IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Un tribunal autorise le FBI à pirater des ordinateurs dans tous les États-Unis afin de pouvoir éradiquer un piratage informatique,
L'agence a supprimé une porte dérobée de centaines d'ordinateurs

Le , par Stan Adkens

75PARTAGES

9  0 
Un tribunal de Houston a autorisé une opération du FBI visant à "copier et supprimer" les portes dérobées de centaines de serveurs de messagerie Microsoft Exchange aux États-Unis, quelques mois après que des pirates ont utilisé quatre vulnérabilités non découvertes auparavant pour attaquer des milliers de réseaux. Ces ordinateurs vulnérables exécutaient des versions sur site du logiciel Microsoft Exchange Server qui avaient été exploitées par des groupes de pirates informatiques en janvier et février 2021. Le ministère de la Justice a annoncé mardi dernier l'opération, qu'il a qualifiée de "réussie".

En mars, Microsoft a découvert un nouveau groupe de pirates informatiques parrainé par l'État chinois, connu sous le nom de Hafnium, qui ciblait des serveurs Exchange exécutés à partir de réseaux d'entreprise. Les quatre vulnérabilités, une fois enchaînées, permettaient aux pirates de s'introduire dans un serveur Exchange vulnérable et d'en voler le contenu. Au moins 30 000 organisations américaines ont été compromises pendant deux mois par une porte dérobée installée via ces quatre failles que Microsoft a corrigées dans Microsoft Exchange, a rapporté le journaliste spécialisé en cybersécurité Brian Krebs, en début mars.


Les victimes comprenaient un nombre important de petites entreprises, de villes et de gouvernements locaux, et les cyberespions se sont concentrés sur le vol du courrier électronique des organisations victimes. Microsoft a corrigé les vulnérabilités, mais les correctifs n'ont pas fermé les portes dérobées des serveurs qui avaient déjà été compromis. En quelques jours, d'autres groupes de pirates ont commencé à s'attaquer aux serveurs vulnérables présentant les mêmes failles pour déployer des ransomwares.

Le nombre de serveurs infectés par des Web shells illégaux placés sur les ordinateurs a diminué à mesure que les correctifs étaient appliqués par les propriétaires des systèmes infectés. Mais des centaines de serveurs Exchange sont restés vulnérables parce que les portes dérobées sont difficiles à trouver et à éliminer – d'autres propriétaires semblaient incapables de le faire (ou peut-être même inconscients de la présence de la porte dérobée) -, a déclaré le ministère de la Justice dans un communiqué la semaine dernière. Ce qui a nécessité une aide extérieure, et c'est là que le FBI doit intervenir.

« Cette opération a permis de supprimer les derniers Web shells d'un groupe de pirates qui auraient pu être utilisés pour maintenir et accroître un accès persistant et non autorisé aux réseaux américains », a indiqué le communiqué. « Le FBI a procédé à la suppression en envoyant une commande au serveur par le biais du Web shell, conçue pour que le serveur supprime uniquement le Web shell (identifié par son chemin de fichier unique) ».

Si Microsoft a peut-être été douloureusement lent dans sa réponse initiale, les clients de Microsoft Exchange Server ont également eu plus d'un mois pour corriger leurs propres serveurs après plusieurs alertes critiques. La société, qui avait initialement déclaré que les piratages consistaient en « attaques limitées et ciblées », a refusé en début mars de commenter l'ampleur du problème, mais a déclaré qu'il travaillait avec des agences gouvernementales et des sociétés de sécurité pour apporter de l'aide aux clients.

« La meilleure protection consiste à appliquer les mises à jour dès que possible sur tous les systèmes concernés », a déclaré le mois dernier un porte-parole de Microsoft dans une déclaration écrite. « Nous continuons à aider nos clients en leur fournissant des conseils supplémentaires en matière d'investigation et d'atténuation. Les clients touchés doivent contacter nos équipes d’assistance pour obtenir une aide et des ressources supplémentaires ». Des centaines d’ordinateurs sont pourtant restés compromis avant l’intervention autorisée du FBI.

Le ministère de la Justice a toutefois précisé que, bien que la campagne du FBI ait supprimé le Web Shell placé par le groupe de pirates informatiques, elle n'a pas activement corrigé la vulnérabilité sous-jacente exploitée par les pirates informatiques au départ ni supprimé les logiciels malveillants qu’ils pourraient avoir laissés derrière eux. Ce qui signifie que les ordinateurs affectés peuvent simplement être réinfectés à l'avenir si leurs propriétaires ne prennent pas de mesures pour les protéger.

