# Systmes > Windows > Scurit >  Comment les autorits amricaines ont-elles traqu l'un des hackers nord-corens derrire WannaCry ?

## Patrick Ruiz

*Le ransomware WCry prend en otage des milliers d'ordinateurs dans une attaque d'envergure mondiale* 
*Des ranons de 300 $ minimum sont exiges*

De nombreuses institutions publiques en Angleterre et en Espagne subissent actuellement le sige de ranongiciels. La firme de scurit Avast a, via un billet de blog publi hier, rvl que dans chacun des pays dont il est fait mention, il ne sagit que dun seul et mme acteur malicieux, le ransomware WCry.

Daprs ce que rapporte la firme de scurit Avast, le ransomware WCry (WanaCrypt0r) a commenc  tre actif au mois de fvrier. Il sest depuis lors fortement rpandu avec dsormais 75 000 infections  son actif dans 99 pays, dont 57 000 dtectes par la firme pour la seule journe dhier. Il sagit dun pic dactivit trs important qui na pas pargn de nombreuses institutions publiques en Europe, mais galement en Asie avec le cas Taiwan. 

Cest dailleurs ce que rapporte galement le Blackpool Gazette pour ce qui est de lAngleterre. Le rseau du service national de sant (en anglais NHS pour National Health Service) est fortement atteint par ce qui est considr comme un  incident majeur . Le systme de gestion des rendez-vous utilis par les mdecins gnralistes et certains services tlphoniques sont actuellement paralyss par le ransomware. Un employ des services informatiques du rseau, sexprimant sous anonymat, a dclar au micro de Blackpool Gazette que  25  30 formations hospitalires sous la tutelle du NHS sont touches. Les lecteurs partags par les utilisateurs du rseau sont verrouills. Il ny a rien que nous puissions faire .

Pour ce qui est de lEspagne, Reuters rapporte que Telefonica fait lui aussi lobjet du mme sige. Il sagit apparemment dune premire puisque Chris Wysopal, responsable cyberscurit chez Veracode dclare que  voir un grand oprateur de tlcommunications comme Telefonica tre frapp va srement inquiter tout le monde. Les ransomwares affectent dsormais les grandes entreprises dotes dun arsenal plus important en matire de protection contre les cyberattaques . Et Chris Camacho, responsable stratgie de la firme de scurit Flashpoint, poursuivant dans la mme lance, dajouter que  maintenant que les cybercriminels savent quils peuvent mettre les gants  mal, ils vont se mettre  viser de plus en plus de trs grandes entreprises et il se pourrait bien que certaines ny soient pas prpares .

Reuters ajoute que pour le moment aucun des services dlivrs par le gant des tlcommunications na t touch, ce qui lexempte, du moins pour le moment, du paiement de la traditionnelle ranon exige par les auteurs de ces actes. Le rseau du NHS pour sa part sera peut-tre oblig de se plier  la demande des hackers dont les dtails sont connus. Le Blackpool Gazette rapporte en effet que les machines du rseau affichent pour la plupart une fentre (cf. image ci-dessous) qui donne des dtails sur le montant exig et les dlais. Pour le cas du rseau du NHS, chaque appareil pris en otage par le ransomware verra ses donnes dchiffres pour le montant de 300 $. Petite prcision cependant, le versement doit tre effectu au plus tard lundi via ladresse bitcoin spcifie, ce sans quoi le prix sera doubl.


La firme Avast a tenu  rappeler que ce ransomware nest pas le fruit du nant, mais quil utilise un exploit dcouvert par la NSA et rcemment divulgu par le groupe Shadow Brokers. Lexploit est connu sous les noms ETERNALBLUE et MS17-010. Cette faille a fait lobjet dun bulletin de scurit publi par Microsoft en date du 14 mars. Ceci suppose que les utilisateurs qui tiennent leur systme dexploitation  jour devraient tre protgs contre des intrusions comme celle que le ransomware WCry mne actuellement.

Sources : Blog Avast, Blackpool Gazette

*Et vous ?*

 ::fleche::  Quen pensez-vous ?

*Voir aussi :*
 ::fleche::  USA : la moiti des petites et moyennes organisations victimes de ransomware payent la ranon, d'aprs un rapport de Carbonite
 ::fleche::  Royaume-Uni : le ransomware Globe2 responsable de la fermeture de plusieurs hpitaux, dont les systmes avaient t infects

----------


## Aiekick

c'est une bonne oprations pour microsoft ca. certains chaines dassemblage de Renault sont aussi a larrt comme celle de Revoz en slovenie. j'imagine bien que certain poste outils utilisent du winxp, mais pourquoi connect a internet ?

bon Microsoft a quand mme publi un patch de scurit pour winxp, malgr qu'il avait qu'il ne les maintiendrait plus et c'est quand mme une bonne choses dtre responsable sur le coup.

----------


## chrtophe

Lien Microsoft pour les correctifs :
https://technet.microsoft.com/en-us/.../ms17-010.aspx

----------


## Michel

Bonne opration pour Microsoft ? Pas sur, ce n'est pas trs bon pour l'image, mme si si Microsoft n'est pas entirement responsable.
En revanche, pour les hpitaux anglais et Renault, j'appelle cela du foutage de gueule !
Ces socits payent certainement trs cher des quipes d'informaticiens pour grer leurs systmes et voil le rsultat ! des gens risquent de mourir et l'industrie franaise est en difficult.

Est-ce bien srieux !

----------


## Nikko78

Voici la consquence dsastreuse de la politique des tats voulant garder ouverte des backdoors.
http://www.7sur7.be/7s7/fr/4134/Inte...mondiale.dhtml

----------


## chrtophe

> Ces socits payent certainement trs cher des quipes d'informaticiens pour grer leurs systmes et voil le rsultat ! des gens risquent de mourir et l'industrie franaise est en difficult.


Je pondrerais cela car j'ai dj vu des machines pilots par logiciel spcifique ne fonctionnant pas sur les nouveaux systmes. Le logiciel tant li au matriel, le mettre  jour peut ncessiter le remplacement de la machine outil pouvant reprsenter des couts trs important (exemple chaine de montage, machine d'imprimerie).

----------


## Aeson

> Voici la consquence dsastreuse de la politique des tats voulant garder ouverte des backdoors.


Backdoor ? Il suffit de tenir sont OS a jour.... rien a avoir avec des Backdoor...




> le remplacement de la machine outil pouvant reprsenter des couts trs important


Ca leur a cout combien maintenant leur politique ?

Apparement cette faille n'est presente que sur Windows xp.. ca veut tout dire...

----------


## chrtophe

Non a ne touche pas que XP.

----------


## Aeson

Ca touche les OS Windows XP, Vista, Server 2003 or 2008 qui ne sont pas mit a jour. A part W2008 ce sont tous des OS qui ne sont meme plus support. Et un w2008 a jour n'est pas vulnerable

Donc si vous etes infect c'est clairement votre faute.

----------


## Aiekick

> Bonne opration pour Microsoft ? Pas sur, ce n'est pas trs bon pour l'image, mme si si Microsoft n'est pas entirement responsable.
> En revanche, pour les hpitaux anglais et Renault, j'appelle cela du foutage de gueule !
> Ces socits payent certainement trs cher des quipes d'informaticiens pour grer leurs systmes et voil le rsultat ! des gens risquent de mourir et l'industrie franaise est en difficult.
> 
> Est-ce bien srieux !


beaucoup de monde en peux ce passer de windows, donc que des anciens systems n'ont maintenu ai des failles va les pousser a acheter des version recentes..

enfin bon 200 000 pc infecte c'est pas ce que j'appelle le coup du siecle.

les gens risque de mourir ? c'est la chaine de montage qui a t infecte.. pas le calculateur du vhicule .....

----------


## Aiekick

marrant personne ne tient pour responsable ceux qui ont diffus les outils et vulnrabilises piques  la NSA. triste monde

----------


## hackoofr

Voici une carte en direct montrant de nouvelles victimes de *Wana Decrypt0r* infectes en temps rel. *Live Map*

----------


## marsupial

De toutes les versions de Windows, seul W10 reste insensible. Toutes les autres versions ncessitent un patch. Lequel patch pose un norme souci de diffusion sur les chanes de montage tournant en 3x8 ou dans les hpitaux ne pouvant immobiliser une salle d'opration pouvant tre ncessaire  tout moment en cas d'urgence.
Le pays le plus impact, la Russie, a pour cause une philosophie anti-amricaine rfractaire aux produits en provenance d'outre-atlantique ( ou dtroit de Bring pour eux ).
L'Asie me surprend par son faible taux de contamination alors qu'elle reste la zone o XP est encore le plus prsent. Mais il s'agit sans doute du dcalage horaire : lorsque l'attaque a dbut, les bureaux taient ferms.

----------


## emutramp

La scurit des PC perso craint, attendez de voir quand ce genre dattaque viseront massivement les serveurs web Wordpress, Cpanel, Drupal, des backdoor trs rependu en ces temps-ci. Une attaque informatique *sans prcdent*, pas vraiment en revanche ce quil lest, cest que les Russes ne sont pas pour le moment accuse dtre a lorigine de celle-ci

----------


## Stphane le calme

*Ransomware WannaCrypt : Microsoft publie en urgence des MJ de scurit pour ses OS, * 
*XP reoit ainsi son premier patch en trois ans * 

Les entreprises, les gouvernements et les particuliers dans 99 pays  travers le monde ont t victimes de plus de 75 000 attaques de cette souche de ransomware en quelques heures seulement. Parmi les victimes, des services d'hpitaux en Angleterre, des entreprises telles que Telefnica en Espagne, ou mme des coles et universits.

Le ransomware Wannacrypt (ou Wcry, WanaCry, WanaCrypt, Wanna Decryptor) exige 300 $ en bitcoins pour le dverrouillage des fichiers quil a chiffrs, une ranon qui double aprs trois jours. Les utilisateurs sont galement menacs de voir tous leurs fichiers supprims en permanence si la ranon n'est pas paye dans lintervalle dune semaine.

Le logiciel malveillant sappuie sur une faille de Windows exploite par la NSA pour ses oprations despionnage et que Microsoft avait colmate en mars 2017. Cette faille a fait l'objet de l'un des outils qui ont fuit en avril au nom de code EternalBlue. Les pirates ont vite fait de se servir de cette information  leur profit. Selon le CCN-CERT, lquipe nationale d'intervention en cas d'urgence informatique de l'Espagne, cest grce  cette faille que le ransomware peut se propager aussi vite. 

Rpertorie MS17-010, la faille rside dans le service Windows Server Message Block (SMB), sur lequel les ordinateurs Windows comptent pour partager des fichiers et des imprimantes sur un rseau local. Les logiciels malveillants qui exploitent les dfauts de SMB pourraient tre extrmement dangereux au sein des rseaux d'entreprise, car le composant de partage de fichiers peut aider le systme de ransomware  se propager rapidement d'une machine infecte  une autre.

*Microsoft ragit* 

 Aujourd'hui, beaucoup de nos clients  travers le monde et les systmes critiques dont ils dpendent ont t victimes du logiciel malveillant "WannaCrypt". Voir les entreprises et les personnes touches par les cyberattaques, comme celles rapportes aujourd'hui, tait pnible. Aussi, Microsoft a travaill tout au long de la journe pour nous assurer que nous avons compris l'attaque et pris toutes les mesures possibles pour protger nos clients , a expliqu vendredi dernier Phillip Misner, un gestionnaire principal du groupe de scurit du Microsoft Security Response Center (MSRM).

 En outre, nous prenons l'tape trs inhabituelle consistant  fournir une mise  jour de scurit pour tous les clients afin de protger les plateformes Windows qui sont uniquement en support personnalis, y compris Windows XP, Windows 8 et Windows Server 2003. Les clients qui utilisent Windows 10 n'ont pas t cibls par l'attaque aujourd'hui , a-t-il poursuivi.

*Une autre option dattnuation ?*

Selon des chercheurs en scurit, le code du ransomware contient un kill switch qui semble fonctionner comme suit : si le programme malveillant ne peut pas se connecter  un nom de domaine non enregistr, il procdera  l'infection. Si la connexion russit, le programme arrte l'attaque. Un chercheur en scurit, qui rpond au pseudonyme MalwareTech, a constat qu'il pouvait activer le kill switch en enregistrant le domaine Web et en publiant une page dessus.

L'intention originale de MalwareTech tait de suivre la propagation du ransomware dans le domaine auquel il contactait.  Il nous est apparu que l'un des effets secondaires de l'enregistrement du domaine a empch la propagation de l'infection , a-t-il dclar dans un courriel.

Lentreprise de scurit Malwarebytes et le groupe de scurit Talos de Cisco ont signal les mmes rsultats et ont dclar que les nouvelles infections de ransomware semblent avoir ralenti depuis que le kill switch a t activ.

Cependant, le chercheur de Malwarebytes, Jrme Segura, a dclar qu'il tait trop tt pour dire si le kill switch empcherait les attaques de Wana Decryptor pour de bon. Il a prvenu que d'autres versions de la mme souche de ransomware peuvent avoir t dployes et ont corrig le problme du kill switch ou sont configures pour contacter un autre domaine Web. 

Malheureusement, les ordinateurs dj infects par Wana Decryptor resteront infects, a-t-il regrett.

Le ransomware a t conu pour fonctionner dans de nombreuses langues, y compris l'anglais, le chinois et l'espagnol, avec des notes de ranon dans chacune d'entre elles.

Segura a conseill aux victimes de ne pas payer la ranon parce qu'elle encourage les pirates. Au lieu de cela, il dit qu'ils devraient attendre les prochains jours tandis que les chercheurs en scurit tudient le code du ransomware et tentent de trouver des moyens gratuits de rsoudre l'infection.

*Nouvelles variantes du ransomware :*

Comme le supposaient les chercheurs, de nouvelles variantes sont apparues. Matt Suiche, Microsoft MVP, a confirm quil y en avait deux types : avec un kill switch (cette fois-ci un nouveau domaine non enregistr quil a pu bloquer en enregistrant le nom de domaine) et sans le kill switch, qui semble ne fonctionner que partiellement.  Le fait que la variante sans le kill-switch ne fonctionne que partiellement est probablement une erreur temporaire des pirates. Rappelez-vous, mme si la dcompression du ransomware ne fonctionne pas, la diffusion par ETERNALBLUE & DOUBLEPULSAR quant  elle fonctionne toujours , a rappel Matt Suiche.

Et de souligner que  Le fait que j'ai enregistr le nouveau kill-switch aujourd'hui pour bloquer les nouvelles vagues d'attaques n'est qu'un soulagement temporaire qui ne rsout pas le problme rel,  savoir que de nombreuses entreprises et infrastructures critiques dpendent toujours des systmes d'exploitation existants et qui ne sont plus supports , a-t-il conclu.  

Source : Microsoft, nouvelles variantes, Malwarebytes, Talos Cisco

----------


## marsupial

> edit : et tu verras, cette mentalit d'exploiter les failles en lieu et place de les signaler afin d'tre corriges va nous retomber sur le coin de la figure maintenant que leurs outils sont dans la nature. Parce que wikileaks dtient une grande partie mais pas l'intgralit des outils donc toutes ne seront pas colmates.





> Bref, reprendre le contrle de la situation maintenant que la bote de Pandore a laiss chapper le Diable ne va pas tre une mince affaire.

----------


## Tristan107

J'ai lu plein d'articles sur ce sujet, mais je n'ai toujours pas compris si seules les entreprises qui n'ont pas appliqu le patch de mars sont infectes, ou bien si le patch a t contourn.

----------


## nirgal76

> J'ai lu plein d'articles sur ce sujet, mais je n'ai toujours pas compris si seules les entreprises qui n'ont pas appliqu le patch de mars sont infectes, ou bien si le patch a t contourn.


Patch ou pas, si les gens n'ouvraient pas n'importe quel mail et pice jointe, a n'arriverait pas, c'est un gros problme d'ducation informatique.

----------


## SkyZoThreaD

> J'ai lu plein d'articles sur ce sujet, mais je n'ai toujours pas compris si seules les entreprises qui n'ont pas appliqu le patch de mars sont infectes, ou bien si le patch a t contourn.


Bien que nirgal76 n'ait pas tord, il ne rpond pas  la question  ::): 
Le patch n'est pas contourn. Il semble que crosoft n'avait pas pouss ce patch sur toutes les versions de windows. Maintenant que c'est fait, les machines patches devraient tre safe.

----------


## Marco46

> Patch ou pas, si les gens n'ouvraient pas n'importe quel mail et pice jointe, a n'arriverait pas, c'est un gros problme d'ducation informatique.


C'est un des axes de rflexions de cette affaire.

Il y en a 2 autres :

- les effets pervers de laisser les agences de renseignement faire de la merde sans aucun contrle extrieur.
- l'ducation des dirigeants d'entreprises sur l'importance d'attribuer les budgets / priorits oprationnelles ncessaires aux admins sys / devops pour leur permettre de faire leur taf.

Voil, du ct des mchants rien de bien neuf sinon l'ampleur de l'attaque.

----------


## Rokhn

> Bien que nirgal76 n'ait pas tord, il ne rpond pas  la question 
> Le patch n'est pas contourn. Il semble que crosoft n'avait pas pouss ce patch sur toutes les versions de windows. Maintenant que c'est fait, les machines patches devraient tre safe.


Ouaip crosoft n'avait pas fait les patchs pour les OS "officiellement" non supports. Mais vu l'ampleur des dgts, ils ont pousss les patchs pour XP et Serv2K3.

On peut voir que l'attaque de l'anne dernire n'a pas fait assez de bruits vu l'impact de celle-ci. Un patch, pour les machines rcentes, publi il y a 2 mois de cela... Pas de sauvegardes pour la plus part des services touchs et des utilisateurs ouvrant toutes les pices jointes, et vous avez un ransomware/worm qui fait des ravages !

----------


## mh-cbon

lol : ) tous ces Responsables me font doucement rigoler avec leurs trois pices. 
Ils sont assis sur une bombe qui vas leurs pter  la tte.

Faut y penser deux secondes, une vaste majorit des systmes dploys 
le sont en utilisant des pices logiciels construites 
avec des outils d'un temps ancien o les failles taient monnaies courantes.
Certains dirait structurelle, c'est dire  quel point c'tait inadapt.

Pris dans ses propres contradictions capitalistique, 
son dsir de laisser fairisme, sa hargne pour le capital,
le bougre  laiss se dvelopper une situation 
qui ne fait que se rvler pire d'anne en anne.

L O L, qu'ils stouffent avec leurs cravates

M'enfin pour le fun faut pousser plus loin la logique,
c'est parce que le monde informatique c'est standardis n'importe comment,
 la manire de l'omc ou de l'ue qui standardise nos vies,
que le flau du cracking  pu prendre une ampleur suffisante
pour que n'importe qui puisse en faire un business viable
dans une dmarche totalement capitaliste.

Je m'en vrille les neurones tellement je trouve tout cela fendard.

----------


## Invit

> Patch ou pas, si les gens n'ouvraient pas n'importe quel mail et pice jointe, a n'arriverait pas, c'est un gros problme d'ducation informatique.


Dans ce cas prcis, il s'agirait plutt d'une diffusion via EternalBlue 
Bien sr, a n'empche pas les problmes lis  l'insouciance face aux pices jointes, la plus grosse faille de scurit restant l'utilisateur qui ne sait pas prcisment ce qu'il fait.

----------


## devman1

Aujourd'hui Microsoft veut embarquer des systmes linux sous windows, afin de faire passer des utilisateurs des deux systmes sous windows.  J'espre que des situations comme celle-ci vont rvler au grand jour le problme des licences propritaires pour les entreprises, les mastodontes comme Microsoft  abandonne les versions des systmes afin de forcer les clients  migrer vers des nouvelles versions qui demande encore des investissements colossaux pour se mettre  niveau.

----------


## hotcryx

La question que je me pose: "comment est-il possible qu'il y ait toujours autant de trous de scurit depuis le temps que cet OS/soft existe?"

Normalement, quand c'est corrig a devrait drastiquement rduire les problmes.

----------


## Marco46

> Aujourd'hui Microsoft veut embarquer des systmes linux sous windows, afin de faire passer des utilisateurs des deux systmes sous windows.  J'espre que des situations comme celle-ci vont rvler au grand jour le problme des licences propritaires pour les entreprises


Je suis pas un fanboy de Microsoft, mon avatar devrait suffire  le comprendre, mais l franchement accuser Microsoft c'est un peu gros.

Les mecs prviennent *des annes*  l'avance avant de dcommissionner le support sur une version obsolte, et mme l, alors qu'ils n'ont aucune obligation lgale de faire quoi que ce soit, ils ont publi il y a 2 mois un correctif sur des versions qu'ils ne supportent plus de puis des annes.

2 mois sur une vulnrabilit aussi critique c'est mathusalem.

Le problme c'est l'administration de parcs obsoltes et le sous dimensionnement des budgets lis  la scurit informatique et  l'administration des systmes. Il est l le problme. Microsoft n'a pour le coup pas grand chose  se reprocher je trouve ...

Je ne vois pas non plus le rapport avec la licence sur le code source.




> les mastodontes comme Microsoft  abandonne les versions des systmes afin de forcer les clients  migrer vers des nouvelles versions qui demande encore des investissements colossaux pour se mettre  niveau.


Non. Quiconque a eu  grer une application dans la dure sait que ce n'est pas viable de chercher  maintenir un support sur toutes les versions publies. C'est juste ingrable. C'est au client de se tenir  jour. Microsoft laisse suffisamment de temps pour effectuer des migrations.

----------


## sergio_is_back

Il faut mettre en parallle cette attaque et les dernires annonces de Microsoft qui entend dployer ses IA sur tous les supports disponibles
pour soit disant rendre le monde plus "sur"... Qu'arrivera t-il lorsque des hackers prendront le contrle d'une ou de plusieurs IA pour plus
simplement fausseront les informations   partir desquelles cette IA prend des dcisions (en bref de la dsinformation informatique) ???

----------


## hotcryx

Curieusement ils n'ont pas encore trouv qui se faisait des millions sur notre dos!

Pas tonnant que Trump ait vir le boss du FBI.

----------


## Aeson

> Avec Linux les attaques aurait t tres rduites


reponse de petit debutant. Un OS doit etre a jour. Que se soit Windows Linux MAc ou n'importe quel autre logiciel avec des correctifs. Le probleme ici est que les responsables ne tienne pas a jour leurs logiciels.

Si tu n'a pas appliqu le patch pour HeartBleed sous Linux t'aura aussi des gros probleme. Les probleme n'est pas technique mais humain.

----------


## Uther

> Backdoor ? Il suffit de tenir sont OS a jour.... rien a avoir avec des Backdoor...


Le truc c'est que mme si cette faille ne correspond pas a la dfinition de Backdoor vu qu'elle n'est pas volontaire, elle tait utilise comme telle par la NSA. Une backdoor est plus ou moins une faille de scurit volontaire. Il est arriv plusieurs fois que des pirates les dcouvrent et l es utilisent pour eux mmes.




> Apparement cette faille n'est presente que sur Windows xp.. ca veut tout dire...


La faille tait prsente sur tous les Windows de XP  10, mais comme XP n'est plus support, il n'avait pas eu de correctif. Vu l'ampleur de la menace, Microsoft a exceptionnellement du livrer le correctif pour XP.




> J'ai lu plein d'articles sur ce sujet, mais je n'ai toujours pas compris si seules les entreprises qui n'ont pas appliqu le patch de mars sont infectes, ou bien si le patch a t contourn.


Le patch n'a pas t contourn, seules les entreprise qui n'ont pas appliqu le patch sont concernes.




> Patch ou pas, si les gens n'ouvraient pas n'importe quel mail et pice jointe, a n'arriverait pas, c'est un gros problme d'ducation informatique.


Justement, non!
Ce qui fait la force de cette attaque c'est qu'elle s'appuie sur une faille de scurit de SMB, donc on peut tout a fait tre infecter sans ouvrir aucun mail. De manire gnrale, il est bien sur important de ne pas ouvrir n'importe quoi, mais dans le cas prsent ce n'est pas le problme

----------


## MikeRowSoft

> Le problme c'est l'administration de parcs obsoltes et le sous dimensionnement des budgets lis  la scurit informatique et  l'administration des systmes. Il est l le problme. Microsoft n'a pour le coup pas grand chose  se reprocher je trouve ...


