"Le voleur moderne peut voler plus avec un ordinateur qu'avec un fusil. Le terroriste de demain peut causer plus de dégâts avec un clavier qu'avec une bombe"
| NEW YORK (Reuters) - Un Kazakh a été condamné mardi à plus de quatre ans de prison pour s'être introduit dans le système informatique du groupe non coté d'informations financières Bloomberg dans l'espoir de soutirer 200.000 dollars à la société et à son fondateur, l'actuel maire de New York Michael Bloomberg. Un jury fédéral de Manhattan avait reconnu en février Oleg Zezev coupable d'avoir tenté de subtiliser des informations confidentielles appartenant à Bloomberg et à ses clients. Le juge Kimba Wood l'a condamné mardi à 51 mois de prison, l'une des plus longues peines jamais rendues dans une affaire de piratage informatique, ont déclaré des procureurs fédéraux. "Comme le gouvernement l'a fait remarquer, votre délit est très grave en ce qu'il a menacé le commerce international et l'intégrité des données sur laquelle la communauté financière compte pour ses affaires", a déclaré Wood au condamné. Selon des éléments présentés lors du procès, Zezev est un cadre de haut rang de la société Kazkommerts Securities, dont le siège se trouve à Almaty, l'ancienne capitale politique du Kazakhstan.Reuters 02.07.2003 | WASHINGTON, 4 juil (AFP) - Les experts en matière de sécurité sur internet mettent en garde contre la possibilité d'une vague de cyberattaques ce week-end lors d'un concours de piratage informatique qui pourrait aboutir à des dysfonctionnements sur de nombreux réseaux informatiques. Ce concours, prévu pour dimanche, vise à s'attaquer à 6.000 sites en l'espace de six heures, selon des experts en matière de sécurité sur internet. "Alors qu'il n'y a pas de garantie que cet événement aura bien lieu, la seule possibilité (qu'il puisse arriver) suffit pour tester notre sécurité et nous tenir prêts", a déclaré la société Counterpane Internet Security dans un message à ses clients. "Dans cette perspective, il est doublement important de vérifier que les serveurs disposent des derniers dispositifs de sécurité", ajoute-t-elle. Une autre compagnie, Internet Security Systems (ISS), a fait une annonce similaire. Les employés d'ISS "vont surveiller le concours de piratage afin de déterminer ses effets sur internet", a-t-elle indiqué. "Nous encourageons tous les administrateurs de systèmes à réviser leurs mesures de sécurité actuelles et à s'assurer que tous les problèmes de sécurité ont été traités", a-t-elle ajouté. Le département de la Sécurité intérieure a toutefois minimisé la menace, affirmant qu'il n'avait donné aucun nouvel avertissement à ce sujet. "Les concours de piratage sont relativement courants, aussi suis-je un peu intrigué de toute l'attention reçue par celui-ci", a déclaré un porte- parole, David Wray.AFP 04.07.2003 | WASHINGTON, 7 juil (AFP) - Un concours de piratage informatique a provoqué "le pire chaos qu'on ait jamais vu dans l'histoire de l'internet" avec des centaines de sites perturbés des Pays-Bas au Brésil, selon un site spécialisé qui surveille les cyberattaques. "Hier, le 6 juillet, doit être considéré comme la journée où a régné le pire chaos de toute l'histoire de l'internet", a annoncé dans un communiqué le site Zone-H, basé en Estonie, qui a rapporté avoir lui-même été attaqué. Selon ce site, "il ne se serait rien passé si les médias n'avaient pas consacré tant de place (à ce concours), prenant un non-événement pour remplir des pages de journaux, au milieu d'un été sans grosse actualité". Zone-H a publié une liste des sites attaqués, visiblement au hasard, dont certains basés aux Etats-Unis, en France, au Brésil, en Allemagne et aux Pays-Bas. Des experts en matière de sécurité sur internet avaient averti vendredi de la possibilité d'une vague de cyberattaques ce week-end lors d'un concours de piratage informatique, qui prévoyait de s'attaquer à 6.000 sites en l'espace de six heures. Un porte-parole du département américain de la Sécurité intérieure s'était avoué perplexe devant toute l'attention portée à cet événement, relevant que "les concours de piratage sont relativement courants".AFP 07.07.2003 |
