veille technologique : piratage · veille technologique : piratage page 2 sur 9 les...
TRANSCRIPT
14/03/2014
Veille technologique : piratage
VEILLE TECHNOLOGIQUE : PIRATAGE PAGE 1 SUR 9
Ce document permet le maintien à jour d’informations concernant le piratage informatique.
Une faille zero-day permet de faire crasher
iPhone et iPad indéfiniment
Un bug dans la gestion des connexions SSL fait planter le
système d’Apple. Combiné à des réseaux wifi malveillants,
il permet de mettre à genoux tous les terminaux iOS dans
une zone donnée.
Les chercheurs en sécurité Adi Sharabani et Yai Amit ont dévoilé - à l’occasion de la
conférence RSA 2015 qui se tient actuellement à San Francisco - une faille zero-day dans iOS
8 qui permet de faire crasher le système indéfiniment au travers d’un réseau Wifi malveillant.
Dès que l’appareil tente que rebooter, il plante à nouveau sans que l’utilisateur ne puisse
intervenir directement au niveau des réglages ou des boutons. La seule solution : prendre la
fuite pour ne plus être dans le rayon de couverture dudit réseau Wi-Fi. C’est pourquoi MM.
Sharabini et Amit ont baptisé cette faille « No iOS Zone », car elle permet de faire planter
tous les iPhone et iPad dans une zone donnée.
Cette attaque s’appuie principalement sur un bug dans la gestion du SSL : un pirate envoie un
certificat SSL un peu trafiqué et hop, le système plante. Mais pour en faire quelque chose de
réellement diabolique, les chercheurs ont combiné cette faille à une tactique d’usurpation. Il
suffit que les pirates créent un faux réseau Wi-Fi en utilisant un identifiant SSID générique
qui pourrait susciter des connexions automatiques. Par exemple les réseaux Wi-Fi des
opérateurs, des gares, des chaînes de restauration, etc. Dans ce cas, un terminal iOS configuré
pour se connecter automatiquement qui entre dans la zone d’un tel réseau, va immédiatement
planter en boucle, Source : http://www.01net.com/editorial/652970/une-faille-zero-day-permet-de-faire-crasher-iphone-et-ipad-indefiniment/ Le 22/04/2015
VEILLE TECHNOLOGIQUE : PIRATAGE PAGE 2 SUR 9
Les cyberdjihadistes ont attaqué la chaîne
TV5 Monde dès fin janvier
Pour pénétrer dans le système informatique de la chaîne
francophone, les pirates de l’Etat islamique ont envoyé une
série d’emails vérolés aux journalistes, leur permettant
d’installer un cheval de Troie sur le réseau.
Certains détails de l’enquête sur la cyberattaque jihadiste, dont a été victime TV5 Monde la semaine
dernière, commencent à filtrer. Premier enseignement : l’offensive a bien été préparée de longue
date. Le groupe CyberCaliphate, qui se revendique de l'organisation de l'Etat islamique (EI), a bloqué
le système informatique de la chaîne francophone internationale dans la nuit du 8 au 9 avril,
entraînant une interruption de la diffusion pendant plusieurs heures. Mais en réalité, l'attaque avait
commencé bien plus tôt, avec un mail envoyé fin janvier à l'ensemble des journalistes de la chaîne,
selon la technique classique du « phishing », a-t-on expliqué de sources proches du dossier. Trois
d'entre eux y répondent, permettant aux pirates de pénétrer dans le système de la chaîne par des
logiciels de type « Cheval de Troie ».
En mars, trois semaines avant l'attaque, la deuxième phase de l'offensive est alors lancée : un
malware contamine plusieurs ordinateurs de TV5 Monde, détaille à l'AFP une des sources. Et le 9,
l'offensive proprement dite commence. Pendant plusieurs heures, les serveurs sont attaqués, puis les
réseaux sociaux. « Cette attaque est à la fois simple dans son déclenchement », avec la technique du
phishing qui a permis « de faire pénétrer le ver dans le fruit », et « très sophistiquée dans son
déroulé avec un logiciel compliqué », a expliqué l'autre source proche du dossier. Ce qui a permis son
déclenchement, c'est « comme toujours, une faille humaine au début », a-t-elle poursuivi.