D'accord sur se point.
Surtout le cot Microsoft Windows 10 qui permet  un autre poste Windows 10 de se mettre  jour sur simple "accord" sans passer par les serveurs Internet de "Microsoft.com"...
Le modle des dpts Linux a vraiment une petite avance sur le projet final.

Pour l'instant, aucun ingnieur dploiement se prononce... Unification des dpts ? Ce n'est pas moins de distributions Linux, mais peut-tre beaucoup moins "d'optimisation" propritaire (le minimum tant le design).

Vraiment ambitieux le projet "plus d'obsolte".

----------


## Jipt

Le problme, l, c'est que vous parlez tous comme des informaticiens, sans voir un autre aspect du *monde des utilisateurs* : le monde dans lequel un computer est btement utilis pour piloter autre chose, je pense  mon cardiologue qui quipe ses patients pour 24 h avec un appareil portatif qui enregistre toutes les 30 minutes tout un tas de paramtres grce  des sondes que se trimballe le patient, poses par la secrtaire qui a eu une formation pour a.

Le lendemain le patient revient, on lui enlve les sondes et l'appareil, qu'on va raccorder  une machine charge de lui rcuprer pour analyse les donnes captes pendant ces 24 h.
J'ai jet un il par-dessus l'paule de la secrtaire, la machine tourne sous XP.

Et pour que le cardio puisse analyser les donnes depuis son poste et les archiver dans le dossier du patient, ces machines sont en rseau.

Et pour que le cardio puisse envoyer son rapport au mdecin traitant par e-mail, sa machine est connecte  travers une box, et voil...

Pas la peine de lui parler de mises  jour critiques de scurit de son vieux XP, mme pas il sait qu'il a un XP, ce qu'il sait, c'est qu'il a une machine qui lui permet de rcuprer des donnes pour qu'il les analyse, point barre.

Et quand je vous vois parler de mettre les machines, les parcs,  jour, tout a parce que les fournisseurs de ces machines les font voluer exactement comme s'ils s'adressaient  des geeks qui changent de matos tous les 6 mois, ben non, c'est pas comme a dans le monde des utilisateurs professionnels (je pense aussi  tous ces gens qu'on a oblig  s'quiper, toubibs, infirmiers, etc. Je reste dans le mdical mais c'est partout pareil.)

Vous imaginez si les fabricants de carburants dcidaient de changer de version tous les 2 ans, obligeant tous les possesseurs de bagnoles camions engins divers et varis etc.  se mettre  jour en changeant de moteur ?
Impensable ?
Ben a devrait tre pareil en informatique.
Qu'on nous fasse des OS sans failles et le problme sera rgl.

Pour faire court et simple : le cardio voit son ordi exactement comme le maon voit sa perceuse : un outil pour faire des choses pour lesquelles l'outil a t conu, un point c'est tout.
Le maon ne fait pas de mise  jour de scurit de son outil ? Le toubib non plus.

----------


## MikeRowSoft

> Qu'on nous fasse des OS sans failles et le problme sera rgl.


O.S. et polyvalence vont de paire, dsol...
Quand l'application de messagerie dpend profondment des ressources systmes, de temps en temps mme l'antivirus est impuissant...

----------


## Aeson

> Vous imaginez si les fabricants de carburants dcidaient de changer de version tous les 2 ans


Windows XP il y a 2 ans ? serieux ? Il y a eu 4 versions de Windows depuis. Et si tu regarde le cycle d'Ubuntu c'est +- la meme chose.

----------


## Marco46

> Qu'on nous fasse des OS sans failles et le problme sera rgl.


C'tait la phrase of the day.

Se ky fo pour que ya plu de mort, c ke yaur plu de guerre  ::zoubi:: 




> Pour faire court et simple : le cardio voit son ordi exactement comme le maon voit sa perceuse : un outil pour faire des choses pour lesquelles l'outil a t conu, un point c'est tout.
> Le maon ne fait pas de mise  jour de scurit de son outil ? Le toubib non plus.


Sauf que la perceuse du maon n'volue pas toutes les 2 semaines et qu'elle n'est pas connecte  internet.

Si le toubib veut pouvoir s'en foutre de la dette technique, il dbranche le cable rseau de sa machine et rsilie son contrat avec son ISP.

C'est comme a, si tu veux tre connect au monde et suivre les volutions il y a un prix  payer qui ne correspond pas seulement au prix de la machine,  celui de l'OS, et  la celui de ton abonnement  internet. On peut appeler a un cout cach, certes, il manque de la formation aux utilisateurs, certes, mais c'est comme a et pas autrement.

----------


## hotcryx

> Pour faire court et simple : le cardio voit son ordi exactement comme le maon voit sa perceuse : un outil pour faire des choses pour lesquelles l'outil a t conu, un point c'est tout.
> Le maon ne fait pas de mise  jour de scurit de son outil ? Le toubib non plus.


Faux!
Le maon s'y connait en perceuse.
Il sait comment changer de mche, il ne reste pas l comme un con quand la mche est use ou qu'elle n'a pas les bonnes dimensions.

Ici on parle de PC (personal computer). 
Ca demande un minimum d'investissement personnel.

Branche une console de jeu sur ta tl, tu verras que les gamins arriveront  faire la mise  jour.

Cela dit, l'OS est probablement mal foutu et bourr de bugs.... et a ce n'est pas la faute du mdecin, ni des informaticiens en aval mais du fabriquant d'OS.

----------


## disedorgue

Hmm, faut arrter les gars, l'informatique est un mtier et les mises  jour d'un parc n'est pas pour le premier venu (sauf dans le monde des Bisounours)...

Qui vous dit que ce que vous utilisez avant la mise  jour fonctionnera aprs la dite mise  jour ?

Vous croyez vraiment qu'un mdecin, pour reprendre l'exemple de Jipt, n'a que a  faire de se tenir au courant des mises  jour et de risquer de tout casser ?
La plupart d'entre nous, ici, sommes cabls pour faire de l'informatique mais je ne pense pas que beaucoup d'entre nous seraient capable d'oprer quelqu'un d'une simple appendicite et pourtant, un medecin vous dira que c'est monnaie courante et que c'est quasi sans risque...

----------


## Aeson

> Qui vous dit que ce que vous utilisez avant la mise  jour fonctionnera aprs la dite mise  jour ?


2 choix :

1) Tu ne fais pas les mises a jour de securit. T'aura des probleme mais tu ne sais pas quand. Mais t'es vulnerable et le compte a rebours est lanc que tu le veuille ou non

2) Tu fais ta mise a jour. Ca peut ne pas fonctionner (c'est ca l'informatique) mais tu es la et choisi quand la faire. Si t'as des backup tu peus restaurer.

il n'y a pas d'autre choix.




> n'a que a  faire de se tenir au courant des mises  jour et de risquer de tout casser


Ca s'appelle un metier. Il apelle un informaticien dans ce cas. Comme nous on apelle un medecin sans faire d'etude de medecine avant....

----------


## Marco46

> Vous croyez vraiment qu'un mdecin, pour reprendre l'exemple de Jipt, n'a que a  faire de se tenir au courant des mises  jour et de risquer de tout casser ?
> La plupart d'entre nous, ici, sommes cabls pour faire de l'informatique mais je ne pense pas que beaucoup d'entre nous seraient capable d'oprer quelqu'un d'une simple appendicite et pourtant, un medecin vous dira que c'est monnaie courante et que c'est quasi sans risque...


J'ai jamais dit ni mme sous-entendu que le mdecin devait se transmuter en adminsys faut arrter les champis ...

Puisque a  l'air inconcevable je vais te le dire, mais ... De mme que le mdecin a pay quelqu'un pour lui installer tout son matriel, il peut, respire et prend ton temps avant de lire parce que c'est vraiment un truc de ouf, c'est la dcouverte du sicle, ... Il peut payer quelqu'un pour lui faire la maintenance !!!

WOOOOOOOOOOOOOOOOOOOOOOOOOOOOT !!!

Truc de ouf !!!!

 ::yaisse1::   ::lahola::   ::yaisse3::

----------


## Stphane le calme

*WannaCrypt : Microsoft rappelle aux utilisateurs l'importance de mettre  jour leurs systmes, * 
*et aux gouvernements leurs responsabilits dans ces types d'attaques  * 

En commenant d'abord au Royaume-Uni et en Espagne, le logiciel malveillant baptis WannaCrypt s'est rapidement rpandu dans les systmes dinformations de nombreux autres pays, empchant les utilisateurs davoir accs  leurs donnes  moins quils naient pay une ranon en bitcoins de 300 dollars.

Pour faciliter sa diffusion, les pirates se sont appuys sur un exploit, au nom de code EternalBlue, utilis par la NSA qui a t diffus rcemment et qui sappuie sur une faille dans le service Windows Server Message Block (SMB), sur lequel les ordinateurs Windows comptent pour partager des fichiers et des imprimantes sur un rseau local. 

Microsoft assure avoir colmat cette faille le 14 mars dernier avec une mise  jour de scurit. LAmricain note que bien que ces systmes et ordinateurs Windows plus rcents protgs aient permis  Windows Update d'appliquer cette dernire mise  jour, nombreux sont les ordinateurs qui ne lont pas applique  l'chelle mondiale. En consquence, les hpitaux, les entreprises, les gouvernements et les ordinateurs dans les maisons ont t touchs.

Face  la propagation de lattaque, Microsoft a d ragir et a fourni  Windows XP son premier correctif de scurit en trois ans. Windows 8 et Windows Server 2003 ont eux aussi eu droit  un correctif de scurit.

Brad Smith, qui est le juriste en chef de Microsoft, na pas manqu de souligner que cette attaque dmontre dans quelle mesure la cyberscurit est devenue une responsabilit partage entre les entreprises technologiques et les clients :   Le fait que tant d'ordinateurs sont rests vulnrables deux mois aprs la publication d'un patch illustre cet aspect.  mesure que les cybercriminels deviennent plus sophistiqus, il n'y a aucun moyen pour les clients de se protger contre les menaces  moins qu'ils ne mettent  jour leurs systmes. Sinon, ils luttent littralement contre les problmes du prsent avec des outils du pass. Cette attaque est un rappel puissant que les bases de la technologie de l'information comme garder les ordinateurs  jour et patchs sont une responsabilit leve pour tous .

Il en a galement appel  la responsabilit de ltat :   Cette attaque fournit un autre exemple de la raison pour laquelle le stockage des vulnrabilits par les gouvernements est un problme. Il s'agit d'un modle mergent en 2017. Nous avons vu des vulnrabilits stockes par la CIA apparatre sur WikiLeaks, et maintenant cette vulnrabilit vole de la NSA a touch des clients  travers le monde.  plusieurs reprises, les exploits entre les mains des gouvernements se sont rpandus dans le domaine public et ont caus des dgts rpandus. Un scnario quivalent avec des armes conventionnelles serait l'arme amricaine dont certains de ses missiles Tomahawk sont vols. Et cette attaque la plus rcente reprsente un lien compltement involontaire, mais dconcertant entre les deux formes les plus srieuses de menaces de la cyberscurit dans le monde d'aujourd'hui : l'action de l'tat-nation et l'action criminelle organise.   

Pour lui, les gouvernements du monde devraient considrer cette attaque comme un rveil : ils devraient adopter une approche diffrente et adhrer dans le cyberespace aux mmes rgles appliques aux armes dans le monde physique.   Nous avons besoin que les gouvernements envisagent les dommages causs aux civils par l'accumulation de ces vulnrabilits et l'utilisation de ces exploits. C'est une des raisons pour lesquelles nous avons appel en fvrier une nouvelle Convention Numrique de Genve qui rgit ces problmes, y compris une nouvelle exigence pour les gouvernements de signaler les vulnrabilits aux vendeurs plutt que de les stocker, de les vendre ou de les exploiter. Et c'est pourquoi nous avons promis notre soutien pour dfendre chaque client partout dans le monde face aux cyberattaques, indpendamment de leur nationalit. Ce week-end, que ce soit  Londres,  New York,  Moscou,  Delhi,  Sao Paulo ou  Pkin, nous mettons ce principe en action et en travaillant avec des clients  travers le monde . 

Source : Microsoft

----------


## marsupial

> Pour info je suis expert en cyberscurit. Windows XP  bon dos. Le problme c'est que sur le NET n'importe quel individu sans connaissances pointues sur le sujet peut trouver le moyen de lancer une attaque d'envergure vers les sites insuffisamment protgs. Les politiques ne connaissent rien sur le sujet , les chefs d'entreprises non plus et que dire des lus locaux ou territoriaux que je ctoie  longueur d'anne et qui me prennent pour un extra-terrestre....
> 6 millions de chmeurs et on n'est pas fichu de former quelques milliers d'ingnieurs en cyberscurit.. Cherchez l'erreur . Mettre en cause les responsables informatiques, c'est mettre en cause les personnes qui les ont embauchs. Soit on est comptent , soit on ne l'est pas. Et on abouti  ce genre de rsultat.



A force de vendre du trou pour du safe et de passer la scurit au dernier plan...




> Excellente nouvelle que la propagation soit circonscrite d'une part.
> D'autre part, j'espre que cet vnement fera prendre conscience, non seulement aux Direction mais aussi et surtout en haut lieu, plus que le botnet Mirai, de la ncessit d'une action mieux coordonne sur le sujet de la scurit. Le G7 s'est runi ce jour samedi 13 mai 2017  ce sujet.
> Esprons qu'ils comprendront et trouveront un accord sur les portes drobes dans les logiciels. Je pense notamment  l'algoritme de chiffrement dans le cadre des affaires de terrorisme et/ou de criminalit : une porte drobe serait une hrsie en terme de scurit et inutile pour l'objectif qu'il permettrait intuitivement d'atteindre.

----------


## Marco46

@marsupial

tu as cit quel post au juste ?

----------


## marsupial

@marco46

Il s'agit des ractions  chaud de 2 types provenant d'un autre site.

Comme quoi, je pense qu'on est tous d'accord.  :;):

----------


## Jipt

> [...] nous avons appel en fvrier une nouvelle  Convention Numrique de Genve qui rgit ces problmes, y compris une nouvelle exigence pour les gouvernements de *signaler les vulnrabilits aux vendeurs* plutt que de les stocker, de les vendre ou de les exploiter.


J'me marre... Le jour o il va y avoir une belle faille facilement exploitable dans le machin qui pilote le frigo connect de Mme Michu et dont le code tourne en ROM, ils feront comment, les vendeurs ?
Sans compter que a leur coterait du pognon et faut pas dconner, hein !

Pour en revenir aux toubibs et  toutes ces professions qui utilisent des machines, je peux vous dire pour l'avoir vu qu'une toubib analysait le scan d'un patient c'tait marrant on aurait dit du 'toshop la meuf elle posait des points  certains endroits de l'image a lui sortait une infobulle avec le diamtre mesur, je vous dis pas les calculs dessous, mais une chose est sure, la personne qui pilotait cette machine plus ou moins en libre-sevice dans une salle de consultation* n'avait aucune espce d'ide de l'OS* ("c'est quoi un OS" ? -- Nous on se pose mme pas la question, mais Mme Michu ?) qui permettait  son tas de ferraille et d'lectronique de lui afficher les scans du patient, et c'est tout ce qu'elle voulait.
C'est si difficile que a  comprendre ?

On a foutu des ordis partout *pour faire du bizness* mais personne n'est form pour les utiliser, donc on les maquille, on les dguise (qui a dit "Apple" ?  ::mouarf:: ) avec des interfaces qui masquent la mcanique de base, pour ne pas effrayer le client.

Et aujourd'hui on en est l, et a ne va qu'empirer...

Parce que mon garagiste aussi il a un computer ! 
Ben non en fait : il a *une machine* qui lui permet de sortir ma facture en rcapitulant ce qu'il a fait sur ma caisse, le temps qu'il y a pass toussa toussa, trs pratique je le reconnais, mais pour lui c'est *juste* une "facturire", point barre !
Et des machines comme a il y en a partout ! Nous, on est juste une toute petite minorit.

----------


## SkyZoThreaD

Jipt qui dit "toussa toussa".... tout fout le camp !  ::mouarf::

----------


## disedorgue

Alors, l, bravo, on se sent vis par mes propos, et on me dit d'arrter les champis car ce n'est pas ce qui a t dit...
cherchez l'erreur  ::mouarf:: 

Et, l, je viens d'apprendre, qu'il est de coutume de continuer  produire des OS ou autre produit de M... puisque le but c'est de nous obliger  faire des mise  jour pratiquement hebdomadaire et mme de s'arranger  nous faire changer de matriel car trop vieux.

Donc, faudra dire  quelqu'un qui veut faire medecine, de soit la faire  l'ancienne, tout sur papier, soit d'avoir un informaticien  plein temps pour grer au minimum ces trois serveurs (backup, machine avec dernire mise  jour, machine avec dernire mise  jour fonctionnel avec ces applis).

Mais si tout le monde trouve a normal, d'avoir un antivirus sur sa machine qui doit se mettre  jour tout le temps ainsi que les OS et applis (linux,windows,android,....), c'est que j'ai rien compris  l'informatique et dans ce cas, je prfre passer la main.

----------


## Uther

> Et quand je vous vois parler de mettre les machines, les parcs,  jour, tout a parce que les fournisseurs de ces machines les font voluer exactement comme s'ils s'adressaient  des geeks qui changent de matos tous les 6 mois, ben non, c'est pas comme a dans le monde des utilisateurs professionnels (je pense aussi  tous ces gens qu'on a oblig  s'quiper, toubibs, infirmiers, etc. Je reste dans le mdical mais c'est partout pareil.)


Sauf que c'est quand mme un problme important et que si on ne peut pas rendre le docteur responsable de tout, un outil sensible et connect se doit d'avoir un systme de mise  jour automatique et silencieuse efficace.




> Ben a devrait tre pareil en informatique.
> Qu'on nous fasse des OS sans failles et le problme sera rgl.


Sauf que l c'est trs mal barr. Je suis le premier  rver que l'on revoie les OS pour PC de font en comble en surveillant la scurit aussi srieusement que dans l'aronautique, mais pour en arriver l il faudrait des dizaines d'annes de travail et un retour en arrire colossal en terme de facilits d'utilisation. 
On n'est juste pas prt  accepter les consquences de ce qu'impliquerait une relle scurisation des micro-ordinateurs.




> Pour faire court et simple : le cardio voit son ordi exactement comme le maon voit sa perceuse : un outil pour faire des choses pour lesquelles l'outil a t conu, un point c'est tout.
> Le maon ne fait pas de mise  jour de scurit de son outil ? Le toubib non plus.


Et bien si : quand les spcifications de l'outil l'exigent, le professionnel fait ou fait faire les oprations de maintenance prvue. 
Il y a bien un entretien obligatoire  faire sur pas mal de matriel professionnel, mme les particuliers doivent faire l'entretien de leur vhicules, chaudires, ... avec parfois mme un contrle technique obligatoire.

----------


## NSKis

Mais que de bruit pour somme toute un non-vnement...

Quand on se met  connecter n'importe quoi  internet, du feu de signalisation d'un carrefour  un scanner mdical en passant par des centrales hydrolectriques (je ne parle pas de centrale nuclaire pour ne pas faire peur aux gens), il ne faut plus s'tonner de rien!!!

N'importe quel actif en informatique sait qu'il est impossible d'assurer une scurit  100%, alors les grands dbats sur "nanosoft a fait ci ou fait ca", cela n'a juste aucun intrt!!! 

La vraie question est de savoir si il est judicieux de connecter des systmes critiques  internet

PS: Ce genre d'vnement a au moins un avantage: Les clowns "pseudo-expert en cyberscurit" qui interviennent  la demande des mdias... C'est le rire assur (jaune pour ceux qui auraient la mauvaise ide de croire  leurs discours)

----------


## Marco46

> Donc, faudra dire  quelqu'un qui veut faire medecine, de soit la faire  l'ancienne, tout sur papier, soit d'avoir un informaticien  plein temps pour grer au minimum ces trois serveurs (backup, machine avec dernire mise  jour, machine avec dernire mise  jour fonctionnel avec ces applis).


C'est la seule alternative que tu vois ? Tout ou rien ? Payer un mec pour configurer la mise  jour automatique de ton OS c'est quoi, une demi journe  facturer ? 

On parle de failles sur des OS vieux de 10 ans. C'est juste la prhistoire 10 ans, c'est le tout dbut du web 2.0.




> Mais si tout le monde trouve a normal, d'avoir un antivirus sur sa machine qui doit se mettre  jour tout le temps ainsi que les OS et applis (linux,windows,android,....), c'est que j'ai rien compris  l'informatique et dans ce cas, je prfre passer la main.


Si tu trouves anormal de mettre  jour tes logiciels, alors oui tu ne comprends rien  l'informatique.

----------


## Marco46

> Pour en revenir aux toubibs et  toutes ces professions qui utilisent des machines, je peux vous dire pour l'avoir vu qu'une toubib analysait le scan d'un patient c'tait marrant on aurait dit du 'toshop la meuf elle posait des points  certains endroits de l'image a lui sortait une infobulle avec le diamtre mesur, je vous dis pas les calculs dessous, mais une chose est sure, la personne qui pilotait cette machine plus ou moins en libre-sevice dans une salle de consultation* n'avait aucune espce d'ide de l'OS* ("c'est quoi un OS" ? -- Nous on se pose mme pas la question, mais Mme Michu ?) qui permettait  son tas de ferraille et d'lectronique de lui afficher les scans du patient, et c'est tout ce qu'elle voulait.
> C'est si difficile que a  comprendre ?


Mais bordel qui te parle d'imposer au docteur bidule de grer son informatique tout seul ? Quand t'as une appendicite ton premier rflexe c'est de t'ouvrir le bide avec un couteau de cuisine ? Ya un moment o il faut arrter la mauvaise foi, l c'est carrment pathologique.




> On a foutu des ordis partout *pour faire du bizness* mais personne n'est form pour les utiliser, donc on les maquille, on les dguise (qui a dit "Apple" ? ) avec des interfaces qui masquent la mcanique de base, pour ne pas effrayer le client.


On a foutu des ordis partout parce que a fait gagner un temps fou. Voil pourquoi. Et oui c'est un business et alors ? Faut bien qu'on gagne nos vies non ? Administrer un PC c'est un mtier, a s'appelle adminsys. C'est pas surnaturel de payer l'entreprise qui t'installe ton SI pour grer la maintenance. C'est mme compltement banal. Ces professions utilisent des progiciels gnralement vendus par des PME locales qui fournissent ce genre de prestations. Tu vas pas me faire avaler que c'est trop cher de payer 500 boules tous les 5 ans pour avoir un mec qui te configure correctement ton SI. Et si tu veux une assistance ya des contrats de maintenance qui vont avec.

Les utilisateurs n'ont pas  tre forms  l'admin sys, ils ont  tre form sur les risques basiques, s'assurer auprs d'un professionnel que ton systme est correctement configur, ne pas ouvrir de pices jointes ou cliquer sur n'importe quel lien dans les mails, etc ... C'est pas le bout du monde.

----------


## marsupial

Un habitant mange macdo : hamburger + frites + coca tous les jours, le tout agrment de sauce bien grasse. Il ne verra pas que son alimentation le tue a petit feu. Sauf  coups de campagnes de prvention.

Ici, on se trouve dans le cas o le mec est obse et ncessite un triple pontage coronarien. Accompagn d'un rgime drastique salade-viande blanche.
A vie.

S'il tait juste obse, se fait enfl par la NSA + CIA + autre, a passerait bon an mal an. Mais l, le coeur et les artres sont touches par des criminels sans foi(e), ni loi...
A ce rythme, le patient ne passera pas le prochain hiver.

Toute allusion  un prsentateur du canal football club est totalement fortuite  ::mouarf::

----------


## Patrick Ruiz

*La Core du Nord serait-elle derrire le ransomware WCry ?*
*Des indices dans le code le suggrent* 

Immdiatement aprs que les premiers cas de prise en otage dordinateurs par le ransomware WCry ont t signals en Europe, Europol a annonc que son quipe EC3 serait lance dans des investigations pour tablir les responsabilits. Lattaque qui sest finalement avre tre mondiale a mobilis dautres acteurs de la communaut de la cyberscurit autour de cette ncessit. Les rsultats des recherches commencent  tomber. Neel Mehta, un chercheur en scurit chez Google, vient de publier des empreintes digitales qui semblent lier le ransomware WCry au groupe nord-coren Lazarus.