| Le Sénat américain a bloqué les crédits d'un programme controversé de surveillance électronique, grâce auquel le gouvernement pourrait fouiller les bases de données contenant des informations personnelles, telles que les factures de voyages et les paiements par carte de crédit, et ce afin de pister les terroristes présumés. Le Sénat a voté à l'unanimité un budget de 369 milliards de dollars pour le Pentagone mais lui a interdit de dépenser le moindre cent dans ce programme, qui est soutenu par l'administration Bush. Baptisé Total Information Awareness («maîtrise totale de l'information»), puis Terrorism Information Awareness (TIA), ce programme de surveillance électronique prévoit, grâce à une technologie très sophistiquée, d'identifier les comportements suspects en analysant les informations issues de nombreuses bases de données, aussi bien publiques que privées. Les défenseurs des libertés individuelles ont critiqué le TIA depuis qu'il a été rendu public à l'automne dernier. Selon eux, le programme pourrait mener à une situation digne du «Big Brother» de George Orwell. Dans un rapport remis au Congrès en mai, le Pentagone a déclaré que le TIA fonctionnerait de telle sorte que les enquêteurs ne puissent pas fouiller dans toutes les données personnelles qui leur tombent sous la main. Mais ces garde-fous n'ont pas encore été mis en place, a ajouté le Pentagone. Le sort du programme, doté au départ d'un budget de 54 millions de dollars, sera sans doute désormais négocié entre le Sénat et la Chambre des représentants. Cette dernière avait adopté le TIA début juillet, mais avait interdit au Pentagone de l'utiliser à l'encontre des citoyens américains sans leur permission.Reuters 18.07.2003 | LILLE, 9 juil (AFP) - Un lycéen de 17 ans et demi a été arrêté fin juin dans les Yvelines et laissé libre sous contrôle judiciaire, soupçonné d'avoir piraté environ 2000 sites internet gouvernementaux et militaires dans le monde, a-t-on appris mercredi auprès de la police judiciaire de Lille chargée de l'enquête. Le jeune lycéen, qui opérait sous le pseudonyme "DKD", effaçait les pages d'accueil des sites visés pour y installer des messages à caractère politique "en faveur par exemple de la cause palestinienne ou contre le gouvernement américain", a déclaré à l'AFP le commissaire divisionnaire Eric Voulleminot, directeur adjoint du SRPJ de Lille. L'arrestation du hacker le 23 juin chez ses parents à Vélizy-Villacoublay (Yvelines) est survenue après une enquête de policiers spécialistes de la criminalité informatique à la suite d'une plainte de la préfecture du Pas-de-Calais à Arras dont le site avait été piraté. "A la suite d'investigations techniques et d'aveux circonstanciés du jeune homme, il a été établi qu'environ 2000 sites ont été attaqués, une vingtaine en France, entre 20 et 30 en Grande-Bretagne, et le reste en Australie et aux Etats-Unis, dont le site de la Navy", a précisé M. Voulleminot. Le jeune pirate, élève de terminale, a été laissé libre mais fait l'objet d'un contrôle judiciaire qui lui interdit de se connecter sur internet et de surfer. Selon le commissaire, si l'effacement des pages d'accueil des sites "ne prête pas trop à conséquence", en revanche la menace sur les systèmes était réelle, car le hacker aurait pu les attaquer.AFP 09.07.2003 | Le concours de piratage informatique a fait un flop, selon un expert en GB LONDRES, 7 juil (AFP) - Le concours de piratage informatique sur des sites web, qui devait avoir lieu ce week-end, a fait un flop, selon un expert britannique de la sécurité informatique interrogé à Londres. Graham Cluley, consultant au sein de Sophos, une société britannique de logiciels de sécurité informatique, a indiqué ne pas avoir noté une hausse du nombre de sites attaqués ce week-end, par rapport à la normale. "Il y a des sites attaqués tous les jours de l'année et je n'ai pas entendu parler" d'une hausse particulière ce week-end, a-t-il déclaré à l'AFP. Un site spécialisé dans la surveillance des cyberattaques, Zone-H, basé en Estonie, affirme au contraire que ce concours de piratage a provoqué "le pire chaos qu'on ait jamais vu dans l'histoire de l'internet" avec des centaines de sites perturbés des Pays- Bas au Brésil. Selon ce site, "hier, le 6 juillet, doit être considéré comme la journée où a régné le pire chaos de toute l'histoire de l'internet". Zone-H rapporte avoir lui-même été attaqué. Mais pour Graham Cluley, de Sophos, "les élucubrations, les menaces et les prédictions sur l'internet sont très fréquentes. Et parce c'est l'internet, il est très difficile de juger de leur crédibilité". Selon cet expert, les menaces d'une attaque sur 6.000 sites dimanche ont trouvé une oreille attentive auprès des journalistes informatiques, car "c'est l'été et que l'actualité est pauvre". Mais Sophos n'a pas enregistré de hausse de la demande de la part de ses clients ce week-end. Vendredi, aux Etats-Unis, des experts en matière de sécurité sur internet avaient mis en garde contre la possibilité d'une vague de cyberattaques le week-end lors d'un concours de piratage informatique pouvant aboutir à des dysfonctionnements sur de nombreux réseaux informatiques. Ce concours visait à s'attaquer à 6.000 sites en l'espace de six heures.AFP 07.07.2003 |
