
CyberAttaques
l'Iran fait sauter la banque à Vegas
Sécurité : Mais la cible véritable ne sont pas les dollars. C'est Sheldon Adelson, le propriétaire du casino Sands, qui aurait été visé, suite à sa suggestion de raser Téhéran sous le feu nucléaire. Les autorités iraniennes n'ont que moyennement apprécié la proposition, et ont répliqué. Via un malware codé en Visual Basic.
L’histoire qui suit ressemble furieusement aux gros ennuis qu’endure Sony Picture Entertainment depuis quelques jours. Las Vegas Sands, l’entreprise qui possède les hôtels et casinos Sands, Venetian et Palazzo a été victime il y a 10 mois d’une cyberattaque de grande ampleur. Les coupables ? Des hackers affiliés à l'Iran.
Il semble que cette attaque fasse suite aux déclarations de Sheldon Adelson, le milliardaire américain, pro républicain, qui détient 52% du Sands. En octobre 2013, il avait publiquement déclaré qu’il lui semblait bon d’envoyer quelques missiles nucléaires « au milieu de Téhéran » pour lutter contre les ambitions de ce pays à se doter de l’arme nucléaire. Ali Khameeni, le leader iranien, avait réagit à ces propos diffusés sur Youtube, jugeant qu’il convenait de « gifler ces bavards et de leur casser la gueule ».
Cela aurait donc été fait, à la sauce électronique. Les hackers, liés à l’Iran mais pas identifiés comme des agents iraniens, sont entrés dans le système informatique de l’entreprise, et y ont implanté un malware qui efface le contenu des disques durs, arrête les serveurs de mail et le réseau téléphonique.
Bloomberg, qui révèle l’affaire, affirme que les attaquants ont lancé une première attaque de force brute sur les passerelle de réseau virtuel du casino de Bethlehem, en Pennsylvanie; un établissement qui appartient au groupe Sands.
Puis le 1er février, ils ont pénétré le serveur web Microsoft IIS et utilisé l’outil open source mimikatz pour rafler noms d’utilisateurs et mots de passe. Enfin, ils y ont trouvé les codes d’accès d’un ingénieur systèmes des casinos de Las Vegas, et pris d’assaut la forteresse du Sands, le 10 février.
CRM et ERP touchés
Une fois dans les murs, ils ont lâché une petite bombe, 150 lignes de code programmées en Visual Basic. La déflagration fut telle que des centaines d’employés ont contacté en même temps la DSI, face à leurs écrans vides. Le logiciel de relation client (CRM), l’ERP qui gère les machines à sous, et le système de stockage furent également touchés.
La première solution trouvée par les équipes IT a été d’arracher tous les câbles qui reliaient les machines au réseau. Il faut dire que la sécurité électronique de l'entreprise avait été jugée notoirement défaillante en 2012, mais que les recrutements destinés à renforcer la DSI sur ces compétences n'étaient pas achevés au moment de l'attaque.
Alors qu'une partie de la DSI récoltait à toute vitesse les câbles, la partie restante tentait d'identifier les motivations de l’attaque. Et dans le monde des casinos, c’est assez instinctif : percer le coffre-fort et prendre l’argent. Mais au final, le cash n’était pas visé. La cible, c’était Sheldon Adelson.
Cette affaire serait donc un nouvel épisode de la guerre électronique que se livrent les Etats-Unis et l'Iran. Le malware Stuxnet, qui a touché les centrifugeuses des installations nucléaires iraniennes dès 2010 serait l'oeuvre commune des israéliens et des américains. Et les autorités de Teheran sont soupçonnées d'avoir mené des attaques contre les banques américaines en 2013.
Cyberdéfense
Ashton "Ash" Carter pourra-t-il faire face au cyber Pearl Harbor ?
Sécurité : 61% des experts en sécurité informatique outre Atlantique croient à l'antienne de l'attaque électronique de grande ampleur, touchant les intérêt vitaux de l'Amérique. Le nouveau secrétaire à la défense a un plan pour contrer la menace, mais veut rester vertueux.
Vers un Pearl Harbor électronique ?
Le cyber Pearl Harbor est-il évitable ? Le débat date du siècle dernier, mais a récemment été relancé par une étude qui donne la parole à 1642 experts américains de la cyber sécurité : 61% d’entre eux prévoient l’apocalypse pour 2025, voire avant. Elle aura un impact majeur, causant “des pertes de vies significatives” en plus des classiques crashs de systèmes et vols de données.