Neel a publi (cf. image ci-dessus) un tweet  ce propos. La firme de scurit Kaspersky Lab, commentant ce tweet, a indiqu quil lie deux spcimens de malware : WannaCry dans sa version du mois de fvrier et Cantopee, une cration dun groupe de hackers appel Lazarus. Le groupe Lazarus est connu pour le catastrophique piratage de Sony en 2014 et celui de la banque centrale du Bangladesh lan dernier par le biais du rseau SWIFT. Depuis lors, plusieurs firmes de recherche en scurit ont tabli le lien entre ce groupe de hackers et la Core du Nord.

La firme de scurit Kaspersky Lab a divulgu des sections du code de WannaCry et Cantopee (cf. image ci-dessous). Il en ressort que les dveloppeurs de WannaCry (dans sa version de fvrier) ont emprunt des sections de code  celle du malware Cantopee qui lui, date de 2015 (cf. encadrs en rouge). Kaspersky Lab prcise toutefois que ces sections de code ont t retires de la version de WannaCry du mois de mai, celle qui svit dans le rseau du service national de sant de lAngleterre et dans dautres institutions de par le monde. La firme sappuie sur cet aspect pour mettre lhypothse selon laquelle les sections de code de Cantopee ont pu tre ajoutes dans la version de WannaCry du mois de fvrier avec lintention de diriger intentionnellement les regards sur le groupe Lazarus.


La firme prescrit donc de la prudence quant  lmission de conclusions htives et appelle plutt tous les chercheurs en scurit  investiguer plus en profondeur sur cette brche ouverte par les trouvailles de Neel Mehta, notamment sur la relation entre le code de la version de WannaCry du mois de fvrier et le code du malware Cantopee. Costin Raiu, directeur de lquipe de recherche et danalyse de la firme Kaspersky Lab, sest exprim auprs de Forbes  propos des recherches qua menes Neel Mehta. Il les a qualifies de capitales dans le processus de dcouverte des origines du ransomware WannaCry.

Source : SECURELIST, FORBES

*Et vous ?*

 ::fleche::  Quen pensez-vous ?

*Voir aussi :* 

 ::fleche::  WannaCrypt : Microsoft rappelle aux utilisateurs l'importance de mettre  jour leurs systmes, et aux gouvernements leurs responsabilits

 ::fleche::  Ransomware WannaCrypt : Microsoft publie en urgence des MJ de scurit pour ses OS, XP reoit ainsi son premier patch en trois ans

----------


## akoho

Une fois encore, comme l'ambassade Russe l'a dit avec moquerie, cette fois au moins, ce ne sont pas les Russe qui ont t accuss.
Toutefois, il serait quand mme difficile de trouver/prouver do vient ces attaques avec les rseaux/infra que nous(humain) avons mis en place.

----------


## Christian Olivier

*WannaCrypt : Poutine blme les services de renseignement des tats-Unis*
*Et dment toute implication russe*

Vladimir Poutine a t abord par plusieurs journalistes lors dune confrence de presse organise  loccasion de sa visite en Chine du 14 et 15 mai pour participer au forum  Nouvelle route de la soie . Le prsident russe a partag son point de vue sur les cyberattaques denvergure qui npargnent aucun pays, notamment sur le dernier cas avr, baptis WannaCrypt qui sest manifest depuis le 12 mai.

 titre de rappel, une attaque informatique de grande ampleur a fait plus de 200 000 victimes dans au moins 150 pays depuis le 12 mai. Les pirates ont utilis une faille dans le systme dexploitation Windows pour diffuser un logiciel malveillant qui bloque les ordinateurs jusquau versement dune ranon.

Cette attaque a affect des structures gouvernementales, des banques, des hpitaux, des universits, des entreprises, et les transports de nombreux pays : Chine, Brsil, USA, Espagne, Inde, Japon En France, on peut citer, par exemple, le constructeur automobile franais Renault parmi les gosses entreprises touches. En Russie, ce sont surtout les grands oprateurs mobiles comme Mgaphone ou MTS, les ministres de lIntrieur et de la Sant publique ainsi que plusieurs banques dont Sberbank, qui ont t viss par des cyberattaques de grande ampleur.

Microsoft a mis  la disposition de ses utilisateurs un patch pour corriger la faille exploite par le ransomware. La faille en question avait t garde secrte par la NSA, mais a rcemment t rendue publique par le groupe de pirates Shadow Brokers, qui a russi  mettre la main sur des outils de l'agence amricaine. Microsoft a galement appel les gouvernements  agir de manire plus responsable, pour viter de compromettre la scurit des utilisateurs et entreprises.  Les gouvernements du monde entier devraient considrer cette attaque comme un avertissement.  de trs nombreuses reprises, des failles exploites par certains services des gouvernements et  des fins diverses passent dans le domaine public et sont  lorigine de catastrophes gigantesques , confiait le prsident de Microsoft Brad Smith.

Si les services de renseignement amricains sont accuss d'tre  l'origine de cette menace, certains semblent vouloir indexer la Russie dans cette vague d'attaques, ce que le prsident russe a rfut.  Concernant la source de ces menaces, il me semble que la direction de Microsoft la dit ouvertement, dsignant les services de renseignement amricains comme source initiale de la propagation [de ce logiciel malveillant]. La Russie ny est pour rien. Je suis tonn dentendre quelque chose dautre dans cette situation , a dclar Vladimir Poutine.


 Rien ne garantit que les malwares crs par les agences despionnage amricaines ne viendront pas, un jour,  tre dtourns puis utiliss contre elles. Soit dit en passant, cela reflte de la meilleure faon les ralits concernant cette question et ce problme, qui rside dans le fait quon recherche toujours les coupables l o ils ne sont pas , a-t-il ajout. Le prsident de la Russie estime que le problme du piratage informatique a atteint des proportions proccupantes. Il souhaiterait sentretenir du problme de cyberscurit au niveau politique avec les leaders des autres pays. Il regrette, dailleurs, le fait que les USA aient refus de signer avec la Russie un accord sur la cyberscurit.

Sources : DailyMail, Telegraph 

*Et vous ?* 

 ::fleche::  Qu'en pensez-vous ?

*Voir Aussi*

 ::fleche::  La Core du Nord serait-elle derrire le ransomware WCry ? Des indices dans le code le suggrent

----------


## AstOz

> Une fois encore, comme l'ambassade Russe l'a dit avec moquerie, cette fois au moins, ce ne sont pas les Russe qui ont t accuss.
> Toutefois, il serait quand mme difficile de trouver/prouver do vient ces attaques avec les rseaux/infra que nous(humain) avons mis en place.


Surtout que bon, c'est pas comme si c'tait la premire fois qu'on essayait de brouiller les pistes.
Qu'importe le groupe qui a lanc l'attaque, le fait que cette attaque a t surmdiatise, les ransomwares font des gros dgts depuis bientt 3 ans et il ne semble que personne (hors IT) n'a vraiment prit en compte l'ampleur de ce nouveau mal.

Cependant, Zataz.com a mit le doigt sur quelque chose  propos de cette attaque, la somme demande est vraiment "faible" (300) pour des attaques de ce type.

----------


## hotcryx

C'est quoi ces screenshots "timbre-poste" ??
Autant ne rien mettre.

Edit: un post ddoubl!
Edit2: voici un screenshot lisible (rem: il fallait cliquer sur l'image noob).

----------


## Gecko

Je trouve trange que la Core du Nord soit pointe du doigt en pleine tensions avec les USA. Certains diront concidence, perso j'ai une grande impression de dj vu...

----------


## hotcryx

Quand ce ne sont pas les mchants russes, ce sont forcement les mchants corens du nord.



```

```

Il faudrait peut-tre qu'ils adaptent leurs codes  ::aie::

----------


## MikeRowSoft

https://www.malwaretech.com/2017/05/...r-attacks.html

----------


## Aiekick

le groupe lazarus c'est un groupe gouvernemental ? parce que je croyais que l'internet tait bloqu en Core du nord ?!

et puis c'est facile daiguiller sur une autre piste en mettant des trucs dans le code, on va pas les croire mme s'ils nous assurent que c'est eux.. on se rappelle stuxnet.

----------


## Rokhn

> le groupe lazarus c'est un groupe gouvernemental ? parce que je croyais que l'internet tait bloqu en Core du nord ?!


Alors non, Internet n'est pas bloqu en Core du nord, il est juste rserv  une caste trs restreinte et les connexions sont contrls comme pas possible (certains sites, cependant, sont bloqus).
Aprs je ne dis pas que les Nord-Corens sont responsables de a, mais ce pays qu'on considre comme "arrir" niveau tech est largement support par son pays voisin la chine. Une soit-disant quipe de hacker est dj en place en Core du Nord, aprs elle vaut ce quelle vaut mais ils ont une "quipe"

----------


## esperanto

> On a foutu des ordis partout parce que a fait gagner un temps fou. Voil pourquoi.


Oui et en quoi le fait que ces ordinateurs soient connects  internet fait-il gagner un temps fou? 
Non seulement a ne sert  rien mais en plus c'est dangereux.
a ne sert  rien parce que je n'ai jamais vu l'ordi du chirurgien se connecter  celui du gnraliste pour vrifier si le patient avait pris tel ou tel mdicament.
et pour ce qui est du danger, j'espre qu'au moins sur ce forum on a pas besoin de vous faire un dessin.

En plus, le fait que ces machines soient des PC tournant sous Windows, a n'a pas toujours t le cas. 
a a toujours t des systmes propritaires, mais autrefois c'tait plutt des OS ddis qui ne savaient faire tourner qu'une seule application et seulement sur la machine pour laquelle ils taient conus. Plus dur d'crire un virus quand on ne connait pas l'OS cible, mme si Independance Day essaie de nous faire croire le contraire.

----------


## disedorgue

> Si tu trouves anormal de mettre  jour tes logiciels, alors oui tu ne comprends rien  l'informatique.


Mettre  jour mes logiciels pour une vraie valeur ajoute, je suis d'accord, les mettre  jour toutes les semaines, a c'est du foutage de gueule de la part du propritaire ou de l'incomptence.

Et une mise  jour n'est pas anodine, si on le fait correctement on doit minimum le faire en professionnel:
-sortie de la machine du systme
-Backup
-Mise  jour
-test que tout fonctionne bien au moins comme avant
-Si ok, ouf...
-Si pas ok, on redescend le backup
-On vrifie que tout refonctionne bien
-Si c'est pas le cas,  quoi peu servir ce backup ???

Ou en cow-boy:
-Mise  jour.
-C'est bon, a redmarre.

Je me demande bien pourquoi la NASA  longtemps refus de changer leur programme informatique de lancement de fuses ?

Mais je comprends ton point de vue, c'est du business, mais pour moi, a reste du business de foutage de gueule...

Bon, j'arrte l mon coup de gueule sur ce forum, dsol pour le drangement  ::chin::

----------


## NSKis

Des indices dans le code suggrent que c'est la faute  la Core du Nord???

Sacr ricains! Il compte nous refaire le coup du Gnral Colin Powell prsentant  l'ONU une petite fiole comme preuve des armes de destruction massive aux mains des "mchants" irakiens???    ::mouarf:: 

Il faut arrter de prendre les gens pour des imbciles... N'importe quel codeur amateur peut laisser dans le code des commentaires en Russe, en Coren ou en Zoulou!!!

Et oui, le translator de Google offre aussi la traduction en langage Zoulou (charmante et fire peuplade d'Afrique du Sud)!!!

----------


## hotcryx

Si c'est du code compil, normalement le compilateur vire les commentaires ^^

----------


## akoho

Haha,
/*lena amazwana
*/
std::cout <<"WCry";

Voil, l'attaque viendrais peut tre du peuple Zulu du ct d'Afrique du sud. Information dmentie par le prsident en personne.

----------


## Marco46

> Oui et en quoi le fait que ces ordinateurs soient connects  internet fait-il gagner un temps fou? 
> Non seulement a ne sert  rien mais en plus c'est dangereux.


Ben ya plein de profession lies  la sant qui se servent d'internet pour transmettre  la CPAM les prestations effectues (pharmaciens, mdecins traitants, hpitaux, ambulanciers, ...) et ce depuis une bonne dizaine d'annes.




> a ne sert  rien parce que je n'ai jamais vu l'ordi du chirurgien se connecter  celui du gnraliste pour vrifier si le patient avait pris tel ou tel mdicament.


Et a c'est quoi ? http://www.dmp.gouv.fr/

----------


## NSKis

> Si c'est du code compil, normalement le compilateur vire les commentaires ^^


Et donc quand tu dclares tes variables au lieu d'crire un "DisplayID", tu cris "isibonisiID" et on conclut... que tu es un horrible hacker... Zoulou!!!   ::mouarf::

----------


## Florian_PB

Le soucis aujourd'hui c'est que trop souvent Mme Michu s'en cogne de savoir si sa machine est  jour ou pas du moment que a marche, trop souvent j'ai vu des personnes refuser de faire des mises  jour car a marche comme c'est donc pour elles pas besoin d'en faire, c'est ces personnes l qui sont ensuite les premires  m'appeler ds qu'il y a un soucis comme WannaCrypt, Locky, et autres joyeusets du genre. Les gens ont besoin d'une relle prise de conscience sinon ce monde va droit dans le mur (wait on le fait dj).

----------


## Marco46

> Mettre  jour mes logiciels pour une vraie valeur ajoute, je suis d'accord, les mettre  jour toutes les semaines, a c'est du foutage de gueule de la part du propritaire ou de l'incomptence.


Tout logiciel ou systme doit tre capable de se mettre  jour tout seul pour des raisons de scurit. Si tu n'utilises pas un browser antdiluvien tu utilises toi mme cette fonctionnalit sans t'en rendre compte. Je te laisse faire une recherche sur les greens browsers.

Visiblement tu as quelques guerres de retard sur ces sujets ...

----------


## MikeRowSoft

> [...]Le jour o il va y avoir une belle faille facilement exploitable dans le machin qui pilote le frigo connect de Mme Michu et dont le code tourne en ROM, ils feront comment, les vendeurs ?[...]


Pareil que pour tous le rappels de matriels (cble d'alimentation, batterie, voiture, ...). La mise  jour en ligne est beaucoup moins coteuse.

Je comparerais le frigo au moteur d'une voiture moderne, brancher le boitier "magique",aller sur Internet et hop, mise  jour effectu.

https://www.developpez.com/actu/9183...bien-d-autres/

----------


## Rokhn

> Tout logiciel ou systme doit tre capable de se mettre  jour tout seul pour des raisons de scurit. Si tu n'utilises pas un browser antdiluvien tu utilises toi mme cette fonctionnalit sans t'en rendre compte. Je te laisse faire une recherche sur les greens browsers.


Moi ce qui me fait peur c'est de voir des personnes qui sont dans l'informatiques douter de l'importance d'une MAJ.

Non des MAJ rcurrentes ne veulent pas dire que l'application est tenue par des bouffons qui ne savent pas ce qu'ils font, justement je dirais que c'est plus rassurant de voir une app se faire mettre  jour toutes les semaines qu'une app lambda qu'on tlcharge une fois sur le site avec une version "updated", qui ne va chercher les MAJ que lorsque l'utilisateur  la prsence d'esprit de bien vouloir secouer ciel & terre ou la rinstaller pour la mettre  jour tous les 36 du mois. 

Aprs je comprends le fait de ne pas mettre  jour volontairement les machines sur les chaines de montages qui sont sensibles et EXTREMEMENT coteuses  changer si on met  jour les quipements (changement de machines + re-dev de l'app). Mais dans ces cas la, les personnes sont un minimum au courant non ? T'isoles tes machines non ?

----------


## esperanto

> Ben ya plein de profession lies  la sant qui se servent d'internet pour transmettre  la CPAM les prestations effectues (pharmaciens, mdecins traitants, hpitaux, ambulanciers, ...) et ce depuis une bonne dizaine d'annes.


Et me semble-t-il qu'autrefois on faisait a avec un rseau reliant exclusivement les professionnels de sant, ce qui tait bien plus scuris.
(exemple authentique: du temps du minitel, les bornes qu'on trouvait dans les hpitaux pour mettre  jour sa carte vitale exploitaient un rseau bas sur des terminaux minitel, mais j'ai essay, le service en question n'tait pas disponible sur mon propre minitel chez moi)




> Et a c'est quoi ? http://www.dmp.gouv.fr/


Oui bon d'accord, je me suis mal exprim, je voulais parler des outils utiliss pendant l'intervention, genre les appareils de mesure, qui autrefois n'taient pas relis entre eux mais aujourd'hui sont en fait des PC avec de l'embarqu. Et qui sont sur internet alors qu'ils n'ont aucune raison de l'tre.
Il y a une diffrence entre le fait qu'un chirurgien vienne sur un PC pour lire le dossier du patient d'une part, et le fait qu'une machine embarque destine  des usages trs prcis (robots d'intervention chirurgicale) viennent consulter ce mme dossier pour prendre des dcisions d'autre part. Dans le deuxime cas il faudrait que le chirurgien soit bien inform de ce dtail et qu'il en mesure les consquences - au minimum, qu'il vrifie ce qui est affich  l'cran avant de dmarrer l'intervention. Et encore, je prfrerais que a n'arrive jamais parce que justement si elle est relie  internet, une machine peut tre pirate et donc afficher des donnes diffrentes de ce qu'elle a rellement mesur. Et pour limiter encore le risque, je le rpte, un rseau priv reliant uniquement les professionnels de sant limiterait le risque (au minimum un VPN, mais idalement un vrai rseau physiquement spar)
Au pire, si l'outil a de relles capacits dexploiter les donnes du dossier mdical, le chirurgien devrait utiliser son PC pour les tlcharger, les mettre sur une cl USB et ensuite les dposer sur la machine. videmment tu vas hurler "cl USB infecte par un virus" mais bon, mme si c'est possible, a reste bien moins probable que l'infection cause par le fait que l'appareil de mesure s'est de lui-mme connect  internet - ou qu'un pirate a trouv son adresse IP et y a inject quelque chose.

----------


## MikeRowSoft

> Moi ce qui me fait peur c'est de voir des personnes qui sont dans l'informatiques douter de l'importance d'une MAJ.


Je crois que pour certains (surtout utilisateurs) une MAJ est un apport de fonctionnalits ou d'optimisations ou corrections de bogues mineurs (visuel ou facilit d'usage).

MAJS, l c'est quand mme autre chose, puisque c'est afin de combler des comportements vilains le plus souvent au dpend des personnes qui sont dans l'informatiques ou pas...

----------


## TryExceptEnd

Des failles de scurits, ils en y a partout, sur les OS, les applications, les firmwares et mme dans les circuits lectroniques; Le gros soucis est ... la monoculture !
Tout le monde est sur un seul OS : Windows, s'il a une faille tout le parc mondial est contamin en moins de deux.
Tout le monde est sur Office, mme problme.... etc.
Qu'on reviennent a la polyculture : Plusieurs OS, divers Offices... on ne se porteras que beaucoup mieux.
Et qu'on me dise pas que c'est insurmontable et tout le bla-bla habituel.

----------


## Coriolan

*Le ransomware WannaCrypt a rapport 80 000 dollars  ses auteurs*
*Le collectif Rsistance Cyber appelle  revoir le modle de scurit en France*

Vendredi dernier, le ransomware WannaCrypt sest propag dans le monde affectant les entreprises, les gouvernements et les particuliers. Cette souche de ransomware cause par un exploit dcouvert par la NSA a infect plus de 300 000 ordinateurs dans plus de 150 pays. Le ransomware WannaCrypt (ou Wcry, WanaCry, WanaCrypt, Wanna Decryptor) exige 300 $ en bitcoins pour le dverrouillage des fichiers quil a chiffrs, une ranon qui double aprs trois jours. Les utilisateurs sont galement menacs de voir tous leurs fichiers supprims en permanence si la ranon n'est pas paye dans lintervalle dune semaine.

Malgr lampleur de lattaque, WCry na rapport que 20 000 dollars en ranons payes par les victimes durant le weekend. Mais  partir du lundi, les paiements ont augment pour atteindre 80 000 dollars depuis le 12 mai, jour du dbut de lattaque. Jusqu prsent, 288 paiements ont t envoys aux portefeuilles lis au code du malware. 

En jetant un coup dil sur lhistorique des paiements de chaque portefeuille, on se rend compte que les transactions individuelles vont de 0,16  0,34 Bitcoin (environ 300 et 600 dollars), avec laccroissement des paiements dune valeur plus grande avec le temps. Il faudrait aussi savoir que le prix du bitcoin a considrablement augment la semaine dernire, ce qui a affect la valeur des paiements envoys par les victimes.

Selon des chercheurs de Symantec Security Response, le traage des transactions aurait t difficile sans un bogue dans le code du malware destin  assigner un portefeuille bitcoin individuel pour chaque victime.  cause de ce bogue, les trois portefeuilles ont t assigns par dfaut, ce qui laisse suggrer que WCry na pas t test entirement avant sa propagation.

*Savoir combien gnre WannaCry en temps rel* 

*Ranons payes par les victimes de WCry depuis le dbut de l'attaque*

Le ransomware WannaCry constitue la cyberattaque la plus russie et aussi la plus dvastatrice enregistre durant ces dernires annes, et ce malgr le fait quelle a t mal excute.

En raison de lampleur de lattaque, certains seraient tents de savoir combien a gnr le ransomware en paiements de ranons. Elliptic surveille actuellement la balance des trois adresses Bitcoin associes au ransomware Wannacry. Les donnes sont mises  jour toutes les 30 secondes. Vous pouvez voir les rsultats ici, jusqu prsent, le ransomware a gnr prs de 80 000 dollars. 

*Un jeune chercheur de scurit anglais stoppe accidentellement WannaCry*

Un jeune anglais, devenu un hros national, est parvenu  stopper la propagation rapide de WannaCry aprs avoir analys le code source du ransomware. En effet, le chercheur de scurit a dcouvert une mesure durgence kill switch pour ralentir les infections et les dgts causs par le ranongiciel.

La mthode du jeune anglais, quil a dcouverte par hasard a consist  enregistrer une adresse web, qui a aussitt stopp la propagation du malware. La raison est simple, les auteurs du malware ont implment un frein durgence dans le code, qui fait que WCry essaie dtablir une connexion avec un site web non enregistr. MalwareTech (pseudonyme Twitter du jeune anglais) a vite remarqu a et a entrepris denregistrer le nom de domaine en question (en loccurrence : iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com). Aussitt, le ransomware cessa de se propager les fichiers ne furent plus pris en otages sur les ordinateurs contamins. Cette erreur de la part des pirates laisse prsager que WCry tait encore en phase de dveloppement avant son lancement prcoce.  

Il nen reste pas moins que grce  sa dcouverte, MalwareTech est devenu un hros malgr lui et a reu lloge des mdias qui ont tent de dvoiler sa vritable identit. Pour le remercier de son acte, linitiative HackerOne, qui est une plateforme qui connecte les entreprises et les chercheurs de scurit, a offert une rcompense de 10 000 dollars au chercheur. Cette somme, le jeune hacker ne compte pas la garder pour lui, en effet, il a fait savoir sur son Twitter quil compte la diviser entre des organismes de bienfaisance et dducation.  Par ducation, je veux dire que je prvois dacheter des livres bass sur la scurit informatique pour les donner aux tudiants qui ne peuvent pas se le permettre , prcise-t-il.  

En revanche, il ne compte partager avec personne une autre rcompense offerte par Just Eat, lquivalent britannique dAlloresto. MalwareTech aura droit  un an de pizzas gratuites en guise de remerciements pour son exploit. 

*Rsistance Cyber : un collectif pour revoir le modle de scurit des entreprises en France*

Si lattaque de WCry a t juge comme tant basique par certains experts, sa propagation rapide nous pousse  nous poser des questions sur ltat de sant des dispositifs de scurit des entreprises et des organisations touches, surtout que le ransomware sappuie sur des failles de scurit existantes depuis mars 2017. Des entreprises comme Renault ont d carrment suspendre leur production aprs que leur quipement industriel a t infect.

