IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Le FBI aurait accédé à l'insu des entreprises pour supprimer les portes dérobées des serveurs Microsoft Exchange,
L'acte soulève des questions sur l'orientation de la cybersécurité

Le , par Bruno

66PARTAGES

13  0 
La semaine dernière, le ministère américain de la Justice a révélé comment le FBI a procédé pour supprimer les portes dérobées qui utilisaient des versions vulnérables de Microsoft Exchange Server sur des centaines d'ordinateurs dans le monde. En effet, le FBI a utilisé des tactiques de piratage pour mettre à mal les pirates des serveurs Microsoft Exchange. L'opération autorisée par le tribunal du Texas permet de supprimer les portes dérobées des ordinateurs piratés. Si cette action a permis de sécuriser de nombreuses organisations, elle a également soulevé des questions sur l'orientation de la cybersécurité.

« Nous ne voulons pas d'un avenir où le FBI détermine qu'une personne peut être vulnérable, puis s'en sert comme prétexte pour obtenir un accès. N'oubliez pas que le FBI a à la fois une mission d'application de la loi et de renseignement. Ce serait comme si un agent de police pensait que votre porte n'est pas verrouillée et l'utilisait comme prétexte pour entrer », déclare David Brumley, professeur d'ingénierie électrique et informatique à l'université Carnegie Mellon.

Rappelons que le 6 mars, pas moins de 30 000 organisations américaines sont compromises par une porte dérobée installée via quatre failles dans Microsoft Exchange. Les victimes qui comprennent un nombre important de petites entreprises, de villes et de gouvernements locaux, ont été piratées par des cyberespions. Des centaines de milliers d'organisations sont touchées dans le monde entier avec des outils qui donnent aux attaquants un contrôle total et à distance sur leurs systèmes informatiques.


Les cybercriminels ont laissé derrière eux les portes dérobées, des outils d'accès et de persistance dans les systèmes compromis, auxquels on peut accéder sur Internet à partir de n'importe quel navigateur. Les portes dérobées donnent aux cybercriminels un accès administratif aux serveurs des victimes. Le centre de renseignement sur les menaces de Microsoft (MSTIC – Microsoft Threat Intelligence Center) a attribué le piratage à un groupe État-nation supposé lié à la Chine qu'il a nommé Hafnium. La société a déclaré que Hafnium avait tenté de voler des informations à des groupes tels que des chercheurs en maladies infectieuses, des cabinets d'avocats, etc.

Dans un billet de blog publié le 2 mars, Microsoft a indiqué avoir publié des mises à jour de sécurité d'urgence pour combler les quatre failles de sécurité dans les versions 2013 à 2019 d'Exchange Server que les pirates utilisaient activement pour siphonner les communications par courrier électronique des systèmes connectés à Internet et exécutant Exchange.

Cependant, le 5 mars, la Maison Blanche a fait savoir qu'elle n'est pas totalement certaine que la menace a été écartée et a mis en alerte toutes les organisations qui exploitent le service de Microsoft. « Il s'agit d'une vulnérabilité importante qui pourrait avoir des répercussions de grande envergure. C'est une menace active », a déclaré vendredi l'attachée de presse de la Maison Blanche Jen Psaki. « Tous ceux qui gèrent ces serveurs, gouvernement, secteur privé, université doivent agir maintenant pour les réparer ». Comme pour donner raison à la maison blanche, ce même 5 mars, le même groupe de cyberespionnage a considérablement intensifié les attaques sur tous les serveurs Exchange vulnérables et non patchés dans le monde.

Dans un avis conjoint publié en milieu de ce mois, la National Security Agency, le FBI et la Cybersecurity and Information Security Agency ont déclaré que le service de renseignement extérieur russe, en abrégé SVR, a mené l'attaque de la chaîne d'approvisionnement contre les clients du logiciel de gestion de réseau édité par SolarWinds, basé à Austin, au Texas. Le groupe de renseignement et de sécurité, qui a enquêté sur la campagne massive de piratage informatique, avait déjà déclaré en janvier que les cybercriminels étaient « vraisemblablement d’origine russe » et que l'attaque était considérée comme un acte d'espionnage plutôt que de cyberguerre.

