Enfer informatique

Le ministère autrichien des Affaires étrangères a repoussé la semaine dernière une cyberattaque qui était, selon lui, probablement dirigée par un État étranger. Le ministère a déclaré que l’attaque avait commencé le 4 janvier et pourrait se poursuivre encore quelques jours, mais n’a révélé que quelques détails supplémentaires.

Bien qu’aucun nom n’ait été cité pour l’incident, l’un des groupes de piratage les plus actifs en Europe est APT28, plus connu sous le nom de Fancy Bear. APT28 est l’auteur de nombreuses attaques, notamment contre l’OTAN, la SAIC (entreprise américaine spécialisée dans les services pour le secteur de la défense), Boeing, le Parlement allemand et bien d’autres. La portée du groupe s’étend au-delà de l’Europe et il est également actif aux États-Unis, en Ukraine, en Russie et en Syrie.

Lignes téléphoniques coupées, plus de mails... Une attaque massive touche le siège social et tous ses services informatiques, à Guyancourt (Yvelines). Le géant mondial du BTP assure qu’il n’y a pas de paralysie de l’activité.


« Ce matin (jeudi matin), impossible de nous connecter à Internet ou au réseau intranet, témoigne une trentenaire, salariée depuis près d'une dizaine d'années dans l'entreprise. Les lignes téléphoniques ont aussi été coupées car elles sont reliées à Internet. »

Privés de l'accès à leurs boîtes email, les 3200 employés du site ont reçu jeudi matin un SMS annonçant « une alerte virale avec une coupure générale du DataCenter Challenger », le nom du siège social du géant de la construction basé à Guyancourt (Yvelines).

Le message précisait que toutes les messageries et applications étaient inaccessibles pour une « durée inconnue ». Plus tard, un autre message faisait état « d'une crise virale qui a été détectée sur le réseau informatique. L'analyse des causes et des impacts est en cours ». La suite se voulait rassurante : « Les premières actions de sécurisation sont mises en place pour l'interne comme pour nos clients ».

« Plus aucun service ne fonctionne. Nos chantiers sont bloqués à cause des commandes impossibles à passer. Les logiciels de gestion comptable sont aussi à l'arrêt : il n'y a aucun paiement des sous-traitants ou des clients », s'alarme un employé basé au Royaume-Uni.

Durant quelques heures, le 1er septembre 2020, les réseaux internet fixes de plusieurs opérateurs européens sont tombés en panne. Parmi les victimes, on compte SFR et Bouygues. Cette panne était en réalité liée à une cyberattaque de type DDoS…

A l’ère du tout connecté, il est devenu impensable pour beaucoup de se passer d’internet pendant plus d’une journée. D’ailleurs, une cyberattaque désactivant les réseaux serait sans doute le meilleur moyen de paralyser le pays.

Ce scénario semble de l’ordre de la fiction, mais c’est pourtant ce qu’ont vécu des milliers d’abonnés aux offres fixes des opérateurs SFR et Bouygues Telecom ce mardi 1er septembre 2020 au soir. La panne est d’abord survenue chez SFR, puis chez Bouygues à quelques heures d’intervalle.

Officiellement, l'enquête ouverte par le parquet est motivée par des « atteintes contre des systèmes de traitement automatisé des données contenant des données à caractère personnel mis en œuvre par l'État ». Certains avocats et magistrats, parmi lesquels le procureur de Paris et certains juges issus du pôle financier, ont pour certains reçu des courriers électroniques de personnes dont ils n'avaient plus eu de nouvelles depuis plusieurs années, mais portant sur d'anciens dossiers.

Les spécialistes en cybersécurité de la société Proofpoint confirment que les hackers ont utilisé la technique dite de spearphishing, c'est-à-dire de hameçonnage ciblé, pour se livrer à de la fraude par mail. Le spearphishing, forme plus ciblée que le phishing, fait appel à des techniques d'ingénierie sociale, ou social engineering, à l'origine notamment du scandale du piratage massif de Twitter. Sa détection est rendue difficile, et le doute finit par gagner la cible, qui au moment de cliquer pense vraiment avoir affaire à une personne connue ou de confiance.

