Drone piégé utilisé par l’EI contre deux militaires français

C’est un mode d’action que les forces de l’ordre redoutent sur le territoire national, et qui semble désormais déployé sur le terrain de l’adversaire. Le Monde affirme ce mardi que deux militaires français ont été gravement blessés par un drone qui avait été piégé par des militants de l’État islamique, en Irak. L’un des deux serait entre la vie et la mort.

« Les deux commandos ont été touchés par un drone volant piégé, envoyé par un groupe lié à l’EI, dans des circonstances qui restent à préciser. Les militaires auraient intercepté le drone, avant que celui-ci explose à terre. Ce mode d’action contre des forces françaises est en tout état de cause inédit », rapporte le quotidien, qui précise que ses informations sont confirmées par d’autres médias.

Ce piège aurait été tendu aux commandos parachutistes qui intervenaient auprès des forces kurdes à Erbil, dans le nord de l’Irak, entre Mossoul et Kirkouk. La ville est la capitale de la région autonome du Kurdistan.

Le Monde indique que le ministère de la Défense ne souhaite pas confirmer cette attaque d’un nouveau genre et le rapatriement des deux soldats à l’hôpital militaire de Percy-Clamart, non seulement par souci de protéger les familles, mais aussi peut-être en raison des « moyens employés pour cette attaque » (on peut ajouter que de manière plus générale s’agissant des propagandes de guerre, les armées n’aiment jamais communiquer sur leurs propres pertes, préférant mettre en avant leurs réussites pour conserver le moral des troupes et le soutien des populations).

LA CRAINTE D’UN ATTENTAT PAR DRONE

La crainte est sans doute que le mode opératoire, relativement peu coûteux et surtout peu risqué pour les attaquants, ne donne des idées sur le front irakien ou syrien, mais aussi en occident. L’hypothèse qu’une petite bombe puisse être transportée par un drone sans savoir d’où il a décollé et d’où il est contrôlé est soulevée depuis longtemps par les experts de la sécurité aérienne. Elle avait notamment été évoquée en France lors du survol des centrales nucléaires par des drones.

Depuis, le législateur s’est emparé du sujet en élaborant une proposition de régulation des drones en cours d’examen, qui prévoit notamment l’obligation d’identifier les drones à distance ou de brider leur utilisation dans certaines zones réglementées. Mais par définition les lois n’ont aucune influence contre ceux qui veulent les violer, et il paraît bien difficile d’empêcher totalement le transport de bombes par drone, sauf à utiliser des moyens technologiques encore balbutiants et impossibles à déployer sur tout le territoire comme des brouilleurs, des lasers, des perturbateurs de signaux GPS, des filets, ou même des aigles.

UNE RÉPONSE ARTISANALE À L’UTILISATION DE « ROBOTS TUEURS » ?

Le fait que les troupes de l’EI utilisent des bombes montées sur des drones n’est aussi, hélas, qu’une réponse attendue à l’utilisation croissante des drones et autres engins militaires conduits à distance par les troupes alliées. En août dernier, l’armée irakienne était fière de présenter un fusil mitrailleur monté sur un véhicule conduit à 1 km de distance, qui permettait d’aller tuer sans risquer de se faire tuer, ce qui est aussi l’objectif des avions de combat semi-autonomes, des navires de guerre ou des nouveaux chars d’assaut. L’utilisation de drones piégés n’est à cet égard qu’une réponse artisanale de même nature.

Il faut ajouter qu’en droit international, l’utilisation de telles armes n’est pas interdite dès lors qu’elles visent à tuer des militaires combattants, et non des civils. La question de la régulation des « robots tueurs » a déjà fait l’objet de débats dans la communauté internationale, dans le cadre de révisions des conventions de Genève, mais les perspectives d’un accord sont excessivement lointaines. La seule piste évoquée, encore très incertaine, est l’obligation qui pourrait être faite qu’un humain reste en permanence aux commandes des engins robotisés, pour ne pas parvenir à des guerres menées par IA interposées.