| Un jeune gallois, déjà condamné à deux ans de prison pour avoir créé et diffusé trois virus plus ou moins pervers, n'a pas été épargné en appel. Le juge a estimé que ses actes étaient «délibérés et destructifs». LONDRES - L'auteur britannique des virus informatiques Gokar, Admirer et Redesi, qui avaient infecté 27000 ordinateurs dans 42 pays entre la fin 2001 et le printemps 2002, a vu sa demande en appel déboutée lundi 21 juillet. La cour d'appel de Londres a confirmé la sentence prononcée en première instance par la cour de Southwark, qui avait condamné en janvier dernier le jeune Simon Vallor à deux années de prison. Le juge Justice Aikens s'est refusé à tenir compte de l'âge du prévenu (22 ans), et du fait qu'il a coopéré avec la police, comme le demandait la défense. Il a estimé en revanche que ses actes étaient «délibérés et destructifs». Vallor avait plaidé coupable des accusations d'écriture et de diffusion massive par e-mail des trois virus informatiques qui lui étaient imputés, mais assurait ne pas avoir réalisé l'étendue des dommages qu'il avait provoqué. Il avait été retrouvé par la police galloise, qui a collaboré avec le FBI sur cette affaire, après avoir relaté ses "hauts faits" dans des forums. Le ver Redesi était dissimulé dans un message soi-disant en provenance de Microsoft, qui prévenait ses clients d'attaques de cyberterroristes suite aux attentats du 11 septembre 2001. Une fois activé, ce virus pouvait formater le disque dur des PC contaminés et saturer les serveurs mails. Gokar était quant à lui programmé pour changer les pages d'accueil de sites internet de grandes compagnies. Enfin, Admirer détruisait également des données du disque dur et bernait ses victimes en se faisant passer pour un message d'un admirateur, d'où son nom.ZDNet 24.07.2003 | Des chercheurs de l'Ecole polytechnique fédérale de Lausanne affirment avoir mis au point une technique capable de déchiffrer n'importe quel mot de passe Windows en un temps moyen record de 13,6 secondes. phr36144J8lPfY. Bien choisi, ce mot de passe ? Il n'aura pourtant fallu que 12 secondes à l'ordinateur de l'Ecole polytechnique fédérale de Lausanne pour en venir à bout. YRQg3QwJ a eu moins de chance, lui : 11 secondes. Et tout cela à l'aide d'un vulgaire PC à base d'AMD Athlon XP 2500+ et, tout de même, 1,5 Go de mémoire vive. Ces résultats sont l'oeuvre d'un projet du Lasec (Laboratoire de sécurité et de cryptographie) de l'Ecole polytechnique de Lausanne, en Suisse. Objectif de ces travaux pratiques : casser le maximum de mots de passe Windows le plus rapidement possible. Mission accomplie, puisque leur Advanced Instant NT Password Cracker casserait 99,9 % des mots de passe Windows en 13,6 secondes en moyenne. 5 secondes pour des mots sans aucun caractère spécial Mieux : cela ne prendrait que 5 secondes pour les mots de passe qui n'utilisent que des chiffres et des lettres, à l'exclusion de tout caractère spécial. Pour parvenir à cet exploit, ils se servent du fait que Windows n'utilise aucun élément aléatoire lors du chiffrement d'un mot de passe. Cela leur permet de précalculer de très nombreux mots de passe à l'avance, divisant par deux le nombre de calculs nécessaires ensuite au moment du décryptage. Mais inutile de s'affoler : les mots de passe Windows n'ont jamais étés considérés comme fiables, et il était déjà courant de les briser en un peu plus d'une minute. La découverte du Lasec est donc une belle avancée mathématique, mais elle n'aura probablement qu'un impact limité sur la sécurité de Windows, mise à mal de manière bien plus grave par ailleurs. En outre, il est nécessaire de posséder déjà les droits d'administrateur sur la machine visée pour en extraire les mots de passe chiffrés. Mais tout cela sera fort utile aux administrateurs étourdis puisque le Lasec propose de casser vos mots de passe en direct sur son site !01Net 24.07.2003 | La société en charge de l’extension .ua, Hostmaster, a purement et simplement été dépossédée de ses prérogatives par le gouvernement ukrainien, qui veut renforcer son contrôle sur le réseau. Cette dernière a déposé un recours devant une cour d’arbitrage. Le gouvernement ukrainien a décidé unilatéralement de placer la gestion de son nom de domaine national (extension ".ua") sous le contrôle