Publicité

Un rapport des services de renseignement américains qui devait rester confidentiel, estime que la France abrite des pirates ayant mené des activités de cyber-espionnage à l'encontre d'entreprises stratégiques américaines. Washington va améliorer la protection informatique de ces sociétés et infrastructures alors que les cyberattaques se multiplient.

 

 

Cyberguerre : les divers cyber assaillants ... 

Un nouvel épisode de la cyberguerre secrète menée par Israël contre l'Iran a peut-être été révélé au grand jour. Selon Kaspersky, une compagnie multinationale russe spécialisée dans la sécurité informatique, un nouveau virus espion particulièrement « sophistiqué » surnommé « Flame » (Flamme) a été découvert après avoir fourni une masse de renseignements notamment sur l'Iran.

Aussitôt les soupçons se sont tournés vers Israël, qui n'a ni confirmé ni démenti officiellement. Mais cette fois-ci, l'Etat hébreu a entretenu une véritable l'ambiguité . « On peut supposer que tous ceux qui considèrent que la menace iranienne est bien réelle recourent à tous les moyens dont ils disposent, y compris celui lui là (des cyber-attaques), pour s'en prendre aux programme nucléaire iranien », a confié à la radio de l'armée, Moshé Ayalon, le vice-Premier ministre chargé des affaires stratégiques et ancien chef d'état major.

 

flame-copie-1 

 

Des retards de plusieurs années pour le programme nucléaire iranien

Selon des experts étrangers, les différentes attaques informatique menées par l'Etat hébreu aurait d'ores et déjà provoqué des retards de plusieurs années dans le programme nucléaire iranien.
Seule certitude en tout cas: ce nouveau virus n'est pas le premier à viser Téhéran. En, 2010, un de ses « cousins » surnommé Stuxnet avaient déjà paralysé les systèmes informatiques de contrôle de milliers de centrifugeuses utilisées par les Iraniens pour l'enrichissement de l'uranium indispensable pour la production de l'arme atomique.

 

Un aspirateur de données

« Mais cette fois-ci, Flame n'a pas pour raison d'être de détruire une cible précise, comme le faisait Stuxnet, mais de s'introduire dans les réseaux informatiques pour recueillir à la fois des données, des images filmées par des caméras vidéo, ou la teneur de conversations. En fait, on pourrait l'assimiler à un gigantesque aspirateur de données qui avale tout, », estime Yossi Melman, un spécialiste des questions de renseignements du quotidien Haarezt .

Autre différence : Flame est « beaucoup plus difficilement détectable car il ne fonctionne pas en permanence, mais uniquement sur ordre d'un ou de plusieurs ordinateurs extérieurs », ajoute Ilan Promovich, représentant en Israël de Kaspersky. Pour lui, « Flame », repéré par sa firme lors d'un contrôle de sécurité effectué par sa firme pour le compte de l'Union Internationale des Télécommunications des Nations unies, constitue une «nouvelle escalade dans la cyberguerre » qui fait rage dans le monde.

 

 

La Chine en première ligne , mais la France aussi accuseé par les USA ...

La Chine ne serait pas la seule à attaquer les systèmes informatiques américains. La France se livrerait également à cette pratique, d’après un rapport secret de l’agence fédérale américaine de renseignement, National Intelligence Estimate (NIE), divulgué par le "Washington Post".

 

Ces cyber-attaques viseraient essentiellement à récolter des informations auprès d’entreprises américaines. D’après ce rapport, quelques secteurs seraient particulièrement concernés : l’énergie, la finance, l’aérospatiale ou encore l’automobile. Le préjudice s’élèverait à plusieurs dizaines de milliards de dollars d’après le "Washington Post" qui se fonde sur des estimations d’experts. Pour le NIE, ces cyber-attaques nuisent à la compétitivité économique du pays.

Les commanditaires ne sont toutefois pas identifiés. Impossible de déterminer si ces cyber-attaques sont impulsées par des entreprises ou des hackers isolés, voire par des agences gouvernementales.

 

La France ne serait cependant pas la seule accusée par le NIE. La Russie et Israël sont également identifiés comme pays pratiquant le cyber-espionnage. Mais le rapport de l’agence gouvernementale américaine précise que l’activité de ces pays n’est rien à côté de l’intensité des attaques en provenance de Chine. Depuis deux semaines, de nombreux médias américains (CNN, New York Times, Wall Street Journal) se plaignent de cyber-attaques de leur site internet par des hackers chinois. Pékin a fermement rejeté ces accusations.