[Article source]

Notre métier : Sensibiliser les décideurs et les utilisateurs aux risques liés à la Cybercriminalité et à la Protection des Données Personnelles (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84).

Denis JACOPINI anime dans toute le France et à l’étranger des conférences, des tables rondes et des formations pour sensibiliser les décideurs et les utilisateurs aux risques liés à la Cybercriminalité et à la protection de leurs données personnelles (Mise en Place d’un Correspondant Informatique et Libertés (CIL) dans votre établissement.

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

Peut-on être condamné pour avoir visité des sites djihadistes ?

Jeudi, le tribunal correctionnel de Marseille a condamné un Marseillais de 28 ans à deux ans de prison, parce qu’il avait consulté à de nombreuses reprises des sites de propagande terroriste, et notamment regardé des scènes d’exécutions.

La justice a fait une pleine application des nouvelles dispositions du code pénal introduites par la loi Urvoas du 3 juin 2016, qui punissent d’un maximum de deux ans de prison «  le fait de consulter habituellement un service de communication au public en ligne mettant à disposition des messages, images ou représentations soit provoquant directement à la commission d’actes de terrorisme, soit faisant l’apologie de ces actes lorsque, à cette fin, ce service comporte des images ou représentations montrant la commission de tels actes consistant en des atteintes volontaires à la vie ».

Seule la démonstration de la bonne foi de l’internaute pouvait l’exonérer d’une condamnation. Mais en l’espèce, et même s’il a tenté de plaider qu’il faisait un travail d’ « apprenti journaliste » avec un « programme de recherches », les éléments contextuels rapportés par l’AFP permettaient difficilement de croire à une simple volonté de s’informer :

De janvier à août, il s’était connecté à 143 reprises pour visionner écrits et vidéo faisant l’apologie du terrorisme. Il a été interpellé le 9 août alors qu’il faisait des recherches sur le moyen de gagner la Libye via l’Espagne. Jugé en comparution immédiate, il avait été placé en détention dans l’attente de son procès. Hospitalisé en 2012 en psychiatrie à Avignon où il dit s’être converti à l’islam, le jeune homme était surveillé par les services du renseignement depuis l’été 2015, date à laquelle son père avait alerté les autorités sur les velléités de départ en Syrie de son fils.

Ce signalement avait provoqué une interdiction administrative de quitter le territoire pour six mois. Son téléphone portable contenait plus de 100 vidéos dont l’une de 21 minutes montrant la décapitation de quatre hommes.

Ce n’est pas la première condamnation du genre depuis que le législateur a fait de la seule consultation des sites terroristes une infraction pénale en elle-même (auparavant, il fallait que d’autres éléments matériels viennent en soutien). Mais cette affaire est intéressante à un autre titre…[lire la suite]

Denis Jacopini anime des conférences et des formations et est régulièrement invité à des tables rondes en France et à l’étranger pour sensibiliser les décideurs et les utilisateurs aux CyberRisques (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84).

Nous animons conférences et formations pour sensibiliser décideurs et utilisateurs aux risques en informatique, découvrir et comprendre les arnaques et les piratages informatiques pour mieux s’en protéger et se mettre en conformité avec la CNIL en matière de Protection des Données Personnelles. Nos actions peuvent être personnalisées et organisées dans votre établissement.

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

Extension de règles de sécurité des opérateurs aux acteurs du Net en Europe

Équilibrer les obligations entre opérateurs et messageries en ligne ressemble souvent à un travail de funambule, dans lequel se lancerait la Commission européenne. Dans quelques jours, l’institution doit dévoiler une révision des règles télécoms en Europe. Selon un brouillon obtenu par Reuters, elle y introduirait des obligations de sécurité pour les services de messagerie en ligne, déjà appliquées par les opérateurs.

Des obligations de signalement des brèches

À la mi-août, plusieurs médias affirmaient que la Commission européenne comptait proposer cette parité entre acteurs. Le brouillon obtenu par Reuters viendrait donc confirmer cette piste. Dans celui-ci, les services « over the top » devront ainsi signaler les brèches « qui ont un impact important sur leur activité » aux autorités et disposer d’un plan de continuité de l’activité. Les services qui proposent des numéros de téléphone ou d’en appeler, comme Skype, devront aussi permettre les appels d’urgence.