Les avocats et magistrats n'ont pas été les seuls à être victimes de ces cyberattaques. Plusieurs services du ministère de l'Intérieur ont également été touchés. Dimanche, le ministère situé Place Beauvau a décidé de bloquer la réception des courriers électroniques contenant des fichiers au format .doc, de façon à prévenir toute tentative.

La chaîne d'hôpitaux américaine Universal Health Services doit faire face à une cyberattaque d'ampleur, qui paralyse le fonctionnement de tout le matériel informatique d'une majorité de ses 400 hôpitaux.

La troisième plus grande place financière du monde est contrainte de fermer ce jeudi pour gérer un mystérieux problème technique. Un incident qui intervient au moment où les autorités japonaises tentent d'attirer sur leurs marchés financiers les investisseurs étrangers effrayés par le durcissement de la situation à Hong Kong.

Un cadre législatif à l'espace informationnel pour les vingt prochaines années

Assorti, sur la première page, de la mention « Privileged & Need-to-know » (accès confidentiel, à partager seulement entre ceux qui ont besoin de savoir), en dessous du logo de Google, ce document était destiné à mobiliser les membres de l’équipe de lobbying du moteur de recherche à tout faire pour vider de sa substance la nouvelle législation numérique en cours d’élaboration à Bruxelles : le Digital Services Act. Ce règlement qui entrera en vigueur au plus tard en 2023 abritera un arsenal d’outils législatifs très contraignants pour les géants d’Internet, une obligation de modération à hauteur de la haine en ligne, tout comme une obligation de résultat dans la lutte contre la désinformation par exemple. Le DSA ambitionne de donner un cadre législatif à l’espace informationnel pour les vingt prochaines années, comme s’y était engagée la présidente allemande de la Commission Ursula von der Leyen durant sa campagne en 2019. Il sera accompagné d’un texte cousin, le Digital Markets Act, qui envisage l’interdiction pour un moteur de recherche d’afficher en priorité ses services de voyages, tout comme il encadrera la pré-installation d’applications sur les smartphones. En cas de non-respect, des sanctions très lourdes, allant jusqu’au démantèlement, pourront être appliquées.

S'il n'a absolument rien d'illégal – les entreprises ont bien le droit de défendre leur point de vue –, ce document étonnait tout de même par les méthodes conseillées pour contrer la Commission : la volonté de recourir aux services de l'État américain comme les bureaux de représentation du commerce ou encore les ambassades, ou encore celle de jouer sur les divisions entre les services à Bruxelles. Le document préconisait par exemple de « mobiliser le USG [le gouvernement américain, NDLR] et les alliés transatlantiques sur les problématiques de commerce ». Ailleurs, il y était question d'« encourager la DG Comp [abréviation de Directorate General for Competition, la direction générale de la concurrence] » à « déclencher un débat entre les services ». Bref, de semer la zizanie à Bruxelles.

nooneelse a écrit:Je ne sais trop quoi en penser...

 l’entreprise FireEye, poids lourd américain de la cybersécurité et l’un des leaders mondiaux dans la chasse aux hackeurs d’Etat, a vu une partie au moins de ses outils offensifs se faire dérober par des pirates informatiques. Un événement d’une ampleur rare dans le monde de la cybersécurité.

La manière dont les pirates ont opéré pour pénétrer ce fleuron de la sécurité informatique n’a pas été rendue publique, pas plus que la date exacte de l’attaque. « Nous avons récemment été attaqués par un acteur hautement sophistiqué dont la discipline, la sécurité opérationnelle et les techniques nous conduisent à penser qu’il était soutenu par un Etat », a écrit dans un communiqué le PDG et fondateur de l’entreprise, Kevin Mandia, mardi 8 décembre.