Pire encore, cette attaque aurait t beaucoup plus dvastatrice si elle avait touch des infrastructures beaucoup plus sensibles comme les aroports, les contrles ariens, les gares et les centrales nuclaires. Sil est vrai que le chercheur anglais est parvenu  ralentir lattaque aprs deux jours, les chercheurs et les experts de scurit eux ne sont pas rassurs et pensent que cette attaque nest que la prmisse dune opration de plus grande envergure.

Pour cette raison, le collectif Rsistance Cyber, qui regroupe des spcialistes franais en scurit informatique, vient de voir le jour. Ensemble, ces experts veulent forcer le changement dans la scurit informatique et revoir le modle de scurit des entreprises en France.

 Nous avons laiss la main aux professionnels de lattaque par notre conservatisme et nos doctrines dfensives dpasses et des entreprises de scurit obnubiles par des intrts conomiques maintenant dun autre ge , a crit le collectif.  Les nouvelles techniques dattaque utilisent des mthodes de dissimulation contre lesquelles une doctrine de protection primtrique ne peut rien. Les solutions sont simples, mais les outils obsoltes... Des outils dpasss (1), des attaques cibles (2), des alertes en trop grand nombre (3) constituent les trois lments qui font que les entreprises seront de plus en plus dpasses et attaques. 

Le collectif veut inciter les entreprises  revoir leur systme de maintenance du parc informatique et adopter une approche prventive qui consiste  mettre  jour chaque machine de faon automatique ou le plus tt possible.

Sans ces mesures, Rsistance Cyber pense que dautres attaques informatiques feront plus de dgts et continueront  se dvelopper en raison de trois enjeux conomiques :

la professionnalisation des attaquants qui peroivent des revenus substantiels en volant ou bloquant des entreprises ;la rcupration de donnes personnelles ou dentreprises constitue le moteur de la guerre conomique que se livrent les grands groupes numriques. Quand un produit est gratuit, cest que  vous tes le produit . En substance, lenjeu se trouve tre la collecte de donnes pouvant tre valorises. Les pirates lont, eux, bien compris ;le manque de moyens et de ressources des entreprises qui doivent faire face aux enjeux de la transition numrique et voient arriver de nouveaux risques inconnus ! Particulirement dans les secteurs  risques (sant, industrie, finance et assurances) et les startups/TPE/PME.

Source : Global Security Mag - Elliptic 

*Et vous ?*

 ::fleche::  Pensez-vous qu'il y a un rel besoin de revoir les dispositifs de scurit des entreprises en France ?

*Voir aussi :*

 ::fleche::  Ransomware WannaCrypt : Microsoft publie en urgence des Maj de scurit pour ses OS, XP reoit ainsi son premier patch en trois ans
 ::fleche::  WannaCrypt : Microsoft rappelle aux utilisateurs l'importance de mettre  jour leurs systmes et aux gouvernements leurs responsabilits
 ::fleche::  WannaCrypt : Poutine blme les services de renseignement des tats-Unis et dment toute implication russe

----------


## chrtophe

Pour se protger de ce genre d'attaque ou du moins limiter les risques, bien videmment en dehors de l'aspect sauvegarde qui est primordial, je vous proposes 

cryptoprevent
version gratuite ou payante,  vous de choisir selon les options.

Je vous invites galement  vous pencher sur l'option de sandboxing d'avast (en version payante). D'autres antivirus proposent certainement cette option.

----------


## mh-cbon

> ...ont implment un frein durgence dans le code, qui fait que WCry essaie dtablir une connexion avec un site web non enregistr. ...Cette erreur de la part des pirates...


Pourquoi supput que c'est forcment une erreur ?
Un chapeau blanc aurait bien pu vouloir faire le travail que des milliers de paroliers n'ont russit  faire, 
patcher ces ***** de dtritus en ligne et donner une leon aux utilisateurs.

La somme demand est importante (pour un particulier), mais pas extraordinaire.
Elle laisse le temps de s'interroger.

Faudrait voir si il y a des tudes entre la valeur des demandes de ranon et la rentabilit des hacks.

Je mtonne du terrain d'infection
https://intel.malwaretech.com/botnet/wcrypt

xinhua en dit autre chose 
https://www.theregister.co.uk/2017/0...ypt_hit_china/
http://news.xinhuanet.com/english/20..._136285707.htm

Peut tre une histoire de gfw.

En ce qui concerne la Chine,
je notes que lorsque le gouvernement est en galre, 
il fait plier les acteurs du march qui ragissent au quart de tour.
Et nous en France on regarde ce qu'il se passe de l'autre ct de l'atlantique, 
comme des laquais, la 25ieme route du carrosse.

Par ailleurs, la france championne du monde de l"eau chaude ? plausible, on avait edf avant.

> Le collectif veut inciter les entreprises  revoir leur systme de maintenance du parc informatique et adopter une approche prventive qui consiste  mettre  jour chaque machine de faon automatique ou le plus tt possible.

quoi qu'il en soit heureusement que france tlcom (temps ancien...) ne dtient plus (activement*) wanadoo =) Quel bouze c'eut t pour l'image de marque  ::D: 

** je ne fais pas dans le dtail ici.

----------


## Aizen64

Je n'ai pas lu l'intgralit des message, lecture en diagonale.

Disons que je pense que les professionnels de sant travaillant en libral devraient connaitre un minimum des bases en matire de scurit informatique, une machine connecte  internet ne doit aucunement tourner sur un OS qui n'est plus maintenu.

Facile de faire la remarque pour quelqu'un qui travaille dans l'informatique, Microsoft a nanmoins fait un geste et patch XP, qui peut leur reprocher ? Maintenir un OS avec des patchs plus de 15 ans aprs sa sortie pour un OS grand public, c'est juste pas possible sauf cas exceptionnel comme celui ci.

C'est pareil pour une distrib Linux sortie en 2001, qui va trouver des MAJ ?

Ces problmatiques n'taient pas forcment les mme  l'poque, aujourd'hui on passe une bonne partie de notre journe avec des appareils connects, la scurit n'est pas un dtail.

----------


## Stphane le calme

*Craignant la fuite de ses exploits par les Shadow Brokers, la NSA a indiqu  Microsoft une faille critique*
*que l'diteur s'est empress de corriger * 

voquant danciens employs de la NSA qui se sont exprims sous couvert de lanonymat  cause de la sensibilit de cette affaire, le Washington Post a affirm que lorsque la NSA a commenc  utiliser son outil de piratage appel EternalBlue, ceux qui ont t chargs de le dployer ont t  la fois merveills par sa puissance rare, mais ont galement redout le danger que cela pouvait reprsenter si loutil venait  tre perdu. Certains fonctionnaires se sont mme demand si la faille ntait pas tellement dangereuse quil fallait absolument la rvler  Microsoft.

Mais le choix de la NSA a t fait : pendant plus de cinq ans, lagence de renseignement a continu den profiter et dsormais les pires inquitudes de certains agents sont devenues ralit : le ransomware WannaCry, qui a fait des victimes dans des dizaines de pays, sappuie sur des outils de la NSA. Lattaque sest propage tellement vite que Microsoft sest vue contrainte de publier des correctifs pour des versions de ses systmes quil ne supporte plus. Cest ainsi que Windows XP a pu recevoir son premier correctif en trois ans.

Dans un billet des plus passionns publi dimanche dernier, Brad Smith, qui est le juriste en chef de Microsoft, na pas manqu den appeler  la responsabilit de ltat :  Cette attaque fournit un autre exemple de la raison pour laquelle le stockage des vulnrabilits par les gouvernements est un problme. Il s'agit d'un modle mergent en 2017. Nous avons vu des vulnrabilits stockes par la CIA apparatre sur WikiLeaks, et maintenant cette vulnrabilit vole de la NSA a touch des clients  travers le monde.  plusieurs reprises, les exploits entre les mains des gouvernements se sont rpandus dans le domaine public et ont caus des dgts rpandus. Un scnario quivalent avec des armes conventionnelles serait l'arme amricaine dont certains de ses missiles Tomahawk sont vols. Et cette attaque la plus rcente reprsente un lien compltement involontaire, mais dconcertant entre les deux formes les plus srieuses de menaces de la cyberscurit dans le monde d'aujourd'hui : l'action de l'tat-nation et l'action criminelle organise.   

Alors que peu de critiques disent que la NSA ne devrait plus dvelopper de logiciels malveillants,  l'incident de WannaCry a relanc les inquitudes concernant la scurit interne dans une agence qui, en 2013, a perdu normment de documents classs secrets au profit de son ancien contractuel Edward Snowden.

 Ils doivent absolument faire un meilleur travail dans la protection des outils de piratage. Vous ne pouvez pas dfendre cela , a dclar l'ancien directeur de la NSA, Keith B. Alexander, qui a dirig l'agence de 2005  2014, mais a dclar qu'il ntait pas dans la mesure dmettre un quelconque commentaire sur un outil en particulier parmi ceux que Shadow Brokers a laiss fuiter.

Richard Ledgett, qui a pris sa retraite le mois dernier en tant que directeur adjoint de la NSA, a dclar que divulguer toutes les failles empiles par lagence quivaudrait  un  dsarmement unilatral . Aussi, il a dclar que  tout irait bien  si la NSA rvlait toutes les vulnrabilits qu'elle trouve tre  absurdes .


*Keith B. Alexander*
*La NSA, lanceur d'alerte ?*

Aprs avoir appris que certains de ses outils de piratage les plus prcieux, parmi lesquels EternalBlue ont t vols par un groupe mystrieux qui s'appelait les Shadow Brokers, lagence a dcid davertir Microsoft. Ce qui a permis  lentreprise de prparer un correctif de scurit qui a t diffus durant le mois de mars. Cependant, les Shadow Brokers ne se sont pas contents de publier la faille, ce qui aurait demand aux pirates un certain temps avant de pouvoir dvelopper des outils pour lexploiter : ils ont publi les exploits utiliss par la NSA. Ce qui implique que mme un pirate dbutant qui se sert deux peut causer des dgts. 

Il y a quelques mois, alors que les Shadow Brokers ont commenc leur campagne de divulgation dexploits, un ancien haut responsable de l'administration a expliqu que  Ds lors, la valeur du renseignement des exploits a t "dgrade", de sorte qu'il a t dcid que la NSA alerterait tous les fournisseurs concerns. 

 La NSA a identifi un risque et l'a communiqu  Microsoft, qui a publi un correctif immdiat  en mars, a dclar Mike McNerney, un ancien responsable de la cyberscurit du Pentagone et un membre du Truman National Security Project. Le problme, a-t-il dit, c'est quaucun haut fonctionnaire na pris linitiative de crier au monde :  Celui-ci est trs srieux et nous devons nous protger.  

L'article du Washington Post est le premier  dclarer explicitement que la NSA a t la source qui a alert Microsoft sur la vulnrabilit corrige dans le bulletin de scurit MS17-010 de mars. Mais ce n'est pas une grande surprise : plusieurs lments de preuve ont amen des spculations qui ont dur des semaines selon lesquelles la NSA serait la partie divulgatrice. 

Le premier lment de preuve tait le timing. Le 7 janvier, les Shadow Brokers ont annonc la vente aux enchres de dizaines d'outils de la NSA, dont un appel DoublePulsar, une porte drobe installe par EternalBlue. Cinq semaines plus tard, Microsoft a brusquement annul la mise  jour programme de fvrier, citant un problme de dernire minute non divulgu. C'tait la premire fois que l'entreprise avait annul un Patch Tuesday. Quatre semaines plus tard, MS17-010 a t publi. Et prcisment 28 jours aprs, les Shadow Brokers ont publi EternalBlue, DoublePulsar et des dizaines d'autres outils de piratage.

Le second lment a t la dcision de Microsoft de ne pas nommer la partie qui a signal les vulnrabilits colmates dans le bulletin MS17-010. Alors quil peut arriver que les bulletins Microsoft omettent de temps  autre de divulguer les parties  lorigine de lalerte, la plupart d'entre elles sont crdites.

Source : Washington Post

----------


## Florian_PB

> Craignant la fuite de ses exploits par les Shadow Brokers, la NSA a indiqu  Microsoft une faille critiqueque l'diteur s'est empress de corriger


Lol la NSA Lanceur d'Alerte on se fout ouvertement de la gueule du monde l !

----------


## mh-cbon

Article un peu absurde tout de mme,

Considr que c'est l'tat nation qui organiserait la dcouverte 
et l'utilisation de hack est un genre de raccourci qui me parat mensonger.

On ne parle jamais d'autres choses que de la NSA, ou du mossad, ou du kgb hein...
Les tats sont bizarrement toujours  la trane, preuve tant que c'est la NSA qui discute directement avec 'crosoft.

> Alors que peu de critiques disent que la NSA ne devrait plus dvelopper de logiciels malveillants,

Encore une fois affirmation biaise, qui sont ces critiques ? A qui a t'on demand ? au lecteurs ? Aux responsables de la NSA?
Si la phrase eut t 
"Alors que peu de critiques disent que [ce qu'il te plait] ne devrait plus dvelopper de missiles tomahawk,"
pensez vous que les syriens eut t un groupe reprsentatif de cette affirmation?

> Richard Ledgett, qui a pris sa retraite le mois dernier en tant que directeur adjoint de la NSA, a dclar que divulguer toutes les failles empiles par lagence quivaudrait  un  dsarmement unilatral .

Et oui c'est le problme de faire des coups de putes  tout le monde, 
tout le monde veut te faire des coups de putes par la suite, 
sauf si tu es suffisamment crains.......


Sur le reste, totalement d'accord avec  Florian_PB, tentative honte 
de redore le blazon de la NSA en rejetant la faute sur un tat soit disant responsable,
ce scandale mriterait,  minima, plusieurs dbauchage.


La suite n'est que supputations et imagination,

Mais plus intressant encore, selon moi, et que l'article ne dit pas trs explicitement, 
c'est que la NSA va s'engager dans la cration de mthodes de contrle interne pour viter de tels cueil  l'avenir.
Vu leurs degr d'avance dans tous les domaines,
 ils vont pondre un truc magnifique, quelque chose qui fonctionnera vraiment bien, 
tellement bien qu'on peut imaginer que cela arrive dans le civil 
et que par capillarit cela mnera  la structuration d'un rseau gant de surveillance et de contrle en entreprise.

Consquemment dans un monde o les entreprises sont capables de matriser les flux de donnes 
que les employs consomment dans l'entreprise, 
les lanceurs d'alertes, c'est mort, fini, capute, basta.

Le tout justifier par de bons sentiments 
puisque c'est quand mme pour nous protger 
des vilains s/voleurs d'informations/lanceurs d'alertes/.

Voil, The WP mind fucker.

** Aujourd'hui la surveillance se base sur la volont du surveill, tu n'es surveill que SI: 
tu as une carte de crdit / un portable / un ordinateur / un compte fb / twitter etc etc etc
Bien sr il existe des mesures structurelles pour nous y pousser, 
pas de cartes bleus ? Pas d'achats en ligne / Pas de tirettes / Pas de femme. 
Pas de portables ? Pas de vie sociale. 
Pas de FB ? mme combat. Etc etc
Mais avec un systme structur autour du lieu de travail, 
on pousse le bouchon encore plus loin puisque 
pas de travail == mort programme 
(affirmation vrai pour 95% des gens,
tant donn qu'ils refusent d'tre exclus du "progrs")

----------


## Aurelien.Regat-Barrel

Eh beh, c'est passionn... histoire de nuancer un peu, la surveillance n'est pas  sens unique : nos politiciens et autres dirigeants du CAC40 sont eux aussi sous surveillance de notre part. Ces fameux rseaux sociaux font sauter la tte d'un haut responsable au moindre scandale film avec nos smartphones. 

C'est l'autre revers de la mdaille qu'il ne faut pas oublier sinon on peut vite sombrer dans la dsespoir et une certaine paranoa. Et de manire gnrale, beaucoup de technologies qui taient  la base des outils de contrle et sret tatiques se sont retourns  la longue contre les gouvernements : internet, cryptographie, et maintenant NSA... si on le regarde comme a, a en devient mme jouissif  ::): 




> pas de cartes bleus ? Pas d'achats en ligne / Pas de tirettes / *Pas de femme*.


Voil qui fera plaisir  nos lectrices...

----------


## Andarus

> Pourquoi supputer que c'est forcment une erreur ?


La rponse dans un webcomics  ::mrgreen::

----------


## mh-cbon

> Eh beh, c'est passionn... histoire de nuancer un peu, la surveillance n'est pas  sens unique : nos politiciens et autres dirigeants du CAC40 sont eux aussi sous surveillance de notre part. Ces fameux rseaux sociaux font sauter la tte d'un haut responsable au moindre scandale film avec nos smartphones. 
> 
> C'est l'autre revers de la mdaille qu'il ne faut pas oublier sinon on peut vite sombrer dans la dsespoir et une certaine paranoa. Et de manire gnrale, beaucoup de technologies qui taient  la base des outils de contrle et sret tatiques se sont retourns  la longue contre les gouvernements : internet, cryptographie, et maintenant NSA... si on le regarde comme a, a en devient mme jouissif


J'aimerais bien adhrer  200%  cette manire de voir les choses,
mais je n'y peut rien, je trouve toujours des exemples de responsables 
qui nous bafoue sans que des consquences soient appliques.
Et ce n'est pas faute de voir le dlit envahir les journaux et autres rseaux sociaux,
c'est juste que le systme de la punition fonctionne diffremment pour ces gens l.
Justice  deux vitesses fabuleusement dmontre dans la rcente affaire lagarde.




> Voil qui fera plaisir  nos lectrices...


Oui, bein qu'elles se plaignent, on en discutera, parce que bon l'amour c'est bien beau, mais faut faire manger les petits.
D'ici l je veux bien qu'on me montre un exemple de personne qui se serait mari avec un sdf.
Aprs de l  faire de ce cas une gnralit, j'opte encore pour ma proposition : x

----------


## CaptainDangeax

> Le problme, l, c'est que vous parlez tous comme des informaticiens, sans voir un autre aspect du *monde des utilisateurs* : le monde dans lequel un computer est btement utilis pour piloter autre chose, je pense  mon cardiologue qui quipe ses patients pour 24 h avec un appareil portatif qui enregistre toutes les 30 minutes tout un tas de paramtres grce  des sondes que se trimballe le patient, poses par la secrtaire qui a eu une formation pour a.
> 
> Le lendemain le patient revient, on lui enlve les sondes et l'appareil, qu'on va raccorder  une machine charge de lui rcuprer pour analyse les donnes captes pendant ces 24 h.
> J'ai jet un il par-dessus l'paule de la secrtaire, la machine tourne sous XP.
> 
> Et pour que le cardio puisse analyser les donnes depuis son poste et les archiver dans le dossier du patient, ces machines sont en rseau.
> 
> Et pour que le cardio puisse envoyer son rapport au mdecin traitant par e-mail, sa machine est connecte  travers une box, et voil...
> 
> ...


Le maon met  jour sa perceuse avec quelques gouttes d'huile dans les roulements  intervalle rgulier. Il en profite pour graisser aussi la crmaillre de sa btonneuse. Et ton cardio qui roule en audi qui va au garage tous les 30000 pour vidanger sa boite DSG ne comprend pas que son ordinateur a AUSSI besoin d'un minimum de maintenance prventive ?
Bon sinon, le truc trollesque sur le "vous verrez quand on trouvera la faille sur Linux" et gna gna gna et gna gna gna...
Linux est l depuis 26 et ta super faille genre celle qui a permis wannacrypt (mais avant il y avait eu blaster) on ne l'a toujours pas trouv. Pourtant, je peux te garantir qu'il y a des types qui cherchent ! Rappelle-moi combien d'infections mondiales ont touch les systmes MS et uniquement MS depuis 1991 ? a fait beaucoup. Beaucoup trop. Et pourquoi beaucoup trop ? Parce que MS a conu ses OS sans reprendre les concepts dvelopps dans Unix qui est ds le dpart multi-tches, multi-utilisateurs, rseau, avec une bonne sparation entre le noyau et les applications, l'utilisateur standard n'a aucun droit de modification sur le systme et des fichiers non excutables par dfaut. C'est tellement simple quand je l'cris qu'on se demande pourquoi il n'y a pas eu un mec chez MS pour reprendre ces 2 ides : l'utilisateur n'a aucun droit de modification du systme, les fichiers sont non excutables par dfaut. Ton cardiologue, tu lui montes son /home en noexec sur un Linux, a ne fera aucune diffrence pour lui au quotidien et aucun fichier venu de l'extrieur ne pourra s'excuter sur sa machine, le mettant tout simplement  l'abri.

----------


## disedorgue

> Le maon met  jour sa perceuse avec quelques gouttes d'huile dans les roulements  intervalle rgulier. Il en profite pour graisser aussi la crmaillre de sa btonneuse. Et ton cardio qui roule en audi qui va au garage tous les 30000 pour vidanger sa boite DSG ne comprend pas que son ordinateur a AUSSI besoin d'un minimum de maintenance prventive ?
> Bon sinon, le truc trollesque sur le "vous verrez quand on trouvera la faille sur Linux" et gna gna gna et gna gna gna...
> Linux est l depuis 26 et ta super faille genre celle qui a permis wannacrypt (mais avant il y avait eu blaster) on ne l'a toujours pas trouv. Pourtant, je peux te garantir qu'il y a des types qui cherchent ! Rappelle-moi combien d'infections mondiales ont touch les systmes MS et uniquement MS depuis 1991 ? a fait beaucoup. Beaucoup trop. Et pourquoi beaucoup trop ? Parce que MS a conu ses OS sans reprendre les concepts dvelopps dans Unix qui est ds le dpart multi-tches, multi-utilisateurs, rseau, avec une bonne sparation entre le noyau et les applications, l'utilisateur standard n'a aucun droit de modification sur le systme et des fichiers non excutables par dfaut. C'est tellement simple quand je l'cris qu'on se demande pourquoi il n'y a pas eu un mec chez MS pour reprendre ces 2 ides : l'utilisateur n'a aucun droit de modification du systme, les fichiers sont non excutables par dfaut. Ton cardiologue, tu lui montes son /home en noexec sur un Linux, a ne fera aucune diffrence pour lui au quotidien et aucun fichier venu de l'extrieur ne pourra s'excuter sur sa machine, le mettant tout simplement  l'abri.


Pas trop d'accord avec toi:
-Dj, il y a moins de monde sous linux (ou autre unix like) que sous windows *, donc il est comprhensible que ce soit celui-ci qui est le plus attaqu.
-Ensuite, il n'y a pas besoin de devenir root pour causer des problmes, en faisant simple, suffit juste de pourrir les fichiers appartenant  la personne. Mme si le systme de la personne n'est pas en pril, si ces datas le sont, c'est tout comme. De plus, un particulier qui passe sous linux, il va crer un compte (aller, mettons nous dans le monde des bisounours ), par personne dans le foyer.
-Le truc des fichiers excutables, c'est fait par une action utilisateur, l, on est sur un autre souci, celui ou l'utilisateur n'intervient pas pour donner un accs userland ou autre.

----------


## SkyZoThreaD

Et ouais, il suffit d'installer nimporte quel pentest gratuit pour voir la liste des failles exploitables sur les vieux systmes GNU.
La diffrence notable avec les produits ferms, c'est que les white hats n'ont pas forcment besoin que la faille se manifeste pour la dtecter. On voit souvent dans les commentaires Git, des remerciements  tel ou tel qui a trouv une faille et l'a immdiatement remont aux devs. Et quand il remontent l'info, ils donnent directement le code corrig, ce qui conomise beaucoup de temps aux devs qui n'ont plus qu'a valider la correction faite. C'est beaucoup plus rapide.
Mais il faut faire attention quand on vante le GNU en disant que c'est sans Virus, sans failles etc... a vaut aussi pour Apple d'ailleurs : Les frameworks de la NSA && ||CIA touchaient les trois systmes et mme plus  :;):

----------


## Jipt

Yep !



> Et ton cardio qui roule en audi qui va au garage tous les 30000 pour vidanger sa boite DSG ne comprend pas que son ordinateur a AUSSI besoin d'un minimum de maintenance prventive ?


