On pensait que seules les entreprises devaient répondre des cyber-menaces qui pèsent sur leurs données confidentielles. S'il est vrai que les grandes entreprises et les organsiations "stratégiques" sont souvent victimes de cyber-attaques, les Etats prennent en 2012 la relève de manière officielle. Les conséquences en terme d'image et de e-réputation pour les entreprises sont connues. S'ajoutent aussi les pertes de "business" et financières ( entre 100 000 et 300 000 dollars selon CheckPoint). Mais quelles conséquences pour les cyber-attaques au niveau des Etats ? En outre une série de cyber-menaces touchant des réseaux sociaux utilisés par des décideurs met en lumière un fait nouveau: le cyber-espionnage de données personnelles de décideurs et toujours en ligne de mire leur e-réputation. Exemples récent de de eCrime "d'état".
17 juillet 2012: (source Kaspersky Lab)
Mahdi - The Cyberwar Savior?
Kaspersky Lab et Seculert ont collaboré afin de surveiller les serveurs de commande et de contrôle (C&C) de Madi. Les deux sociétés ont ainsi identifié plus de 800 victimes en Iran, en Israël et dans certains autres pays à travers le monde, qui ont été en relation avec ces serveurs au cours des huit derniers mois. Les statistiques de surveillance révèlent que les victimes sont principalement des hommes d’affaires travaillant pour des projets iraniens ou israéliens dans le domaine des infrastructures critiques ou pour des établissements financiers israéliens, ou encore des étudiants ingénieurs au Moyen-Orient, ainsi que diverses administrations communiquant dans cette région.
En outre, l’examen du programme malveillant a fait ressortir une quantité inhabituelle de documents ou d’images de « diversion » à caractères religieux ou politique, distribués au moment de l’infection initiale.
Nicolas Brulez, chercheur senior en malware au sein de Kaspersky Lab précise « Les auteurs de l’attaque Madi sont parvenus à espionner sur une période prolongée des victimes connues dans leur domaine, aux profils spécifiques, en utilisant un malware et une infrastructure bien plus basiques que d’autres opérations similaires. Cette attaque confirme bien qu’une opération, même rudimentaire, peut causer le vol de données clé et confidentielles en toute impunité. »
Aviv Raff, directeur technique de Seculert ajoute « Chose intéressante, notre analyse conjointe a découvert un grand nombre d’expressions en persan disséminées dans le malware et ses outils de C&C, ce qui n’est pas courant dans du code malveillant. Il ne fait donc pas de doute que les responsables de l’attaque parlent couramment cette langue ».
Le cheval de Troie Madi permet de dérober à distance des fichiers sensibles sur les ordinateurs Windows infectés, d’espionner des communications confidentielles (e-mails ou messages instantanés) ou encore d’effectuer des enregistrements audio ou de frappes clavier et des copies d’écran des activités des victimes. L’analyse des données semble indiquer que plusieurs giga-octets d’informations ont été téléchargés depuis les machines de ces dernières.
Parmi les applications courantes et les sites Web espionnés figurent des comptes sur Gmail, Hotmail, Yahoo! Mail, ICQ, Skype, Google+ et Facebook. La surveillance porte également sur des systèmes ERP/CRM intégrés, des contrats entre entreprises et des systèmes de gestion financière.
Kaspersky Lab déclare détecter les variantes du malware Mahdi ainsi que les documents diffusés et modules associés, sous l’appellation Trojan.Win32.Madi.
(cf liens en fin de note)
Récemment, début 2012, le pirate informatique saoudien 0xOmar, qui a mis en ligne les coordonnées de plusieurs milliers de cartes de crédit israéliennes, indique avoir piraté près de 80 serveurs israéliens. Il déclare également détenir de nombreux fichiers dérobés à des sociétés sous contrat avec l'armée israélienne. 0xOmar, qui utilise une adresse russe de courrier électronique, ajoute que la diffusion progressive, sur le web, de l'ensemble des fichiers en sa possession va se poursuivre.
Selon une dépêche AFP, "Israël usera de la force contre le "terrorisme" des hackers, a affirmé samedi le vice-ministre israélien des Affaires étrangères Dany Ayalon après la divulgation sur internet des coordonnées de milliers de cartes de crédit appartenant à des Israéliens".
