Cyber-attaque

Cyber-attaque

Cyber-attaque ?

Comprendre le phénomène

Qu’est-ce que c’est ?

On appelle "cyber-attaque" une tentative d’atteinte à des systèmes informatiques réalisée dans un but malveillant. Elle peut avoir pour objectif de voler des données (secrets militaires, diplomatiques ou industriels, données personnelles, bancaires, etc.), de détruire, endommager ou altérer le fonctionnement normal de dispositifs informatiques, de prendre le contrôle de processus informatiques, ou de tromper les dispositifs d’authentification pour effectuer des opérations illégitimes.
Les dispositifs informatiques ciblés par ces attaques sont des ordinateurs ou des serveurs, isolés ou en réseaux, reliés ou non à internet, des équipements périphériques tels que les imprimantes, ou des outils communicants comme les téléphones mobiles ou les assistants personnels.
Contrairement à l’image d’Epinal, les "cyber-attaquants" sont rarement des adolescents à la recherche d’un "coup" : individus parfois isolés, souvent réunis en bandes organisées ou dans des organisations criminelles voire mafieuses. L’argent est à ce jour la principale motivation de leurs agissements.
Les attaques informatiques peuvent viser un très grand nombre d’ordinateurs ou de systèmes : on parlera alors d’attaques massives, comme dans le cas de l’Estonie.
A l’inverse, les attaques ciblées ne visent qu’une seule personne (ou qu’un ensemble de personnes). Elles sont généralement précédées d’une collecte d’informations destinées à connaître les vulnérabilités de son système d’information et quelques éléments personnels pour éviter d’éveiller ses soupçons lors de l’attaque.

Comment ça marche ?

Les attaques informatiques peuvent prendre des formes extrêmement variées.
Un premier type d’attaque informatique, dit "de déni de service", vise à saturer un système d’information ou de communication pour le paralyser et l’empêcher ainsi de remplir sa mission. S’agissant des systèmes reliés à Internet, comme les pages web ou les téléservices, cette paralysie est simple à obtenir : on l’inonde de demandes informatiques, comme le rechargement à l’infini d’une page Web, ce qui a pour effet de le saturer et de lui interdire de répondre aux requêtes légitimes. Pour faire ces nombreuses requêtes informatiques, les pirates informatiques utilisent des " BotNets " (abréviation de "Robot Networks"), réseaux de machines "zombies" qu’ils ont prises auparavant sous leur contrôle, en général dans des régions très variées du monde, pour leur faire exécuter des actions prédéfinies.
Un deuxième type d’attaque vise à s’introduire dans un système d’information pour voler des données stockées, les modifier ou les détruire, ou pour prendre le contrôle du système. Il peut être réalisé par l’envoi de messages invitant à ouvrir une pièce jointe ou à visiter une page web en cliquant sur un lien, qui mettront un code malveillant sur le poste de travail de ceux qui auront suivi cette invitation. Ce code, conçu spécifiquement pour chaque attaque, n’est généralement pas connu des antivirus, et donc pas filtré. Dans le cas d’attaques massives, ces messages, souvent publicitaires en apparence, sont adressés à un très grand nombre de destinataires. Les machines compromises sont alors soit fouillées pour y voler des données intéressantes, soit utilisées pour constituer un « BotNet ». Les adresses de ces machines font l’objet d’un important commerce entre cyber-délinquants. Les attaques de ce type peuvent également être ciblées, visant spécifiquement des personnes dont on attend des informations précieuses ou des postes informatiques permettant d’autres actions ciblées. Elles chercheront alors à être les plus furtives possibles, en utilisant des messages spécifiquement conçus pour apparaître comme provenant d’une personne connue ou de confiance. Elles sont de plus en plus difficiles à détecter.

Exemples historiques

En mars 2008, une chaîne de magasins d’alimentation américaine a été victime d’une attaque informatique qui a permis de dérober les informations de plus de 4,2 millions de cartes bancaires. Un logiciel malveillant était installé dans tous les magasins de la chaîne en Nouvelle-Angleterre et dans l’État de New York, et dans la majorité de ceux de Floride. Il interceptait les données au moment où elles étaient transmises aux banques.
En 2007, l’Estonie (dont l’e-administration est l’une des plus développées d’Europe) a été le premier Etat à subir des attaques informatiques de grande ampleur. L’administration estonienne, des banques et des journaux ont été paralysés durant plusieurs semaines par l’envoi massif de requêtes informatiques saturant les ordinateurs, serveurs et réseaux. Ces attaques faisaient suite au déplacement d’une statue symbolique pour la minorité russe du pays.
En 2007 encore, est apparu le premier très grand réseau de machines « zombies », appelé Storm, constitué de plusieurs dizaines de milliers d’ordinateurs compromis. Ce BotNet a été utilisé dans diverses attaques informatiques.
En l’an 2000, le virus informatique " I love You " s’est répandu en quatre jours sur plus de 3 millions d’ordinateurs dans le monde, entrainant une perte financière estimée à 7 milliards de dollars pour les seuls Etats-Unis.