Après la révélation de cette opération massive, le président de Microsoft, Brad Smith, l'a qualifiée d' « acte d'imprudence ». Lors d'un appel aux journalistes le 15 avril, le directeur de la cybersécurité de la NSA, Rob Joyce, a fait écho à l'évaluation selon laquelle l'opération a dépassé les normes établies en matière d'espionnage gouvernemental.

« Nous avons observé absolument de l'espionnage, a déclaré Joyce. Mais ce qui est inquiétant, c'est qu'à partir de cette plateforme, de la large échelle de disponibilité de l'accès qu'ils ont obtenu, il y a la possibilité de faire d'autres choses, et c'est quelque chose que nous ne pouvons pas tolérer et c'est pourquoi le gouvernement américain impose des coûts et repousse ces activités ».

Le19 avril, un tribunal de Houston a autorisé une opération du FBI visant à « copier et supprimer » les portes dérobées de centaines de serveurs de messagerie Microsoft Exchange aux États-Unis. « Cette opération a permis de supprimer les dernières portes dérobées d'un groupe de cybercriminels qui auraient pu être utilisés pour maintenir et accroître un accès persistant et non autorisé aux réseaux américains, a indiqué le communiqué. Le FBI a procédé à la suppression en envoyant une commande au serveur pour que le serveur supprime uniquement les portes dérobées ».

Le ministère de la Justice a toutefois précisé que, bien que la campagne du FBI ait supprimé les portes dérobées placées par les cybercriminels, elle n'a pas activement corrigé la vulnérabilité sous-jacente initialement exploitée par les cybercriminels ni supprimé les logiciels malveillants qu’ils pourraient avoir laissés derrière eux. Ce qui signifie que les ordinateurs affectés peuvent simplement être réinfectés à l'avenir si leurs propriétaires ne prennent pas de mesures pour les protéger.

« Cette opération est un exemple de l'engagement du FBI à combattre les cybermenaces grâce à nos partenariats durables entre le gouvernement fédéral et le secteur privé », a déclaré Tonya Ugoretz, directrice adjointe par intérim de la division cyber du FBI. « Le succès de notre action devrait servir à rappeler aux cybercriminels que nous imposerons des risques et des conséquences aux cyberintrusions qui menacent la sécurité nationale et la sécurité publique du peuple américain et de nos partenaires internationaux », a-t-elle ajouté.

Le FBI aurait accédé aux systèmes des entreprises à leur insu

Si cette action a permis de sécuriser de nombreuses organisations, elle a également soulevé des questions sur l'orientation de la cybersécurité. Certes, des mesures ont été prises en raison de la menace que les portes dérobées représentaient pour les organisations. Cependant, le FBI a indiqué qu'il tentait de notifier toutes les organisations qui ont fait l’objet d’intervention. Pour certains analystes, cela signifie que l'agence aurait accédé aux systèmes à leur insu. Même si l'intention était bonne (aider à protéger les entreprises en supprimant l'accès des cybercriminels), et autorisée par les tribunaux, il s'agirait d'une action qui peut être discutée juridiquement.

« L'effort du FBI revient à lui donner accès à des serveurs privés. Cela devrait suffire à faire comprendre que cette action n'est pas acceptable, déclare Brumley, qui est également cofondateur et PDG de ForAllSecure, une société de cybersécurité. Bien que je comprenne la bonne intention, cela crée un dangereux précédent où les forces de l'ordre reçoivent une large autorisation pour accéder aux serveurs privés. » Dans ce cas, l'accès aux réseaux a été jugé approprié par les tribunaux afin de supprimer les portes dérobées plantées par des cybercriminels et de protéger les organisations contre les cyberattaques.

« Nous ne voulons pas d'un avenir où le FBI détermine qu'une personne peut être vulnérable, puis s'en sert comme prétexte pour obtenir un accès. N'oubliez pas que le FBI a à la fois une mission d'application de la loi et de renseignement. Ce serait comme si un agent de police pensait que votre porte n'est pas verrouillée et l'utilisait comme prétexte pour entrer », ajoute-t-il.