 

La France attaquée par les Etats-Unis , ...mais aussi par les terroristes .

Côté Français, certains rappellent que les Etats-Unis se livrent eux-mêmes à ce genre de pratiques. En novembre dernier, le journal L’Express avait ainsi publié les extraits d’un rapport qui établissait que l’attaque du site internet de l’Elysée, en mai dernier, avait été menée depuis les Etats-Unis. Une information démentie par Washington.

Ces fuites d'un rapport gouvernemental confidentiel arrivent à la veille de la publication d’un décret présidentiel pour améliorer la protection informatique des industries et infrastructures américaines jugées stratégiques.

 

 

La France, elle aussi, est exposée à la menace cybercriminelle. Ainsi, le 12 janvier dernier, au lendemain du déclenchement des opérations militaires françaises au Mali, plusieurs sites de l'armée ont subi des cyberattaques. Le site de la Délégation à l'information et à la communication de la défense (Dicod) a été visé par une manoeuvre de "déni de service" -qui consiste à mettre hors service un site en le submergeant de demandes de formulaires. Une attaque classique, qui a été déjouée par l'hébergeur du site, Prosodie.

 

*******

According to an article in this morning’s Washington Post, a copy of which is attached below, a brand new national intelligence estimate has confirmed what I think most of us already knew - that hackers working for the People’s Republic of China and a very small circle of other nations are stealing so many of our country’s proprietary corporate data and national trade secrets that it threatens our standing as the world’s top economic superpower.

The estimate identifies China as the worst of the foreign cyber-aggressors stealing America’s trade secrets, which wil come as no surpruise to anyone who know anything about cyber war. But the report also says that state-sponsored hackers in Russia, Israel and France are all very active stealing trade secrets in cyberspace. They just don’t get as much press as the Chinese do.

It will come as a surprise to some that Israel is on the list of top nations engaged in cyber espionage. It shouldn’t really. CIA documents as far back as the early 1980s reveal that the Israeli intelligence services have been actively engaged in stealing U.S. trade secrets for decades.

The Chinese and other state-sponsored hackers seem to be focused on five key American industries: energy, finance, computers and information technology, aerospace, and our automotive industry. In other words, they are going after the financial sectors where America leads the world, except for the automotive industry, which is still dominated by Japan.

 

*************

 

Le fournisseur mondial de solutions de sécurité informatique Kaspersky a identifié une nouvelle attaque de cyberespionnage à grande échelle. Elle serait d'origine russophone. "Red october" touche des représentations diplomatiques, des administrations, des organismes de recherche scientifique, des groupes énergétiques et nucléaires ou des entreprises dans le secteur du commerce et de l'aéronautique dans plusieurs pays depuis au moins cinq ans.

 

Vous avez aimé Flame, vous adorerez "Red October". Kaspersky Lab est à la poursuite de "Red October"... Ce fournisseur mondial de solutions de sécurité informatique publie aujourd'hui une nouvelle étude identifiant une campagne de cyberespionnage d'origine russophone "visant des représentations diplomatiques, des administrations, des organismes de recherche scientifique, des groupes énergétiques et nucléaires ou des entreprises dans le secteur du commerce ou de l'aéronautique dans plusieurs pays depuis au moins cinq ans". Cette enquête a permis de mettre à jour et d'analyser un réseau de cyberespionnage à grande échelle. Selon le rapport de Kaspersky Lab, l'opération "Red October" (ou, en abrégé "Rocra"), qui aurait débutée en 2007, se poursuit encore en janvier 2013.

Selon cette société qui opère actuellement dans près de 200 pays et territoires, les cibles de cette campagne sont essentiellement des pays d'Europe de l'Est, des républiques de l'ex-URSS ou encore des pays du Moyen-Orient, même si les victimes peuvent se trouver partout, y compris en Europe occidentale et en Amérique du Nord. "Les attaques ont pour principal objectif de collecter, au sein des organisations touchées, des documents confidentiels renfermant des renseignements géopolitiques, des codes d'accès à des systèmes informatiques ou encore des données sensibles sur des terminaux mobiles et des équipements réseau", a expliqué Kaspersky Lab.