de son service de sécurité intérieure, le SBU, à savoir l’ex-antenne locale du KGB soviétique, rapporte le bureau de l'AFP à Kiev. L’extension .ua sera désormais administrée par le "Centre ukrainien des réseaux d'information", un organisme codirigé par une agence d'État et le SBU, assure l'agence de presse. Depuis juin 2001, la société privée Hostmaster était en charge de la gestion de ce nom de domaine. Celle-ci avait été choisie pour lui succéder par Dmitry Kokhmanyuk, l’informaticien qui avait enregistré en 1992, au moment de l’indépendance du pays, ce nom de domaine auprès des services de nommage de l'époque (aujourd'hui l’Icann, le régulateur en chef des noms de domaine entrée en fonction en 1998). En 2001, le gouvernement ukrainien avait déjà essayé de s’approprier la gestion de l’extension .ua, mais avait dû faire marche arrière devant l’opposition de Kokhmanuyak. A l'époque, l’Icann avait également officieusement fait savoir que la mainmise d’un gouvernement sur un nom de domaine était contraire à ses principes, même si dans les faits, l’organisme n’a aucun moyen de s’y opposer. Le gouvernement ukrainien a finalement atteint son objectif initial: renforcer son contrôle sur les clés de l'infrastructure internet du pays. Hostmaster entend néanmoins défendre ses droits, en saisissant la Cour d’arbitrage de Kiev. Selon les arguments de la société, la décision du gouvernement viole les lois commerciales. «La législation ukrainienne ne donne aucun droit au conseil des ministres de s’ingérer dans les affaires administratives de domaine .ua», a-t-elle avancé, selon l’AFP. L’Ukraine a déjà été stigmatisée par plusieurs associations de défense des libertés individuelles en début de mois, ainsi que par le Conseil de l’Europe (assemblée consultative de 43 pays, non lié à l'Union européenne). Le Parlement ukrainien a voté le 9 juillet une nouvelle loi, qui autorise notamment le SBU à perquisitionner chez des journalistes soupçonnés de vouloir révéler des secrets d’État. Il peut également effectuer des fouilles au corps et emprisonner ces journalistes. Il ne manque plus que la signature du président Koutchma pour que ce texte entre en vigueur.ZDNet 31.07.2003 |
| Le niveau de sécurité assuré par certains organismes gouvernementaux aux Etats-Unis se révélerait insuffisant si l'on en croit deux exemples récents qui ont de quoi inquiéter, puisqu'ils concernent rien moins que le département de la défense américain lui-même, ou, dans l'autre cas, un sytème de vote électronique ne répondant pas aux normes élémentaires de protection des scrutins... Une infrastructure inadaptée Côté DoD (Department of Defense), des insuffisances considérables ont été mises en avant suite aux analyses d'une commission d'experts (faisant notamment intervenir le Center for Education and Research in Information Assurance and Security, ainsi que le US General Accounting Office). En choisissant des logiciels commerciaux répandus, il semblerait ainsi que le département de la défense des Etats-Unis ait réalisé une économie de bouts de chandelles qui pourrait à terme se révéler dangereuse ... Ceux-ci sont en effet loin d'être fiables dans des environnements aussi menacés que peut l'être ce haut lieu de la sécurité américaine, qui a subi l'an dernier plus de 50.000 attaques de la part de pirates, terroristes, ou encore services d'informations de puissances étrangères... Autre point faible: les logiciels sont trop souvent utilisés sur un grand nombre de systèmes, menaçant ainsi l'effondrement d'une partie importante de l'assemblage en très peu de temps... S'il est vrai qu'une infrastructure homogène permet des interventions plus rapides, le risque encouru fait néanmoins réfléchir... Conscient de ces faiblesses, le Pentagone prend actuellement des mesures afin de répondre aux normes de sécurité requises par le Federal Information Security Management Act, plus en adéquation avec l'importance des informations qu'il protège. Des élections falsifiables ? Deuxième source de questionnement, les systèmes de vote électronique proposées par Diebold: utilisées à plus de 32.000 exemplaires en novembre 2002, celles-ci ne seraient cependant pas fiables... Le gouvernement américain défie Cisco et l'ISS Un groupe de chercheurs de l'Information Security Institute aurait dévoilé, après avoir analysé le code source utilisé par ce service, des failles majeures inacceptables: outre la possibilité de rompre l'anonymat des électeurs, même un pirate débutant serait capable de voter plusieurs fois, ou d'annuler certains scrutins... Une vulnérabilité