Pourtant, ces règles pourront être plus légères pour ces services que pour les opérateurs classiques, dans la mesure où les services ne maîtrisent pas complètement la transmission des contenus via les tuyaux. Dans l’absolu, ces règles doivent réduire l’écart d’obligations entre les acteurs télécoms et ceux d’Internet, avec en toile de fond le combat entre des acteurs européens et des sociétés principalement américaines.

Rappelons que le règlement sur les données personnelles, voté en avril par le Parlement européen, doit lui aussi obliger les services à divulguer aux autorités les fuites de données, dans un délai court. En France, cette obligation ne concerne que les opérateurs.

Le moment est d’ailleurs pour celle-ci, le secteur télécom étant notamment le théâtre de lobbyings intenses. Elle a d’ailleursretiré une proposition de « fair use » pour la fin des frais d’itinérance il y a quelques jours, suite à des levées de bouclier du côté des associations de consommateurs, des opérateurs et des eurodéputés. Comme le rappelle Reuters, ce texte passera entre les mains du Parlement et du Conseil de l’Europe, avec des changements possibles à la clé…[lire la suite]

Denis Jacopini anime des conférences et des formations et est régulièrement invité à des tables rondes en France et à l’étranger pour sensibiliser les décideurs et les utilisateurs aux CyberRisques (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84).

Nous animons conférences et formations pour sensibiliser décideurs et utilisateurs aux risques en informatique, découvrir et comprendre les arnaques et les piratages informatiques pour mieux s’en protéger et se mettre en conformité avec la CNIL en matière de Protection des Données Personnelles. Nos actions peuvent être personnalisées et organisées dans votre établissement.

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

Piratage de l’électricité, de l’eau et de la nourriture : comment les cybercriminels peuvent ruiner votre vie

Cependant, même ceux qui connaissent tout en matière de cybersécurité, qui utilisent des mots de passe fiables et qui les changent régulièrement, qui reconnaissent des messages d’hameçonnage au premier coup d’œil et qui protègent leurs dispositifs avec une excellente solution de sécurité, même ceux qui font tout, ne sont pas totalement à l’abri. Tout simplement parce que nous vivons en société.

Le problème est que nous avons le contrôle sur nos objets personnels, mais pas sur celui des équipements industriels, qui est loin de notre portée.

Vous avez dit cybersécurité ?

Nos experts en cybersécurité ont mené une étude afin de découvrir où nous en sommes concernant la sécurité des systèmes de contrôle industriel.

Shodan, le moteur de recherche pour les dispositifs connectés, nous a montré que 188 019 systèmes industriels dans 170 pays sont accessibles sur Internet. La majorité d’entre eux sont localisés aux Etats-Unis (30,5%) et en Europe, essentiellement en Allemagne (13,9%), Espagne (5,9%) et en France (5,6%).

92% (172 982) des systèmes de contrôle industriel (SCI) détectés sont vulnérables. Lamentablement, 87% ont un niveau de risque moyen de bugs et 7% connaissent des problèmes critiques.

Ces cinq dernières années, les experts ont méticuleusement examiné de tels systèmes et y ont découvert de nombreuses failles de sécurité. Durant ce laps de temps, le nombre de vulnérabilités dans les composants SCI a multiplié par dix.

Parmi les systèmes que nos experts ont analysés, 91,6% ont utilisé des protocoles non sécurisés, en donnant l’opportunité aux cybercriminels d’intercepter ou de modifier les données utilisant des attaques de l’homme du milieu.

Egalement, 7,2% (environ 13 700) des systèmes appartiennent à de grandes compagnies aéronautiques, des transports et de l’énergie, pétrolières et gazières, métallurgiques, de l’industrie alimentaire, de la construction et autres secteurs primordiaux.

En d’autres termes, des hackers qualifiés peuvent influencer n’importe quel secteur économique. Leurs victimes (les entreprises piratées) porteraient préjudice à des milliers ou millions de personnes en leur fournissant de l’eau contaminée ou de la nourriture immangeable, ou en leur coupant le chauffage en plein hiver.