L’attaque est prise très au sérieux par les autorités. La police fédérale américaine, le FBI, a pris la rare initiative de confirmer qu’une enquête était en cours et a fourni de premiers éléments sur les suspects. « Les premières indications montrent un acteur avec un haut niveau de sophistication, cohérent avec un Etat-nation », a déclaré Matt Gorham, le directeur adjoint de la division du service de police chargée des attaques informatiques.

Implanté auprès d’un grand nombre d’entreprises dans le monde, l'éditeur SolarWinds, qui est au centre d'une vaste campagne de piratage, ne disposait visiblement pas d’un très haut niveau de sécurité.

D’après Reuters, des accès à son infrastructure informatique se vendaient depuis quelques années dans des forums underground. Par ailleurs, l’année dernière, un chercheur en sécurité avait alerté l’entreprise que ses serveurs de mise à jour — et notamment ceux qui ont diffusé la backdoor russe à 18 000 entreprises — n’étaient protégés que par un faible mot de passe : « solarwinds123 ».

Pour l'heure, rien ne prouve que ces différentes vulnérabilités aient effectivement permis aux pirates d’accéder au système d’information de l’éditeur. Mais cela montre que les administrateurs système n’étaient pas au niveau question sécurité.

D’ailleurs, il s’est avéré que les mises à jour vérolées de SolarWinds étaient encore disponibles au téléchargement plusieurs jours après la découverte du pot aux roses. Ce qui ne signale pas une grande réactivité des équipes de SolarWinds. Pour l’image de marque de ce fournisseur technologique, c’est évidemment désastreux. Depuis l’annonce de ce hack, son action en bourse a perdu un quart de sa valeur.

La cyberattaque d’envergure qui frappe plusieurs ministères aux États-Unis représente un “risque grave” et les mesures pour la contrecarrer seront “extrêmement complexes et difficiles”, a prévenu ce jeudi 17 décembre l’agence américaine en charge de la cybersécurité et de la sécurité des infrastructures (Cisa).

Le président élu Joe Biden s’est déclaré “très préoccupé” par cette cyberattaque découverte le week-end dernier, et le sénateur républicain Mitt Romney a montré la Russie du doigt tout en dénonçant le “silence inexcusable” de la Maison Blanche sur cette affaire.

La Cisa ne désigne pas les auteurs de cette attaque mais elle précise qu’il s’agit d’un “adversaire patient, concentré et aux ressources financières importantes qui a mené des activités pendant une longue période sur les réseaux victimes”.

Ses experts estiment “qu’extraire les pirates des environnements compromis sera extrêmement complexe et difficile pour les organisations” concernées, précise le communiqué, notant que “SolarWinds n’est pas le seul vecteur” utilisé par les auteurs de cette intrusion. Dans un premier temps, la Cisa a ordonné à l’ensemble des agences fédérales américaines de se déconnecter immédiatement de la plateforme de SolarWinds.

Le groupement hospitalier Nord-Ouest, situé dans le Rhône et dans l'Ain, a été victime d'une cyberattaque ce lundi. L'établissement a été contraint de déprogrammer nombre d'opérations chirurgicales.

Pas moins de 3 000 postes informatiques touchés et des opérations qui ont dû être déprogrammées : les conséquences de la cyberattaque qui a touché le groupement hospitalier Nord-Ouest situé dans les départements du Rhône et de l'Ain, sont importantes et ne sont pas sans rappeler les faits récents à l'hôpital de Dax (Landes).

Un incendie a fortement endommagé un data center de l'entreprise OVH à Strasbourg, très tôt ce mercredi matin. Le feu n'a pas fait de blessé mais les infrastructures sont endommagées et de nombreux sites internet d'organisation sont temporairement indisponibles.

Parmi les sites internet frappés temporairement, data.gouv.fr, qui héberge les données publiques françaises, sur le Covid-19 par exemple mais pas seulement. Après avoir signalé l'inaccessibilité du site peu avant 9h, ces gestionnaires ont annoncé en fin de matinée qu'il était en partie restauré.