Ben non, le monde est ainsi fait. 
Pi mon cardio il ne sait pas ce qu'il a, le vendeur ne lui a rien dit ! Le vendeur de l'Audi lui a dit de passer tous les 30000 au garage, le vendeur du bouzin qui pilote les appareils de mesure lui a dit d'appuyer ici pour rcuprer les donnes, l pour rinitialiser les enregistreurs, encore ici pour ceci et l pour cela et a faisait dj trop, alors parler en plus de maintenance alors que le vendeur ne sait pas ce que c'est (normal, il est l pour vendre, pas pour emm...der le client), laisse tomber !




> [...] MS a conu ses OS sans reprendre les concepts dvelopps dans Unix qui est ds le dpart multi-tches, multi-utilisateurs, rseau, avec une bonne sparation entre le noyau et les applications, l'utilisateur standard n'a aucun droit de modification sur le systme et des fichiers non excutables par dfaut. C'est tellement simple quand je l'cris qu'on se demande pourquoi il n'y a pas eu un mec chez MS pour reprendre ces 2 ides : l'utilisateur n'a aucun droit de modification du systme, les fichiers sont non excutables par dfaut.


En fait, le problme c'est qu'on est parti de rien, d'assemblages de circuits logiques 14 broches  coups de fer  souder au fond du garage, et de code piss sur un bout du carton emballant la pizza.
Et aprs beaucoup de nuits blanches les gars sont arrivs  avoir un machin plein de fils qui affichait "hello world!" sur une vieille tl, ils taient tout contents (on les comprend) et ils ont continu  partir de l.

Personne n'a eu l'ide de tout remettre  plat pour construire quelque chose de professionnel, ils ont juste rajout des couches aux couches, sans oublier de prserver la sacro-sainte rtro-compatibilit qui oblige  maintenir des machins innommables.
Mme NT, qui a t vendu  l'poque comme une rvolution faisant table rase du pass n'a pas tenu cette promesse.

Et donc faut pas s'tonner de ce qui arrive, et qui continuera  arriver, tant que tout ne sera pas remis  zro -- ce qui semble impossible, mha.




> [...] Ton cardiologue, tu lui montes son /home en noexec sur un Linux, a ne fera aucune diffrence pour lui au quotidien et aucun fichier venu de l'extrieur ne pourra s'excuter sur sa machine, le mettant tout simplement  l'abri.


Tu sais quoi ? Mme moi il m'arrive d'tre oblig de mettre les mains dans le cambouis  coups de console root quand mon Linux dcide de faire des siennes ! Oh pas souvent, on est d'accord, mais quand a arrive je pense  mon cardio,  ma fille,  une copine artiste peintre qui sait trs bien mettre ses uvres en ligne sur FB, qui sait faire un peu de traitement de texte pour faire ses pubs mais qui m'appelle au secours si l'imprimante coince.
Voil, quoi, a c'est le quotidien des vrais gens.
Nous, nous sommes un cas particulier.

----------


## Florian_PB

> Tu sais quoi ? Mme moi il m'arrive d'tre oblig de mettre les mains dans le cambouis  coups de console root quand mon Linux dcide de faire des siennes ! Oh pas souvent, on est d'accord, mais quand a arrive je pense  mon cardio,  ma fille,  une copine artiste peintre qui sait trs bien mettre ses uvres en ligne sur FB, qui sait faire un peu de traitement de texte pour faire ses pubs mais qui m'appelle au secours si l'imprimante coince.
> Voil, quoi, a c'est le quotidien des vrais gens.
> Nous, nous sommes un cas particulier.


Amen ! Pour le commun des mortels nous sommes comme des super-hros, il ne faut jamais qu'on oublie qu'on est une exception en matire d'utilisation de l'outil informatique et que les gens "normaux" ne voient que la partie merge de l'iceberg : l'interface utilisateur. 
C'est comme  un concert nous voyons que les artistes mais on ne voit pas le taff de fou fait par les roadies derrire pour que tout se passe bien, bah imaginez que l'interface c'est le concert et nous les roadies. Nous sommes les roadies de l'informatique.

----------


## Stphane le calme

*Les PC Windows XP infects par WannaCry pourraient dchiffrer les fichiers sans payer de ranon, * 
*un outil est disponible, mais il a une porte limite * 

Selon Adrien Guinet, un chercheur travaillant pour le compte de la start-up franaise Quarkslab, les propritaires de certains ordinateurs Windows XP infects par le ransomware WannaCry seraient en mesure de dchiffrer leurs donnes sans passer par la case  paiement de la ranon . 

 cet effet, il a publi un outil qui  permet de rcuprer les nombres premiers de la cl prive RSA utilise par Wanacry . Le logiciel  y parvient en les recherchant dans le processus wcry.exe. C'est le processus qui gnre la cl prive RSA. Le problme principal est que CryptDestroyKey et CryptReleaseContext n'effacent pas les nombres premiers de la mmoire avant de librer la mmoire associe .

Le chercheur prcise quil ne sagit pas en ralit dune erreur de la part des auteurs du ransomware tant donn quils ont utilis correctement lAPI Windows Crypto :  En effet, pour avoir fait des tests, sous Windows 10, CryptReleaseContext nettoie la mmoire (et donc cette technique de rcupration ny fonctionnera pas). Elle peut fonctionner sous Windows XP, car, dans cette version, CryptReleaseContext ne fait pas le nettoyage. En outre, MSDN indique ceci, pour cette fonction: "Aprs lappel de cette fonction, la CSP libre n'est plus valide. Cette fonction ne dtruit pas les conteneurs de cls ou les paires de cls". Donc, il semble qu'il n'y ait aucun moyen propre et multiplateforme sous Windows pour effacer cette mmoire . 

Le logiciel n'a pas encore t test pour voir sil fonctionne de manire fiable sur une grande varit d'ordinateurs XP et, mme s'il fonctionne, il y a probablement des limites :  Pour fonctionner, votre ordinateur ne doit pas avoir t redmarr aprs avoir t infect. Notez galement que vous avez besoin d'un peu de chance pour que cela fonctionne (voir ci-dessous), et cela pourrait ne pas fonctionner dans tous les cas ! , a prvenu le chercheur. 

Le ransomware utilise l'interface Microsoft Cryptographic Application Program incluse dans Windows pour grer plusieurs des fonctions, y compris la gnration de la cl pour le chiffrement et le dchiffrement des fichiers. Aprs avoir cr et scuris, la cl, l'interface efface la cl sur la plupart des versions de Windows.

Une limitation prcdemment ignore dans XP, cependant, peut empcher l'effacement dans cette version de Windows. En consquence, les nombres premiers utiliss pour gnrer une cl secrte WannaCry peuvent rester intacts dans la mmoire de l'ordinateur jusqu' ce que la machine soit teinte. Wannakey a pu explorer avec succs la mmoire d'une machine XP infecte et extraire les variables p et q sur lesquelles la cl secrte tait base.

Dailleurs, dans un change sur Twitter avec Matt Suiche, un chercheur en scurit et accessoirement fondateur de Comae Technologies, Guinet a confirm que, dans le cas que Suiche lui a prsent, il a t en mesure de rcuprer la cl prive sur un systme Windows XP.


Jusqu' prsent, il n'y a aucune indication que la limitation qui a permis  Guinet de rcuprer la cl WannaCry est prsente dans des versions plus rcentes de Windows. Cela signifie que les victimes de WannaCry sur d'autres versions n'ont toujours aucun moyen connu de dchiffrer leurs donnes autrement que de payer la ranon. Nanmoins, la dcouverte de Guinet donne dj un dbut de solution.

Les entreprises, les gouvernements et les particuliers dans 99 pays  travers le monde ont t victimes de plus de 75 000 attaques de cette souche de ransomware en quelques heures seulement. Parmi les victimes, des services d'hpitaux en Angleterre, des entreprises telles que Telefnica en Espagne, ou mme des coles et universits.

Le ransomware Wannacrypt (ou Wcry, WanaCry, WanaCrypt, Wanna Decryptor) exige 300 $ en bitcoins pour le dverrouillage des fichiers quil a chiffrs, une ranon qui double aprs trois jours. Les utilisateurs sont galement menacs de voir tous leurs fichiers supprims en permanence si la ranon n'est pas paye dans lintervalle dune semaine.

Source : WannaKey (GitHub), Twitter Matthieu Suiche

----------


## Marco46

Aprs le botnet qui fixe la faille de scurit par laquelle il est rentr, on va avoir la faille de scurit qui va permettre de rparer les dgts d'un virus qui agit grce  une faille de scurit.

Tu m'tonnes que les gens n'y comprennent rien  ::D:

----------


## atha2

a peut toujours servir mais combien dutilisateurs ont redmarr leurs PC pour voir s'il pouvait ainsi rcuprer l'accs  leur donne ? La plupart  mon avis  ::calim2::

----------


## Uther

> Aprs le botnet qui fixe la faille de scurit par laquelle il est rentr, on va avoir la faille de scurit qui va permettre de rparer les dgts d'un virus qui agit grce  une faille de scurit.
> 
> Tu m'tonnes que les gens n'y comprennent rien


Oui enfin le botnet qui corrige la faille par laquelle il est entre, en fait c'est trs courant : a vite qu'une autre personne reprenne le contrle de la machine que l'on a contamin.

----------


## Stphane le calme

*WannaCry : un nouvel outil de dchiffrement a t test et fonctionne de Windows XP  Windows 7, * 
*le prrequis de ne pas redmarrer l'ordinateur reste valable * 

Adrien Guinet, un chercheur travaillant pour le compte de la start-up franaise Quarkslab, a publi un outil quil a appel WannaKey pour effectuer la rcupration de cl RSA sur les machines Windows XP qui ont t infectes par le ransomware WannaCry. Prcisons que son outil ne cherche pas la cl relle, mais les nombres premiers en mmoire pour recalculer la cl elle-mme. 

Le logiciel  y parvient en les recherchant dans le processus wcry.exe. C'est le processus qui gnre la cl prive RSA. Le problme principal est que CryptDestroyKey et CryptReleaseContext n'effacent pas les nombres premiers de la mmoire avant de librer la mmoire associe .

Le chercheur prcise quil ne sagit pas en ralit dune erreur de la part des auteurs du ransomware tant donn quils ont utilis correctement lAPI Windows Crypto :  En effet, pour avoir fait des tests, sous Windows 10, CryptReleaseContext nettoie la mmoire (et donc cette technique de rcupration ny fonctionnera pas). Elle peut fonctionner sous Windows XP, car, dans cette version, CryptReleaseContext ne fait pas le nettoyage. En outre, MSDN indique ceci, pour cette fonction: "Aprs lappel de cette fonction, la CSP libre n'est plus valide. Cette fonction ne dtruit pas les conteneurs de cls ou les paires de cls". Donc, il semble qu'il n'y ait aucun moyen propre et multiplateforme sous Windows pour effacer cette mmoire . 

Dans un change sur Twitter avec Matt Suiche, un chercheur en scurit, MVP Microsoft et accessoirement fondateur de Comae Technologies, Guinet a confirm que, dans le cas que Suiche lui a prsent, il a t en mesure de rcuprer la cl prive sur un systme Windows XP.

Matt Suiche a confirm que le dveloppeur Benjamin Delpy, Directeur de Projets Scurit chez Banque de France, a commenc  travailler sur sa propre solution  toutes fins utiles qui sappuie sur OpenSSL et la mthodologie dAdrien pour rcuprer la cl de la mmoire. Il sest galement servi de leurs recherches en commun (celles de Suiche et lui) pour rsoudre les problmes de format de fichier et crer une version 100 % compatible avec le systme d'exploitation Windows de Windows XP  Windows 7. 

 En fait, WanaKiwi de Benjamin Delpy fonctionne sur Windows XP (x86 confirm) et Windows 7 (x86 confirm). Cela impliquerait qu'il fonctionne pour chaque version de Windows de XP  7, y compris Windows 2003 (x86 confirm), Vista et 2008 et 2008 R2 , a indiqu le chercheur. 

 WanaKiwi recre galement les fichiers .dky attendus du ransomware par les attaquants, ce qui le rend compatible avec le ransomware lui-mme. Cela empche galement WannaCry de chiffrer d'autres fichiers , a assur Suiche.

Comme pour la mthodologie de Guinet, cette mthode repose sur la recherche de nombres premiers en mmoire si la mmoire n'a pas t rutilise : cela signifie qu'aprs une certaine priode de temps, la mmoire peut tre rutilise et ces nombres premiers peuvent tre effacs. De plus, cela signifie aussi que la machine infecte ne devrait pas tre redmarre.

Les entreprises, les gouvernements et les particuliers dans 99 pays  travers le monde ont t victimes de plus de 75 000 attaques de cette souche de ransomware en quelques heures seulement. Parmi les victimes, des services d'hpitaux en Angleterre, des entreprises telles que Telefnica en Espagne, ou mme des coles et universits.

Le ransomware Wannacrypt (ou Wcry, WanaCry, WanaCrypt, Wanna Decryptor) exige 300 $ en bitcoins pour le dverrouillage des fichiers quil a chiffrs, une ranon qui double aprs trois jours. Les utilisateurs sont galement menacs de voir tous leurs fichiers supprims en permanence si la ranon n'est pas paye dans lintervalle dune semaine.

Source : blog Matt Suiche

----------


## Coriolan

*WannaCry : c'est Windows 7 qui a le plus contribu  la propagation du ransomware avec 98 % des infections*
*Windows XP n'a jou qu'un rle minime*

Une semaine aprs lattaque dvastatrice du ransomware WannaCrypt, les rapports des chercheurs et firmes de scurit continuent de surgir  propos de cette attaque. En effet, les experts de scurit veulent expliquer les mcanismes qui ont aid le malware  se propager avec une vitesse clair qui a pris le monde par surprise. 

Le dernier rapport en date vient de Kaspersky Lab, la firme de scurit a constat que la part de lion des systmes touchs na pas t celle de Windows XP, mais plutt Windows 7. Plus de 98 % des systmes affects par lattaque tournaient sous Windows 7.

Selon les chiffres publis par la firme, la version 64 bits de Windows 7 a t la plus affecte, reprsentant 60,35 % de toutes les infections. En deuxime position, Windows 7 a t touch par 31,72 % des attaques et 6,28 % pour Windows 7 Home (les versions 32 bits et 64 bits combines).  ce point, on pourrait sattendre  ce que les infections de Windows XP occupent la place suivante, mais a na pas t le cas. Windows 2008 R2 Server a t plus touch avec un peu moins de 1 % des infections. En ralit, le pourcentage des infections de Windows XP est ngligeable puisquil ne dpasse pas les 0,10 % (moins dun systme infect sur mille).


Windows 7 continue dtre la version de Windows la plus utilise, faisant tourner quatre fois plus dordinateurs que Windows 10, la dernire version de Windows en date lance publiquement par Microsoft le 29 juillet 2015. Selon NetMarketShare, Windows 7 reprsente 48,5 % du march des OS de bureau alors que Windows XP ne reprsente que 7,04 %. Cest donc sans surprise que 7 a t plus affect par lattaque de Wcry, mais mme avec sa part de march, le pourcentage de 98 % est stupfiant !

Ces nouveaux chiffres viennent aprs que des rapports antrieurs ont donn lillusion que Windows XP a jou un rle important dans la propagation de lattaque du fait que lOS est obsolte et reste encore trs utilis. Il nen reste pas moins que Microsoft a ragi et a publi en urgence des mises  jour de scurit, y compris pour Windows XP qui a reu son premier patch en trois ans. 

Il faudrait savoir que les utilisateurs de Windows 7 ont reu un patch de scurit des mois avant lattaque, mais le correctif de Windows XP na t rendu disponible quaprs la rvlation de lattaque en tant que mesure durgence et aprs que le mal a t fait. Le patch a t disponible pour les utilisateurs inscrits dans le programme payant du Custom Support destin  tendre le support de Microsoft pour son vieil OS. Cela veut dire que la majorit des utilisateurs de Windows XP sont rests vulnrables  lattaque, et chaque machine tournant sous XP a constitu un vecteur dattaque potentielle pour le ransomware. Heureusement, les chiffres de Kaspersky montrent que le rle de XP dans la propagation de WCry a t minime.

Pour ceux touchs par lattaque, les chercheurs de scurit ont commenc  publier des outils de dchiffrement. Adrien Guinet, un chercheur travaillant pour le compte de la start-up franaise Quarkslab, a publi un outil quil a appel WannaKey pour effectuer la rcupration de cl RSA sur les machines Windows XP qui ont t infectes par le ransomware WannaCry. Prcisons que son outil ne cherche pas la cl relle, mais les nombres premiers en mmoire pour recalculer la cl elle-mme. Cet outil supporte Windows 7, XP, Vista et les autres versions de Windows.  

Source : Tweet(Costin Raiu)

*Et vous ?*

 ::fleche::  Qu'en pensez-vous ?

*Voir aussi :*

 ::fleche::  Les PC Windows XP infects par WannaCry pourraient dchiffrer les fichiers sans payer de ranon, un outil est disponible mais il a une porte limite
 ::fleche::  WannaCry : un nouvel outil de dchiffrement a t test et fonctionne de Windows XP  7, le prrequis de ne pas redmarrer l'ordinateur reste valable
 ::fleche::  Le ransomware WannaCrypt a rapport 80 000 dollars  ses auteurs, le collectif Rsistance Cyber appelle  revoir le modle de scurit en France

----------


## marsupial

Qui a dit dette technique ?
Dans quelle unit se fait l'valuation ? Milliards ? Dizaine de milliards ?  ::calim2::

----------


## mh-cbon

> Il faudrait savoir que les utilisateurs de Windows 7 ont reu un patch de scurit des mois avant lattaque

dans ce cas l comment se fait il que l'attaque ai russit ?

Les utilisateurs de windows 7 ne mettent pas  jour leurs os ? De souvenir y'a des rappels automatique, non ?

Le port SMB ouvert sur le lan OK, mais sur le wan ? wtf

Moi je n'arrive  me figurer comment ils tablissent leurs statistiques,
le worm utilise doublepulsar parce qu'il patch la faille SMB, non ?
(pas clair dans ce genre d'analyses https://blog.malwarebytes.com/threat...s-wanacrypt0r/)
Si une entreprise est infecte, elle ne peut pas tre scanne de l'extrieur de par les par-feux.
Un particulier lambda, dans 95% des cas, n'ouvre pas les ports SMB.
Donc, je minterroge, que sont ces stats, de quelles populations parlent t'on, comment sont ils faits etc.

Je lisais quelque part que l'infection aprs la premire nuit s'levait  100K machines, 
apparemment c'tait en fvrier, l on est 60/90 jours plus tard,
https://fr.wikipedia.org/wiki/WannaCry#Contexte

https://en.wikipedia.org/wiki/Windows_7
> over 100 million copies had been sold worldwide, increasing to over 630 million licenses by July 2012, and a market share of 49.42%

100K/630M (a minima) faites vos calculs, c'est peu.

Ce genre d'histoire sera bien plus palpitante et croustillante quand se sera le tour des IOT.

Par ailleurs,
https://en.wikipedia.org/wiki/WannaC...he_cyberattack
> On 12 May 2017 WannaCry began affecting computers worldwide,[48] with evidence pointing to an initial infection in Asia at 7:44am UTC.[8][49] The initial infection was likely through an exposed vulnerable SMB port,[50] rather than email phishing as initially assumed.[8]

donc ? on ne sait pas.

en bref, je m'interroge.

----------


## Aeson

> Les utilisateurs de windows 7 ne mettent pas  jour leurs os ?


Dans le 1000. Si Renault a t impact" c'est uniquement car leur parc n'est pas a jour. Bravo pour l'image




> De souvenir y'a des rappels automatique, non ?


Si le PC est mis a jour via WSUS ou SCCM c'est l'admin qui pousse les mises a jour. Le poste client n'a pas access a Windows Update et ne vera donc rien.




> Le port SMB ouvert sur le lan OK, mais sur le wan ? wtf


 Ca montre clairement l'incompetence....




> Ce genre d'histoire sera bien plus palpitante et croustillante quand se sera le tour des IOT.


Ce fut le cas il n'y a pas si longtemp. Resultat => un DDos qui a mit internet down....

----------


## BufferBob

> Le port SMB ouvert sur le lan OK, mais sur le wan ? wtf


je crois qu'il tait question d'un stage1 par mail en fait, ce qui explique finalement que le malware ne se propage pas si bien que a sur internet, mais que dans les entreprises o il se propage il dfonce tout l'intranet trs rapidement

----------


## NSKis

> WannaCry : c'est Windows 7 qui a le plus contribu  la propagation du ransomware avec 98 % des infections
> Windows XP n'a jou qu'un rle minime


Nooooon? Incroyable! Win7 le principal concurrent qui empche la gnralisation de Win10?

Y-a-pas--dire les Dieux de la technologie sourient aux commerciaux responsables de la vente de Win10  ::mouarf::

----------


## marsupial

> Donc, je minterroge, que sont ces stats, de quelles populations parlent t'on, comment sont ils faits etc.


Kaspersky a essentiellement  pour coeur de clientle les entreprises. Il suffit que la version de Kaspersky ne soit pas  jour et Wannacrypt passe, d'o les stats.

Adylkuzz, autre ver utilisant la mme faille, et le coup de chance de kill switch ont tous les deux permis d'viter le pire. Pas que la situation n'ait pas t catastrophique, mais elle aurait pu tre bien pire.

Ici, il y a 10 semaines de dette technique pour sans doute des milliards, ou dizaines de milliards, de dgats. Lorsque certains SI tait encore en XP SP1 4 ans aprs la sortie du SP2, on peut lgitimement s'interroger sur le cot de la dette technique. Et donc les mesures  prendre par les directions afin de rduire le ratio; ne serait-ce que pour la scurit.

Le seul point positif dans toute cette affaire reste la prise de conscience de la ncessit de prendre au srieux la scurit du SI tout en restant conscient qu'on a eu beaucoup plus chaud que ne se l'imagine les dirigeants.  Une prochaine fois, ...

----------


## mh-cbon

Wannacrypt, la preuve que les av fonctionnent, tant que tu n'utilises pas ton PC  ::D: 




> ...le coup de chance de kill switch...


AMHA, le hacker avait peur d'auto infect son pc par ricochet, d'o le frein  main  ::):  Voil, l a fait sens lol




> Ici, il y a 10 semaines de dette technique pour sans doute des milliards, ou dizaines de milliards, de dgats.


mh, je ne peux m'empcher de voir dans ces dizaines de milliards les cots d'investissement non rgler  temps, que l'on traduit par dette technique.
La notion est importante car elle dmontre le problme structurel que cet incident rvle, qui par ailleurs dpasse largement les cadres informatique ou conomique. enfin, faudrait passer un peu de temps  l'expliquer... mais tout le monde se fait une petite du pourquoi ils ont relgus cela aux calandres grecques.
Et assurment, je doutes que le problme ft purement technique  :;): 




> Le seul point positif dans toute cette affaire reste la prise de conscience de la ncessit de prendre au srieux la scurit du SI


Je ne m'engagerais pas dans cette affirmation tellement ose, rendez vous au prochain incident d'ampleur mondiale  ::D: 

Ahlalala j'ai encore en tte ce mmorable moment de la dcouverte d'une faille windows avec 20 ans de retard, quel monde surprenant!

'fin bref, c'tait pour le fun hein, l'tait ce vraiment ?, j'ai des doutes!

----------


## emutramp

> C'est pareil pour une distrib Linux sortie en 2001, qui va trouver des MAJ ?


Une distribution Rolling release n'a pas ce problme. Quand bien mme, un parc informatique sous la gestion d'une entreprise en charge de l'administration systme (incluant la scurit) faisant tourner celle-ci sur des systmes trop vieux n'ayant plus de mise a jour scurit de la part des diteurs est responsable (si elle est pay continuellement pour assurer ces services).

Le rel problme est que bon nombre de ces entreprises sont soit faignante, cupide ou incomptente (voir les 3 a la fois). Tant que a fonctionne correctement, on ne touche a rien et on encaisse la facture donn au client tout en lui vendant du pseudo travail pour qu'il continue a payer. Tt ou tard avec ce genre d'administration foireuse, les problmes arriveront : Pas de problme on envoi un commercial laver le cerveau du client lui expliquant que le problme ntait pas prvisible, avec a l'appuie quelques articles des mdias traditionnels (dont le moteur est le sensationnalisme, pas la technique) et le tour est joue, la socit garde sa rputation et c'est au client (ou assurance) de raquer.