Mais il y a aussi ceux qui pensent que l'action du FBI, qui a infiltré les réseaux et retiré les portes dérobées des serveurs Microsoft Exchange compromis, était la bonne chose à faire, en particulier lorsque les organisations mènent une cyber bataille contre des cybercriminels qui ont beaucoup plus de ressources qu'elles. « Je pense que cette implication du FBI est considérée comme très appréciée du secteur privé lorsqu'il s'agit de se protéger contre les attaques d'États-nations. À l'heure actuelle, c'est comme si le secteur privé luttait contre ces attaques d'États-nations avec une main attachée dans le dos, surtout lorsque nos adversaires ne se laissent pas faire », déclare Troy Gill, directeur de la société de sécurité Zix.

D'autres agences de sécurité aident les organisations à sécuriser leurs réseaux contre les vulnérabilités de Microsoft Exchange, mais pas en accédant au réseau sans que personne ne le sache au préalable. Par exemple, le Centre national de cybersécurité (NCSC) du Royaume-Uni a aidé à supprimer les logiciels malveillants d'Exchange sur plus de 2 300 machines Windows. Cette action a été menée en partenariat avec les organisations concernées et le NCSC n'est pas habilité à infiltrer les réseaux des entreprises privées pour corriger les vulnérabilités.


Le NCSC travaille également activement avec les organisations pour les aider à appliquer les mises à jour de sécurité nécessaires pour protéger le réseau contre les cyberattaques. Si le FBI a supprimé les portes dérobées, il n'a pas corrigé les vulnérabilités de type "zero-day" de Microsoft Exchange Server ni supprimé d'autres outils de piratage ou de logiciels malveillants qui auraient pu être placés sur les réseaux par les cybercriminels.

Cela signifie que tant qu'elles n'ont pas appliqué les correctifs ou examiné le réseau à la recherche d'activités potentiellement suspectes, les entreprises dont les portes dérobées ont été supprimées de leurs réseaux sont toujours vulnérables à de nouvelles attaques.

Et vous ?

Quel est votre avis sur le fait que le FBI aurait accédé à l’insu des entreprises pour supprimer les portes dérobées des serveurs Microsoft Exchange ?

Voir aussi :

Un tribunal autorise le FBI à pirater des ordinateurs dans tous les États-Unis afin de pouvoir éradiquer un piratage informatique, l'agence a supprimé une porte dérobée de centaines d'ordinateurs

Microsoft publie des mises à jour de sécurité pour les anciennes versions d'Exchange qui ne sont plus prises en charge, à la suite du piratage de son serveur de messagerie

Malgré le correctif de Microsoft dans son serveur de messagerie Exchange, le gouvernement US met en garde contre la "menace active qui continue de se développer" et appelle à l'action

Au moins 30 000 organisations US ont été piratées via des failles dans Microsoft Exchange, des correctifs ont été publiés mais l'attaque continuerait sur les serveurs non patchés

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Stéphane le calme
Chroniqueur Actualités https://www.developpez.com
Le 18/07/2021 à 13:09
Les États-Unis restreignent le commerce avec quatre sociétés informatiques et d'autres entités,
en raison de leurs liens avec la Russie

En avril, dans un avis conjoint, la National Security Agency, le FBI et la Cybersecurity and Information Security Agency ont déclaré que le service de renseignement extérieur russe, en abrégé SVR, a mené l'attaque de la chaîne d'approvisionnement contre les clients du logiciel de gestion de réseau édité par SolarWinds, basé à Austin, au Texas. Le groupe de renseignement et de sécurité, qui a enquêté sur la campagne massive de piratage informatique, avait déjà déclaré en janvier que les cybercriminels étaient « vraisemblablement d’origine russe » et que l'attaque était considérée comme un acte d'espionnage plutôt que de cyberguerre.