http://risques.gouv.fr

---

Cyber-attaque contre Téhéran

A la veille des négociations d’Istanbul sur le programme nucléaire iranien, en janvier 2011, des révélations fracassantes paraissent dans la presse : le virus informatique Stuxnet qui a affecté l’Iran aurait été mis au point en Israël avec l’aide des Etats-Unis. Ciblant des infrastructures industrielles, cette attaque présage-t-elle une nouvelle ère de cyberguerre ?

« Un nouveau Tchernobyl ! » En ce début de 2011, M. Dmitri Rogozin, l’ambassadeur russe auprès de l’Organisation du traité de l’Atlantique Nord (OTAN), fait sensation en demandant l’ouverture d’une enquête sur Stuxnet, le virus informatique qui a attaqué les installations nucléaires iraniennes au cours des derniers mois. Ce virus, affirme-t-il, aurait pu conduire à une explosion thermonucléaire à Bushehr, la centrale de production d’énergie nucléaire située au sud du pays.

Lire:
http://www.monde-diplomatique.fr/2011/03/RIVIERE/20197

---

Les Etats-Unis ont mené une cyberattaque contre Al-Qaïda (Clinton)


Secrétaire d'Etat américaine Hillary Clinton

Les services secrets américains ont mené une cyberattaque réussie contre les sites internet du réseau terroriste Al-Qaïda au Yémen, a annoncé jeudi à Tampa la secrétaire d'Etat américaine Hillary Clinton.

"Les experts du département d'Etat pour la cybersécurité ont pénétré les sites de propagande d'Al-Qaïda au Yémen", a indiqué Mme Clinton lors d'un déjeuner organisé à l'occasion de la "semaine des services secrets" américaine.
Il s'agit de la première annonce publique portant sur une opération spéciale de ce type faite par un responsable américain de haut niveau.
Les services secrets américains ont réussi à supprimer les appels à tuer les Américains et des fichiers multimédia montrant les attaques terroristes contre les civils du Yémen. L'attaque a été effectuée par les employés du département d'Etat "chargés de surveiller Internet et les réseaux sociaux dans le cadre du programme d'enrôlement de nouveaux membres par Al-Qaïda", a précisé Mme Clinton.
"Cela fait partie d'une opération complexe de lutte contre le terrorisme (…). Les Etats-Unis iront plus loin que l'élimination d'Oussama Ben Laden", a ajouté la secrétaire d'Etat.
Le directeur du renseignement pour le cybercommandement américain, le contre-amiral Samuel Cox, a annoncé fin avril à Washington que les Etats-Unis pourraient avoir recours à des cyberattaques visant des infrastructures ennemies, "si l'opération est approuvée au plus haut niveau gouvernemental". Dans le même temps, il a noté que Washington avait une position modérée sur un éventuel recours à des cyberattaques, toute attaque de ce genre étant suivie d'"effets secondaires indésirables".

WASHINGTON, 24 mai - RIA Novosti

---

Le russe Kaspersky détecte une cyber-arme visant l'Iran



Le spécialiste russe de la lutte antivirus Kaspersky Lab a identifié une cyber-arme utilisée contre des pays tels que l'Iran, probablement au profit de l'Occident et d'Israël, un virus d'une sophistication telle qu'elle suppose le concours d'un Etat.

