(Suis-je infecté? Scan de virus en ligne)
Nom de code Aurora découvert par George Kurtz de MacAfee en inspectant le code malicieux qui a eu raison des géants de l’industrie. Le dossier contenant le code se serait appelé Aurora, vraisemblablement le nom de code de la plus grande opération d’espionnage Internet révélée à ce jour!
Qui était visé ?
Google a révélé publiquement ce mardi une cyber-attaque sur ses infrastructures et sur une vingtaine de sociétés de l’Internet, de la finance, des media, de la chimie, et de la défense. Selon Google, les attaquants cherchaient à prendre le contrôle des mails de défenseurs des droits de l’homme (mais n’auraient pas réussi). Selon les autre sources, c’étaient surtout les “code source”, les secrets industriels des entreprises qui étaient visés !
Adobe, créateur de Reader (les fichiers PDF) et de Flash (la techno de la majorité des vidéos sur Internet dont Youtube, Dailymotion) a également reconnu une attaque sur ses infrastructures.
Selon le Washington Post, Yahoo, Symantec, Northrop Grumman et Dow Chemical auraient aussi été victimes d’intrusion. Des associations des droits de l’homme et des lobbies de Washington actifs sur la Chine auraient été attaqués également.
De toute évidence il s’agit d’une campagne d’espionnage visant à récolter des secrets technologiques et des informations politiques!
D’où vient l’attaque ?
L’état chinois est soupçonné. Google a immédiatement stoppé le filtrage Internet qu’il pratiquait en Chine à la demande du gouvernement, cet arrêt du filtrage risque d’aboutir à l’interdiction pure et simple de Google en Chine.
Selon Yahoo, Hilary Clinton (Secretary of State – ministre des affaires étrangères) attend des explications de l’état Chinois.
Selon un expert de sécurité cité par le Washington Post, les cibles visées réflètent directement les priorités du gouvernement chinois.
Comment ça marche ?
Les cyber-criminels ont utilisé des vulnérabilités “zero-day” et du “social engineering” pour arriver à leurs fins de mi-décembre à janvier (pendant les fêtes, quoi). On peut traduire simplement:
- zero-day: pas encore repéré (et donc évidemment pas corrigé). Les anti-virus sont typiquement inutiles devant le problème. C’est un peu comme une grippe inconnue sans vaccin.
- vulnérabilité: bug qui grosso modo permet de prendre le contrôle d’un PC
- social engineering: convaincre quelqu’un qui a accès à des données privilégiées (genre le code source d’un missile ou d’un algorithme de recherche de google) de cliquer sur un lien qui a l’air d’une carte de voeux de copain mais qui est en fait un “exploit” de la vulnérabilité: ie le programme qui prend le contrôle à son insu. Le plus difficile ici est de connaître les adresses mail des gens en question, quoique…
- exploit: (dans le sens d’exploiter) le programme qui utilise la vulnérabilité pour prendre le contrôle du PC.
Donc en gros, les attaquants ont envoyé des emails ciblés et spécifiques semblant venir de source familières à des personnes dont le PC contenait ou avait accès à des informations clé. Dès qu’ils ont cliqué sur les liens…
Quelles étaient les vulnérabilités ?
On en connait deux aujourd’hui (mais il y en avait sans doute d’autres):
- un bug de Microsoft Explorer, dans toutes les versions mais particulièrement exploitable dans la combinaison IE6 / Windows XP. Le bug est donc publié depuis le 14 janvier par Microsoft mais pas encore corrigé, peut-être mi-février. Cette vulnérabilité permet l’exécution de code distant (sur le serveur des attaquants). Le bug concerne la gestion de la mémoire suite à un changement DOM par javascript (ie changement de la page web sans la recharger: la base technique du web 2.0), suite à une opération sur la page dans le genre supprimer une partie de la page et essayer d’y accéder à nouveau, il y a une corruption de mémoire et la possibilité d’exécuter le code qu’on souhaite et donc prendre discrètement le contrôle du PC avec les mêmes droits que l’utilisateur.
- 8 bugs Adobe Reader (donc lecture de PDF) corrigés le 12 janvier avec la version 9.3. 6 de ces vulnérabilités permettent l’exécution de code distant.
- Les serveurs distants: les attaquants ont pris le contrôle de serveurs de centres d’hébergement en Illinois, au Texas (Rackspace) et à Taiwan entre le 15 décembre et le 4 janvier pour mener ces opérations.
- Une fois la connexion établie entre le PC exploité et le serveur, un programme encrypté était exécuté pour télécharger une série de programmes eux-mêmes encryptés qui allaient mettre en place une connexion SSH (sécurisée et encryptée); cette connexion étant le chemin permettant aux espions de rechercher des logins, mots de passe, accès à d’autres ordinateurs, et les données sensibles à récupérer.
Implications
Pour résumer, jusqu’à maintenant, la cyber-criminalité a suivi ces étapes:
- jeux innocents
- quelques vols de coordonnées bancaires
- prises de contrôle de PC pour envoyer des spams ou cliquer sur des pubs. Selon Vinton Cerf en 2007: 150 millions de PC zombies soit 25% des PC connectés
- et maintenant espionnage industriel à grande échelle à priori par les Etats… Est-ce la nouvelle guerre froide?
Clairement les secrets industriels, la propriété intellectuelle, les actifs clé des meilleures sociétés high tech du monde sont mal protégés; donc personne n’est à l’abri. Je ne vois pas comment le dire autrement!
Comment se protéger ?
Bien déjà si votre PC contient seulement vos photos de vacances… ça ne risque pas d’intéresser les grands espions…
Mais si vous bossez dans la défense, l’industrie pharmaceutique ou des associations militantes…
- Ca pourrait être une idée de ne pas avoir d’informations sensibles sur un ordinateur Windows… et au moins pas sur une version de Windows qui date de plusieurs années. Plus la version est récente, mieux c’est: parce que les développeurs ont ajouté plus de moyens de sécurité et parce que les “criminels” n’ont pas trop eu le temps d”étudier… alors que Windows XP…
- Ca fait une raison de plus de ne pas utiliser Internet Explorer, non ? Il y a d’autres navigateurs à mon avis meilleurs: Opera, Firefox, Safari, Chrome. Si vous voulez vraiment utiliser Microsoft, il faut au m oin prendre la dernière version!
- Filez au moins deux ordinateurs à vos techos: un avec les données sensibles non connecté au monde extérieur, et un autre avec le mail, facebook, etc.
- Plus fondamentalement, il faut se dire qu’il est clé de protéger ses données, mais aussi que ce sera de plus en plus difficile (comme la vie privée) et qu’il faudra bien se différencier par autre chose que des secrets: le service, le marketing, les équipes et leurs compétences propres etc.
Avez-vous d’autres informations ? Pensez-vous que votre société est mieux protégée que Google ou Northrop Grumman ? Ou vous pensez que tout ça, c’est de la paranoïa ?
beaucoup appris