Qu’est-ce que cela implique pour nous tous ?

…[lire la suite]

Denis Jacopini anime des conférences et des formations et est régulièrement invité à des tables rondes en France et à l’étranger pour sensibiliser les décideurs et les utilisateurs aux CyberRisques (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84).

Nous animons conférences et formations pour sensibiliser décideurs et utilisateurs aux risques en informatique, découvrir et comprendre les arnaques et les piratages informatiques pour mieux s’en protéger et se mettre en conformité avec la CNIL en matière de Protection des Données Personnelles. Nos actions peuvent être personnalisées et organisées dans votre établissement.

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

Déchiffrement des communication numériques (Telegram et autres). Où en est-on ?

Une initiative européenne contre les chiffrements trop forts ?

Face au terrorisme international et sachant que les messageries instantanées visées par le projet de loi sont majoritairement américaines, Bernard Cazeneuve s’en remet à une initiative européenne. L’idée serait d’étendre aux services de messageries et d’appels sur internet, les mêmes règles de sécurité et de confidentialité destinées jusque-là, aux opérateurs télécom. Le ministre a ainsi fermement déclaré vouloir obliger les services en ligne «non coopératifs» à «retirer des contenus illicites ou déchiffrer des messages dans le cadre d’enquêtes judiciaires, que leur siège soit en Europe ou non».

Conscient de la polémique qui entoure ce projet de loi, le ministre a précisé que l’utilisation des données déchiffrées ne servirait que dans le cadre « judiciaire ». Ce qui voudrait dire qu’elles ne seraient pas utilisées par les services secrets, comme le redoutent beaucoup de personnes. Se voulant rassurant, il a insisté « Il n’a bien sûr, jamais été question de remettre en cause le principe du chiffrement des échanges ». Le 16 septembre prochain, le projet de loi contre le chiffrement des données sera discuté lors du sommet des chefs d’états européens.

…[lire la suite]

Denis Jacopini anime des conférences et des formations pour sensibiliser les décideurs et les utilisateurs aux CyberRisques (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84).

Nous animons conférences et formations pour sensibiliser décideurs et utilisateurs aux risques en informatique, découvrir et comprendre les arnaques et les piratages informatiques pour mieux s’en protéger et se mettre en conformité avec la CNIL en matière de Protection des Données Personnelles. Nos actions peuvent être personnalisées et organisées dans votre établissement.

Plus d’informations sur : https://www.lenetexpert.fr/formations-en-cybercriminalite-et-en-protection-des-donnees-personnelles

Réagissez à cet article

Alerte : Un canular sur Facebook qui diffuse de fausses informations terroristes

Denis JACOPINI vous recommande les outils de protection suivants :

Réagissez à cet article

Les services de renseignement devraient-ils avoir accès aux clés de déchiffrement ?

Après le conseil restreint de Défense à l’Élysée le 4 août 2016, le ministre de l’Intérieur, Bernard Cazeneuve, a parlé chiffre. Avec son homologue allemand, Thomas de Maizière, il a proposé le 23 août une initiative européenne à vocation internationale pour « faire face au défi du chiffrement, une question centrale dans la lutte antiterroriste ». Le sujet est brûlant. Pas seulement depuis l’assassinat du père Hamel par des usagers de Telegram , d’ailleurs pas considéré comme la solution la plus hermétique d’un marché en plein essor.

Outre Telegram, les terroristes, des criminels et des gens très soucieux de l’intégrité de leurs communications utilisent pléthore de dispositifs de chiffrement comme ChatSecure, Conversations, Kontalk, Signal, Threema ou WhatsApp (même s’il appartient à Facebook depuis 2014), sans parler des anonymes Tor (réseau décentralisé) ou ToX (pair à pair). Là n’est d’ailleurs pas la question centrale. L’ennemi pourrait émigrer vers d’autres cieux numériques voire créer son propre outil chiffré…