À l’intérieur d’usines Tesla, de prisons, d’écoles… : 150.000 caméras de surveillance piratées

Des pirates ont diffusé sur Twitter des images prises par des caméras de la société de surveillance américaine Verkada, démontrant la vulnérabilité des systèmes aux objets connectés.

Un piratage d’ampleur et très médiatique car les données subtilisées sont, entre autres, des images sensibles d’intérieurs de lieux privés. Des images photos et vidéo provenant de quelque 150.000 caméras de surveillance de la société Verkada ont été dérobées par des pirates, qui ont choisi d’en diffuser des bribes sur Internet via des comptes Twitter. On y voit l’intérieur d’une usine automobile et d’entrepôts du constructeur Tesla, de prisons, d’écoles, de cliniques…

OVH a dû interrompre provisoirement ses opérations de remise en route et couper l'alimentation électrique de son data center. Un dégagement de fumée avait été repéré.

Selon les Dernières Nouvelles d’Alsace, il est bien question d’un incendie. Mais Octave Klaba, le fondateur d’OVH, a déclaré sur Twitter « qu’il n’y a pas eu d’incendie, mais beaucoup de fumée ». 

’origine du problème, localisée dans le secteur 1 (SBG 1) du data center, qui avait été touché partiellement par le premier incendie, est indéterminée à cette heure : en principe, ces équipements étaient censés être inertes.

La mauvaise nouvelle, pour la clientèle d’OVH, c’est qu’il a fallu couper l’alimentation des secteurs 1 et 4 du data center strasbourgeois et interrompre toutes les opérations pour la nuit. Le personnel mobilisé pour remettre en route SBG3 a également été renvoyé chez lui. Cette interruption ne devrait néanmoins pas durer très longtemps : les opérations de remise en route reprennent ce samedi 20 mars.

Un utilisateur d'un forum de piratage a publié samedi les numéros de téléphone et les données personnelles de centaines de millions d'utilisateurs de Facebook gratuitement en ligne.

Les données exposées comprennent les informations personnelles de plus de 533 millions d'utilisateurs Facebook de 106 pays, dont plus de 32 millions d'enregistrements sur les utilisateurs aux États-Unis, 11 millions sur les utilisateurs au Royaume-Uni, 6 millions sur les utilisateurs en Allemagne et près de 20 millions sur les utilisateurs en France. Il comprend leurs numéros de téléphone, identifiants Facebook, noms complets, lieux de résidence, anciens lieux de résidence, dates de naissance, biographies, situation matrimoniale et, dans certains cas, adresses e-mail.

Pour vérifier l’authenticité de ces enregistrements, certains médias ont examiné un échantillon des données divulguées et vérifié plusieurs enregistrements en faisant correspondre les numéros de téléphone des utilisateurs Facebook connus avec les identifiants répertoriés dans l'ensemble de données.
Ils ont également vérifié les enregistrements en testant les adresses e-mail à partir de l'ensemble de données de la fonction de réinitialisation du mot de passe de Facebook, qui peut être utilisée pour révéler partiellement le numéro de téléphone d'un utilisateur.

Un porte-parole de Facebook a déclaré que les données avaient été supprimées en raison d'une vulnérabilité corrigée par la société en 2019.

Alors qu'elles datent de quelques années, les données divulguées pourraient fournir des informations précieuses aux cybercriminels qui utilisent les informations personnelles des gens pour se faire passer pour eux ou les escroquer selon Alon Gal, CTO de la société de renseignement sur la cybercriminalité Hudson Rock, qui a évoqué les données divulguées en ligne samedi.

« Une base de données de cette taille contenant les informations privées telles que les numéros de téléphone de nombreux utilisateurs de Facebook conduirait certainement à des mauvais acteurs profitant des données pour effectuer des attaques d'ingénierie sociale [ou] des tentatives de piratage », a déclaré Gal.

Des élèves, parents d'élèves et enseignants se retrouvent démunis ce mardi 6 avril face aux différents outils numériques créés à des fins pédagogiques par l'Éducation nationale. Comme ce fut le cas le 16 mars 2020, lors du premier confinement, de multiples pannes touchent les espaces numériques de travail (ENT) ou encore les outils de visioconférence, indispensables pour la poursuite de l'enseignement à distance.