L’étude fait sienne le concept de l’ancien secrétaire à la défense des Etats-Unis Léon Panetta, qui évoquait en 2012 un « cyber Pearl Harbor ». Déjà en 1991, l’expert en sécurité Winn Schwartau évoquait devant le congrès le risque de « Pearl Harbor électronique » qui disait-il « devait arriver ».
Reste qu’en 20 ans, les réseaux urbains connectés se sont développés à grande vitesse, grâce aux systèmes SCADA. Ces villes intelligentes sont un nouveau champ à protéger.
L’étude rappelle aussi que les cas de cyber-guerres se multiplient depuis 10 ans. Ainsi, le gouvernement russe est fortement suspecté d’avoir « attaqué ou encouragé les assauts d’organisations criminelles sur la Géorgie pendant le combat militaire de 2008 dont la conséquence fut l’invasion russe » du pays. En 2009 et 2010, Stuxnet a touché les centrifugeuses de centrales nucléaires iraniennes. Les « gouvernements des Etats-Unis et d’Israël pourraient avoir conçu et diffusé ce ver » mentionne ce rapport.
Les tenants du cyber Pearl Harbor évoquent trois raisons principales pour étayer leur conviction. D’un part, la plupart des systèmes critiques sont connectés à l’Internet. Au point selon eux que l’ Internet est devenu « une infrastructure critique » pour les activités de défense nationale, les secteurs de la banque et de la finance, de l’énergie, ou encore des transports.
Par ailleurs, les outils pour réaliser des cyberattaques existent déjà, et vont être améliorés dans les années qui viennent. Enfin, ils estiment que la sécurité n’est pas le premier souci quand une application web est conçue. Donc la prise de conscience des manques en matière de sécurité ne peut s'effectuer qu’après l’arrivée d’une catastrophe.
Marketing de la peur ?
Les opposants à ce concept font valoir que ce sont avant tout les vendeurs d’outils de sécurité qui se positionnent sur ce type de discours, jouant sur le marketing de la peur.
Ensuite, ils jugent que les progrès en matière de prévention sont importants. Et malgré les vulnérabilités de l’Internet, la structure distribuée du réseau permet d’éviter des attaques de grande ampleur. Surtout, les standards de sécurité vont être améliorés, donc les défenseurs prendront le pas sur les attaquants jusqu’en 2025, au moins. Enfin, ils estiment que la dissuasion fonctionne. La menace de représailles va tenir à distance les attaquants, et nombre d’entre eux se satisfont de petites attaques, préférant toucher à des cibles mineures plutôt que de prendre le risque du chaos, et la fin de leur activité.
Légalité, popularité, et respect des valeurs
Face au risque, des solutions innovantes doivent être proposées par les militaires, juge toutefois dans le Washington Post le journaliste Dominic Basulto.
Ashton “Ash” Carter, le nouveau secrétaire d’Etat à la défense (nommé le 5 décembre), serait l’homme de la situation, rassure le journaliste. L’homme est un bon connaisseur de la cybersécurité, un domaine d’intervention qui relève des 4.000 membres de l’U.S. Cyber Command.
Ils ont fort à faire, car une cyberattaque diffère d’une attaque conventionnelle en ce sens que son identification est complexe : pas d’ennemi immédiatement identifiable, périmètre d’attaque délicat à déterminer, début de l’agression difficile à prévoir.
Lors d’une allocution récente à l’Aspen Security Forum, Ashton Carter a laissé entrevoir sa vision de la cyberdéfense : défendre les réseaux militaires et les réseaux des entreprises du pays. Les attaques récentes contre Sony et les casinos de Las Vegas montrent que le besoin est là. Et réaliser cette mission exige une collaboration étroite entre les entreprises privées et le secteur militaire.
Mais proposer un agenda en matière de cyberdéfense pose bien évidemment la question de ce que peut être la « capacité offensive ». Des virus et des malwares pour remplacer, ou épauler, tanks, avions et missiles ?
Ashton Carter à ce propos évoque leur effet « d’annulation du cyber avantage de la partie adverse ». Mais il souhaite le faire dans les règles. « C’est un nouveau terrain de guerre. Evidemment, nous voulons faire les choses comme nous essayons toujours de les faire, de manière légale et d’une manière que notre population soutienne, et qui corresponde à nos valeurs » dit-il.
From : Zdnet ,...............