L’origine géographique n’a pas encore pu être déterminée
Il n'est en l'état des investigations pas permis de déterminer l'origine géographique de l'attaque, ni le
nombre de pirates ayant permis de l'organiser, selon une autre source proche du dossier. Il sera
extrêmement difficile aux enquêteurs de remonter à la source de l'offensive. Mais un connaisseur de
la mouvance juge que l'EI dispose des cerveaux capables de la monter. La DGSE (Direction générale
de la sécurité extérieure) et la Défense sont les services disposant des moyens les plus adaptés pour
mener ces investigations informatiques et tenter de remonter de serveur en serveur jusqu'à la
source de l'attaque, a expliqué une source proche du dossier.
URL : http://www.01net.com/editorial/652181/les-cyberdjihadistes-ont-attaque-la-chaine-tv5-monde-des-fin-janvier/
le 14/04/15 à 12h19
VEILLE TECHNOLOGIQUE : PIRATAGE PAGE 3 SUR 9
Hack : un butin revendiqué de 7 millions
d'identifiants Dropbox
Plusieurs centaines d'identifiants fuitent sur le Web. Ils feraient partie d'un piratage massif de
près de 7 millions d'adresses email et mots de passe en clair associés à des comptes Dropbox.
Faux répond ce dernier.
Nouveau cas de piratage massif ? Sur Pastebin, un hacker a publié lundi une liste de 400 noms
d'utilisateur (en l'occurrence des adresses email) et mots de passe en clair qui seraient issus de
la compromission de comptes Dropbox.
Juste un avant-goût puisque l'individu affirme détenir un butin de très exactement 6 937 081
de comptes Dropbox hackés. Il promet des publications ultérieures à mesure que des
donations en Bitcoins afflueront. Qui plus est, il est également question de photos, vidéos et
d'autres types de fichiers en plus des identifiants.
Son appel aux dons n'a pour le moment pas été suivi… une unique transaction à 0,0001
bitcoins. D'autant que Dropbox réfute tout cas de piratage sur ses systèmes.
" Ces noms d'utilisateur et mots de passe ont été dérobés depuis des services tiers, pas
Dropbox. Les attaquants ont utilisé ces identifiants volés pour essayer de se connecter à des
sites, dont Dropbox. Nous avons des mesures en place pour détecter des activités de
connexion suspectes et nous réinitialisons automatiquement les mots de passe lorsque cela
arrive. "
Une mise à jour du billet de blog de Dropbox précise que sur la liste d'identifiants publiés,
aucun d'entre eux n'étaient associés à des comptes Dropbox. Auparavant, Dropbox avait un
discours légèrement différent pour dire que les mots de passe publiés étaient obsolètes.
Cette affaire rappelle celle de la publication de 5 millions d'adresses Gmail et mots de passe
qui a eu un impact sur des comptes WordPress.com. Les services soi-disant hackés ne sont en
fait pas directement concernés mais un risque existe à cause d'une pratique des internautes
consistant à réutiliser de mêmes identifiants pour plusieurs services.
Du moins pour des comptes sensibles, cette pratique est à proscrire. Comme Google et Apple
avec iCloud, Dropbox recommande en outre le recours à la validation en deux étapes.
Le mardi 14 Octobre 2014 à 11:50
Sources :
http://www.generation-nt.com/hack-dropbox-7-millions-identifiants-piratage-mot-passe-actualite-
1907405.html
VEILLE TECHNOLOGIQUE : PIRATAGE PAGE 4 SUR 9
Un mouchard signé Microsoft dans la
version d'essai de Windows 10 ?
Si vous installez la version de test du nouveau système
d’exploitation, l’éditeur se réserve le droit de capter tout
ce que faites sur la machine. Ce n'est pas à proprement
parler un mouchard, mais encore faut-il le savoir.