Une mission de nettoyage de réseaux privés avec "succès" par le FBI

« La suppression des Web shells malveillants, autorisée par le tribunal aujourd'hui, démontre l'engagement du ministère à perturber les activités de piratage en utilisant tous nos outils juridiques, et pas seulement les poursuites judiciaires », a déclaré dans un communiqué le procureur général adjoint John C. Demers, de la division de la sécurité nationale du ministère de la Justice.

« Si l'on ajoute à cela les efforts déployés jusqu'à présent par le secteur privé et d'autres agences gouvernementales, notamment la publication d'outils de détection et de correctifs, nous montrons ensemble la force que le partenariat public-privé apporte à la cybersécurité de notre pays. Il ne fait aucun doute qu'il reste du travail à faire, mais il ne fait aucun doute non plus que le ministère s'engage à jouer son rôle intégral et nécessaire dans ces efforts ».

Le FBI a déclaré que sa mission était un succès et a même profité de l'occasion pour lancer un avertissement aux pirates informatiques potentiels. Tonya Ugoretz, directrice adjointe par intérim de la division Cyber du FBI, a déclaré :

« Notre action réussie doit servir à rappeler aux cyberacteurs malveillants que nous imposerons des risques et des conséquences pour les cyberintrusions qui menacent la sécurité nationale et la sécurité publique du peuple américain et de nos partenaires internationaux. Le FBI continuera d'utiliser tous les outils à sa disposition en tant que principale agence nationale d'application de la loi et de renseignement pour tenir les cyberacteurs malveillants responsables de leurs actions ».


En mars, des experts en cybersécurité ont déclaré que l'éradication des cybercriminels dans les réseaux va nécessiter un effort de nettoyage sans précédent et urgent à l'échelle nationale. Ils s'inquiétaient du fait que plus les victimes mettent de temps à enlever les portes dérobées, plus il est probable que les intrus poursuivent en installant des portes dérobées supplémentaires, et peut-être en élargissant l'attaque pour inclure d'autres parties de l'infrastructure réseau de la victime.

Le FBI affirme que des milliers de systèmes ont été corrigés par leurs propriétaires avant qu'il ne commence son opération de suppression de la porte dérobée de Hafnium à distance, et qu'il n'a fait que « supprimer les Web shells restants » qui auraient pu être utilisés « pour maintenir et accroître un accès persistant et non autorisé aux réseaux américains ».

On peut affirmer que le FBI rend service au monde entier en éliminant une menace de ce type, alors qu’une bonne partie des propriétaires des systèmes infectés traîne les pas pour appliquer les correctifs de Microsoft. On peut aussi se demander combien de clients de Microsoft – qui ne sont probablement pas encore au courant de l'implication du FBI – seront en colère, et combien seront reconnaissants que l’agence fédérale, et non un autre pirate, ait profité de la porte ouverte.

Toutefois, le ministère de la Justice dit qu'il « tente de fournir une notification » aux propriétaires qu'il a tenté d'aider, soit en leur envoyant un courriel à partir d'un compte de messagerie officiel du FBI, soit en envoyant un courriel à leur fournisseur d'accès à Internet. Quoi qu’il en soit, tout cela se fait avec la pleine approbation d'un tribunal du Texas, selon l’agence.

Le piratage bienveillant, également appelé piratage "white hat", est rare, notamment de la part d'acteurs étatiques, mais pas inédit. En 2016, une faiblesse généralisée des dispositifs de l'Internet des objets a conduit à la création d'un botnet appelé Mirai, qui a permis aux criminels de s'emparer de millions de dispositifs et de les diriger vers des sites Web et des services, les submergeant de trafic et les faisant tomber en panne.

Mais en 2017, on a découvert qu'un virus informatique appelé Hajime infectait les appareils par le biais de la même faiblesse, et fermait la porte derrière lui, empêchant les actions malveillantes de Mirai. Un message de l'auteur du virus disait qu'il était « juste un chapeau blanc, sécurisant certains systèmes ».

Il faut également noter que le mardi de la publication du communiqué de presse du Département de la Justice était le Patch Tuesday de Microsoft, et la mise à jour de sécurité d'avril 2021 de la société comprend de nouvelles mesures d'atténuation des vulnérabilités d'Exchange Server, selon le CISA.

« La mise à jour de sécurité d'avril 2021 de Microsoft atténue des vulnérabilités importantes affectant Exchange Server 2013, 2016 et 2019 sur site. Un attaquant pourrait exploiter ces vulnérabilités pour obtenir un accès et maintenir la persistance sur l'hôte cible. CISA recommande vivement aux organisations d'appliquer la mise à jour de sécurité de Microsoft d'avril 2021 pour atténuer ces vulnérabilités nouvellement divulguées. Remarque : les mises à jour de sécurité de Microsoft publiées en mars 2021 ne permettent pas de remédier à ces vulnérabilités », lit-on dans l’avis du CISA.