La campagne, qui a débuté des mois avant d’être découverte, a infecté le système de construction et de distribution des logiciels de SolarWinds et l'a utilisé pour envoyer des mises à jour détournées à environ 18 000 clients. Les pirates ont ensuite envoyé des charges utiles de suivi à une dizaine d'agences fédérales américaines et à une centaine d'organisations privées. Outre l'attaque de la chaîne d'approvisionnement de SolarWinds, les pirates ont également utilisé des mots de passe et d'autres techniques pour pénétrer dans les réseaux. Microsoft est l’une des sociétés privées de premier plan qui ont été touchées par l’opération malveillante et dont le code de ses produits a été volé et mis en vente par les cybercriminels.

Le même mois, le Département du Trésor américain a fait un communiqué qui était accompagné de sanctions en représailles à ce qu'il a qualifié « d'activités agressives et nuisibles du gouvernement de la Fédération de Russie ». Les mesures comprenaient des sanctions contre six entreprises basées en Russie qui, selon le Département, « ont soutenu les efforts des services de renseignement russes pour mener des cyberactivités malveillantes contre les États-Unis ».

Les six sociétés et instituts russes concernés par ces sanctions américaines sont : ERA Technopolis, Pasit, SVA, Neobit, AST et Positive Technologies.

« La raison pour laquelle elles ont été mentionnées est qu'elles font partie intégrante de l'opération que le SVR exécute et y participent », a déclaré le directeur de la cybersécurité de la NSA, Rob Joyce, à propos des six sociétés. « Nous espérons qu'en privant le SVR du soutien de ces sociétés, nous réduirons leur capacité à projeter certaines de ces activités malveillantes dans le monde et en particulier aux États-Unis ».

Alors que certains experts en sécurité nationale affirment que l'opération de piratage de SolarWinds pourrait être considérée comme une activité d'espionnage traditionnelle, ce qui n'est pas rare chez les pirates du gouvernement, le Département du Trésor a dit dans son communiqué que « la portée et l'ampleur de cette compromission, combinées à l'histoire de la Russie dans la réalisation de cyberopérations imprudentes et perturbatrices, en font une préoccupation de sécurité nationale ».

De nouvelles sanctions

Vendredi 16 juillet 2021, les États-Unis ont porté un nouveau coup à l'industrie russe de la cybersécurité, restreignant le commerce avec quatre sociétés de technologie de l'information et deux autres entités pour des activités « agressives et nuisibles » (y compris l'espionnage numérique) que Washington impute au gouvernement russe.

Une publication du ministère du Commerce a déclaré que les six entités avaient été sanctionnées par le département du Trésor américain en avril, qui visait des entreprises du secteur technologique qui soutiennent les services de renseignement russes.

Leur ajout à la liste noire du département du Commerce signifie que les entreprises américaines ne peuvent pas faire affaire avec eux sans licences, qui sont rarement accordées.

L'annonce fait donc suite aux sanctions d'avril, qui visaient à punir Moscou pour piratage, ingérence dans les élections américaines de l'année dernière, empoisonnement du critique du Kremlin Alexei Navalny et d'autres actions présumées malveillantes (des allégations que le Kremlin nie).

Les sanctions surviennent alors que les États-Unis répondent à un rythme d'intrusions numériques imputées à des espions soutenus par le gouvernement russe et à une série d'épidémies de ransomwares de plus en plus perturbatrices imputées aux cybercriminels russes.

Les entités ajoutées à la liste noire sont Aktsionernoe Obshchaestvo AST; Aktsionernoe Obshchestvo Pasit; Aktsionernoe Obshchestvo Pozitiv Teknolodzhiz, also known as JSC Positive Technologies; Federal State Autonomous Institution Military Innovative Technopolis Era; Federal State Autonomous Scientific Establishment Scientific Research Institute Specialized Security Computing Devices and Automation (SVA); et Obshchestvo S Ogranichennoi Otvetstvennostyu Neobit.

Era est un centre de recherche et un parc technologique exploité par le ministère russe de la Défense ; Pasit est une société informatique qui a fait de la recherche et du développement à l'appui des cyberopérations malveillantes du service russe de renseignement étranger ; SVA est une institution publique russe qui aurait également soutenu des cyberopérations malveillantes ; et les sociétés de sécurité informatique basées en Russie Neobit, AST et Positive Technologies ont des clients qui incluent le gouvernement russe, selon les États-Unis.