Les passionnés d’entre vous qui ont téléchargé la version test de Windows 10 (Technical Preview) sur
leur machine vont peut-être le regretter, surtout s’ils ont manipulé des données personnelles. Il faut
savoir, en effet, qu’en installant cette mouture, vous donnez droit à Microsoft de capter à peu près
tout ce que vous faites sur cette machine : les fichiers que vous ouvrez, les mots que vous tapez, les
sites que vous regardez, etc. Tout est soigneusement prélevé et stocké dans les serveurs de
Microsoft.
Mais attention, il ne s’agit pas là d’un programme de surveillance secret, façon NSA. Cette captation
est prévue et décrite dans la « Déclaration de confidentialité pour Windows Technical Preview ».
C’est le texte que l’utilisateur est censé lire avant d’appuyer sur la touche « J’accepte » pour installer
le logiciel. Evidemment, personne ne lit jamais ces tartines de texte, et c’est un tort.
Voici un extrait :
Parmi les données que nous collectons, citons votre nom, votre adresse de messagerie, vos
préférences et centres d’intérêt, l’historique de votre navigation, de vos recherches et de vos
fichiers, les données de vos appels téléphoniques et SMS, les données de configuration des
appareils et des capteurs, ainsi que l’utilisation des applications. Par exemple :
• lorsque vous installez le Programme, nous pouvons collecter des informations sur votre
appareil et vos applications et les utiliser pour déterminer ou améliorer la compatibilité ;
• lorsque vous utilisez des fonctionnalités d’entrée vocale comme la reconnaissance vocale,
nous pouvons collecter des informations vocales et les utiliser pour améliorer le traitement de
la parole ;
• lorsque vous ouvrez un fichier, nous pouvons collecter des informations sur le fichier,
l’application utilisée pour ouvrir le fichier et le temps nécessaire pour l’ouvrir dans le but
d’améliorer les performances ;
• lorsque vous entrez du texte, nous pouvons collecter les caractères tapés et les utiliser pour
améliorer notamment les fonctionnalités de saisie semi-automatique et de vérification
orthographique.
st-ce que c’est scandaleux ? Non, car le but d’une version d'essai est justement de tester le produit,
de voir comment le programme réagit aux manipulations de l’utilisateur, quelles sont les fonctions
les plus utilisées, etc. D’ailleurs, cette « fonctionnalité » de collecte disparaîtra avec la version finale.
Il n’y a donc rien de choquant là-dedans, mais il faut le savoir. Se connecter sur son site bancaire
depuis Windows 10 Technical Preview n’est pas peut-être pas une bonne idée. Non pas qu’il faut
craindre de la part de Microsoft une utilisation frauduleuse de ces données, mais on ne sait pas si
celles-ci sont réellement bien protégées. De ce point de vue, le texte de Microsoft n’est pas
VEILLE TECHNOLOGIQUE : PIRATAGE PAGE 5 SUR 9
franchement rassurant. Pour protéger « des informations hautement confidentielles », l’éditeur
explique utiliser la technologie SSL... Qui n'a pas bonne presse, depuis la découverte de la faille
Heartbleed.
Le 07/10/14 à 17h28
Sources :
http://www.01net.com/editorial/628284/un-keylogger-signe-microsoft-dans-windows-10/
VEILLE TECHNOLOGIQUE : PIRATAGE PAGE 6 SUR 9
Piratage d'Orange: ce qui a été volé, ce que
vous risquez
Les données personnelles de quelque 800.000 clients
d'Orange ont été dérobées à la suite d'une intrusion
informatique dans les serveurs de l'opérateur. Le point sur
les informations disponibles sur cette attaque.
En savoir plus sur http://lexpansion.lexpress.fr/high-tech/piratage-d-orange-ce-qui-a-ete-vole-
ce-que-vous-risquez_1360953.html#udfzBwZ0MQ9jdUPt.99
Que s'est-il passé?