Sources : Communiqué de presse du DoJ, CISA

Et vous ?

Qu’en pensez-vous ?
Quel est votre avis sur le fait que le FBI ait accédé aux réseaux privés pour mettre fin à l’intrusion de Hafnium ?
Avez-vous appliqué les mises à jour avril 2021 de Microsoft, qui corrige d’autres vulnérabilités d’Exchange qui ne sont pas corrigées par les mises à jour précédentes  ?

Voir aussi :

Au moins 30 000 organisations US ont été piratées via des failles dans Microsoft Exchange, des correctifs ont été publiés mais l'attaque continuerait sur les serveurs non patchés
Microsoft publie des mises à jour de sécurité pour les anciennes versions d'Exchange qui ne sont plus prises en charge à la suite du piratage de son serveur de messagerie
Des critiques s'élèvent contre la suppression du code d'exploit des vulnérabilités d'Exchange par GitHub de Micrososft, pour certains les avantages de publier ce code "l'emportent sur les risques"
Le code source du malware Mirai, qui est responsable de l'attaque DDoS de 620 Gbps lancée contre Krebs, a été publié en ligne

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de kain_tn
Expert éminent https://www.developpez.com
Le 20/04/2021 à 9:36
Citation Envoyé par Bruno Voir le message

Quel est votre avis sur le fait que le FBI aurait accédé à l’insu des entreprises pour supprimer les portes dérobées des serveurs Microsoft Exchange ?
Éthiquement parlant, c'est quand même limite.

Je trouve l'approche du NCSC bien plus louable, surtout que d'après l'article, les failles ne sont pas corrigées suite à l'action du FBI, puisque sans patch, les serveurs peuvent être à nouveau compromis. Là on donne une fausse impression de sécurité.
3  0 
Avatar de weed
Membre chevronné https://www.developpez.com
Le 20/04/2021 à 10:12
Je me poserais également la question si les PME se détournaient de Exchange et se tourneraient vers des alternatives tel que Postfix.

Le problème serait que le FBI n'aurait plus accès à des portes dérobés pour s'infiltrer sur les réseaux des PME et faire leur travail de renseignements.

Je suis bien conscient que Postfix n'offre pas d'écosystème (mail + réunion Teams), il y a peu de risque que les PME migrent, mais certains directeurs devraient tout de même se poser la question ..

EDIT : correction des fautes de frappes
3  0 
Avatar de kain_tn
Expert éminent https://www.developpez.com
Le 20/04/2021 à 23:40
Citation Envoyé par TotoParis Voir le message
"Nous ne voulons pas d'un avenir où le FBI détermine qu'une personne peut être vulnérable, puis s'en sert comme prétexte pour obtenir un accès."
Pourquoi pas. Mais ces 30 000 organisations ont été défaillantes en terme de cyber-sécurité.
On peut toujours discuter des inconvénients de la méthode, mais les inconvénients de ce laxisme sont pour le moins bien plus graves.
Encore une fois, ils n'ont pas corrigé les vulnérabilités, ils ont juste supprimé les portes dérobées, ce qui est réversible, donc non pérenne. Ça ne va pas éduquer ces 30 000 organisations, et en plus côté intrusion ce n'est pas fantastique.

S'ils ont les moyens de s'introduire chez ces 30 000 organisations, alors c'est qu'ils ont le moyen d'identifier les serveurs Exchange non-patchés: un message à ces 30 000 organisations pour leur donner un délai d'application des patchs sous menace d'intrusion du FBI aurait été plus constructif sur le long terme, et ça ne leur aurait sans doute pas coûté bien cher.