L'informatique n'est pas une science, sa cration est son dveloppement est a 100 % fait par l'humain, Intel n'a pas besoin d'un phnomne naturel pour crer ses processeurs ou d'une clipse plantaire pour crer ses nouvelles gnrations de proc, c'est un travail organise, des calcules exactes, prvisions, des testes etc... 

Actuellement, on ouvre le march a des opportunistes sans scrupules, qui a pour moteur la cupidit. Mieux encore, en cas d'erreur professionnelle, ils nont absolument rien a craindre juridiquement.

Il serait peut-tre temps de rguler ce domaine dactivit, soit en tenant responsable juridiquement les professionnels soit en autorisant lexercice via certification donne par des personnes qualifies pour (par exemple une certification manant de lANSSI).

Et pour finir, tablir des standard de scurit comme lutilisation exclusif de code opensource (systme, software), sans relancer une discussion expliquant aux**professionnelle* informatique pro code ferm quils ne peuvent pas garantir la scurit, la stabilit ou quoi que ce soit dautres sur un fonctionnement inconnu*: Lditeur peut pondre une documentation de 80 k pages sur le fonctionnement de celui-ci ne donne aucune garanti quils ont oubli involontairement ou volontairement des informations, quils sont honntes, que le code est de bonne qualit, que le code est scuris tre dans le dni de cette ralit ne feront jamais des arguments expliqu par les pro code ferme une quelconque vracit.*Pourquoi ce dbat est sans fin*? Deux chose*sur les pro propritaires :

1) Ils nont pas compris entirement le problme de celui-ci et avec le temps, ils pourraient changer davis ayant acquis plus dexprience/connaissance. Ceux dans ce cas ne sont pas a blmer.

2) Ils ont compris mais par facilite, fainantise, orgueil Avances des faux arguments pour dfendre lindfendable

Cest ok, mme normal de dire *Je ne sais pas* ou *Je me suis tromp*, aucune honte a avoir, cest comme a quon avance.

tablir des basiques obligatoires (exemple, configuration des systmes Linux/Unix en ligne de commande, interdire les software de gestion de ces systmes comme CPANEL/WHM, utiliser iptables et interdire les scripts qui genere automatiquement des rgles de scurit iptables pr dfinie / software comme UFW) compiler les sources en ne passant que les options ncessaires au fonctionnement voir optimise pour le processeur de la machine, interdire le pkg precompile incluant lintgralit des fonctions pas forcement voir pas du tout ncessaire pour la gestion/administration du projet / structure / parc IT, spar au plus possible chaque applications via sandbox, de faon matriel, limiter les accs utilisateur / flux des donnes / navoir que le strict ncessaire en terme de libs / software sur chaque serveurs, mise a jour du systme / application sous 48 heures lorsque celle-ci sont disponibles publiquement (48 h si la faisabilit de ceux-ci peuvent tre applique, au plus rapide dans le cas contraire).

Les vrais pro en scurit informatique, cest ceux quon entend que trop rarement voir pas du tout. Le pro quon entend souvent est surtout dans les relations publiques et lenfumage que dans le domaine quil prtend tre.

----------


## mh-cbon

> ...
> Le rel problme est que bon nombre de ces entreprises sont soit faignante, cupide ou incomptente (voir les 3 a la fois). Tant que a fonctionne correctement, on ne touche a rien et on encaisse la facture donn au client tout en lui vendant du pseudo travail pour qu'il continue a payer. Tt ou tard avec ce genre d'administration foireuse, les problmes arriveront : Pas de problme on envoi un commercial laver le cerveau du client lui expliquant que le problme ntait pas prvisible, avec a l'appuie quelques articles des mdias traditionnels (dont le moteur est le sensationnalisme, pas la technique) et le tour est joue, la socit garde sa rputation et c'est au client (ou assurance) de raquer.


J'ai cru voir un IoT !







> ...
> Actuellement, on ouvre le march a des opportunistes sans scrupules, qui a pour moteur la cupidit. Mieux encore, en cas d'erreur professionnelle, ils nont absolument rien a craindre juridiquement.
> 
> Il serait peut-tre temps de rguler ce domaine dactivit, soit en tenant responsable juridiquement les professionnels soit en autorisant lexercice via certification donne par des personnes qualifies pour (par exemple une certification manant de lANSSI).
> ...


Ouais, grande question que tu soulves l. Mon avis perso, c'est d'abord un problme politique. 
C'est par l'instauration d'un autre "mode de production" (=>  affiner) que l'on peut amener les agents de la production  produire mieux.

J'aurais bien envie d'tre aussi vindicatif que vous sur les motivations des gens qui vendent des solutions troues, 
je crains malheureusement que votre description ne soit pas reprsentative de tout les acteurs et notamment les tpe/pme/pmi/indpendants qui font ce qu'ils peuvent pour vivre.

Aprs faudrait aborder le problme de la scurit par la classification des bugs.
Il y a plusieurs annes de cela les buffer overflow et consurs taient lgions, 
il est difficile de punir un dveloppeur d'avoir laiss passer cela tellement la question
est reste complexe pendant longtemps.
Ce n'est que depuis rcemment que les outils de dveloppement adquats sont apparus
pour prvenir cette classe de bug.
Le dveloppeur  son niveau de producteur de service consommait un outil qui ne pouvait le mener qu' la cration de bugs,
tait il  blmer dans son choix ns des contradictions qu'ils avaient  rsoudre ?

Le problme est intressant en cela qu'il est multi tenant, 
mais dsesprant en cela qu' mettre la charrue avant les bufs on avance  petits pas.

----------


## Patrick Ruiz

*Ransomware WannaCry : les dlais fixs par les hackers sont passs*
*Mais trs peu de ranons ont t payes*

Les possesseurs des ordinateurs affects par le ransomware WCry ont le choix entre se plier  la requte des hackers, cest--dire payer la ranon ou ne pas le faire. De rcentes informations rvlent que malgr le chaos que le ransomware WannaCry a sem depuis le 12 mai (on parle dsormais dun minimum de 300 000 ordinateurs pris en otage de par le monde), trs peu de personnes ont dcid de payer la ranon exige.


Pour rappel, une ranon de 300 $ est exige pour chaque appareil pris en otage et elle double tous les trois jours. Si le choix du rseau bitcoin permet aux hackers de rester dans lanonymat, il donne nanmoins la possibilit de suivre les transactions associes aux portefeuilles lis aux adresses indiques par les hackers. Quartz rvle en effet quun bot Twitter a t mis en place aprs le signalement des premiers cas de prise en otage pour effectuer un suivi de lactivit de trois portefeuilles lis  la collecte des ranons.

Le bot (li au compte Twitter @actual_ransom) gnre un tweet  chaque fois quil y a paiement de la ranon. Les informations recueillies par ce dernier rvlent qu date, 296 paiements ont t effectus par les possesseurs des machines infectes, soit seulement 0,1 % des victimes. Le montant collect par les hackers slve pour sa part  100 000 dollars. Il faudrait noter que le nombre de paiements a connu son pic le plus lev autour du 15 mai et ds lors a commenc  chuter pour se retrouver au plus bas  ce jour. 


Les mises en garde de la communaut de la cyberscurit quant  ce qui concerne le paiement de la ranon et la rcente mise  disposition doutils de dchiffrement des donnes ont srement contribu  ce quil y ait de moins en moins de paiements. Seulement, faudrait-il le rappeler, les outils de dchiffrement mis  disposition fonctionnent sous certaines conditions. Le dernier  tre test est fonctionnel de Windows XP  Windows 7 et ne fonctionne qu condition quil ny ait pas eu redmarrage de lordinateur infect. 

Maintenant, difficile de dire combien dordinateurs respectent encore ce critre quand on sait que dans ce genre de situation le premier rflexe est gnralement de redmarrer la machine en question. Le problme demeure donc entier et est amplifi par le fait que les dlais accords pour le paiement sont dpasss, ce qui, thoriquement, expose les victimes  leffacement de leurs donnes par les hackers. Si des observateurs saccordent  dire que le butin engrang par les hackers derrire le ransomware WannaCry est bien maigre en comparaison  ce qui a t enregistr par le pass, rien nexclut quil soit fortement revu  la hausse. Une vague dattaques dune version de WannaCry sans kill switch reste en effet redoute.

Sources : Quartz, bot Twitter

*Et vous ?*

 ::fleche::  Quen pensez-vous ?

*Voir aussi :*

 ::fleche::  Le ransomware WCry prend en otage des milliers d'ordinateurs dans une attaque d'envergure mondiale, des ranons de 300 $ minimum sont exiges
 ::fleche::  Ransomware WannaCrypt : Microsoft publie en urgence des MJ de scurit pour ses OS, XP reoit ainsi son premier patch en trois ans
 ::fleche::  WannaCrypt : Microsoft rappelle aux utilisateurs l'importance de mettre  jour leurs systmes, et aux gouvernements leurs responsabilits
 ::fleche::  La Core du Nord serait-elle derrire le ransomware WCry ? Des indices dans le code le suggrent

----------


## 23JFK

100 000 dollars sans rien faire (ou presque), c'est dj une russite pour les crateurs du ransomware.

----------


## Stphane le calme

*WannaCry : 386 chantillons du logiciel malveillant ont t dcouverts  * 
*par les chercheurs en scurit de Trustlook * 

Les chercheurs en scurit de Trustlook ont annonc avoir trouv quelques centaines dchantillons du logiciel malveillant WannaCry. Malgr le fait que ce logiciel na commenc son activit, arm doutils de la NSA qui ont fuit sur internet, quil y a un peu plus dune semaine, les victimes se comptent dj par centaines de milliers et sont rparties sur une centaine de pays.

La vitesse de propagation tait telle que Microsoft sest dcide  sortir un correctif mme pour ses systmes quil ne prenait plus en charge, parmi lesquels Windows XP.

Le logiciel malveillant se sert de l'exploit EternalBlue, qui a t publi avec dautres exploits de la NSA par les Shadow Brokers. Cet exploit profite dune vulnrabilit de scurit qui est dsormais corrige (depuis le mois de mars pour les versions prises en charge) dans le protocole Windows Server Message Block (SMB). Puis intervient un autre outil de la NSA, baptis DoublePulsar, qui a facilit sa propagation.

Il est possible que de nombreux chantillons de logiciels malveillants aient merg en raison de l'empaquetage des kits dexploitation actuellement disponibles qui ont t mis  jour pour y intgrer WannaCrys. Les premiers exemples de WannaCry, antrieurs  la version utilise dans les attaques rcentes qui se propagent comme un ver, remontent  fvrier de cette anne.

*Une activit amorce en fvrier*

Cest en tout cas ce que laisse penser Sean Whalen de VirusTotal Intelligence :  Lors de la collecte d'chantillons de WannaCry, j'ai trouv un chantillon antrieur  la version de vers. L'chantillon a t compil le 9 fvrier et tlcharg sur VirusTotal le 10 fvrier. Bien que les timestamps de compilation puissent tre falsifis, la proximit de la date de tlchargement suggre que l'horodatage de la compilation est lgitime . Mme son de cloche du ct dAvast qui a dclar que le ransomware a commenc  tre actif durant le mois de mars.

Malgr le fait que les victimes aient t trs nombreuses et que mme de grandes institutions comme loprateur de tlcommunications Telefnica nont pas t pargnes, les ranons verses ont t relativement faibles : durant lcriture de ces lignes, Elliptic indique que la somme se rapproche des 110 000 dollars. Ce qui peut suggrer que la crise a relativement pu tre bien gre.

*Lheure des leons ?*

Mais cette attaque a galement t le moment de tirer des sonnettes dalarme. La firme de scurit Malwarebytes a crit dans un nouveau rapport que, compte tenu de l'absence d'autres preuves, c'est la seule manire dont WannaCry aurait pu se propager : les attaquants ont balay Internet  la recherche de ports SMB vulnrables.

 Sans preuve autrement dfinitive du vecteur d'infection via des captures ou des journaux fournis par l'utilisateur, et sur la base des rapports des utilisateurs indiquant que les machines ont t infectes lorsque les employs sont arrivs au travail, nous devons conclure que les attaquants ont lanc une opration de recherche de vulnrabilit des ports SMB publics et, une fois localiss, ont utilis des exploits SMB nouvellement disponibles pour dployer des logiciels malveillants et se propager vers d'autres machines vulnrables au sein des rseaux connects , a crit lanalyste senior de logiciels malveillants, Adam McNeil.

 Dvelopper une campagne bien conue pour identifier quelques milliers de machines vulnrables en si peu de temps permettrait la distribution rpandue de ce malware sur l'chelle et la vitesse que nous avons vues avec cette variante particulire de ransomware , a-t-il continu. 

McNeil a affirm quil est d'accord avec Microsoft lorsque lentreprise estime que la NSA et d'autres agences de renseignement doivent cesser de stocker des exploits et des failles qui peuvent tre utiliss comme des armes numriques et tomber entre nimporte quelles mains. L'incident WannaCry n'est qu'un exemple qui vient illustrer ce qui peut arriver lorsque les failles zero day ne sont pas signales aux entreprises concernes et conserves pour tre exploites par le gouvernement.

*La convention numrique de Genve, une ncessit ?*

Pour parer  ce genre dventualit, Microsoft avait propos aux gouvernements du monde entier la cration de lquivalent numrique de la convention de Genve :  De mme que la quatrime Convention de Genve protge depuis longtemps les civils en temps de guerre, nous avons besoin d'une Convention de Genve numrique qui engagera les gouvernements  protger les civils contre les attaques des tats-nations en temps de paix. De mme que la quatrime Convention de Genve a reconnu que la protection des civils exigeait la participation active de la Croix-Rouge, la protection contre les cyberattaques de l'tat-nation ncessite l'assistance active des entreprises technologiques. Le secteur de la technologie joue un rle unique en tant que premiers intervenants de l'Internet, et nous devons donc nous engager dans une action collective qui rendra l'internet plus sr, affirmant un rle de Suisse numrique neutre qui assiste les clients partout et conserve la confiance du monde , a estim Brad Smith, le prsident et directeur juridique de Microsoft.

Source : TrustLook, MalwareBytes

*Voir aussi :*

 ::fleche::  Microsoft propose aux gouvernements du monde entier la cration d'une  convention de Genve numrique , que pensez-vous de ce projet ?

----------


## RyzenOC

J'ai pas compris comment ce virus s'installe sur une machine.

Sans le savoir, les leons  retir c'est :
   ne pas ouvrir n'importe quels fichiers (.exe...) surtout avec les droits admin
   ne pas ouvrir de mails suspects
   avoir un systmes et des logiciels  jours
   ne pas utiliser flash et les applets java

on en reviens aux bases, la chaise et le clavier.


un ransomware c'est pas trop grave pour nous autres, au pire il y'a destructions de donnes, j'aurais beaucoup plus peur pour ma pomme le jour ou se sera du vol de donnes d'entreprise comme Facebook, ou Google, un pirate pouvant savoir tous sur ta vie, avoir toutes les conversations de ton tel, de tes mails... les revendre  bon prix

le ransomware dans le pire des cas tu perd pas grand choses, tu perd 4-5 jours de travail max, car videment les entreprises font des sauvegardes priodique, il suffit de formater, de restaurer les donnes et on repart sur de nouvelle base, bref beaucoup de bruit pour rien.... comment personne ne fais de sauvegarde  ::mrgreen:: 
la prochaine fois le patron auras qu'a augmenter le budget informatique de la boite  ::):  bienfait.

----------


## marsupial

Ouaip.

Et ce que les politiques ne saisissent pas, l introduction de backdoors dans le chiffrement = WannaCry exposant botnet mirai; i.e, internet tombe et tous les PC sont bloques.

Un armageddon anarchiste sur le Net.


On les laisse tout reconstruire ?

----------


## RyzenOC

> Ouaip.
> 
> Et ce que les politiques ne saisissent pas, l introduction de backdoors dans le chiffrement = WannaCry exposant botnet mirai; i.e, internet tombe et tous les PC sont bloques.
> 
> Un armageddon anarchiste sur le Net.
> 
> 
> On les laisse tout reconstruire ?


C'est mme mieux que sa, moi j'attends un virus de ce genre sur tous les appareils connectes.
J'ai hte que nos frigo et lave linge connectes choppe un virus et cre une belle attaque DDOS sur les big brother.

Mr Michu tellement ignorant ne fera jamais aucune manip pour arrter le massacre, bref tous vas seffondrer avec de belles erreurs 500 serveur surcharges  ::mrgreen:: 

En voulant nous connectes  outrances, ils aurons construits leurs propre tombe.

----------


## Patrick Ruiz

*Il est fort probable que le groupe Lazarus soit derrire le ransomware WannaCry*
*Daprs la firme de scurit Symantec*

Il y a dj une semaine que Neel Mehta, chercheur en scurit chez Google a fait le rapprochement entre le code du ransomware WannaCry (dans sa version du mois de fvrier) et celui du malware Cantopee. Les similitudes dans le code avaient permis de lier un groupe nord-coren nomm Lazarus au ransomware WannaCry. Il subsistait cependant un doute, le ransomware WannaCry dans sa version de mai ne portait pas les signatures retrouves dans celle du mois de fvrier, ce qui laissait penser  une manuvre de diversion.

La firme de scurit Symantec a aussi men des investigations sur les similitudes entre le ransomware WannaCry et le malware Cantopee. Symantec se veut clair, les versions de WannaCry de fvrier et de mai sont globalement identiques, avec cependant quelques changements. La version de mai diffrerait de celle de fvrier essentiellement par lutilisation de lexploit EternalBlue qui lui a confr son caractre darme de destruction de masse. Symantec a clairement tabli le lien entre les versions de WannaCry du mois de fvrier et celle de mai en voquant le fait que les mots de passe des fichiers .Zip contenus dans linjecteur de WannaCry sont similaires dans les deux versions. Il sagit des chanes de caractres : wcry@123, wcry@2016 et WNcry@2ol7. 

Les similitudes entre la version de WannaCry de fvrier et le malware Cantopee ayant t tablies, ce nouvel lment de Symantec (le lien entre les versions de WannaCry de fvrier et de mai) augmente la probabilit que le groupe Lazarus soit lauteur du ransomware WannaCry. Cest dailleurs ce que semble affirmer Vikram Thakur, directeur technique chez Symantec, lorsquil sexprime au micro de Reuters en disant que  nous sommes srs du fait quil sagit du travail de personnes lies au groupe Lazarus puisquelles devaient avoir accs au code source.  Et dajouter que  nous ne pensons pas quil sagisse dune opration pilote par un gouvernement.  

Au sujet dun possible commandite du gouvernement nord-coren, Vikram Thakur a ajout :  le fait que les hackers aient demand des ranons avant que les fichiers ne soient dchiffrs prouve quils ne travaillent pas pour le gouvernement nord-coren.   

Sources : Symantec, Reuters

*Et vous ?*

 ::fleche::  Quen pensez-vous ?

*Voir aussi :* 

 ::fleche::  Le ransomware WCry prend en otage des milliers d'ordinateurs dans une attaque d'envergure mondiale, des ranons de 300 $ minimum sont exiges
 ::fleche::  Ransomware WannaCrypt : Microsoft publie en urgence des MJ de scurit pour ses OS, XP reoit ainsi son premier patch en trois ans
 ::fleche::  WannaCrypt : Microsoft rappelle aux utilisateurs l'importance de mettre  jour leurs systmes, et aux gouvernements leurs responsabilits
 ::fleche::  La Core du Nord serait-elle derrire le ransomware WCry ? Des indices dans le code le suggrent

----------


## chrtophe

> J'ai hte que nos frigo et lave linge connectes choppe un virus et cre une belle attaque DDOS sur les big brother.


Tu rigoleras moins quand tu devras jeter son contenu car programm pour sarrter tout seul, qu'il te commande des courses sans ton aval, et que ton lave-linge provoquera un dgts des eaux suite  reprogrammation.

Connecter un frigo ou un lave-linge  Internet, non mais allo quoi ...

----------


## BufferBob

> Connecter un frigo ou un lave-linge  Internet, non mais allo quoi ...


ou pire encore, imagine un tlphone connect  internet, et qu'en plus on se baladerait avec en permanence, "LOL", aucune chance que a arrive un jour heureusement...

----------


## Florian_PB

> Au sujet dun possible commandite du gouvernement nord-coren, Vikram Thakur a ajout :  le fait que les hackers aient demand des ranons avant que les fichiers ne soient dchiffrs prouve quils ne travaillent pas pour le gouvernement nord-coren.


Ce n'est pas parce qu'une ranon a t rclame qu'ils ne sont pas lis au gouvernement, ils peuvent trs bien vouloir renflouer leurs caisses tout en ayant t commandits par une entit extrieure. Rien ne dit non plus qu'ils n'ont pas travaill seul derrire.

----------


## mh-cbon

> Ce n'est pas parce qu'une ranon a t rclame qu'ils ne sont pas lis au gouvernement, ils peuvent trs bien vouloir renflouer leurs caisses tout en ayant t commandits par une entit extrieure. Rien ne dit non plus qu'ils n'ont pas travaill seul derrire.


ouais  ::D:  je ne sais pas de quel pays imaginaire tu t'inspires, mais avec le butin rcolt tu ne fais pas vivre trois peknos  shanghai ad vitam ternam  ::): 

on parle de combien 100 / 150 / 200 K $ je crois ? Mme en core du nord on en rigole  :;):

----------


## Stphane le calme

*Faites attention aux faux correctifs de WannaCry diffuss en ligne, * 
*les chercheurs en scurit recommandent la prudence et le bon sens * 

Avec la vague dattaques au ransomware WannaCry, les experts en scurit ont recommand aux entreprises de faire attention aux correctifs quils tlchargent sur Internet.  Ils exploitent vraiment les craintes de tous , a expliqu Adam Malone, directeur des enqutes numriques de lentreprise PwC base  New York.

Il a rappel que les vendeurs lgitimes ne vont pas envoyer des alertes via des publications virales sur les rseaux sociaux. De plus, il a soulign que les correctifs ne ncessitent dordinaire pas de tlchargement :  Ils sont gnralement fournis via le logiciel de mise  jour du fournisseur .  Dans ce cas particulier, le correctif est fourni par Microsoft officiellement grce  son service de mise  jour Windows .

Pour obtenir le patch, tout ce que les utilisateurs doivent faire cest lancer leur programme Windows Update.

De mme, il a rappel que les fournisseurs d'antivirus distribuent automatiquement les nouvelles signatures via des mises  jour logicielles :  Ils ne sont jamais distribus via un lien ou un message texte ou un site de rseautage social .

Et dans les cas o un patch doit tre tlcharg ou si les utilisateurs choisissent de faire une mise  jour manuelle, ils devraient tre srs qu'ils se trouvent sur le site Web officiel du fournisseur et non sur un site tiers.

Par exemple, Microsoft a publi des liens de mises  jour  lintention danciennes versions de son systme d'exploitation, ainsi que sa Microsoft Malicious Software Removal Tool (MSRT) pour dtecter et supprimer le malware WannaCrypt dans un billet de blog officiel. Lentreprise a prvenu que  Pour les clients qui excutent Windows Update, l'outil dtecte et supprime WannaCrypt et d'autres infections malveillantes rpandues. Les clients peuvent galement tlcharger et excuter manuellement l'outil en suivant les instructions. L'outil MSRT s'excute sur tous les ordinateurs Windows pris en charge o les mises  jour automatiques sont actives, y compris celles qui ne fonctionnent pas avec d'autres produits de scurit Microsoft .

Certains fraudeurs vont mme tenter de vendre des correctifs, a dclar Cathie Brown, vice-prsidente de la socit de conseil en technologie Impact Makers inc.  Chaque fois qu'il y a une attaque  grande chelle ou une attaque de malware lance, nous voyons merger de faux correctifs , a-t-elle dclar.  Tout comme le systme de ransomware, il est facile de coder et de dployer un faux correctif - il peut rapidement devenir rentable .

Aussi, mme si cela peut sembler vident, elle recommande la prudence et le bon sens :  Aucune entreprise de scurit ou d'informatique rpute ne va essayer de vendre des correctifs aux vulnrabilits des logiciels malveillants lorsque vous pouvez l'obtenir gratuitement par Microsoft , a-t-elle dclar.