"Il faut transmettre un message à tout ceux qui agressent ou tentent d'agresser Israël y compris dans son cyberespace en les prévenant qu'ils se mettent ainsi en danger et qu'ils ne bénéficieront d'aucune immunité contre des actions de représailles d'Israël", a affirmé M. Ayalon, dont les propos ont été cités par plusieurs médias.
Ces attaques relèvent du "terrorisme qu'il faut traiter en tant que tel. Dans le cyberespace, nous disposons de capacités actives et nous pourrons frapper tous ceux qui tentent de nous frapper", a ajouté le vice-ministre.
M. Ayalon s'est également félicité que les Etats-Unis aient "annoncé officiellement que toute attaque dans leur cyberespace sera considérée comme une déclaration de guerre et qu'ils réagiront comme s'il s'agissait d'une attaque de missiles".
Un hacker se présentant comme saoudien a divulgué cette semaine sur internet les coordonnées de plusieurs milliers de cartes de crédit appartenant à des Israéliens. Il a de nouveau frappé vendredi avec un nouveau fichier contenant un cheval de Troie, selon la radio israélienne.
D'après la chaîne publique, le pirate informatique qui se présente sous le nom "0xOmar" a diffusé ce qui semblait être les coordonnées de cartes de crédit, mais qui cache en fait un logiciel très nuisible.
Un peu plus tôt vendredi, la radio militaire avait indiqué que les coordonnées de 6.050 cartes de crédit supplémentaires appartenant à des Israéliens avaient été divulguées sur internet par ce hacker, en citant les organismes de crédit touchés.
Lundi, ce même pirate qui affirme être saoudien avait déjà révélé les codes d'accès de 14.000 autres cartes de crédit d'Israéliens en proclamant être en mesure de publier les coordonnées de 400.000 cartes de crédit.
Dans un communiqué publié sur internet, l'auteur de cette cyber-attaque avait affirmé lundi être membre d'un "groupe de hackers" saoudiens.
Le site d'information israélien Ynet a pour sa part rapporté que selon un expert informaticien israélien, 0xOmar est un internaute de 19 ans qui utilise un serveur au Mexique.
Après les Etats, les décideurs présents sur les réseaux sociaux sont "ciblés"
Début juin 2012, c'est près de 6 millions de mots de passe que le réseau social Linkedl s'est fait dérober. Les spammeurs en ont profité pour exploiter cette faille http://www.theregister.co.uk/2012/06/07/linkedin_spam_emails_data_breach/)
Début 2012, c'est Facebook qui avait été victime de ce type de "problèmes". Un ver informatique baptisé Ramnit a en effet récupéré les identifiants de 45 000 comptes Facebook, notamment en France et au Royaume-Uni (selon le site clubic.com). Ce virus, découvert en 2010, est capable de récupérer des informations confidentielles comme les mots de passe. D'après le site spécialisé übergizmo, le but de ce piratage pourrait être de propager le ver en envoyant des liens aux contacts des comptes infectés.Il est conseillé d'avoir des mots de passe différents pour les différents comptes sur Internet.
En juin 2012, Last.fm et eHarmony connaissent les mêmes déboires. Ces cyber-attaques ne sont pas si "innocentes". L'innocence n'existe pas dans ce monde. Au delà de l'appât du gain, d'autres exploitations seront vraisemblablement réalisées basées sur du cyber-chantage.
Ainsi, dans certains cas, ce sont des données "personnelles" pouvant appartenir a des responsables et décideurs qui sont aussi exploitées (agenda, planning...). Même le monde Apple que la firme a toujours voulu tenir éloigné des cyber-risques et autres malwares est directement concerné par les vols de mots de passe chez Linkedl. En effet, des chercheurs ont découvert que l’application pour iPhone et iPad de la plateforme de mise en relation professionnelle rapatrie l’agenda iOS de ses utilisateurs sur ses serveurs. http://www.theinquirer.fr/2012/06/07/linkedin-lappli-ios-vole-les-donnees-de-votre-agenda.html. Ce sont les deux spécialistes en sécurité israéliens Yair Amit et Adi Sharabani qui ont révélé au “New York Times” ces pratiques douteuses du réseau social professionnel. La encore argent et eRéputation se retrouvent.