 

redoctober

 

Voler des informations

Les auteurs de "Red October" ont conçu un malware spécifique, qui possède sa propre architecture modulaire comprenant des extensions malveillantes, des modules destinés à dérober des informations et des chevaux de Troie de type "backdoor". Pour Kaspersky, ce procédé est classique: "les pirates ont souvent exploité des informations obtenues sur les réseaux infectés pour s'introduire dans d'autres systèmes. Par exemple, des identifiants volés ont été collectés et utilisés dans le cadre d'attaques pour découvrir des mots de passe donnant accès à ces systèmes". Pour piloter le réseau des machines infectées, les auteurs des attaques ont créé plus de 60 noms de domaines et plusieurs serveurs hébergeant des sites dans différents pays, dont la majorité en Allemagne et en Russie, ont précisé les auteurs de cette étude.

L'analyse par Kaspersky Lab de l'infrastructure de commande et de contrôle (C&C) de "Rocra" révèle que la chaîne de serveurs opère telle une série de proxies afin de masquer l'adresse réelle du serveur principal. "Les informations dérobées sur les systèmes infectés se trouvent dans des documents présentant les extensions suivantes : txt, csv, eml, doc, vsd, sxw, odt, docx, rtf, pdf, mdb, xls, wab, rst, xps, iau, cif, key, crt, cer, hse, pgp, gpg, xia, xiu, xis, xio, xig, acidcsa, acidsca, aciddsk, acidpvr, acidppr, acidssa". En particulier, les extensions "acid* paraissent correspondre à des fichiers du logiciel cryptographique "Acid Cryptofiler", utilisé par plusieurs entités allant de l'Union européenne à l'OTAN, a expliqué Kaspersky. L'infection de systèmes lors d'une attaque passe par l'envoi aux victimes d'un e-mail ciblé de type "spear phishing" (harponnage) contenant un cheval de Troie personnalisé (dropper).

 

Des ambassades piratées

Kaspersky a détecté le code malveillant dès 2011, ce qui a permis aux experts de Kaspersky Lab de rechercher des éléments similaires liés à Rocra. L'analyse du serveur qui a servi d'appât, s'est déroulée du 2 novembre 2012 au 10 janvier 2013. Durant de cette période, plus de 55.000 connexions provenant de 250 adresses IP infectées ont été enregistrés dans 39 pays, en majorité originaires de la Suisse, suivie du Kazakhstan et de la Grèce. Et de découvrir que "plusieurs centaines de systèmes infectés distincts ont été détectés (...), se situant essentiellement dans des ambassades, des réseaux et des organismes gouvernementaux, des instituts de recherche scientifique et des consulats". Selon ces observations, la majeure partie se trouve en Europe de l'Est, mais d'autres infections ont été également identifiées en Amérique du Nord et dans des pays d'Europe occidentale, par exemple la Suisse et le Luxembourg.

Compte tenu des données d'enregistrement des serveurs et des nombreux indices laissés dans les fichiers exécutables du malware, "il existe de solides preuves techniques indiquant que les auteurs des attaques sont d'origine russophone". En outre, ces exécutants étaient inconnus jusqu'à une date récente et n'ont pas été identifiées par les experts de Kaspersky Lab au cours de l'analyse d'attaques précédentes de cyberespionnage. Kaspersky, en collaboration avec des organisations internationales, les pouvoirs publics et les équipes CERT (Computer Emergency Response Teams) poursuit ses investigations sur Rocra en apportant son expertise et ses ressources techniques dans le cadre des procédures de correction et de neutralisation. Mais "le malware Rocra est détecté, bloqué et neutralisé avec succès par les produits de Kaspersky Lab, sous la classification Backdoor.Win32.Sputnik", a assuré Kaspersky.

 


Des messages frauduleux visent à extorquer les coordonnées bancaires de clients d'EDF.

Dépassées les arnaques aux faux agent EDF. Désormais, les clients de l'électricien sont potentiellement la cible des pirates du web. Depuis août 2012, l'entreprise a comptabilisé entre 200 et 300 cyberattaques par mois révèle ce jeudi Le Parisien. Et le "phénomène ne fait que s'amplifier", indique Olivier Jehl, le directeur des relations clients du groupe cité par le quotidien. Les signalements comptabilisés sont ainsi passés de 20.000 à 40.000 entre décembre et janvier.