Ça sent la panique, tout ça.
3  0 
Avatar de kain_tn
Expert éminent https://www.developpez.com
Le 29/05/2021 à 14:46
Citation Envoyé par Stéphane le calme Voir le message

Le président de Microsoft, Brad Smith, a décrit l'attaque comme « l'attaque la plus grande et la plus sophistiquée que le monde ait jamais vue ».
Ouais enfin, il ne faut pas charrier non plus, hein. C'est une "supply chain attack" classique. Ils se sont juste fait avoir pour avoir fait confiance à un éditeur tiers avec des pratiques logicielles toutes pourries. Mais bon, face aux actionnaires il ne peut pas dire ça

Citation Envoyé par Stéphane le calme Voir le message

Les États-Unis et la Grande-Bretagne ont blâmé le service russe de renseignement extérieur (SVR), successeur des opérations d'espionnage étrangères du KGB, pour le piratage qui a compromis neuf agences fédérales américaines et des centaines d'entreprises du secteur privé.
Aaah, les Russes. Qui est-ce que les USA pourraient blâmer s'ils n'existaient pas?! Ah non, c'est bon en fait, ils en ont une pleine liste

Blâmer les autres quand on a délibérément fait du travail de cochon (et que l'on fait régulièrement la même chose), je trouve ça quand même très gros!
2  0 
Avatar de GordonFreeman
Membre éclairé https://www.developpez.com
Le 07/07/2021 à 17:00
Mais que dire...

Il ne se passent pas un jour sans qu'on nous parle des piratages de groupuscules Russes couvert par le gouvernement. Le point commun, les accusations viennent toujours du même pays, les preuves en revanche...

A croire qu'à force de répéter quelque chose ça en devient une réalité !

Et si c'est effectivement la réalité (ce qui est plausible évidement), alors peut-être que les Russes devraient faire comme les USA, ne pas s'embarrasser de "groupes criminels" et faire ça directement au niveau du gouvernement comme le pays de l'oncle Sam (prouvé maintes fois en Europe).

D'ailleurs, on ne parle plus trop des piratages Chinois depuis un moment ?! Soit c'est moins vendeur ou utile (en matière d'intérêt) soit c'est qu'ils sont surement devenus très sage depuis j'imagine.

En résumé, la guerre de l’information a de beau jours devant elle !
5  3 
Avatar de kain_tn
Expert éminent https://www.developpez.com
Le 19/06/2024 à 0:05
Citation Envoyé par Stéphane le calme Voir le message

Quel est le rôle des entreprises technologiques dans la protection contre les cybermenaces étatiques ?
Leur rôle est de se faire plein d'argent. Ce sont des entreprises privées, pas du service public. Et les gens à la tête des états sont juste des hypocrites qui font semblant de ne pas le savoir, alors qu'eux même oscillent entre ces grandes entreprises et le public, au cours de leur carrière.

Citation Envoyé par Stéphane le calme Voir le message

Dans quelle mesure les utilisateurs peuvent-ils faire confiance aux services cloud, sachant que des vulnérabilités peuvent ne pas être corrigées ?
La plupart des utilisateurs sont des pigeons. Je suis le premier navré par ce constat, mais sinon, le cloud n'aurait pas autant de succès.
Attention hein, les technologies sous-jacentes au cloud sont quand-même impressionnantes, mais les GAFAM se foutent complètement de la sécurité de leurs clients.

Citation Envoyé par Stéphane le calme Voir le message

Comment la législation actuelle pourrait-elle être améliorée pour mieux protéger les citoyens contre les failles de sécurité non divulguées ?
Aucune chance que ça arrive. Les lois sont faites pour aider les riches et les puissants, pas pour protéger la plèbe.

Citation Envoyé par Stéphane le calme Voir le message

Quelles conséquences devraient subir les entreprises qui choisissent de ne pas corriger les vulnérabilités connues pour des raisons financières ?
Aucune. Il faudrait simplement faire fermer les clients, avec par exemple des retraits de licences pour des banques ou des assurances. Là, ça bougerait très très vite.

Citation Envoyé par Stéphane le calme Voir le message

Est-il éthique pour une entreprise de sacrifier la sécurité pour des avantages concurrentiels ?
Non. Ce n'est jamais éthique, mais dans un monde libéral, sans aucune conséquences, c'est cohérent.

Citation Envoyé par Stéphane le calme Voir le message

Quel impact cette révélation pourrait-elle avoir sur la relation entre les entreprises technologiques et les gouvernements ?
Aucune. Si c'est suffisamment médiatisé, le gouvernement US fera semblant de taper du poing sur la table, et si ça fait vraiment trop de foin au point de menacer la santé 'un mastodonte de l'économie US, comme avec Boeing, on retrouvera le lanceur d'alerte suicidé quelque part, et on dira qu'en fait il était dépressif.

Citation Envoyé par Stéphane le calme Voir le message

Les lanceurs d’alerte comme Andrew Harris devraient-ils être protégés ou récompensés pour avoir mis en lumière de telles pratiques ?
Évidemment.

Citation Envoyé par Stéphane le calme Voir le message

Quelles mesures les consommateurs peuvent-ils prendre pour s’assurer que leurs données sont sécurisées ?
C'est quasiment mission impossible: on nous pousse des voitures connectées, des app mobile dans tous les sens, de la sauvegarde automatique dans les clouds des GAFAM. Bref...