Le ministre de l'Éducation nationale Jean-Michel Blanquer a évoqué la situation du site "Ma classe à la maison", qui regroupe trois plateformes pédagogiques (pour les écoliers, les collégiens et les lycéens) créées par le Centre national d’enseignement à distance (Cned). Selon le ministre, elles sont ce matin visées par une cyberattaque nuisant à leur fonctionnement.

la Corée du Nord attaque nos serveurs éducatifs)
[quote]Jean-Michel Blanquer a évoqué, "d'après les premiers éléments" dont il dispose les difficultés d'un "opérateur privé" - OVH - "qui a eu un incendie à Strasbourg il y a quelques temps et qui n'a donc pas pu faire face à l'afflux de connexions ce matin". Un scénario vivement démenti par OVH Cloud.

c'est la faute d'OVH qui a brulé, même si c'est pas OVH qui héberge nos serveurs)
[quote]La saturation des serveurs semble également être à l'origine des pannes liées aux ENT, notamment dans la région Centre-Val de Loire, ou de la mise en place de files d'attente virtuelles en Île-de-France. Avec cette fois une origine liée au sous-dimensionnement des serveurs par rapport à l'afflux de connexions en ce premier jour d'école à la maison.

Raillé pour avoir fait état d’une attaque russe sur le site du Cned, le ministre a rétorqué: “Renseignez-vous sur les cyber-attaques russes, renseignez-vous sur ce sujet et on verra si vous pourrez faire des boutades. Tous les pays du monde sont menacés par ce type de cyber-attaques”. Il a enfin assuré avoir “bon espoir” que les sites se rétablissent entre “aujourd’hui” et “après-demain”. 

Mais selon le Secrétariat général de la défense et de la sécurité nationale (SGDSN), la cause des problèmes de connexion des élèves et de leurs professeurs sur la plateforme n’est pas liée à des attaques informatiques venues de l’étranger. Une source travaillant au sein de l’organisme rattaché à Matignon, ayant pour fonction de veiller à ce genre de menaces, a confié à la rédaction de Médiapart avoir été agacée par les arguments du ministre pour expliquer les problèmes de “Ma classe à la maison”, confirmant que le site n’avait subi aucune attaque venue de l’étranger. 

Également interpellé sur le fonctionnement de la plateforme pendant le premier confinement, Jean-Michel Blanquer a évoqué des “problèmes de tuyaux” et dont la compétence “relève des régions et des départements”, a-t-il dit. Or les collectivités avaient assuré ”être prêtes la semaine dernière”, selon lui. “On constate, et je le déplore, que certains opérateurs n’ont pas la compétence technique pour suivre”.

Les chercheurs en sécurité de Qihoo 360 ont découvert un malware qui espionne des systèmes Linux 64 bits depuis au moins trois ans. Baptisé « RokaJakiro », il est particulièrement furtif. Pour communiquer avec ses serveurs de commande et contrôle, il utilise le port 443, réservé normalement aux flux HTTPS. Le nom du fichier d’installation est particulièrement banal (systemd-daemon, gvfsd-helper). Et il utilise une série d’algorithmes pour rester sous le radar, comme le chiffrement AES, les codages XOR et de rotation et la compression Zlib.

Le malware adapte son comportement en fonction du type de compte compromis (root ou non). Il est capable d’analyser le terminal infecté, d’exfiltrer des données sensibles et d’exécuter des plugins. Ces derniers n’ont toutefois pas pu être décortiqués par les chercheurs. Par ailleurs, on ne sait pas encore quel est le mode de diffusion de ce code malveillant. Enfin, les chercheurs ont remarqué que le code avait des similitudes avec Torii, un botnet d’objets connectés assez sophistiqué détecté en 2018 par Avast. Beaucoup de questions restent donc encore ouvertes sur ce curieux malware.