Le logiciel malveillant, connu sous le nom de Flame, "est actuellement utilisé comme une cyber-arme contre une série de pays" et à des fins de "cyber-espionnage", a indiqué la société russe, l'un des premiers fabricants mondiaux d'anti-virus, dans un communiqué disponible mardi sur son site.
"La géographie des cibles (certains Etats sont au Moyen-Orient) ainsi que la sophistication de la menace ne laissent aucun doute sur le fait que c'est un Etat qui a sponsorisé la recherche", a ajouté Kaspersky Lab.
Parmi les pays les plus touchés : l'Iran, Israël et la Palestine, le Soudan, la Syrie, le Liban, l'Arabie saoudite et l'Egypte, selon le spécialiste russe.
Ce virus, détecté dans le cadre d'une enquête lancée par l'Union internationale de télécommunications (ITU), a un potentiel d'infiltration inégalé, étant capable d'utiliser en même temps une multitude de moyens.
"Une fois qu'un système est infecté, Flame commence une série complexe d'opérations", telles que des captures d'écran, des enregistrements via un micro des conversations audio, ou encore l'usage de Bluetooth pour identifier les appareils aux alentours, détaille Kaspersky Lab.
Le virus est "un gigantesque ensemble de modules" qui se déploient progressivement dans les systèmes infectés.
"Les dates de création des fichiers sont 1992, 1994, 1995 etc, mais il est clair qu'elles sont fausses", ajoute Kaspersky, qui estime que le virus a été créé "pas avant 2010".
"Les empreintes laissées par ce genre d'attaques ciblées sont extrêmement faibles", a expliqué à l'AFP Laurent Heslault, directeur des stratégies de sécurité chez Symantec, éditeur du logiciel Norton.
Elles sont menées par "des groupes organisés, financés, qui s'attendent à ce qu'on remonte la piste. Et donc ils ont tout fait pour la brouiller".
Selon des médias occidentaux, Flame aurait été utilisé pour attaquer le ministère iranien du Pétrole et le principal terminal pétrolier de ce pays.
L'Iran a été la cible depuis deux ans de plusieurs attaques informatiques que les dirigeants iraniens ont attribuées aux Etats-Unis et à Israël, les deux ennemis déclarés du régime de Téhéran.
Le Centre de coordination iranien pour la lutte contre les attaques informatiques a d'ailleurs indiqué mardi avoir réussi à produire un anti-virus contre Flame.
Fin avril, un haut responsable iranien avait affirmé que le ministère du Pétrole était parvenu à stopper un virus qui avait frappé une partie de son réseau informatique.
En 2010, un autre virus avait été découvert, Stuxnet, qui visait à retarder le programme nucléaire iranien en attaquant les centrifugeuses. Selon des médias, il aurait pu être développé grâce à la collaboration de services de renseignement israéliens et américains.
Téhéran avait ensuite dû se défendre contre un autre virus baptisé "Duqu".
Mardi, le ministre israélien des Affaires stratégiques Moshé Yaalon a justifié le recours à de tels virus afin de contrer la menace nucléaire iranienne, alimentant les spéculations sur une possible implication de son pays dans Flame.
"Il est justifié, pour quiconque considère la menace iranienne comme significative, de prendre différentes mesures, y compris celle-là, pour la stopper", a estimé M. Yaalon à la radio militaire.
"Israël est en pointe dans les nouvelles technologies et ces outils nous offrent toutes sortes de possibilités", a ajouté M. Yaalon.
Selon Kaspersky, Flame dépasse de loin tous les autres virus déjà connus, et est "vingt fois plus important que Stuxnet".
Cela marque "une nouvelle étape" dans la cyberguerre, a déclaré Evgueni Kaspersky, directeur général.

La Voix Du Nord

Le terrible ver Stuxnet serait bien l’œuvre des Etats-Unis et d’Israël




Vous vous souvenez sans doute du ver Stuxnet, ce ver qui a attaqué une centrale nucléaire iranienne mais qui a également surpris les firmes de sécurité par sa complexité. Ces firmes de sécurité clamaient alors à l’époque que cela ne pouvait être que l’œuvre d’un gouvernement. Eh bien, elles avaient raison comme nous le relate le New York times ! Stuxnet serait bien l’œuvre de 2 gouvernements, en l’occurrence les Etats-Unis et Israël. D’ailleurs, si Stuxnet a été découvert, c’est simplement car il a échappé au contrôle de ses créateurs.

Pour commencer l’histoire, remettons-nous dans le contexte. Fin 2006, l’administration Bush cherche à stopper ou au moins freiner le programme nucléaire iranien. Seulement, décrédibilisée par ses mensonges sur le programme nucléaire de Saddam Hussein, aucune intervention militaire n’est possible. C’est alors que des responsables ont une idée inédite pour s’attaquer au programme nucléaire : Stuxnet.