Positive Technologies a déclaré que l'annonce du département du Commerce ne contenait aucune nouvelle information et que la société s'était engagée dans « l'échange éthique d'informations avec la communauté professionnelle de la sécurité de l'information » et n'avait jamais été impliquée dans une attaque contre l'infrastructure américaine.

Les autres entités n'ont pas répondu immédiatement aux demandes de commentaires des médias ou n'ont pas pu être jointes.

Les restrictions contre l'industrie technologique russe sont en préparation depuis des mois. Le jour même où les sanctions du Trésor ont été annoncées, le procureur général adjoint de l'époque, John Demers, a déclaré aux journalistes que des responsables étaient en train d'évaluer des dizaines d'entreprises russes en vue d'un éventuel renvoi au département du Commerce.

Demers a déclaré que les enquêteurs examineraient « un lien connu entre une entreprise particulière et les services de renseignement russes » tandis qu'ils évaluaient si une entreprise représentait un risque. Les entreprises non russes qui ont des opérations de back-office en Russie seront également examinées, a-t-il déclaré.

Les États-Unis ajoutent des entités à la liste noire du commerce du département du Commerce qui, selon eux, présentent un risque pour la sécurité nationale ou les intérêts de politique étrangère des États-Unis.

Source : Département du Trésor américain
10  0 
Avatar de kain_tn
Membre expert https://www.developpez.com
Le 20/04/2021 à 9:36
Citation Envoyé par Bruno Voir le message

Quel est votre avis sur le fait que le FBI aurait accédé à l’insu des entreprises pour supprimer les portes dérobées des serveurs Microsoft Exchange ?
Éthiquement parlant, c'est quand même limite.

Je trouve l'approche du NCSC bien plus louable, surtout que d'après l'article, les failles ne sont pas corrigées suite à l'action du FBI, puisque sans patch, les serveurs peuvent être à nouveau compromis. Là on donne une fausse impression de sécurité.
3  0 
Avatar de weed
Membre éprouvé https://www.developpez.com
Le 20/04/2021 à 10:12
Je me poserais également la question si les PME se détournaient de Exchange et se tourneraient vers des alternatives tel que Postfix.

Le problème serait que le FBI n'aurait plus accès à des portes dérobés pour s'infiltrer sur les réseaux des PME et faire leur travail de renseignements.

Je suis bien conscient que Postfix n'offre pas d'écosystème (mail + réunion Teams), il y a peu de risque que les PME migrent, mais certains directeurs devraient tout de même se poser la question ..

EDIT : correction des fautes de frappes
3  0 
Avatar de kain_tn
Membre expert https://www.developpez.com
Le 20/04/2021 à 23:40
Citation Envoyé par TotoParis Voir le message
"Nous ne voulons pas d'un avenir où le FBI détermine qu'une personne peut être vulnérable, puis s'en sert comme prétexte pour obtenir un accès."
Pourquoi pas. Mais ces 30 000 organisations ont été défaillantes en terme de cyber-sécurité.
On peut toujours discuter des inconvénients de la méthode, mais les inconvénients de ce laxisme sont pour le moins bien plus graves.
Encore une fois, ils n'ont pas corrigé les vulnérabilités, ils ont juste supprimé les portes dérobées, ce qui est réversible, donc non pérenne. Ça ne va pas éduquer ces 30 000 organisations, et en plus côté intrusion ce n'est pas fantastique.

S'ils ont les moyens de s'introduire chez ces 30 000 organisations, alors c'est qu'ils ont le moyen d'identifier les serveurs Exchange non-patchés: un message à ces 30 000 organisations pour leur donner un délai d'application des patchs sous menace d'intrusion du FBI aurait été plus constructif sur le long terme, et ça ne leur aurait sans doute pas coûté bien cher.