Damien Hugoo, directeur de la gestion de produits chez Easy Solutions, inc., a dclar quil y a mme eu des applications dans des magasins d'applications tierces offrant des correctifs  WannaCry. Pourtant, comme il la rappel,  WannaCry n'affecte mme pas les appareils mobiles .

Les cybercriminels qui lancent des attaques de phishing utilisent galement le nom  WannaCry  pour inciter les utilisateurs  cliquer sur des liens malveillants. Par exemple, au Royaume-Uni o le service national de sant a t touch par le virus, les utilisateurs ont reu un courriel prtendant tre de BT qui leur a demand de cliquer sur un lien pour confirmer une mise  niveau de scurit.

Un autre courriel a prtendu tre issu de LogMeIn, inc., connu pour ses produits tels que GoToMeeting, GoToMyPC, LastPass et LogMeIn. Selon la publication du blog de l'entreprise, ce courriel a dclar aux utilisateurs qu'ils taient dj infects par WannaCry et qu'ils avaient besoin de mettre  jour leur logiciel LogMeIn en cliquant sur un lien qui semblait pointer vers le site officiel. L'adresse de retour affichait  LogMeIn.com Auto-Mailer  au niveau du nom, mais ladresse de retour relle tait une chane de caractres alatoires.

Une autre arnaque consiste  envoyer un message qui indique aux utilisateurs qu'ils sont infects et leur demander de l'argent. Notons que, dans ces cas-l, les ordinateurs ne sont en ralit pas infects ou les fichiers ne sont pas chiffrs.  Cela ne cote pas grand-chose aux criminels de diffuser ce genre de messages , a dclar Malone de PwC.

Source : blog TechNet, PwC, Impact Makers

----------


## Florian_PB

Dans ce dernier cas c'est juste les gens qui n'ont pas assimils les rflexes de base que nous autres surhommes informaticiens avons, pas de leur fautes s'ils sont ignorants n'ont pas t duqus pour contrer ce genre de mthodes.

Edit : je suis totalement ironique, ce n'est pas  prendre au premier degr. je dis juste que ceux qui n'ont pas reu "d'ducation informatique" ne savent pas forcment dmler le vrai du faux de ce qu'ils voient sur internet ds que a parle de virus et de scurit informatique.

----------


## mh-cbon

> Dans ce dernier cas c'est juste les gens qui n'ont pas assimils les rflexes de base que nous autres surhommes informaticiens avons, pas de leur fautes s'ils sont ignorants n'ont pas t duqus pour contrer ce genre de mthodes.


je minsurge en faux la dessus, ce serait dire que les gens sont idiot par inertie (hrditaire/environnementale/whatever). Je proclames que les mthodes d'enseignements d'informatiques ncessite d'tre adaptes  tous, car le choix n'existe simplement pas, et puis parce que c'est relou de se dire que les gens sont stupide par inertie.

Dit autrement, ils chouent, car nous avons chou  leurs transmettre les connaissances.

----------


## hotcryx

Aprs les "les terroristes modrs", et les "incidents terroristes" que l'on voit en gros titre dans la presse, ce sont eux qui ont invent ces termes, maintenant les chercheurs en scurit recommandent la prudence et le bon sens.

On vit chez les fous?

N'importe qui peut devenir chercheur en scurit en lanant ce genre de protection  ::aie::

----------


## Florian_PB

> je minsurge en faux la dessus, ce serait dire que les gens sont idiot par inertie (hrditaire/environnementale/whatever). Je proclames que les mthodes d'enseignements d'informatiques ncessite d'tre adaptes  tous, car le choix n'existe simplement pas, et puis parce que c'est relou de se dire que les gens sont stupide par inertie.
> 
> Dit autrement, ils chouent, car nous avons chou  leurs transmettre les connaissances.


C'tait totalement ironique l dessus, seulement le soucis est que ceux qui travaillent dedans o s'y intressent de prs possdent dj des reflexes de base par rapport  l'informatique et ne se feront pas berner par ces faux patchs l o Mme Michu qui sait pas forcment comment a marche va naturellement cliquer sur la jolie pub qui propose de tlcharger un patch anti WannaCry.

----------


## Aiekick

> Et donc quand tu dclares tes variables au lieu d'crire un "DisplayID", tu cris "isibonisiID" et on conclut... que tu es un horrible hacker... Zoulou!!!


Ca renvois au mme. ci c'est du code compil tu n'a pas de variables explicites de ce type dans le code assembleur.

ou alors tu as des string avec du corens .. et la a pousse le dbile a un autre niveau.

quel tait le langage de dev du malware ?

----------


## Stphane le calme

*WannaCry : deux centaines de cls matres de dchiffrement sont mises  la disposition du public, * 
*pour le plus grand bonheur des diteurs de solutions antivirus* 

Des spcialistes de la scurit travaillant pour le compte dentreprises franaises ont publi une paire d'outils de dchiffrement pour le ransomware WanaCry. Cependant, ces outils ncessitent entre autres que la machine infecte nait pas t redmarre. 

Les spcialistes ont confirm que le dcrypteur Wannakey fonctionne sur Windows XP, 7, 2003, Vista et Windows Server 2008, tandis que l'autre outil, appel Wanakiwi, fonctionne sur ces mmes plateformes, mais galement plus 2008 R2. 

Cest lingnieur Adrien Guinet de Quarkslab qui a dvelopp Wannakey, suite  quoi lingnieur Benjamin Delpy a dvelopp Wanakiwi en sappuyant sur la mthodologie de Guinet et en esprant un plus large champ dapplication. Il a travaill en collaboration avec le fondateur de Comae Technologies, Matthieu Suiche, qui a vrifi l'efficacit de Wannakey et Wanakiwi. Les deux outils ont t mis en tlchargement sur GitHub.

Comme lont expliqu Guinet et Suiche, Wannakey et Wanakiwi ne recherchent pas rellement la cl de dchiffrement en elle-mme : les deux outils sondent plutt la mmoire des machines infectes  la recherche des nombres premiers qui ont t laisses aprs le processus de cration de cl prive 

 Il semble qu'il n'y ait pas de faons propres et multiplateformes sous Windows pour nettoyer cette mmoire , a dclar Guinet, en se rfrant spcifiquement aux versions de Windows compatibles avec son outil.  Si vous tes chanceux (c'est--dire que la mmoire associe n'a pas t raffecte et efface), ces nombres premiers pourraient encore tre en mmoire. C'est ce que ce logiciel essaie d'atteindre .
.
Malheureusement, toute tentative de redmarrage de la machine rend ces outils de dchiffrement inutiles, car ils dpendent de la mmoire actuelle en cours de fonctionnement. De mme, une trop grande activit post-infection sur l'ordinateur infect crasera la mmoire et aura le mme effet.

Notons galement quau total, les spcialistes ont dtect 386 chantillons de logiciels malveillants utilisant WannaCry.

Tout ceci tait sans compter sur un dveloppement positif de cette affaire : dans un forum spcialis, un individu rpondant au pseudonyme lightsentinelone a publi 200 cls matres de dchiffrement.

Ce n'est pas la premire fois que des cls matres pour WannaCry sont diffuses, il sagit mme de la troisime vague. Cependant, ce qui distingue cette vague des autres, c'est le fait que les cls puissent galement tre utilises pour dchiffrer les fichiers chiffrs avec des extensions .wallet et .onion.

Comme lexpliquent les ingnieurs dESET qui sen sont servi pour dvelopper un outil de dchiffrement,  Cela est devenu une habitude des oprateurs de Crysis ces derniers temps - ceci est la troisime fois que des cls sont diffuses de cette manire -. Depuis que le dernier ensemble de cls de dchiffrement a t publi, des attaques par le ransomware Crysis ont t dtectes par nos systmes plus de dix mille fois .

Malgr cette bonne nouvelle, ESET rappelle que les ransomwares restent l'une des menaces informatiques les plus dangereuses actuellement et que la prvention est essentielle pour garder les utilisateurs en scurit.

 Par consquent, nous recommandons que tous les utilisateurs gardent leurs systmes d'exploitation et leurs logiciels mis  jour, utilisent des solutions de scurit fiables avec plusieurs couches de protection et sauvegardent rgulirement toutes les donnes importantes et prcieuses  un emplacement hors connexion (comme le stockage externe) . 
.
Source : ESET

*Voir aussi :*

 ::fleche::  Microsoft dvoile une version de Windows 10 pour le gouvernement chinois, pour lui permettre de contrler la tlmtrie et le chiffrement dans ses SI
 ::fleche::  WindsorGreen : les plans de la NSA pour casser les chiffrements auraient t dcouverts en libre accs sur Internet, par un chercheur en scurit
 ::fleche::  Affaire San Bernardino : le dchiffrement de l'iPhone aurait cot moins cher qu'annonc par le FBI, rvle le snateur Feinstein

----------


## Stphane le calme

*L'exploit EternalBlue, utilis pour armer WannaCry, pourrait galement tre port sur Windows 10, * 
*d'aprs des chercheurs de RiskSense * 

WannaCry a cibl une vulnrabilit critique de Server Message Block (SMB) que Microsoft a corrige avec son patch MS17-010 qui a t diffus le 14 mars 2017. Le logiciel malveillant sappuyait sur deux exploits de la NSA : EternalBlue, pour infecter les systmes, et DoublePulsar, comme porte drobe.

Alors que les dgts de WannaCry taient principalement limits aux machines tournant sur Windows 7, une version diffrente d'EternalBlue pourrait infecter Windows 10.

Cest en tout cas ce que suggrent des chercheurs de RiskSense. Ils ont figur parmi les premiers  analyser EternalBlue, sa charge utile DoublePulsar et la plateforme Fuzzbunch de la NSA (souvenez-vous de Metasploit). Ils ont dclar qu'ils ne vont pas publier le code source du port Windows 10 pendant quelque temps, le cas chant. 

Dans le cadre de leurs analyses, ils ont dcouvert quil tait possible de contourner les mcanismes de scurit de Windows 10 en modifiant le code de lexploit EternalBlue. Selon les chercheurs, la meilleure dfense contre EternalBlue consiste  appliquer la mise  jour MS17-010 fournie en mars par Microsoft.

Les chercheurs ont publi un rapport dans lequel ils expliquent ce qui est ncessaire pour porter l'exploit de la NSA sur Windows 10. Ils prennent galement le temps dexaminer les mesures d'attnuation mises en uvre par Microsoft qui peuvent bloquer ces attaques.

 Nous avons omis certains dtails de la chane d'exploit qui ne seraient utiles qu'aux attaquants et non  la construction de dfenses , a dclar l'analyste principal de recherche Sean Dillon.  La recherche est destine  l'industrie de la scurit de l'information des whites HAT afin d'accrotre la comprhension et la connaissance de ces exploits. Lobjectif est de voir se dvelopper de nouvelles techniques prvenir des attaques futures. Cela aide les dfenseurs  mieux comprendre la chane d'exploit afin qu'ils puissent construire des dfenses face  l'exploit plutt que face  la charge utile  .

Le module Metasploit disponible, qui est compltement spar du nouveau port Windows 10, est une version simplifie d'EternalBlue qui a rduit la quantit de trafic rseau impliqu et, par consquent, plusieurs des rgles du systme de dtection d'intrusion cres depuis la fuite et recommandes par les entreprises de scurit et le gouvernement amricain pourraient tre contournes. Il supprime galement la porte drobe DoublePulsar,  laquelle Dillon a dclar que de nombreuses entreprises de scurit ont accord une attention trop importante. DoublePulsar est un exploit au niveau du noyau abandonn par tous les exploits de la plateforme Fuzzbunch.

Il affirme que son quipe et lui ont russi   crer une nouvelle charge utile qui peut charger des logiciels malveillants directement sans installer au pralable la porte drobe DoublePulsar. Ainsi, les personnes qui cherchent  se dfendre contre ces attaques  l'avenir ne devraient pas se concentrer uniquement sur DoublePulsar. Concentrez-vous sur les parties de l'exploit que nous pouvons dtecter et bloquer . 

Le nouveau port cible Windows 10 x64 version 1511, qui a t publi en novembre et tait baptis Threshold 2, est toujours pris en charge dans Windows Current Branch for Business. Les chercheurs ont pu contourner les attnuations introduites dans Windows 10 qui ne sont pas prsentes dans Windows XP, 7 ou 8, et vaincre les drivations EternalBlue pour DEP et ASLR.

 Pour nous connecter  Windows 10, nous avons d crer une nouvelle drivation pour DEP , a expliqu Dillon. Le rapport RiskSense prsente plus de dtails sur la nouvelle attaque, y compris sur la nouvelle charge utile qui vient remplacer DoublePulsar, dont Dillon a dclar qu'elle tait cryptographiquement instable et permet  quiconque de charger des logiciels malveillants secondaires. La nouvelle charge utile de RiskSense est une Asynchronous Procedure Call (APC) qui permet d'excuter les charges utiles du mode utilisateur sans la porte drobe.

 Une APC peut emprunter un thread de processus qui se trouve dans un tat alertable inactif et s'il repose sur des structures dont les dcalages changent entre les versions de Microsoft Windows, c'est l'un des moyens les plus fiables et les plus faciles de sortir du mode noyau et d'entrer dans le mode utilisateur , a expliqu RiskSense.

Source : rapport de RiskSense (au format PDF)

----------


## Patrick Ruiz

*Ransomware WannaCry : Quelles erreurs ont commises ses auteurs ?*
*Et comment en tirer profit, daprs Kaspersky Lab*

Les chercheurs en scurit sont dsormais formels au sujet du degr de sophistication du ransomware WannaCry. Si ce dernier a bnfici dune forte couverture mdiatique, cest bien  cause de sa propagation  grande chelle cause par la ngligence des acteurs du secteur de lIT. WannaCry nen est pas pour autant, aux dires des experts en scurit, le plus sophistiqu des ransomwares de lhistoire. Les chercheurs de la firme de scurit Kaspersky Lab ont pass son code au dcryptage et dvoil des failles qui permettent  des personnes possdant des ordinateurs infects de rcuprer leurs donnes. 

Les chercheurs de la firme Kaspersky Lab rapportent quau moment de chiffrer les fichiers de la victime, le fichier original est lu, son contenu est chiffr et sauvegard dans un autre avec lextension .WNCRYPT. Le fichier avec lextension .WNCRYPT est ensuite renomm avec lextension .WNCRY et loriginal est dtruit ou simplement masqu. Ils rapportent que ce processus dpend de lemplacement du fichier concern au sein de lordinateur et de ses attributs.

Dans le cas des fichiers en lecture seule, les chercheurs rapportent que le ransomware cre une copie chiffre des fichiers originaux qui, eux-mmes, sont simplement masqus. On peut voir sur limage ci-dessous que chaque fichier avec lextension .WNCRY a un correspondant qui est le fichier original masqu. Ceci a comme implication que les fichiers sont aisment rcuprables en procdant  une restauration de leurs attributs normaux. 


 

Pour ce qui est des fichiers qui ont leur attribut lecture seule non activ, la situation est un peu plus complexe et dpend de lemplacement du fichier au sein de lordinateur affect. Les chercheurs rapportent que le code du ransomware fait le distinguo entre les fichiers situs sur la partition systme et ceux situs en dehors. Pour ce qui est de la partition systme, le code du ransomware discrimine les rpertoires  importants  - rpertoire Windows, documents, bureau, etc. - et ceux qui ne le sont pas, par exemple un fichier qui serait situ sur la racine de la partition systme.

Daprs ce qui ressort de leur analyse de la section de code du ransomware cense grer les fichiers situs sur la partition systme (cf. image 1 ci-dessous), ceux situs dans les rpertoires importants sont crass avec des donnes alatoires et ne peuvent donc tre rcuprs. Ceux situs dans les rpertoires non marqus comme tant importants sont placs dans des fichiers dont le chemin daccs est %TEMP%\%d.WNCRYT o %d reprsente une valeur numrique (cf. image 2 ci-dessous). Il sagit en ralit des fichiers chiffrs qui, aux dires des chercheurs, correspondent aux originaux qui sont supprims par le ransomware.  Les chercheurs indiquent que lusage dun outil de rcupration des donnes peut permettre de rcuprer les fichiers originaux qui, mme sils sont supprims, laissent en principe des traces.




Il y a enfin le cas des donnes situes sur les partitions non systme. Leur analyse de la section de code cense grer des fichiers situs sur de telles partitions (cf. image 3 ci-dessous) rvle que le ransomware cre un rpertoire masqu $RECYCLE invisible via lexplorateur de fichiers. Ce rpertoire est cens accueillir les fichiers chiffrs. Les chercheurs font tat de ce qu cause de certaines erreurs de synchronisation dans le code, la plupart des fichiers originaux demeurent  leur emplacement dorigine et ne sont pas dplacs vers le rpertoire $RECYCLE. Dans ce cas galement, la suppression des fichiers par le ransomware laisse des traces qui permettent une rcupration  laide dun outil ddi (cf. image 4 ci-dessous).




Il faudrait rappeler que cette publication des chercheurs de la firme Kaspersky Lab intervient dans un contexte o un certain nombre doutils de dchiffrement ont dj t mis  disposition du public. Un inconvnient majeur demeure cependant avec ces outils : la machine infecte ne doit pas avoir t redmarre. La publication de la firme Kaspersky semble apporter un plus  ces dveloppements ultrieurs en ce sens quelle donne une ide de lemplacement des fichiers chiffrs et par consquent des originaux. Ceci suppose que lusage correct dun outil de rcupration des donnes sur un disque install sur une machine demprunt peut permettre de rcuprer des donnes.

Source : SECURELIST

*Et vous ?*

 ::fleche::  Quen pensez-vous ?

*Voir aussi :*

 ::fleche::  L'exploit EternalBlue, utilis pour armer WannaCry, pourrait galement tre port sur Windows 10, d'aprs des chercheurs de RiskSense
 ::fleche::  Faites attention aux faux correctifs de WannaCry diffuss en ligne, les chercheurs en scurit recommandent la prudence et le bon sens

----------


## Michael Guilloux

*La NSA souponne galement la Core du Nord dtre derrire WannaCry*
*en se basant sur les tactiques, techniques et objectifs du ransomware*

 la mi-mai, un nouveau ransomware baptis WannaCry a t utilis dans une vaste campagne de cyberattaque qui a touch plus de 300 000 personnes dans environ 150 pays. Cette attaque a rapidement mobilis la communaut de la cyberscurit dont les analyses pointent sur Lazarus, un groupe de hackers trs connu, souponn dtre parrain par le gouvernement nord-coren. WannaCry exploite une faille dans Windows ; laquelle avait t dcouverte, mais garde secrte par la NSA qui la probablement exploite  des fins despionnage. Lexploit de la NSA a t malheureusement mis en ligne en avril dernier par Shadow Brokers, un autre groupe de pirates qui a russi  drober larsenal de piratage de la NSA lan dernier.

Lagence nationale de scurit des tats-Unis (NSA) a galement men des investigations sur la campagne WannaCry. Ses rsultats ont t publis en interne la semaine dernire, daprs le Washington Post, qui en a t inform par une source proche des services de renseignements des tats-Unis. Dans ce rapport qui na pas encore t divulgu, les investigations de la NSA permettent de remonter au gouvernement nord-coren, daprs la source. 

En se basant sur les tactiques, les techniques et les objectifs de la campagne WannaCry, la NSA indique avec une  confiance raisonnable  quil sagit de luvre du groupe Lazarus suspect dtre parrain par l'agence despionnage de la Core du Nord, le Reconnaissance General Bureau (RGB). La NSA aurait par exemple identifi des adresses IP en Chine, historiquement utilises par Lazarus pour brouiller ses pistes.

WannaCry tait apparemment une tentative d'augmenter les revenus pour le rgime autoritaire nord-coren. La Core du Nord tant l'un des pays les plus isols au monde, le dploiement de capacits cyberntiques lui permettrait de gnrer des revenus pour le rgime. L'anne dernire, les chercheurs en scurit ont identifi la Core du Nord comme tant derrire une srie de cyberattaques ciblant des banques en Asie, y compris la Banque centrale du Bangladesh o ils ont russi  voler plus de 81 millions de dollars. Dans cette dernire, le groupe Lazarus, index par Kaspersky, a exploit une faille dans le systme de paiement de la banque. Le fait qu'un pays utilise des outils cyberntiques pour voler des banques reprsente  un nouveau front troublant dans la cyberguerre , regrettait le directeur adjoint de la NSA, Richard Ledgett.  C'est un gros problme , avait-il dclar en faisant allusion  la Core du Nord sans la citer.

Le dernier effort de gnrer des revenus via le ransomware WannaCry a toutefois t un chec. Bien que les pirates aient obtenu 140 000 $ en bitcoins, jusqu' prsent, ils ne l'ont pas encaiss. Ils devraient craindre de se faire prendre par les forces de lordre, probablement  cause dune erreur oprationnelle qui a rendu les transactions faciles  suivre.  Aucune plateforme dchange de devises en ligne ne touchera [cet argent] , a dclar Jake Williams, fondateur de Rendition Infosec, une firme de cyberscurit.  C'est comme prendre sciemment des factures entaches dun vol de banque , dit-il.

Jake Williams, qui a galement analys attentivement le code de WannaCry, dit tre convaincu que le ransomware s'est vad accidentellement dans une phase de test. Il explique cela par certaines de ses lacunes, comme lincapacit de lattaquant  dire qui a pay la ranon ou non. Nanmoins, dit-il, cela montre quune faille peut tre transforme en arme avec le soutien dun gouvernement pour dployer un ransomware.  Si la Core du Nord s'en tire avec cela, je m'attends  ce que d'autres pays en dveloppement suivent leur exemple. Je pense que cela changerait un peu le paysage cyberntique , a-t-il ajout.

Source : The Washington Post

*Et vous ?*

 ::fleche::  Quen pensez-vous ?

*Voir aussi :*

 ::fleche::  Industroyer : un malware conu pour prendre le contrle des lignes lectriques est celui qui a rcemment plong Kiev dans le noir
 ::fleche::  Un nouveau malware infecte les PC ds que l'utilisateur place le curseur de la souris sur un lien contenu dans un fichier PowerPoint
 ::fleche::  Le malware Turla joint son centre de contrle et commande via des commentaires Instagram, d'aprs une publication de la firme ESET

----------


## Aiekick

pourquoi relayer les annonces de la nsa comme celle ci ??? on ne les crois plus !

----------


## BufferBob

le 17 mai dernier dj, Symantec, Kaspersky Labs, des chercheurs indpendants comme Mathieu Suiche etc. annonaient que le code des premires versions de WCry avait des allures de dj vu du Lazarus Group, lequel est identifi depuis pas mal de temps comme ayant des liens avec la Core du Nord

quand la NSA annonce a 3 semaines aprs, non seulement ce n'est pas vraiment un scoop, mais ce ne sont finalement que les conclusions de l'enqute qu'ils menaient jusqu'alors

quant  plus y croire, battre le pavillon de la rvolte ou s'offusquer de ci ou a franchement...  ::roll:: 
faudrait que la NSA fasse une annonce: "ne vous jetez pas du haut d'une falaise, la chute pourrait tre mortelle", du coup les moutons y croiraient btement, tandis que les plus malins eux, qui savent que la NSA ment, iraient se jeter du haut de la falaise

----------


## Patrick Ruiz

*WannaCry : infection de 55 camras de trafic routier en Australie*
*Pendant des oprations de maintenance*

La radio australienne 3AW sest fait le relais dune information trs frache en ce qui concerne le clbre ransomware WannaCry. Un porte-parole du Dpartement de la justice de ltat de Victoria en Australie a indiqu que 55 camras de trafic routier ont t infectes par ce dernier depuis la semaine dernire. 

Les infections se seraient produites suite  lintroduction dune cl USB infecte par le ransomware sur lesdites camras  qui, apparemment, tournaient sous une version de Windows  non mentionne  pendant des oprations de maintenance. Seulement, les camras ntant connectes ni  Internet ni entre elles, linfection sest limite  chacune delles. 

Linfection des camras a, aux dires du porte-parole du Dpartement de la justice, eu pour seul effet de les faire redmarrer de temps en temps, le reste de leurs fonctionnalits tant demeures intactes. Il a donc indiqu que les infractions enregistres par ces dernires pendant cette priode seraient bel et bien prises en compte. 

