phorm.

En France, le projet de loi gouvernemental de lutte contre la cybercriminalité, dévoilé en février dernier, contient certaines dispositions permettant à la police d’effectuer des « cyberperquisitions » via un logiciel de prise de contrôle à distance ou d’utiliser des spywares pour surveiller certains ordinateurs, à la manière des célèbres écoutes téléphoniques.

http://www.cnetfrance.fr/news/internet/le-fournisseur-d-acces-bt-espionne-ses-clients-pour-mieux-les-cibler-39380254.htm


Hacking : le malware se cache dans les pages de recherche

[PCWorld 14/03/2008]

Selon des chercheurs en sécurité, un nouveau type d’attaque se développe depuis une semaine sur le Web. Les hackers utilisent une nouvelle technique de scam basée sur des iFrame positionnés dans des milliers de pages Web. Objectif : rediriger les internautes vers des sites conduisant à l’installation de malware, afin de prendre le contrôle des machines.

Selon le chercheur bulgare spécialisé dans la sécurité informatique, Dancho Danchev (voir son blog pour de plus amples informations), l’attaque s’est encore amplifiée ces derniers jours. Le chercheur répertorie ainsi 20 sites, dont celui de la bibliothèque de l’université de Caroline du Nord ou plusieurs sites gouvernementaux américains (dont le programme de Medicare), qui ensemble renferment plus de 400 000 iFrame injectés par les pirates. L’analyse de Danchev est confirmée par Ben Greenbaum, de Symantec.

Concrétement, les pirates utilisent les résultats de recherche sauvegardés par les sites pour insérer des iFrame, certainement à l’aide d’un outil automatisant le travail. Ces iFrame redirigent les internautes vers un second site, qui affiche alors une fenêtre demandant l’installation d’un nouveau codec (voir ci-contre, un exemple). Accepter l’opération amène l’internaute vers un troisième site, qui héberge le malware à installer sur le PC de la victime. Il s’agit d’une variation du troyen Zlob.

« Cette tactique, basée sur l’exploitation des récents résultats de recherche, est nouvelle, explique Ben Greenbaum. Mais éviter le piège s’avère assez aisé ». Il suffit par exemple à l’internaute de refuser l’installation du codec pour la battre en brèche. Les webmestres des sites peuvent eux mettre fin à l’attaque tout simplement en empêchant la mise en mémoire cache des précédents résultats de recherche.

http://www.pcworld.fr/lire/breves/3591/1/hacking-malware-cache-dans-les-pages-recherche/


Pour les services secrets de l’Oncle Sam vos ordinateurs sont des portes ouvertes.
[Zataz – 27/12/2007]
Le célèbre site Cryptome(1) vient de frapper un nouveau coup. Le site, spécialisé dans les documents traitant des services secrets, vient d’indiquer que la National Security Agency, le service de contre-espionnage Américain, aurait acquis des possibilités d’outre-passer les protections mises en place par des éditeurs de solutions de sécurité informatique. Cryptome vise très clairement McAfee, Symantec ou encore Zone Alarm. La NSA passerait par les ports IP/TCP 1024 à 1030 sans que les firewalls, des options censées protéger de toutes intrusions un ordinateur, n’indiquent aux propriétaires des machines piégées la visite des espions de l’Oncle Sam.

Cryptome enfonce le clou en indiquant que Hushmail, Safe-mail.net et Guardster.com, des sites permettant d’envoyer des courriers chiffrés, donc normalement illisibles, seraient eux aussi piégés par le NSA “Certains services d’hébergement de courriels privés et/ou par session SSL ont été achetés ou leur contrôle opérationnel modifié par la NSA et ses affiliés ces derniers mois, par le biais d’entités intermédiaires privées”. Guardster demande des preuves et hurle à la conspiration.

Pour le cas de Hushmail, nous vous indiquions le 8 novembre dernier(2), comment la société avait fourni à la justice des backups de trois comptes de courriers électroniques appartenant à un chinois vendeur de médicaments. Des backups prouvant que Husmail possédait bien des sauvegardes non chiffrés des courriers envoyés par ses clients.

Le 15 novembre(3), nous apprenions que la NSA avait installé des serveurs chez AT&T afin de surveiller le trafic. Des révélations qui n’étonnent plus… surtout à la veille des élections présidentielles américaines.

(1) http://cryptome.org/
(2) http://www.zataz.com/news/15608/
(3) http://www.zataz.com/news/15673/

http://www.zataz.com/news/16039/portes-cach%C3%A9es-dans-firewall-service-secret-NSA.html


[Le Monde Informatique 22/11/2007]
Conçus pour inspecter nos courriers électroniques, analyser notre navigation sur le Web et de manière générale espionner tous les fichiers à la recherche du moindre indice qui laisserait entendre qu’on est victime d’une attaque, les anti-virus pourraient être la porte par laquelle entreraient les virus… C’est du moins les conclusions d’une enquête menée par la société de conseil allemande n.runs AG, spécialisée notamment dans la sécurité.

D’après Thierry Zoller, consultant en sécurité de n.runs AG, les entreprises qui essaient de renforcer leur sécurité en multipliant les anti-virus ne font en fait qu’accroître les risques. Son enquête démontrerait en effet que les anti-virus contiennent des ‘parseurs’ (ou analyseurs de code), programmes indispensables pour ouvrir des fichiers de format, susceptibles de comporter des bugs, lesquels pourraient être facilement exploités par des programmes malveillants.

Menée sur deux ans, l’enquête aurait démontré que la majorité des grands acteurs du marché de l’anti-virus sont touchés par ces bugs, Thierry Zoller affirmant avoir trouvé plus de 80 bugs différents dans les parseurs des logiciels d’anti-virus qui n’ont pas été corrigés. La plupart de ces bugs autoriserait l’exécution de code malveillant sur un système.

http://www.lemondeinformatique.fr/actualites/lire-les-antivirus-aussi-vulnerables-que-les-logiciels-qu-ils-protegent-24656.html


Piratage : la guerre des gangs fait rage
[Silicon.fr – 2 juil. 2007 ]
Dans le jargon mafieux on ne dit plus « désosser l’ennemi », mais , « Ddosser l’ennemi… »

Des groupes organisés se livrent une véritable guerre en ligne, d’un coté il y a l’équipe pro-Srizbi de l’autre, celle des pro-Storm Worm.

Mafia, gang, quand « les Soprano’s » débarquent sur le Net, les pistolets ne sont pas loin. Des chercheurs en sécurité viennent de découvrir la preuve de l’existence d’une cyberguerre entre des groupes de pirates. Cette bisbille serait liée à l’une des boîtes à outils malware les plus sophistiquées du moment : MPack

Plutôt que de se tirer dessus pour la prise de pouvoir d’un quartier, ou pour l’obtention d’un chantier de plusieurs millions, ces gangs d’un genre nouveau se battent comme des chiffonniers pour prendre le contrôle de milliers de machines zombies qui sont administrés à distance par l’intermédiaire d’un réseau botnet. Autant dire qu’il ne fait pas bon être pirate indépendant, car la mafia recrute, de gré comme de force…

http://www.silicon.fr/fr/silicon/news/2007/07/02/piratage-guerre-gangs-rage