Incapable de casser le code

Depuis l’audition à l’Assemblée le 10 mai de Patrick Calvar, le directeur général de la sécurité intérieure, la pression monte. Pour les attentats de Bruxelles, le DGSI avoue que « même une interception n’aurait pas permis de mettre au jour les projets envisagés puisque les communications étaient chiffrées sans que personne soit capable de casser le chiffrement ». Face au chiffrement aléatoire et autres complications futures, le DGSI a une réponse martiale : « Je crois que la seule façon de résoudre ce problème est de contraindre les opérateurs. » Nous y voilà. En février, le FBI s’est heurté au refus d’Apple de livrer les données de l’iPhone d’un des meurtriers de Daech qui a tué 14 personnes à San Bernardino le 2 décembre 2015. Avant que le FBI n’annonce avoir réussi à casser le chiffre de la pomme…

Bernard Cazeneuve ne dit pas autre chose. Il prend pour exemple sa négociation avec les majors d’Internet en février 2015 qui a permis d’élaborer une charte sur le retrait des contenus et le blocage des sites haineux. « Sur le chiffrement, il faut que nous ayons la même méthode, la même volonté, le sujet est crucial. »

Sauf qu’un courrier, publié par Libération, du directeur de l’Agence nationale de sécurité des systèmes d’information (ANSSI) et lui-même cryptologue, Guillaume Poupard, affirme le contraire aux autorités : « Un affaiblissement généralisé serait attentatoire à la sécurité numérique et aux libertés de l’immense majorité des utilisateurs. » Permettre une intrusion des services de renseignement (par des « portes dérobées ») pourrait profiter à des gens ou des États (pas seulement islamiques) mal intentionnés. Quelle tendance va l’emporter ? En cette époque sécuritaire, de l’état d’urgence éternel et du désarroi politique…

Article original de Olivier Berger

Réagissez à cet article

Pourquoi le Conseil d’État autorise une exploitation de données saisies via l’état d’urgence ?

À la suite de l’attentat de Nice, le gouvernement a réintégré en juillet dernier dans le dispositif de l’état d’urgence la possibilité pour la police de procéder à la saisie de matériels ou données informatiques présentes ou accessibles sur les lieux d’une perquisition administrative. Mais conformément aux préconisations du Conseil constitutionnel, il l’a fait en assortissant cette entorse à la vie privée et au droit de propriété d’un certain nombre de garanties minimales.

En particulier, il est désormais précisé que de tels matériels et données ne peuvent être saisis que « si la perquisition révèle l’existence d’éléments, notamment informatiques, relatifs à la menace » que représenterait la personne visée. Par ailleurs, les policiers ne peuvent rien faire des données saisies sans l’autorisation d’un juge des référés d’un tribunal administratif, qui a 48 heures pour donner son aval.

Or Nextinpact rapporte que le ministère de l’intérieur a dû faire appel d’une décision défavorable du tribunal administratif de Roubaix, pour avoir le droit d’exploiter les données saisies chez un suspect. Sur place, la perquisition et la fouille des données informatiques accessibles n’avait apporté strictement aucun élément matériel permettant d’étayer une éventuelle infraction pénale du justiciable. Le juge de première instance en avait donc déduit qu’il ne pouvait pas autoriser l’exploitation des données injustement saisies.

Ce faisant, le juge restait dans l’esprit de l’avis du Conseil constitutionnel, qui s’opposait aux saisies et exploitations de données «  alors même qu’aucune infraction n’est constatée ».

L’INTÉRESSÉ A INDIQUÉ COMMUNIQUER AVEC EUX AU MOYEN DE SON TÉLÉPHONE PORTABLE, EN USANT NOTAMMENT DE MESSAGERIES INSTANTANÉES OU CRYPTÉES

Mais le Conseil d’État, lui, en reste à une lecture plus littérale de ce que le gouvernement a écrit dans la nouvelle loi, qui n’a pas été soumise au Conseil constitutionnel. Celle-ci ne demande pas qu’une infraction soit constatée, mais uniquement que la perquisition « révèle l’existence d’éléments », matériels ou non, relatifs à la menace. C’est beaucoup plus vague.