pour le moins inquiétante, qui devrait garantir l'utilisation de bulletins de votes plus "classiques" pour quelques années encore...JDNet 29.07.2003 | A l'heure où la cybercriminalité connaît une croissance démesurée, maintenir à jour ses dispositifs de sécurité pour se prévenir des piratages doît être une préoccupation majeure pour les entreprises. La bonne conduite d'audits de sécurité peut aider un administrateur à mieux gérer cette tâche fastidieuse. Depuis la revue de failles logicielles connues jusqu'aux simulations d'intrusion, les procédures utilisées lors d'un audit ont pour but d'évaluer la vulnérabilité du réseau interne d'une entreprise, la sûreté de sa connexion au réseau mondial, ainsi que de faire l'inventaire des dommages que pourraient causer d'éventuelles attaques. Une prévention au quotidien La maintenance d'un système de protection se fait avant tout régulièrement, sous peine d'être très rapidement dépassé par la charge, de nombreuses failles étant en effet déclarées chaque semaine par les éditeurs, ce qui nécessite la mise en place de patches. A cette fin, il est nécessaire de réaliser au moins une fois par mois un test de vulnérabilité, capable d'analyser le niveau de protection de l'infrastructure face aux attaques les plus courantes, notamment celles qui exploitent des failles logicielles connues. Il convient également d'appliquer cette procédure immédiatement après la publication de la découverte d'une vulnérabilité. Attention toutefois à conduire rigoureusement un tel test pour qu'il reste un test, et non... une attaque grandeur nature qui provoque l'effondrement du système ! A ce test mensuel peuvent venir s'ajouter, tous les trimestres, un contrôle point par point de l'état des mises à jour des applications utilisées, et une vérification du blocage des points susceptibles d'être attaqués, le tout à l'aide des Security Checklists publiés par les éditeurs de logiciels. outre cette fréquence trimestrielle, l'installation ou la mise à jour d'application nécessite de conduire un test. Conduire des audits externes Recueillir l'avis de professionnels de la sécurité en réalisant des audits externes de façon annuelle est également une garantie de l'efficacité des protections mises en place... de tells "visites médicales" des systèmes informatiques viennent en effet compléter très efficacement les opérations de maintenances conduites régulièrement par les administrateurs. L'atout majeur, quoique coûteux, de telles interventions est la mise en place de test d'intrusions, des simulations de piratage des systèmes. Ils se déclinent selon trois formes: le premier type de test d'intrusion est réalisé depuis un poste extérieur à l'entreprise, en condition "boîte noire", c'est à dire sans avoir recueilli d'informations préalables sur l'infrastructure à pirater. Au contraire, l'intrusion de type "boîte blanche" s'appuie sur une meilleure connaissance du réseau, et permet d'évaluer le potentiel de destruction en cas d'attaques de personnes en contact avec l'entrepise et désirant lui nuire. Enfin, puisqu'il est nécessaire de tout envisager, la dernière simulation a lieu depuis un poste interne pour tester l'efficacité de la protection en cas d'attaque de la part d'employés ou d'invités malveillants. La nécessité de l'information : Si ces procédures consistent en grande partie en une remise à niveau technique des installations techniques, la part de l'information du personnel est à ne pas négliger. Elle passe principalement par la publication des recommandations et des protocoles à appliquer lors de l'utilisation des postes de travail, ainsi que par des conférences et formation, généralement proposées par les sociétés d'audit de sécurité. Outre ces politiques de sensibilisation, il est primordial de ne pas oublier que la sécurité se joue aussi à travers la réglementation et la limitation de l'accès aux équipements et aux postes de travail via des procédures d'identification des utilisateurs est une garantie majeure de sécurité. De telles mesures peuvent également être mises en place lors de la conduite d'audits externes.JDNet 31.07.2003 | |
Si vous connaissez votre ennemi et si vous savez ce que vous valez, vous n'avez pas besoin de craindre vos prochaines batailles. Si vous savez ce que vous valez et rien sur votre ennemi, pour chaque victoire remportée, vous subirez une défaite. Si vous ne connaissez rien sur vous-même ni sur votre ennemi, vous succomberez à chaque bataille. Sun Tzu-The Art of War
Cette chronique vous intéresse, indiquez-moi des liens intéressants...