L’opération « The Bug » (le véritable nom de Stuxnet) connait 2 phases, toutes les 2 confiées au NSA et à l’unité 8200 (un groupe secret de l’armée israélienne qui n’aurait rien à envier au NSA). La première consiste à s’introduire dans les ordinateurs de la centrale nucléaire pour en comprendre le fonctionnement. Un logiciel espion est donc introduit sur les ordinateurs de la centrale. Ce logiciel est d’ailleurs introduit « à la main », probablement par un espion, les ordinateurs n’étant pas connectés à internet. Cette opération dure quelques mois.

Ensuite, grâce aux informations recueillies, les USA construisent leur propre réplique de la centrale pour tester les effets de leur ver. Ce ver se montre particulièrement efficace, capable de saboter les centrifugeuses. Il ne reste après plus qu’à introduire ce virus dans les ordinateurs de la centrale, une opération menée, comme vous vous en doutez, avec succès.

Stuxnet rentre alors en action, sabotant nombre de centrifugeuses de la centrale iranienne et laissant perplexes ses responsables. Oui, car ceux-ci ne comprennent pas du tout la cause, remettant alors en doute leurs recherches.

Malheureusement pour les USA et Israël, Stuxnet souffre d’un bug qui précipite sa chute. En effet, le ver se copie dans l’ordinateur d’un ingénieur s’étant connecté à une centrifugeuse. Rentré chez lui, ce même ingénieur connecte son ordinateur à internet. Stuxnet se propage alors sur internet et se fait détecter par diverses firmes de sécurité. Celles-ci réussissent finalement, avec grandes difficultés, à lui régler son compte.

Au même moment, et à cause de cette exposition, Barack Obama s’inquiète des conséquences possibles. Il étudie alors la question de mettre un terme à Stuxnet. Seulement, les responsables de la sécurité nationale le convainquent du contraire. Une semaine après, Stuxnet connait une nouvelle variante qui fait tomber un millier de centrifugeuse.

Enfin, il est probable que Stuxnet ne soit pas de l’histoire ancienne, des experts avancent le fait que le malware Flame n’en serait qu’une évolution.

http://geekattitu.de

Après Flame, le malware Mahdi espionne le Moyen-Orient

Les chercheurs en sécurité de Kaspersky et de Seculert ont mis à jour un logiciel malveillant de cyber-espionnage. Baptisé Mahdi, il infecte des ordinateurs sous Windows en Iran, en Israël et dans d'autres pays du Moyen-Orient.

Des chercheurs en sécurité informatique des firmes Seculert et Kaspersky ont révélé qu'un logiciel malveillant nommé Mahdi a été utilisé pendant près de huit mois pour espionner des centaines de cibles basées en Iran, en Israël et dans quelques autres pays du Moyen Orient.
Le cheval de Troie serait entre autre capable de procéder à des enregistrements audio ou des frappes claviers, mais aussi de faire des captures d'écran à intervalles réguliers, d'espionner les communications via mails ou messagerie instantanée ou encore d'accéder et de voler un certains nombres de documents, d'images, d'archives ou de fichiers sensibles.

Plus de 800 victimes recensées

Seculert a découvert le malware il y a déjà plusieurs mois alors que la compagnie enquêtait sur un email suspect contenant un faux document en pièce jointe, ont annoncé mardi les chercheurs de la société israélienne dans un billet de blog.
Seculert et Kaspersky ont en outre fait part de leurs conclusions sur la possibilité que le malware Mahdi présente des similitudes avec Flame, un malware ultra-sophistiqué de cyberespionage qui avait lui aussi ciblé l'Iran et le Moyen Orient.

Les deux sociétés ont travaillé ensemble pour rediriger le trafic du malware à un serveur sous leur contrôle - une opération appelée sinkholing - afin d'analyser celui-ci. L'opération leur a permis d'identifier près de 900 victimes, principalement des hommes d'affaire travaillant sur de sensibles projets iraniens ou israéliens, mais aussi des étudiants, dont 387 en Iran, 57 en Israël mais aussi une quinzaine en Afghanistan. Les autres victimes appartenant à d'autres du Moyen Orient.

Le malware utiliserait des procédés basiques

"Les grandes quantités de données collectées révèlent l'intérêt particulier porté sur les infrastructures sensibles du Moyen Orient. Des firmes d'ingénierie, des agences gouvernementales, des établissements financiers et même des universités" ont déclaré les chercheurs de Kaspersky. "Les individus victimes du virus ont été sélectionnés pour être surveillés de façon accrues sur de longues périodes" ont ils poursuivi.
Le malware serait distribué via mail malveillants en utilisant des techniques de base d'ingénierie sociale pour tromper les destinataires et les pousser à ouvrir des fichiers PowerPoint infectés.