Ça sent la panique, tout ça.
3  0 
Avatar de kain_tn
Membre expert https://www.developpez.com
Le 29/05/2021 à 14:46
Citation Envoyé par Stéphane le calme Voir le message

Le président de Microsoft, Brad Smith, a décrit l'attaque comme « l'attaque la plus grande et la plus sophistiquée que le monde ait jamais vue ».
Ouais enfin, il ne faut pas charrier non plus, hein. C'est une "supply chain attack" classique. Ils se sont juste fait avoir pour avoir fait confiance à un éditeur tiers avec des pratiques logicielles toutes pourries. Mais bon, face aux actionnaires il ne peut pas dire ça

Citation Envoyé par Stéphane le calme Voir le message

Les États-Unis et la Grande-Bretagne ont blâmé le service russe de renseignement extérieur (SVR), successeur des opérations d'espionnage étrangères du KGB, pour le piratage qui a compromis neuf agences fédérales américaines et des centaines d'entreprises du secteur privé.
Aaah, les Russes. Qui est-ce que les USA pourraient blâmer s'ils n'existaient pas?! Ah non, c'est bon en fait, ils en ont une pleine liste

Blâmer les autres quand on a délibérément fait du travail de cochon (et que l'on fait régulièrement la même chose), je trouve ça quand même très gros!
2  0 
Avatar de GordonFreeman
Membre confirmé https://www.developpez.com
Le 07/07/2021 à 17:00
Mais que dire...

Il ne se passent pas un jour sans qu'on nous parle des piratages de groupuscules Russes couvert par le gouvernement. Le point commun, les accusations viennent toujours du même pays, les preuves en revanche...

A croire qu'à force de répéter quelque chose ça en devient une réalité !

Et si c'est effectivement la réalité (ce qui est plausible évidement), alors peut-être que les Russes devraient faire comme les USA, ne pas s'embarrasser de "groupes criminels" et faire ça directement au niveau du gouvernement comme le pays de l'oncle Sam (prouvé maintes fois en Europe).

D'ailleurs, on ne parle plus trop des piratages Chinois depuis un moment ?! Soit c'est moins vendeur ou utile (en matière d'intérêt) soit c'est qu'ils sont surement devenus très sage depuis j'imagine.

En résumé, la guerre de l’information a de beau jours devant elle !
5  3 
Avatar de ormond94470
Membre actif https://www.developpez.com
Le 21/04/2021 à 21:09
Apparemment les américains les russes les chinois peuvent accéder tranquillement à toutes les boîtes du monde, ça ne sert plus à rien de se protéger, levons toutes les restrictions !
2  1 
Avatar de ormond94470
Membre actif https://www.developpez.com
Le 07/07/2021 à 8:35
Le mec qui doit désigner un coupable à la roulette est tombé 2x de suite sur la Russie, normalement la règle c'est qu'on retire le dernier désigné... Si tu me lis il doit rester que la Chine, l'Iran et la Corée du Nord. Bonne chance.
3  2 
Avatar de tanaka59
Expert confirmé https://www.developpez.com
Le 07/07/2021 à 22:04
Bonsoir,

Ce n'est pas le gouvernement Russe qui est a blamer ... plutôt les mafias des pays de l'est. On reparle des mafias roumaines, bulgares, hongroises, ukrainiennes et j'en passe ?

Puis bon on accuse toujours "la Russie , la Russie , la Russie " ... A un moment il serait bon aussi de s'interesser à ce qu'ils font. C'est clair que c'est moins glamour de dire qu'on a une solution de sécurité franco-russe ou belgo-russe , qu'une solution amerloc ...

Peut être qu'en s’intéressant plus à la Russie on s'apercevrait que les piratages de viennent pas de chez eux , voir mieux qu'on en aurait pas tout court ! ... C'est plus facile d'accuser et d'isoler en même temps ... La Russie c'est pas la peste non plus ...
4  3 
Avatar de TotoParis
Membre confirmé https://www.developpez.com
Le 20/04/2021 à 20:15
"Nous ne voulons pas d'un avenir où le FBI détermine qu'une personne peut être vulnérable, puis s'en sert comme prétexte pour obtenir un accès."
Pourquoi pas. Mais ces 30 000 organisations ont été défaillantes en terme de cyber-sécurité.
On peut toujours discuter des inconvénients de la méthode, mais les inconvénients de ce laxisme sont pour le moins bien plus graves.
1  1