"Orange a été la cible d'une intrusion informatique le 16 janvier 2014 à partir de la page "Mon
Compte" de l'Espace Client du site orange.fr". C'est ce qu'explique l'opérateur téléphonique
dans un e-mail envoyé à ses clients victimes de l'attaque. Concrètement, des hackers se sont
introduits dans les serveurs de l'opérateur et ont dérobé des données personnelles.
Qu'ont volé les pirates?
Ils ont récupéré de nombreuses informations personnelles comme les noms, prénoms, adresses
postales, e-mails, numéros de téléphone fixe et mobile, ainsi que des informations
supplémentaires comme la composition du foyer. Orange assure que les "mots de passe ne
sont pas concernés, leur intégrité n'est pas mise en cause". Concernant les informations
sensibles comme le RIB, Laurent Benatar, directeur technique d'Orange, explique au site
PCImpact que certains chiffres sont remplacés par des *** dans la base de données et sont
donc inutilisables. Les versions complètes sont enregistrées sur d'autres serveurs qui n'ont pas
été touchés.
Combien de personnes sont concernées?
Moins de 3% des clients, soit environ 800.000 personnes, indique le directeur technique
d'Orange. Ces derniers, et uniquement ceux-là, ont été ou vont être contactés par mail afin
d'être informés de la situation. "Même si aucune action de votre part n'est requise, nous avons
souhaité vous informer en toute transparence de l'existence et de la résolution de ce fait",
explique Orange dans sa lettre. Si vous êtes client d'Orange et que vous ne recevez pas de
courrier dans les prochaines heures, c'est qu'a priori aucune de vos données personnelles n'a
été volée.
Comment a réagi Orange?
Après la découverte de l'attaque, la page "Mon Compte" a été rapidement fermée par
précaution. Les services techniques d'Orange ont mis fin à l'intrusion: la faille était colmatée
VEILLE TECHNOLOGIQUE : PIRATAGE PAGE 7 SUR 9
au bout de quelques heures. L'opérateur a porté plainte ; les détails techniques sont
actuellement entre les mains de la police et de la justice.
Lors d'un "show" de présentation des innovations de l'opérateur en novembre, son PDG,
Stéphane Richard, avait tenté de rassurer ses clients concernant l'utilisation de leurs données
personnelles. "Parce que nous sommes un opérateur en lien permanent avez ses clients on
peut leur apporter la garantie de protéger ces données personnelles", avait-il assuré.
Quels sont les risques pour les clients?
Le principal risque, c'est que les pirates se servent des informations dérobées pour lancer une
campagne de "phishing". Le "phishing" est une technique de piratage qui vise à recueillir des
informations confidentielles (codes d'accès ou mots de passe) via l'envoi d'e-mails censés
provenir des banques ou opérateurs. Les victimes trompées par la qualité supposée de
l'expéditeur fournissent elles-mêmes leurs propres données personnelles. Sur cette page
d'Orange, voici des exemples de "phishing".
Par L'Express.fr, publié le 03/02/2014 à 09:35 Source : http://lexpansion.lexpress.fr/high-tech/piratage-d-orange-ce-qui-a-ete-vole-ce-que-vous-
risquez_1360953.html
VEILLE TECHNOLOGIQUE : PIRATAGE PAGE 8 SUR 9
Quand Microsoft fait tomber des millions
de sites web pour s’attaquer à un botnet
En voulant régler son compte à un malware infectant des
millions de PC sous Windows, Microsoft s’est attaqué à
No-IP.com… Un service qui était certes utilisé par les
cybercriminels qu’il visait, mais également par une foule
de clients parfaitement légitimes. Malaise.
uand Microsoft joue au shérif de l’internet, cela peut aller très loin. Il y a deux jours, la firme
entreprend sa dixième opération « coup de poing » contre un botnet, ces réseaux de PC zombies qui
pourrissent des millions de PC sous Windows. Une pratique désormais rôdée : depuis déjà plusieurs
années, Microsoft s’est en effet fait spécialité de ces blitz anti-pirates. En 2010, il avait par exemple
fait tomber Rustock, l’un des plus gros pourvoyeurs de spams au monde. Et il y a deux ans, avait
porté un sacré coup à Zeus. A chaque fois de façon musclée, grâce à l’appui d’un juge et de la police
fédérale.