Or la haute juridiction administrative note dans son ordonnance (.pdf) que «  l’intéressé a déclaré au cours de la perquisition être resté en contact avec quatre amis de Roubaix, qu’il a nommément désignés, partis en Syrie et en Irak pour y mener le djihad », et qu’il « a indiqué communiquer avec eux au moyen de son téléphone portable, en usant notamment de messageries instantanées ou cryptées ». Ces déclarations sont donc en elles-mêmes des éléments relatifs à la menace que pourrait représenter l’individu, qui justifient d’autoriser l’exploitation des données saisies.

UNE OBLIGATION DE RESTITUTION SOUS 15 JOURS

Cette affaire fera certainement redire aux avocats qu’il est toujours primordial de garder le silence, mais il faut noter que le suspect semble pleinement coopératif, et qu’il a accepté que ses données soient inspectées. Il a peut-être préféré que son innocence soit ainsi vérifiée, plutôt que sa présomption d’innocence reste, dans l’esprit des services de renseignement, une présomption de culpabilité.

Selon le PV de perquisition, la police avait procédé à la saisie d’ «  un ordinateur de marque ACER et de son chargeur, d’un téléphone portable de marque Apple et de son chargeur, d’une clef USB rouge de marque Emtec d’une capacité de 16 Gb, d’une clé USB noire de marque Verbatim d’une capacité de 16 Gb, d’une carte SD de marque Viking d’une capacité de 512 Mb et d’une carte SD de marque Sandisk d’une capacité de 8 Gb ».

Selon les termes de la loi, l’ensemble de ces matériels doivent être retournés à leur propriétaire dans les 15 jours suivant l’autorisation (délivrée ici par ordonnance du 23 août), sans prorogation motivée ou découverte d’éléments probants. Les données non pertinentes devront être détruites sous un délai de 3 mois.

Article original de Guillaume Champeau

Réagissez à cet article

Découvez à quoi ressemble une plateforme de cyberespionnage avancée

Suite à leur première découverte, les équipes de Kaspersky racontent avoir isolé un étrange exécutable chargé en mémoire sur le serveur du contrôleur de domaine d’une organisation infectée. Une librairie enregistrée comme un filtre de mots de passe Windows, fonction utilisée par les administrateurs pour obliger les utilisateurs à respecter les règles de sécurité ; et surtout un module ayant accès à des informations sensibles, comme les mots de passe desdits administrateurs. « La backdoor passive de Projet Sauron démarre chaque fois qu’un domaine, un utilisateur local ou un administrateur se connecte ou change son mot de passe, et elle récupère alors rapidement les mots de passe en clair », écrit Kaspersky.

Cibler les communications chiffrées

Au fil de son enquête, l’éditeur russe a pu mieux cerner les contours de cette menace jusqu’alors inconnue. Pour le spécialiste de la sécurité informatique, Projet Sauron masque une organisation à la pointe en matière de cyber-espionnage, une organisation à la tête d’une plate-forme modulaire de piratage, « conçue pour orchestrer des campagnes de long terme via des mécanismes de persistance furtifs couplés à de multiples méthodes d’exfiltration d’information ». Certaines d’entre elles étant peu communes. La plate-forme recourt notamment au protocole DNS pour exfiltrer des données. Tous les modules ou protocoles réseau de Sauron emploient par ailleurs des algorithmes de cryptage forts, comme RC4, RC5, RC6 ou AES.

D’autres éléments témoignent de la sophistication de cette menace et de son intérêt pour des informations hautement confidentielles. Comme l’utilisation de codes fonctionnant uniquement en mémoire, ce qui rend leur détection plus complexe. Une technique déjà exploitée par Duqu, une menace déjà mise au jour par Kaspersky et à l’œuvre… sur ses propres systèmes ! Le Russe explique encore que Projet Sauron s’intéresse tout particulièrement aux logiciels de chiffrement de ses cibles, tentant de dérober des clefs, des fichiers de configuration et les adresses IP des serveurs gérant les clefs. Autre détail révélateur de la volonté de Sauron de pénétrer les organisations les mieux protégées : la capacité, sur des réseaux isolés d’Internet (employés dans les domaines les plus sensibles), à exfiltrer des données sur des supports de stockage USB spécialement reconfigurés pour abriter une zone invisible du système d’exploitation hôte, zone dans laquelle vont être stockées des données à exfiltrer.