Le programme d'installation du logiciel malveillant, intégré dans les fichier, serait en effet exécuté lorsque les utilisateurs acceptent d'ouvrir les fichiers PowerPoint et ce malgré un avertissement associés aux fichiers contenus dans ces documents PowerPoint.
A l'installation, une quantité inhabituelle de documents ou d'images de "diversion" à caractères religieux ou politique serait par ailleurs distribuée sur la machine infectée.

http://lemondeinformatique.fr

La France face au risque de cyber-espionnage chinois

Les routeurs fabriqués par Huawei et ZTE pourraient se voir interdits de vente en France, en raison de soupçons de collusion avec le gouvernement chinois.

Vers une interdiction en France ?

Côté français, ZTE et Huawei ont été montrés du doigt par Jean-Marie Bockel, lorsqu'il a présenté son rapport d'information sur la cyber-défense le 19 juillet. Un rapport adopté à l'unanimité par la Commission des affaires étrangères du Sénat et qui devrait servir de base pour l'élaboration du nouveau Livre blanc sur la défense et la sécurité nationale française. Jean-Marie Bockel propose d'"interdire les routeurs ou d'autres équipements de cœur de réseaux qui présentent un risque". En ligne de mire, les produits d'origine chinoise.

Dans un contexte de cyber-guerre, le parlementaire a réclamé l'interdiction de vente et d'utilisation d'équipements d'origine chinoise utilisés par les opérateurs pour gérer les flux de communication internet. Si ces routeurs chinois des entreprises Huawei ou ZTE sont 20% moins chers que les Américains, plane le risque de les voir détournés par l'appareil étatique chinois, régulièrement soupçonné d'espionnage informatique.

Selon le rapport Bockel, "rien n'empêcherait un pays producteur [de routeurs de réseaux] d'y placer un dispositif de surveillance, d'interception, voire un système permettant d'interrompre à tout moment l'ensemble des flux de communication". En interdisant l'implantation de routeur chinois en France, le sénateur s'inscrit dans la lignée des politiques américaines ou australiennes qui ont déjà interdit ces matériels.

http://obsession.nouvelobs.com/high-tech/20120802.OBS8839/la-france-face-au-risque-de-cyber-espionnage-chinois.html

Une cyberattaque contre Aramco visait un arrêt du pompage du brut


DHAHRAN (Arabie Saoudite) - Un responsable du géant pétrolier saoudien Aramco a annoncé dimanche que la cyberattaque contre sa compagnie en août avait pour objectif l'arrêt du pompage du brut saoudien.

L'attaque ne visait pas Aramco en tant qu'entité mais l'économie du pays dans son ensemble, a dit Abdallah al-Saadan, président de la commission d'enquête sur l'incident qui avait affecté le système informatique du groupe pendant plusieurs jours.

L'objectif était un arrêt du flux du brut et du gaz aux marchés local et international. Mais Aramco avait pu honorer ses engagements envers ses clients, a-t-il ajouté lors d'une conférence de presse.

Cependant, il ne faut pas minimiser l'ampleur de l'attaque, a-t-il encore dit, affirmant qu'Aramco avait tiré les leçons pour se prémunir contre ce genre de cyberattaque.

Le porte-parole du ministère saoudien de l'Intérieur, le général Mansour al-Turki, a indiqué pour sa part que la cyberattaque était l'oeuvre d'un groupe organisé à l'étranger, ajoutant que les hackers appartenaient à plusieurs pays qu'il n'a pas identifiés.

Il a exclu l'implication dans l'attaque d'un quelconque fonctionnaire ou sous-traitant travaillant pour Aramco.

Le 27 août, Aramco avait annoncé avoir rétabli son système informatique, touché le 15 août par une cyberattaque d'envergure. Le groupe avait alors assuré que les opérations d'exploration et de production n'avaient pas été affectées par ce piratage, et que les systèmes de vente, de distribution, de données informatiques et autres étaient intacts.

Des pirates informatiques avaient alors affirmé sur des sites web être responsables de l'attaque.

L'Arabie saoudite est le premier exportateur mondial de brut, et sa production est de près de 10 millions de barils par jour.


AFP