Des initiatives louables qui ont rendu l’internet (un peu) plus sûr. Mais on peut légitimement se
demander si Redmond n’est pas allé beaucoup trop loin dans sa croisade avant-hier.
Tout commence par une plainte, déposée le 19 juin par Microsoft auprès d’une cour du Nevada. Elle
incrimine deux individus, responsables selon la firme d’avoir généré les botnets Bladabindi et
Jenxcus. Mais aussi une entreprise américaine, Vitalwerks Internet Solutions, éditeur du service de
DNS dynamique* No-Ip.org. Ils sont co-accusés d’avoir joué un rôle dans « la création, le contrôle et
l’assistance à l’infection de millions d’ordinateurs avec des logiciels malveillants, ce qui a fait du mal à
Microsoft, ses clients et le public au sens large. »
Une méthode invasive et des millions de clients sur le carreau
Et le 26 juin, la firme obtient de la cour une injonction temporaire qui lui a permis de prendre le
contrôle de 23 noms de domaines gérés par No-IP et largement utilisés par ses clients. Objectif de
Microsoft : débusquer les sites web (il estime le nombre à 18 000) utilisés par les cybercriminels, qui
utilisaient le service de No-IP pour toujours rester en contact avec les machines qu’ils ont infectées.
Une décision qui ne passe pas, du côté de chez No-Ip, une entreprise pourtant célèbre, qui a pignon
sur Web depuis 1998. « C’est étonnament invasif » indique le service, qui se plaint immédiatement
des méthodes de Microsoft. « Nous sommes très surpris. Nous avons toujours travaillé étroitement
avec d’autres compagnies quand des cas d’activité malveillante nous ont été reportés.
Malheureusement, Microsoft ne nous a jamais contacté, ne nous a jamais demandé de bloquer des
sous-domaines. »
« Ils nous ont dit qu’ils ne feraient tomber que les mauvais sites et étaient censés rediriger tout le bon
trafic à nos utilisateurs, mais ce n’est pas ce qui est arrivé » a commenté Natalie Goguen, directrice
marketing de No-Ip sur le site KrebsOnSecurity. «[Leurs serveurs] n’ont pas été capables de gérer nos
volumes de trafic. » Résultat : No-Ip s’est écroulé pour l’ensemble de ses clients. Goguen estime que
pas moins de 4 millions de sites parfaitement légitimes sont devenus d’un coup inaccessibles, durant
plus d’une journée, le service commençant à peine à reprendre de la vigueur.
VEILLE TECHNOLOGIQUE : PIRATAGE PAGE 9 SUR 9
Microsoft indique qu’une « erreur technique » de son côté a pu provoquer des problèmes de
connexion au service. Soit. Mais au delà, il est étonnant de voir Redmond traiter une entreprise telle
que No-Ip comme un vulgaire complice de cybercriminel, sans l'avoir -a priori- contactée pour
trouver une solution à l'amiable avant cet assaut soudain. No-IP réfléchit d'ailleurs avec ses avocats à
la meilleure réponse à apporter à Microsoft. L'affaire est loin d'être réglée...
* Les services de DNS dynamiques sont très pratiques : ils vous permettent de lier l’adresse IP de votre
connexion maison (qui change régulièrement chez certains FAI) à un seul nom de domaine. Grâce à
eux, même si vous changez d’IP, vous accéderez toujours à votre site avec le même nom de domaine.
Ils sont particulièrement utilisés par les utilisateurs de micro-serveurs ou de NAS, par exemple.
http://www.01net.com/editorial/623114/quand-microsoft-fait-tomber-des-millions-de-sites-web-
pour-s-attaquer-a-un-botnet/
02/07/14 à 19h43