Si Kaspersky admet ne pas connaître le vecteur d’infection qu’utilisent les assaillants pour compromettre un premier système, il explique que Sauron détourne les scripts des administrateurs système de sa cible pour déployer ses malwares sur le réseau de sa victime. Des scripts normalement dédiés au déploiement de logiciels légitimes… De quoi faciliter les déplacements latéraux des assaillants une fois un premier système compromis.

Disparition des indicateurs de compromission

Pour Kaspersky, Projet Sauron a par ailleurs appris des erreurs d’autres acteurs similaires (comme Duqu, Flame, Equation ou Regin), évitant par exemple d’utiliser les mêmes artefacts d’une cible à l’autre. « Ce qui réduit leur valeur comme indicateurs de compromission pour les futures victimes », relève l’éditeur. Kaspersky estime que plus de 50 types différents de plug-ins peuvent venir se connecter sur la plate-forme de cyber-espionnage de Projet Sauron. « Presque tous les implants cœur de Projet Sauron sont uniques, possèdent des tailles et des noms de fichiers différents et sont bâtis individuellement pour chaque cible », écrit Kaspersky. Bref, pour l’éditeur, les assaillants ont intégré les méthodes des chercheurs en sécurité, qui traquent des schémas ou comportements identiques d’une cible à l’autre afin d’identifier de nouvelles menaces. « Sans ces schémas, l’opération sera plus difficile à mettre au jour », résume la société russe.

Cette dernière dit avoir identifié 30 organisations attaquées. « Mais nous sommes sûrs qu’il ne s’agit là que du minuscule sommet de l’iceberg. » Les organisations attaquées sont situées en Russie, en Iran et au Rwanda. Et opèrent dans des secteurs sensibles : gouvernement, recherche scientifique, armée, opérateurs télécoms, finance. S’y ajouteraient des cibles situées dans les pays italophones, selon Kaspersky, qui relève que la plate-forme de Sauron a été configurée pour cibler des organisations utilisant cette langue. De son côté, Symantec explique avoir identifié la menace chez 4 organisations ou individus en Russie, au sein d’une compagnie aérienne chinoise, dans une organisation suédoise et dans les murs d’une ambassade située en Belgique.

Difficile évidemment de déterminer d’où émane l’attaque. Kaspersky estime qu’il s’agit même là d’un problème « insoluble », étant donné la capacité des assaillants à multiplier les écrans de fumée afin de brouiller les pistes. L’éditeur russe relève toutefois un détail intéressant : l’emploi de termes renvoyant aux manuels Unix et notamment de ‘Cruft’ (désignant un élément superflu du logiciel), utilisé par les spécialistes de BSD. Pour Kaspersky, cette bizarrerie pourrait indiquer la présence, dans les équipes du Projet Sauron, de développeurs ‘old school’ ayant effectué leurs premières armes au sein de ces environnements. A moins qu’il ne s’agisse là que d’un écran de fumée de plus.

Article original de Reynald Fléchaux

Réagissez à cet article

Cyberattaques terroristes déjouées au Maroc

Selon un communiqué du ministère de l’Intérieur cité par des médias locaux, dont le Matin.ma, ainsi que le quotidien ivoirien Fraternité Matin, cette opération antiterroriste a été menée sous la houlette du parquet général et visait 343 individus.

Outre des projets terroristes ciblant des centres de loisir, des festivals, des établissements sécuritaires du Royaume, des cyberattaques à un niveau de préparation bien avancée devaient être dirigées contre les institutions marocaines. Objectif? Bloquer le fonctionnement des structures étatiques et paralyser l’économie.

D’autres personnes arrêtées par les forces de police marocaine sont soupçonnées de recruter des combattants mineurs via les réseaux sociaux.

Article original de Alselme AKEKO

Réagissez à cet article