Demande de transmission des coordonnées bancaires

La méthode des hackers? Un message indiquant que le "paiement a été refusé par votre établissement bancaire" qui redirige les clients vers une page web où il est demandé de remplir un formulaire où ils sont invités à donner leurs coordonnées bancaires. Contre ces opérations de "phishing", EDF diffuse des conseils de prudence et proposera dès le 4 février d'envoyer un message (à cette adresse : message-frauduleux@edf.fr) pour signaler les courriels frauduleux. Le directeur des relations clients rappelle d'ailleurs qu' 'EDF ne demande jamais de coordonnées bancaires par mail à ses clients".

 

 

L’ère des antivirus arrive-t-elle à son terme ?

L’impact dévastateur des malwares industriels Stuxnet et Flame témoignerait de l’obsolence des logiciels antivirus classiques. Fort heureusement, des alternatives existent pour mieux protéger matériel et réseaux informatiques.

 Les cyberattaques perpétrées par le biais des logiciels malveillants Stuxnet et Flame bousculent les références de l’industrie de la sécurité informatique, observe la publication du MIT, Technology Review, dans son édition du 11 juin 2012. Les antivirus classiques, tels que ceux des éditeurs Symantec (Norton), McAfee, Trend Micro, Kaspersky, Microsoft, F-Secure, AVG Technologies, Avast Software, Eset, Avira ou encore Panda Security, ne sont plus adaptés à la protection des systèmes et réseaux face à des malwares de plus en plus complexes.

Hors-jeu, les éditeurs d’antivirus ?
« Flame a été un échec pour l’industrie antivirus. Nous aurions vraiment dû être capables de mieux faire, mais nous ne l’avons pas fait. Nous étions hors jeu sur notre propre terrain », a déclaré la semaine dernière Mikko Hypponen, directeur de la recherche chez F-Secure, dans une tribune intitulée « Pourquoi des sociétés antivirus comme la mienne n’ont pas déjoué Flame et Stuxnet ? »


Les programmes qui servent de socle à la sécurité informatique des entreprises, des gouvernements et des particuliers fonctionnent grosso modo comme les antivirus qui équipent les ordinateurs grand public. Les menaces sont détectées en comparant le code et l’activité des logiciels surveillés à des malwares identifiés au sein de bases de données contenant leurs signatures numériques. Ces bases sont constamment mises à jour.

Quoi qu’il en soit, des attaques informatiques récentes de grande envergure, en particulier celles contre les intérêts nucléaires iraniens et le gouvernement des États-Unis, ont montré que des programmes malveillants tels que Flame et Stuxnet sont en mesure de déjouer les contrôles ainsi opérés. Dans ce contexte, davantage d’experts et de sociétés estiment qu’il est temps de trouver une alternative à la protection antivirus traditionnelle.

En finir avec la « ligne Maginot »
L’antivirus « fait partie intégrante [de la lutte contre les malwares], mais il ne sera plus le seul », a déclaré à la Technology Review Nicolas Christin, chercheur à l’Information Networking Institute (INI) de la Carnegie Mellon University. « Nous devons cesser d’essayer de construire des lignes Maginot qui ont l’air d’être inviolables, mais qui sont en fait faciles à contourner », a-t-il ajouté.

Une des alternatives consiste à se concentrer sur les tactiques et les outils utilisés par les cyberassaillants à l’heure des données massives (Big Data). La jeune pousse californienne CrowdStrike, par exemple, envisage de proposer un système intelligent d’alerte qui permette de repérer en amont les attaques, y compris celles qui auront été nouvellement créées, et de connaître leurs origines.

L’appât du gain – l’argent ou les données sensibles – reste le nerf de la guerre ! Par conséquent, comme l’a indiqué la startup Shape Security, il s’agit de rendre le coût d’une attaque informatique beaucoup plus élevé pour ceux qui la commettent, et ainsi d’en réduire l’intérêt. Pour ce faire, Mykonos Software, société acquise en début d’année par Juniper Networks, a développé une technologie de protection de sites web censée maintenir les hackers sur une fausse piste. Les pirates usent ainsi leur énergie en pure perte et réduisent les profits liés à leurs attaques.

 

 

 

From : la Tribune, NIE,silicon....

 

 http://www.latribune.fr/actualites/economie/international/20130212trib000748245/les-etats-unis-accusent-la-france-de-cyber-espionnage.html

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Publicité
Tag(s) : #Stratégie - Défense - Relations Internationales
Partager cet article
Repost0
Pour être informé des derniers articles, inscrivez vous :