Bref a qui profite le cyber-crime ? S'achemine t-on vers un cyber-crime d'Etat ?
jpbichard@gmail.com
http://www.attypique.com/interviews-posthumes/attypique-internet-e-r%C3%A9putation/
Ci-dessous, nous reproduisons le Communiqué officiel de Google (envoyé à la presse le 7 juin 2012)
Google a annoncé la mise en place d’une nouvelle fonctionnalité qui avertira les utilisateurs si leurs comptes de messagerie deviennent les cibles potentielles de cyber-attaques d’origine gouvernementale. Ce nouveau système de protection est conçu pour protéger les défenseurs des droits de l'homme, les journalistes et les personnalités politiques d'Etat de ces cyber-attaques. Google a déjà établi des solutions en réponse aux renseignements recueillis auprès des utilisateurs ou grâce à ses efforts de surveillance propres, mais il s'est désormais engagé à prendre des mesures supplémentaires pour protéger ses usagers les plus vulnérables, avec une barre d'avertissement rouge qui apparaît sur les comptes utilisateurs compromis.
D’aucuns pensent que le mouvement est une réponse directe à une série de cyber-attaques de grande envergure ciblant les États-Unis et d'autres responsables gouvernementaux. En outre, il suit la découverte récente du virus Flame, que l'ONU a reconnu comme l’un des outils d'espionnage les plus puissants au monde, et contre lequel il a récemment mis en garde.
James Todd, responsable technique Europe de FireEye - un leader dans l'arrêt des attaques ciblées - commente:
"Alors que les attaques relativement simples contre LinkedIn et eHarmony occupent les grands titres des media, il existe une menace grandissante bien plus importante qui se prépare, et il est évident qu’elle ne disparaitra pas sitôt. Depuis les strictes mises en garde de l'ONU sur les implications du virus Flame contre les Etats membres, jusqu’à la dernière annonce de Google - nous entrons réellement dans une ère où les super-ordinateurs, le financement public et l’expertise technique constituent le nouvel arsenal.
"Bien qu'il ait refusé de donner des détails sur la façon dont il entend identifier les attaques malveillantes d’origine gouvernementale, la décision de Google de développer de nouvelles fonctionnalités destinées à contrer le cyber espionnage montre clairement que de telles attaques ne relèvent plus du seul phantasme collectif alimenté par l’industrie audiovisuelle, et doivent, par-delà la prise de conscience collective, constituer le point de départ d’une refonte de la stratégie de sécurité actuelle de nombreuses organisations. Le « Email hacking » n'est en aucun cas un nouveau défi, et l'approche précédente « réactive » n’est plus du tout appropriée, par opposition à une approche préventive, d’analyse en amont des risques potentiels et de protection proactive, que souhaite développer Google. Alors que les attaques deviennent de plus en plus sophistiquées et persistantes, la vigilance, alliée à une surveillance continue et accrue de tous les vecteurs d’attaque potentiels et des systèmes internes, sont les seuls moyens de contrecarrer l'activité malveillante.
"Il est nécessaire de prendre conscience que le piratage webmail ne constitue que l’infime partie immergée de l'iceberg. Comme les pirates deviennent plus inventifs dans leurs tentatives visant à compromettre des cibles telles que les réseaux gouvernementaux et autres organismes nationaux sensibles, le point de départ de leurs manœuvres est en général une attaque quasi-anodine. En lançant cette nouvelle fonctionnalité, Google démontre clairement sa bonne appréhension de l’évolution de la nature des menaces informatiques, et de ce que les attaques mineures peuvent annoncer à grande échelle. Les entreprises doivent impérativement lui emboîter le pas».
Lire aussi:
http://blog.seculert.com/2012/07/mahdi-cyberwar-savior.html
http://www.securelist.com/en/blog/208193677/The_Madi_Campaign_Part_I
http://www.securelist.com/en/blog/208193568/Back_to_Stuxnet_the_missing_link
http://www.zdnet.fr/actualites/l-inde-prete-a-se-doter-de-cyber-armes-39772725.htm#xtor=RSS-1