Le mode de propagation voqu par le porte-parole laisse cependant songeur. On sait jusquici que le ransomware WannaCry se rplique dordinateur en ordinateur via Internet en exploitant des failles dans le protocole SMB utilis sous Windows. Le cas de ces camras de trafic routier suppose que lon aurait affaire  une version de WannaCry capable de rsider sur un support amovible en attendant son insertion dans un ordinateur quil prend alors en otage, ce qui, semble-t-il, serait une premire. 

Les techniciens ont srement eu confirmation de la nature de linfection via un moniteur de contrle qui leur a affich le traditionnel message de demande de la ranon. Quoi quil en soit, le porte-parole a dclar que des dispositions sont prises pour un retour  la normale dans les jours qui suivent.

Le ransomware WannaCry, qui a commenc  svir en mai dernier, reste donc bien prsent. On en a la preuve avec le cas de ces camras, mais celui encore plus rcent du constructeur automobile japonais Honda qui a d arrter sa production lundi dernier pour cause dinfection. Les responsables IT sont donc plus que jamais appels  prendre les prcautions ncessaires pour prmunir les systmes de leurs entreprises respectives contre ces attaques.

Sources : 3AW, The Guardian, Reuters

*Et vous ?*

 ::fleche::  Que pensez-vous particulirement du mode de propagation voqu par le porte-parole du Dpartement de la justice ?

*Voir aussi :*

 ::fleche::  Ransomware WannaCrypt : Microsoft publie en urgence des MJ de scurit pour ses OS, XP reoit ainsi son premier patch en trois ans
 ::fleche::  WannaCrypt : Microsoft rappelle aux utilisateurs l'importance de mettre  jour leurs systmes et aux gouvernements leurs responsabilits
 ::fleche::  La Core du Nord serait-elle derrire le ransomware WCry ? Des indices dans le code le suggrent

----------


## MikeRowSoft

> Les infections se seraient produites suite  lintroduction dune cl USB infecte par le ransomware sur lesdites camras  qui, apparemment, tournaient sous une version de Windows  non mentionne  pendant des oprations de maintenance.


ChipGenius

Encore heureux que tous n'y soient pas... Et surtout que tous n'aient pas les mmes "mthodes de reprogrammation"...

----------


## alexetgus

> un groupe de hackers trs connu, souponn dtre parrain par le gouvernement nord-coren.


En Core du Nord, est-ce qu'on peut vraiment parler de "parrainage" ?  ::aie::

----------


## Patrick Ruiz

*WannaCry : les cybercriminels vident les portefeuilles Bitcoin de collecte des ranons*
*Lquivalent de 140 000 $*

Les activits nfastes du ransomware WannaCry ont t rapportes ds le 13 mai dernier. Paralllement  cette  apocalypse  numrique, un bot Twitter de suivi des trois portefeuilles Bitcoin a t mis en place par un dveloppeur. Ce dernier semblait indiquer une cessation des paiements de ranon, le montant total engrang tant de 100 000 $. De rcentes activits du bot indiquent que les paiements ont continu aprs cette priode permettant aux cybercriminels de retirer lquivalent de 140 000 $ en quelques minutes ce matin.

140 000 $, cest peu, estiment certains observateurs, en comparaison  la forte mdiatisation quil y a eu autour de cette cyberattaque. Le ransomware, bas sur un exploit de la NSA ciblant les systmes Windows, a infect plus de 300 000 ordinateurs de par le monde, la ranon minimum exige par poste de travail slevant  300 $.

Le succs en termes de collecte des ranons na cependant pas t au rendez-vous pour les cybercriminels. Ces derniers ont commis de nombreuses erreurs  qui ont tour  tour permis  des chercheurs en cyberscurit de mettre sur pied un outil de dchiffrement pour PC Windows XP uniquement, puis un autre de porte plus large couvrant les systmes dexploitation Windows XP  7. La firme de scurit Kaspersky Lab avait galement publi un article soulignant des erreurs permettant de rcuprer des fichiers.

Lunion de la communaut de la cyberscurit a donc srieusement plomb la collecte des ranons, toutes choses qui font quen date du 24 juillet dernier le butin slve  140 000 $. Lactivit du bot Twitter indique que les auteurs du ransomware ont procd au vidage de ces portefeuilles ce matin en sept retraits tals sur une dure de sept  dix minutes.

Le mystre demeure toujours sur lorigine de lattaque et le fait que les transactions se fassent sur le rseau Bitcoin contribue largement  cet tat de choses. Fin mai, une publication de la firme de scurit Symantec a rvl quil est fort probable que le groupe Lazarus soit derrire ces cyberattaques. Faisant suite  cette publication, la firme de scurit Kaspersky Lab avait elle aussi abouti  la mme conclusion. Du ct des tats-Unis, mme son de cloche au niveau de la NSA qui avait elle aussi dclar tre sre de son diagnostic avec une confiance  raisonnable .

Source : bot_Twitter

*Et vous ?*

 ::fleche::  Quen pensez-vous ?

*Voir aussi :* 

 ::fleche::  GoldenEye : un ransomware qui se propage  l'aide de demandes d'emploi et cible les services de ressources humaines
 ::fleche::  Karmen : un ransomware-as-a-service qui permet  tout amateur de mener des attaques de ransomware contre la modique somme de 175 dollars

----------


## BufferBob

sur le mme sujet et sans vouloir polluer la news; le hacker Marcus Hutchins qui avait enregistr le domaine servant de killswitch  WCry en mai dernier a t arrt aprs la Defcon et est dtenu par le FBI

----------


## Michael Guilloux

*USA : le chercheur en scurit britannique qui a mis fin  la propagation de WannaCry arrt par le FBI*
*aprs la confrence Def Con sur la cyberscurit*

En mai, WannaCry a commenc  semer la terreur en faisant de nombreuses victimes dans le monde. Des hpitaux au Royaume-Uni, une socit espagnole de tlcommunications et d'autres cibles en Russie, en Turquie, en Allemagne, au Vietnam et dans bien dautres pays encore. Cette nouvelle menace mondiale a tout de suite attir lattention des chercheurs en scurit, qui comme dhabitude cherchaient  savoir comment WannaCry fonctionne, se propage et si possible comment larrter.

Le jeune Britannique Marcus Hutchins, plus connu sous le nom de MalwareTech, faisait partie de ces chercheurs qui se sont lancs dans lanalyse du code de WannaCry. Cest alors quil a dclench par hasard un kill switch (une sorte de bouton durgence) qui tait dans le code du malware. WannaCry essaie en effet dtablir une connexion avec un domaine non enregistr. Mais tant que ce domaine ntait pas enregistr, le malware narrivait pas  tablir la connexion et continuait son infection, mais sil arrivait  se connecter au domaine, il arrtait alors linfection. Sans le savoir, Marcus Hutchins a enregistr le domaine avec lequel le malware essayait dtablir une connexion et publi une page sur le domaine. Son intention tait de suivre la propagation de WannaCry, mais il dcouvre que cela a eu pour effet secondaire darrter la propagation de linfection. Cest ainsi quil est devenu un hros.


Marcus Hutchins, plus connu sous le nom de MalwareTech
Passionn du hacking, Marcus Hutchins est le genre de personnes qui ne manquent pas les confrences internationales sur la cyberscurit comme le Black Hat et la Def Con qui se sont tenues lune aprs au cours des deux dernires semaines  Las Vegas.

Ce mercredi, quelques jours aprs la Def Con, le jeune chercheur en scurit britannique a t arrt par les autorits amricaines, une information confirme par de nombreux mdias amricains. Motherboard a galement pu vrifier qu'une personne appele Marcus Hutchins, ge de 23 ans, tait dtenue au centre de dtention d'Henderson au Nevada tt le jeudi. Quelques heures aprs, Hutchins a t dplac vers une autre endroit, selon un ami proche. Ce dernier a dclar qu'ils  ont essay de le visiter ds que le centre de dtention a ouvert [aujourd'hui], mais il avait dj t transfr. 

Pour le moment, nul ne sait les raisons de son arrestation et encore moins sil y a un lien avec laffaire WannaCry.  Nous ne savons toujours pas pourquoi Marcus a t arrt et maintenant, nous n'avons aucune ide de l'endroit o il a t emmen et nous sommes extrmement proccups pour son bien-tre , a dclar la source. Tout ce quon sait, cest que le chercheur a t arrt par le FBI. Un porte-parole des marchaux des tats-Unis a en effet dclar que  c'tait une arrestation par le FBI .

Les autorits britanniques semblent galement informes de la situation, mais nen disent pas plus,  part affirmer que cest une affaire avec les forces de lordre des tats-Unis.  Nous sommes conscients qu'un ressortissant du Royaume-Uni a t arrt, mais c'est une affaire des autorits aux tats-Unis , a dclar un porte-parole de l'Agence nationale britannique du crime. Au centre national britannique de la cyberscurit, cest le mme ton :  Nous sommes au courant de la situation. Il s'agit d'une question d'application de la loi et il serait inappropri den dire plus. 

Laffaire suit son cours. Nous vous tiendrons donc informs quand il y aura du nouveau. Pendant ce temps, on apprend que les fonds extorqus aux victimes de la campagne WannaCry ont t retirs, soit lquivalent de 140 000 dollars encaisss en quelques minutes ce matin.

Source : Vice

*Et vous ?*

 ::fleche::  Quen pensez-vous ?

----------


## TiranusKBX

La raison invoque pour les chefs d'inculpation est trs floue et comme le dit l'EFF si quelqu'un d'autre reprend ton code et l'utilise  des fins malveillantes ne veut pas dire que l'on est responsable. Sinon on peut condamner tout de suite les libs de dev open sources vus qu'elles sont aussi massivement reprises dans des malware

----------


## Afaure

a part en *** vraiment l , je pige pas pourquoi ils ont arrt le hacker qui  trouv , en plus ils souponnent la Core   maintenant ,   on va terminer avec les illuminatis et tout ou quoi ?!  ::mrgreen:: 

Les responsables , ce sont les shadows brokers , ce sont eux qui ont drobs ces failles  la NSA , et des petits malins en ont profit . 
Il ne faut pas aller bien loin , regardez :  http://www.lemonde.fr/pixels/article...8_4408996.html

Je vous laisse mditer , Bonne journe .

----------


## Patrick Ruiz

*WannaCry : une partie des bitcoins lis aux ranons convertis en Monero*
*Une cryptomonnaie dont les transactions seraient  non traables *

Le bot_Twitter de suivi des adresses Bitcoin utilises par les auteurs du ransomware a rcemment dtect une activit sur ces derniers. On sait que les cybercriminels ont procd en multiples retraits pour un montant total en bitcoins quivalent  140 000 $. De rcents dveloppements de Forbes  ce sujet indiquent quune partie de ces bitcoins a t convertie en Monero, une autre cryptomonnaie dont les montants des transactions ne seraient pas publis sur la chane de blocs associe.

La communaut de la cyberscurit guette une ventuelle erreur des auteurs du ransomware WannaCry pour les dmasquer. Sachant quils sont attendus sur les failles du rseau Bitcoin permettant de remonter  eux, les cybercriminels ont opt pour lexploitation dun service de change de cryptomonnaies permettant de convertir les bitcoins en leur possession en Monero. Ils ont cependant agi avec prudence en procdant au change dune partie seulement du montant en leur possession.

Forbes rapporte que 13,5 bitcoins, soit lquivalent de 36 922 $, ont t convertis en Monero par le biais de Shapeshift.io, un service de change suisse.  Les transactions sur le rseau Monero sont entirement anonymises , a dclar Giancarlo Russo, CEO de Neutrino, une firme de scurit italienne. Ce dernier ajoute mme qu il ne sera plus possible de tracer les futures transactions . Les cybercriminels seraient donc, comme qui dirait, en train de russir le pari de sapproprier cet argent sans se faire identifier.

Le service de change de la socit suisse permet deffectuer une transaction sans quil ne soit ncessaire de crer un compte. Cet tat de choses a d contribuer  faciliter la tche des cybercriminels qui, selon la socit en question, ont fait un usage frauduleux de son service.   compter de ce jour, nous avons pris des mesures pour bannir toutes les adresses connues par notre quipe comme tant lies aux auteurs du ransomware WannaCry, ce, conformment  nos termes de service , a dclar un porte-parole de ladite socit.

 De plus, nous nous engageons  collaborer avec les forces de lordre impliques dans ce cas et les assisterons dans leurs moindres requtes pour apprhender les auteurs de ces actes , a-t-il conclu.

Difficile cependant de dire quelle est la direction que les bitcoins restants ont prise. Le fait que les cybercriminels aient procd en plusieurs retraits suggre nanmoins quils ont fait usage d'autres services de change pour positionner leurs avoirs sur un rseau plus sr pour eux.

Source : bot_Twitter, Forbes

*Et vous ?*

 ::fleche::  Quen pensez-vous ?

*Voir aussi :*

 ::fleche::  GoldenEye : un ransomware qui se propage  l'aide de demandes d'emploi  et cible les services de ressources humaines
 ::fleche::  Karmen : un ransomware-as-a-service qui permet  tout amateur de mener des attaques de ransomware contre la modique somme de 175 dollars

----------


## Pierre GIRARD

Si je comprends bien, les BitCoins deviennent l'arme absolue pour le blanchiment d'argent ?  :8O:

----------


## Afaure

Oui , les bitcoins sont de plus en plus utiliss .(darknet , ransomware ..l)

----------


## gadj0dil0

'On' parle beaucoup de a en ce moment mais je trouve a compltement im*bit*able. Certains article du site blogchaincafe.com sont trs technique comme Ethereum vs. Bitcoin: les diffrences donc je comprend encore moins. J'ai russi  comprendre qu'il y a un 'capital', plafond de 40M pour Bitcoin et 20 pour Ether  ::lol:: .
Effectivement a  l'air d'tre pas mal pour blanchir de l'argent. Bon j'ai pas fait de recherche sur la toile masi comment ils font pour encaisser l'argent ou acheter la crypto. Il faut une banque compatible?

----------


## Ryu2000

Cyberattaque Wannacry: Washington accuse la Core du Nord



> "Cette vaste attaque a cot des milliards et la Core du Nord en est directement responsable", a crit le conseiller  la scurit intrieure de Donald Trump, Tom Bossert, dans le Wall Street Journal. Il doit fournir de plus amples dtails mardi matin lors d'un point presse. "Nous ne portons pas ces accusations  la lgre. Elles reposent sur des preuves", affirme-t-il. En octobre, le gouvernement britannique avait accus la Core du Nord d'tre  l'origine de cette cyberattaque, qui avait notamment mis  mal le service public de sant britannique (NHS).


Les USA ont tendance  accuser n'importe qui.
Mais peut tre que pour une fois ils ont des preuves crdible ^^

----------


## Stphane le calme

*WannaCry : les tats-Unis incriminent officiellement la Core du Nord,*
* avec un trs haut niveau de certitude  * 

Cette anne, lun des logiciels malveillants qui a beaucoup fait parler de lui est le ransomware WannaCry. Pour rappel, le ransomware WannaCry a cibl une vulnrabilit critique de Server Message Block (SMB) que Microsoft a corrige avec son patch MS17-010 qui a t diffus le 14 mars 2017 et sest appuy sur deux exploits de la NSA diffuss par les Shadow Brokers : EternalBlue, pour infecter les systmes, et DoublePulsar, comme porte drobe.

Durant sa campagne, il a infect des milliers dentreprises de par le monde, affectant diffrents secteurs de lindustrie, mais galement des particuliers. 

Plusieurs experts en scurit informatique qui avaient examin le code de WannaCry aprs lattaque, avaient repr des similarits avec celui utilis pour attaquer Sony Pictures, luvre dun groupe de pirates trs comptents appel Lazarus, suspect dtre parrain par l'agence despionnage de la Core du Nord, le Reconnaissance General Bureau (RGB).

Ayant men une enqute sur WannaCry, la NSA a galement indiqu dans ses rsultats en interne en juin 2017 quelle pensait, avec une  confiance raisonnable , quil sagit de luvre du groupe Lazarus. La NSA aurait par exemple identifi des adresses IP en Chine, historiquement utilises par Lazarus pour brouiller ses pistes.

Si cette conclusion ntait que le fruit dune divulgation dune source au Washington Post, cette fois-ci ladministration Trump la rendue officielle. En effet, ce lundi 18 dcembre, les tats-Unis ont accus la Core du Nord dtre  directement responsable  de la cyberattaque mondiale WannaCry.

Tom Bossert, conseiller  la scurit intrieure de la Maison-Blanche, affirme  avec un trs haut niveau de certitude  que la Maison-Blanche est parvenue  ces conclusions   la suite dune enqute minutieuse .

 Il ne sagit pas dune accusation lance  la lgre. Elle est fonde sur des preuves. Nous ne sommes pas non plus les seuls  le penser. Dautres gouvernements et entreprises prives sont daccord avec nous. Le Royaume-Uni attribue cette attaque  la Core du Nord et Microsoft est remont jusqu ses auteurs, qui sont affilis au rgime nord-coren.  

 L'attaque sest gnralise et a cot des milliards, et la Core du Nord est directement responsable , a-t-il insist.

Et de regretter que  La Core du Nord a agi particulirement mal, en grande partie sans contrle, pendant plus d'une dcennie, et son comportement malveillant est de plus en plus flagrant , estimant que  WannaCry tait inconsidrment imprudent. 

La condamnation publique de Washington n'inclut aucun acte d'accusation ni de nom de personne en particulier, a ajout le responsable de l'administration, ajoutant que cette procdure visait  rendre Pyongyang responsable de ses actes et  roder et rduire leur capacit  lancer des attaques. 

En France, une enqute avait t ouverte par le parquet de Paris et confie  lOffice central de lutte contre la criminalit lie aux technologies de linformation et de la communication.

En juin, la Core du Nord avait dmenti, aux Nations unies, tre  lorigine de la cyberattaque.

L'accusation des tats-Unis intervient dans un contexte o des inquitudes sont souleves quant aux capacits de piratage de la Core du Nord et  son programme d'armement nuclaire.

Source : WSJ, Reuters

*Et vous ?*

 ::fleche::  Qu'en pensez-vous ?

----------


## alexetgus

"Haut niveau de certitude", "suspects", "confiance raisonnable", "nous ne sommes pas les seuls  le penser",  ...

En voil un dossier solide, que des doutes !
Les USA devraient se calmer avec leurs accusations  la lgre. A moins que a ne serve leurs intrts comme en Irak.
Comme par hasard, c'est la Core du Nord qui est dsigne. Ca tombe au bon moment ! A quand les frappes sur ce pays ?  ::roll::

----------


## koyosama

Ah je me rappelle quand Sony a lanc la mode. Je ferais la mme chose, c'est la faute  la Core du Nord ds que je fais une bourde.  :8-):

----------


## arond

@koyosama

Mais non !!! il faut alterner entre la Russie la Chine et la core du nord. Et de temps en temps les terroristes pour se souvenir que sa existe comme sa tu tapes pas toujours sur les mmes. Effet Garantie  !  :8-):

----------


## Pill_S

Y'a 6 mois tout le monde se fendait pas la gueule en se disant qu'un tel pays d'arrirs ne pourrait jamais rien pirater?

Ha oui pardon, maintenant qu'on souponne la CdN d'tre capable de faire pter une bombe H et en plus de l'embarquer sur un missile, on revoit notre copie c'est a?

A ce rythme-l dans 6 mois on dira qu'ils sont  la pointe dans tous les domaines high-tech?

Arrtez de faire des plans sur la comte, la vrit c'est que personne n'en sait rien, et a a sent surtout l'argument foireux pour justifier (ou aider  justifier) une future attaque... mais pas informatique cette fois  ::):

----------


## Ryu2000

> et a a sent surtout l'argument foireux pour justifier (ou aider  justifier) une future attaque... mais pas informatique cette fois


C'est marrant a me rappel le discours d'une personne fan de la guerre et de la destruction :
Clinton: US should use 'military response' to fight cyberattacks from Russia and China



> "*As President, I will make it clear that the United States will treat cyberattacks just like any other attack. We will be ready with serious political, economic, and military responses*," she told the attendees, largely made up of veterans and their supporters.


C'est pratique, il suffit que des hackers fassent une attaque sous faux drapeaux (par exemple, des israliens qui se font passer pour des Russes) et paf ! a fait une guerre mondiale.
Ben du coup heureusement qu'elle a perdue les lections.
Parce que cette news aurait peut tre t un prtexte suffisant pour attaquer militairement.

----------


## marsupial

Tous les observateurs  l'poque se sont accords  mettre en cause Lazarus qui serait depuis Sony reconnu comme tant le bras "arm" de la Core du Nord.

----------


## Pierre GIRARD

Oui, mais bon ... la thorie du complot etc... Depuis Kennedy, tout ce que disent les amricains est suspect, mme le premier pas d'un homme sur la lune. Ma question serait plutt : Mais pourquoi certains cherchent absolument  protger les Russes, les Corens ou d'autres quand des soupons psent sur eux. A en crore certains, les Corens et les Russes sont tellement nuls en informatique et donc qu'il est rigoureusement impossible qu'ils puissent faire quoi que ce soit contre les invulnrables Amricains.

Moi, je me contente d'attendre d'en savoir plus, mais le moment n'est pas aux conclusions.

Autre chose, pour autant que je sache, les armes chimiques Irakiennes n'taient pas totalement bidon (mme si a s'est avr faux ou au moins largement sur-valu) dans la mesure o les Amricains en avaient fournies aux Irakiens dans leur guerre contre l'Iran. Mais bon, la thorie du complot a la vie belle, alors : Faisons une confiance totale  ces merveilleux Corens du Nord incapables de nous crer quelque soucis que ce soit dans quelque domaine que ce soit.  ::roll::

----------


## Aeson

Il y en a vraiment encore qui pensent que les USA de Trump sont credible ? lol

----------


## Pierre GIRARD

> Il y en a vraiment encore qui pensent que les USA de Trump sont credible ? lol


Au moins autant que la Russie de Poutine ou la Core de Kim Jong-un. La diffrence, c'est que Trump n'est pas seul, en face de lui, il y a :
- La Chambre des reprsentants
- Le Snat
- La Sparation des pouvoirs et donc une justice indpendante avec  sa tte la Cour suprme
- Des tats fdraux ayant une certaine autonomie interdisant au prsident de faire n'importe quoi
- Une Presse indpendante et critique (certains prsidents sont tombs grce  la presse)
- Etc...

Donc non, je n'ai aucune confiance en Trompe, d'ailleurs, il est lui-mme sous le coup denqutes internes concernant les dernires lections prsidentielles, mais il peut parfaitement tre dmis de sa fonction. En revanche, il n'existe aucun contre-pouvoir en Core du Nord ni en Russie, ni en ... Ce qui fait une norme diffrence.

----------


## Aeson

> En revanche, il n'existe aucun contre-pouvoir en Core du Nord ni en Russie


Ou est-ce que j'ai parle de CdN et de la Russie ? T'avais envie de parler pour rien dire apparement....

----------


## Pierre GIRARD

> Ou est-ce que j'ai parle de CdN et de la Russie ? *T'avais envie de parler* pour rien dire apparement....


a n'est pas une envie, c'est juste que c'est prcisment le sujet du fil : "*WannaCry : les tats-Unis incriminent officiellement la Core du Nord*". Et toi tu rponds  ce fil par : "*Il y en a vraiment encore qui pensent que les USA de Trump sont credible?*". Ma rponse  *TA* question va donc directement dans le sens du fil concernant *les USA et la Core du Nord*. Contrairement  toi, sur cette affaire, j'ai beaucoup plus de raison de croire les USA que les Corens ... d'o mon intervention prcdente.

----------


## Aeson

... on va dire que t'as raison ca ira plus vite  :;):

----------


## Stphane le calme

*Comment les autorits amricaines ont-elles traqu l'un des hackers nord-corens derrire le virus WannaCry,*
*en partant d'un CV comme indice ? * 

Le 6 septembre, le ministre de la Justice des tats-Unis a officiellement accus un dveloppeur nord-coren dtre parmi les instigateurs de certaines des plus grandes cyberattaques de ces dernires annes.

Selon l'acte d'accusation de 176 pages, