22/07/2015

Internet : Finalement un détecteur de malwares Hacking Team

La boite de sécurité informatique Rook Security vient de publier un outil pour détecter les malwares développés par l’entreprise d’espionnage privée italienne Hacking Team. Rook Security annonce que les virus détectés dans les 400Go de données fuitées seront ajoutées au détecteur.

Télécharger ici. (MILANO INSTALLER – MSI WINDOWS INSTALLER PACKAGE)
– Décompresser l’archive,
– Lancer RookMilano.msi
– Touche ‘Démarrer’ et rechercher l’application ‘Rook Milano’
– Appuyer 3 fois sur Enter pour accepter les conditions d’utilisations.
– Appuyer sur d puis sur Enter pour lancer un scan profond.

Dossier(s): Archives Sécurité IT Tags: Internet, Italie, Technique de répression

14/07/2015

Internet : On en sait plus sur le rootkit de Hacking Team

Un ‘rootkit’, est un type de virus qui résiste à la réinstallation du système, au formatage ou même au changement de disque dur. Pour faire cela, le rootkit s’installe directement dans le BIOS de la machine (le BIOS, dans le cas des ordinateurs récents s’appelle ‘UEFI’). On sait que Hacking Team utilisait un rootkit pour s’assurer de la persistance de son virus RCS. Ainsi, même en réinstallant le système ou en changeant de disque dur, RCS poursuivait son activité.

Le rootkit de Hacking Team fonctionnait sur les UEFI de marques Insyde et AMI (American Megatrends Inc.) Pour connaître la marque de votre BIOS/UEFI, ouvrez le panneaux ‘Informations Système’ de Windows.

Le rootkit de Hacking Team doit à priori être installé directement sur la machine. La police doit donc avoir un accès physique à l’ordinateur, mais il n’est pas impossible qu’une installation à distance puisse exister. Le rootkit est téléchargé depuis une clé USB et installe trois modules dans le BIOS. Ntfs.mod donne au rootkit la possibilité de lire/écrire sur un disque dur formaté en NTFS. Rkloader.mod détecte l’évenement de démarrage de l’ordinateur pour lancer le 3e module, dropper.mod, qui contient les agents malicieux. Ces deux agents sont scout.exe et soldier.exe.

A chaque fois que l’ordinateur est redémarré, le rootkit vérifie donc que l’agent scout.exe est installé dans le répertoire /user/appdata/roaming/microsoft/windows/start menu/programs/startup/[suite de caractères]/. Deux autres agents assistent scout, soldier.exe et scoute.exe. Vous pouvez éventuellement rechercher dans votre ordinateur après ces fichiers. Notez que si vous les trouvez, vous êtes infectés, mais que si vous ne les trouvez pas, vous n’êtes pas tiré d’affaire.

La grande question est donc la suivante : comment se protéger de telles attaques ? Les rootkits sont particulièrement terrifiants puisqu’ils résistent aux formatages, réinstallations, changements de disques durs. Dans le cas de Hacking Team, quelques ‘petits’ gestes peuvent donner du fil à retordre aux espions :

• Mettre à jour son BIOS/UEFI. Ceci est une manœuvre difficile et dangereuse. Adressez vous à quelqu’un qui s’y connait. La mise à jour permettra de patcher le BIOS contre les dernières failles de sécurité découvertes.
• Activer la fonction SecureFlash.
• Protéger le BIOS/UEFI par un mot de passe (si vous vous êtes toujours demandé à quoi ça pouvait bien servir, voilà).

Enfin, hormis ce rootkit, les révélations de la fuite de Hacking Team ont permis de découvrir trois failles critiques dans Adobe Flash. Vu que ce logiciel est de moins en moins utilisé aujourd’hui (la plupart des sites de vidéo n’en ont plus besoin), il devrait être désactivé et désinstallé.

Dossier(s): Archives Sécurité IT Tags: Internet, Italie, Technique de répression

10/07/2015

Chine: Vers un renforcement du contrôle d’internet

Un projet de loi sur la cybersécurité est à l’agenda annuel de l’administration du président Xi Jinping. L’un des premiers volets est que les autorités chinoises aient la possibilité de couper l’accès à Internet dans le cas d’urgences visant la sécurité nationale. Dans les faits, le gouvernement ne s’est jamais privé de procéder de la sorte à plusieurs reprises lors d’émeutes ou de troubles. Mais ce faisant, il inscrit cette pratique dans la loi du pays. Le projet demande également aux agences gouvernementales de mettre en place des mesures de gestion des alertes et de systèmes de réponses d’urgence.

Mais dans la mise en place de ces instruments de régulation la Chine voudrait aller très loin puisqu’elle demande que des standards industriels soient définis par les vendeurs de technologie. Les fournisseurs étrangers devraient être contraints de se plier à ces règles, ce qui, en clair, signifie ouvrir l’accès au code et donc permettre l’installation de backdoors. Il conviendrait également que les fournisseurs de services Internet collectent les données des utilisateurs et les stockent sur le territoire national. Les données stockées hors de Chine devraient faire l’objet d’une approbation des autorités.

Dossier(s): Archives Reste de l'Asie et Océanie Tags: Chine, Internet, Loi de répression

10/07/2015

France: Vers un « permis d’internet » et un surréférencement gouvernemental?

En février dernier, le député Sébastien Pietrasanta a été missionné par Manuel Valls en vue de lutter contre les discours de radicalisation, notamment sur les réseaux. Dans son rapport tout juste remis au Premier ministre il propose une panoplie de mesures. Parmi elles, il suggère l’amélioration de la coopération entre les autorités et les acteurs du web afin de faciliter le retrait des contenus considérés comme illicites. Du côté des plus jeunes, la piste est celle de guides pour les parents, mais surtout du « permis internet » au sein de l’Education nationale. Ce permis deviendrait une obligation pour tous les élèves.

Le site gouvernemental destiné à décrypter les processus d’embrigadement et « déconstruire le discours tenu par les terroristes » sur Internet et les réseaux sociaux souffrant d’un défaut d’exposition, le rapport imagine une « task force » de « community managers » qui viendrait écumer les réseaux, notamment sociaux, pour porter la parole étatique. Le rapport propose aussi le déréférencement des contenus ennemis. La loi sur le terrorisme prévoit déjà un tel déréfencement administratif, mais pour les seuls messages incitant au terrorisme ou faisant son apologie. Le rapport semble vouloir donc aller au-delà en tapant sur la radicalisation, qui prône certes le terrorisme, mais aussi la violence. Symétriquement le rapport préconise un surréférencement de la propagande étatique, menée avec la complicité volontaire -ou forcée- des moteurs de recherche.

Dossier(s): Archives France - Autres sujets Tags: France, Internet, Loi de répression

07/07/2015

Internet : Plus d’info sur le piratage de ‘Hacking Team’, les espions couverts de ridicules

Nous écrivions hier (ici) que la société italienne ‘Hacking Team’ avait été piratée. On sait à présent qu’il va falloir un certain temps avant de réaliser à quel point ils ont été ridiculisés. ‘Hacking Team’ est une société d’espionnage privée qui vent des logiciels espions à des gouvernements, des polices, des services de renseignements et autres agences gouvernementales. Leur produit phare, RCS, est un virus qui peut infecter n’importe quel système d’exploitation pour rapporter des informations au commanditaire. Jusqu’à présent, la Belgique ne semble pas faire partie de la liste des clients de cette société, mais il va falloir un certain temps pour que les 400Go de données soient traités par les différents analystes.

Qui plus est, le hacker a communiqué avec des journalistes : il aurait prit tout ce qu’il y avait à prendre sur les serveurs, plus d’1To (1000Go) de données. On peut donc supposer que d’autres informations pourraient fuiter sous peu. C’est (selon notre décompte, possiblement incomplet) au moins la quatrième fois que ‘Hacking Team’ fait face à une fuite. Depuis plusieurs années, des versions de son virus apparaissent sur la toile (envois anonymes à des éditeurs d’antivirus, à Wikileaks,…), forçant probablement les développeurs à ré-écrire leur virus pour éviter d’être détectés.

Dans l’une des conversations e-mail interne à l’entreprise, on peut voir deux employés discuter de PGP « Pourquoi n’utilisons nous pas PGP pour protéger nos e-mails? » demande le premier. L’autre lui répond « Nous n’avons rien à cacher ». ‘Hacking Team’ vendait pourtant son logiciel au Soudan, ce cas particulier étant illégal. Dans les abondantes conversations, on peut aussi voir des développeurs de Tor, de Wikileaks et d’autres ingénieurs en sécurité être insultés grassement, le PDG de ‘Hacking Team’ qui fait part de son avis concernant le bombardement de l’Iran à des fonctionnaires américains, etc…

Les clients de ‘Hacking Team’ ont reçu ce matin un e-mail leur conseillant très vivement de désactiver les copies de RCS qui sont en circulation. RCS est à présent compromis et pourra être détecté, en plus d’être repris par d’autres hackers : puisque la firme italienne avait installé -sans le dire à ses clients- une porte dérobée dans son logiciel, qui lui permettait de reprendre la main. Devant un tel bide, la société pourrait peut-être mettre la clé sous la porte.

Concernant la méthode, on sait à présent que ce sont deux employés -haut placés- de la société qui ont été piratés (leur mot de passe était ‘mot de passe’…) Ceux-ci avaient accès à la totalité du contenu des serveurs de la société. Le pirate serait la même personne qui avait piraté Gamma (éditeur de l’autre célèbre virus espion ‘FinFisher’). Il a publié les 400Go sur Bittorrent. Le fichier torrent a été diffusé via le site de partage de fichiers Mega. Les fichiers peuvent également être consultés -avec prudence- sur ce site.

Edit : Deux communiqués viennent d’être publiés : le premier de Hacking Team, qui prétend avoir été victime d’une attaque « d’un très haut niveau technique, possiblement venue d’un groupe politique organisé ou d’un gouvernement ». Ce qui ne tient absolument pas debout. Le second est le témoignage de divers experts informatiques qui relativisent la « puissance de feu » de Hacking Team : les failles utilisées sont toutes très anciennes (Win32k, Flash, Word, Java,…), les attaques contre Mac OSX n’ont pas été mises à jour récemment et les attaques contre iOS et Android nécéssitaient la plupart du temps un appareil rooté/jailbraiké.

Dossier(s): Archives Sécurité IT Tags: Internet, Italie

06/07/2015

Argentine : Perquisitionné pour avoir démontré une faille dans le vote électronique

Joaquin Sorianello, chercheur en sécurité informatique a découvert une faille permettant à un assaillant de faire passer son ordinateur pour une des urnes électroniques utilisée lors des élections municipales de ce dimanche 5 juin à Buenos Aires. Cette fausse urne pouvait envoyer ses propres résultats au serveur central qui agrégeait la totalité des résultats. La faille était plutôt simple : les certificats SSL étaient à la disposition de tous. Ce sont ces certificats qui sont censés permettre aux urnes de communiquer avec le serveur centra de façon sécuriséel. Le chercheur a d’abord contacté la firme (privée) qui s’assurait seule du vote électronique, celle-ci ne donnant pas de réponses, Joaquin a rendu sa découverte publique et a rapidement reçu la visite de la police qui a saisit la totalité de son matériel informatique.

D’autres chercheurs ont démontré samedi, la veille du vote, que les bulletins (des bulletins papiers équipés de puces RFID) pouvaient aisément être contrefaits. Un attaquant avec un smartphone équipé d’une puce NFC (Communication en Champs Proche) pouvait donc théoriquement voter autant de fois qu’il le souhaitait. A nouveaux, pas de détection possible. Cette découverte ayant été ignorée : les hackers ont démontré en vidéo qu’ils pouvaient utiliser cette faille très facilement (voir la vidéo plus bas). Une université avait été chargée d’auditer le système de votes électroniques et n’a trouvé aucune de ces énormes failles informatiques.

Dossier(s): Amérique Latine Archives Tags: Argentine, Internet, Technique de répression

06/07/2015

Europe/Internet : Europol veut faire sauter les intermédiaires dans la censure du net

Nouvelle unité d’Europol, l’EU IRU (European Union Internet Referral Unit) veut construire des relations avec les principaux fournisseurs de services pour faire retirer le contenu via les conditions d’utilisation de ces services. Plutôt que de faire interdire des contenus dans chaque pays, l’EU IRU veut rendre les conditions d’utilisation des réseaux sociaux et autres hébergeurs de contenus, plus agressives (et plus appliquées) concernant les “contenus extrémistes” et la “propagande terroriste”. Ceci a pour avantage -pour les autorités- de ne pas devoir passer par les 28 législations nationales européennes pour faire supprimer un contenu.

Dossier(s): Archives Reste de l'Europe Tags: Internet, Technique de répression, Union-Européenne

06/07/2015

Italie/Internet : Une entreprise d’espionnage privée massivement piratée

L’entreprise italienne “Hacking Team” qui vend aux états des logiciels leur permettant d’espionner des populations entières a été piratée ce dimanche 5 juillet. 400Go de données confidentielles ont été diffusées librement sur la toile : e-mails et notes internes, et codes sources de logiciels espions. Les pirates ont également renommé le compte Twitter de l’entreprise en “Hacked Team” et remplacé la présentation de la Hacking Team : “Développe des technologies offensives inefficaces et dont il est facile de prendre le contrôle afin de compromettre les opérations mondiales du maintien de l’ordre et de la communauté des renseignements ».

Le produit phare de Hacking Team, c’est RCS (Remote Control System) qui permet d’infecter Windows, Mac OSx, Android et iOS sans être détecté par les antivirus. RCS permet d’intercepter des SMS, e-mails, conversations Skype, clés de chiffrement,… Comme toutes les boites d’espionnage privées, Hacking Team prétendait prendre un soin particulier de ne pas fournir de cyber-armes à des pays dictatoriaux et à ne pas aider à l’espionnage de journalistes ou de militants des droits de l’homme. Il apparaît selon les premières analyses des documents fuités que de tels espionnages ont bien eu lieu au Maroc, au Soudan, en Turquie, en Thailande, au Nigeria, au Mexique, ainsi que dans des pays qui ne sont pas considérés comme des dictatures par les analystes, aux Etats-Unis, en Espagne, en Australie, … Hacking Team avait précédemment juré ne pas vendre de cyber-armes au Soudan. Il apparait qu’ils ont pourtant négocié un contrat à €480.000 avec ce pays.

Dossier(s): Archives Italie Tags: Internet, Italie, Technique de répression

30/06/2015

Belgique: Augmentation du blocage judiciaire de sites

L’année dernière, les autorités belges ont bloqué l’accès à 127 sites web hébergés à l’étranger, contre 20 en 2013 et 73 en 2012. Ces chiffres proviennent d’une réponse donnée par le ministre de l’Intérieur à une question parlementaire. Les sites peuvent être bloquée pour des raisons diverses: pédophilie, extrémisme, racisme, mise à disposition de téléchargements illégaux, etc. Lorsqu’un site web est bloqué, les internautes sont redirigés vers une page signalant que le contenu recherché n’est plus disponible. On estime que cela écarte 40% du trafic, les autres visiteurs contournant l’interdiction. Le ministre admet qu’il n’y a pas de « contrôle indépendant » sur le blocage des sites internet, mais affirme qu’à chaque fois qu’un site web a été bloqué, cela a été fait sur demande d’un magistrat.

Dossier(s): Archives Belgique - Autres sujets Tags: Belgique, Internet

30/06/2015

USA: Débat sur la reconnaissance faciale

L’algorithme de reconnaissance faciale de Google, FaceNet, utilisé par Google Photos dans ses versions non européennes peut identifier des visages avec une précision de 99,63%. Celui de Facebook, Deepface, 87,25% (83% selon le New Scientist quand les visages ne sont pas clairement visibles : l’algorithme expérimental de Facebook étant capable de reconnaître les gens à leur posture corporelle, à leur attitude). Celui du FBI : 85% (mais les photographies que l’agence traite sont souvent plus difficiles à analyser que celles postées sur les réseaux sociaux). Depuis 2011, Facebook utilise un système de suggestion de tags sur les photos que les gens y déposent, pour suggérer aux utilisateurs d’indiquer qui se trouve sur les photos (cette fonctionnalité n’est pas disponible en Europe à la demande des autorités européennes). Or, un utilisateur de l’Illinois vient d’intenter un procès à Facebook, estimant que ce système ne demande pas un consentement suffisamment explicite.

Des associations de défense de la vie privée ainsi que des représentants de grandes entreprises comme Google et Facebook, se sont récemment réunies, à l’invitation du gouvernement américain et du département du commerce, pour tenter d’établir des règles d’usages des technologies de reconnaissance faciale. Pour l’instant, il n’y a pas de loi fédérale qui en régisse l’utilisation. Seuls, l’Illinois et le Texas ont émis des lois s’opposant à l’utilisation de cette technologie sans le consentement éclairé des utilisateurs. 9 associations de défense des consommateurs et des libertés civiles américaines dont l’EFF et l’ACLU viennent d’annoncer qu’elles se retiraient des pourparlers en cours sur l’utilisation équitable des technologies de reconnaissance faciale pour le commerce. Elles n’arrivent pas à obtenir ce qu’elles considèrent comme des droits minimums pour les consommateurs, à savoir obtenir un consentement explicite des consommateurs.

Dossier(s): Archives Techniques de la répression Tags: Etats-Unis, Internet, Technique de répression