Citation Envoyé par Stéphane le calme Voir le message

Comment les récentes cyberattaques influencent-elles votre perception de la sécurité des données dans le cloud ?
Ça ne fait que me conforter dans mon opinion. Kubernetes permet de faire des choses incroyables, à condition de gérer ça sur son infra, et pas sur celle des autres.

On a vu les pertes de données de Google Drive, Solar Winds chez Microsoft, les attaques sur les EDR dont celui de Microsoft (les présentations de la Black Hat Asia sur le sujet étaient hillarantes), les vols de données récurrents (le dernier que j'ai en tête est celui chez Snowflake). Et pourtant, on a des gens qui ne travaillent pas chez ces entreprises et qui défendront corps et âme le fait d'utiliser leurs clouds...

Citation Envoyé par Stéphane le calme Voir le message

Quelle responsabilité les individus ont-ils dans la sécurisation de leurs propres données ?
En temps normal, je dirais que les individus sont responsables, et ils le sont sans doute par complaisance ou par paresse, mais d'un autre côté, les grosses entreprises font tout pour devenir indispensables et se gavent de données.
2  0 
Avatar de ormond94470
Membre actif https://www.developpez.com
Le 21/04/2021 à 21:09
Apparemment les américains les russes les chinois peuvent accéder tranquillement à toutes les boîtes du monde, ça ne sert plus à rien de se protéger, levons toutes les restrictions !
2  1 
Avatar de ormond94470
Membre actif https://www.developpez.com
Le 07/07/2021 à 8:35
Le mec qui doit désigner un coupable à la roulette est tombé 2x de suite sur la Russie, normalement la règle c'est qu'on retire le dernier désigné... Si tu me lis il doit rester que la Chine, l'Iran et la Corée du Nord. Bonne chance.
3  2 
Avatar de
https://www.developpez.com
Le 07/07/2021 à 22:04
Bonsoir,

Ce n'est pas le gouvernement Russe qui est a blamer ... plutôt les mafias des pays de l'est. On reparle des mafias roumaines, bulgares, hongroises, ukrainiennes et j'en passe ?

Puis bon on accuse toujours "la Russie , la Russie , la Russie " ... A un moment il serait bon aussi de s'interesser à ce qu'ils font. C'est clair que c'est moins glamour de dire qu'on a une solution de sécurité franco-russe ou belgo-russe , qu'une solution amerloc ...

Peut être qu'en s’intéressant plus à la Russie on s'apercevrait que les piratages de viennent pas de chez eux , voir mieux qu'on en aurait pas tout court ! ... C'est plus facile d'accuser et d'isoler en même temps ... La Russie c'est pas la peste non plus ...
4  3 
Avatar de marsupial
Expert éminent https://www.developpez.com
Le 14/06/2024 à 18:32
Dans l'attente d'une confirmation de ce lanceur d'alerte, il y aurait parjure et haute trahison de la part de Microsoft et on ne peut littéralement rien y faire tant que les clients n'exigeront pas une meilleure qualité du produit.
Tout ce que je sais sur les différents fournisseurs de cloud seul google est sécurisé. Microsoft Azure, AWS, Apple Cloud, Oracle cloud, IBM cloud tombent tous de l'ordre de quelques millisecondes. Et sans faire de bruit en étant discret. Un véritable scandale la sécurisation des clouds. Sauf Google qui a été sécurisé en partenariat avec Thales. Cela a pris 3 ans. Mais bon c'est du red teaming sauvage tant que j'avais le temps et rien à y gagner à part des coups de fouet.
Et au passage, parmi les états qui disposent de la bombe, seule la France tient le choc : nous nous servons à volonté dans l'arsenal de dissuasion tactique et stratégique russe chinois américain pakistanais indien coréen du nord israélien britannique. Je ne ferais pas ici la liste de ceux qui peuvent se servir mais je ne suis pas tout seul à pouvoir le faire. Je serai eux, avant de penser à déclencher une guerre je me pencherai sérieusement sur la sécurité de leurs armes nucléaires. Nous n'avons fait que désarmer et essentiellement les américains jusqu'ici mais si on insiste, l'holocauste n'est pas loin et très simple à déclencher. Et personne n'y pourra rien. Cela permettra aux pays pauvres de vivre sereinement sans être pris dans un conflit qui ne fait que regarder les russes les chinois et les américains. Et si ce n'est moi qui déclenche l'holocauste ce sera mon frère.
1  0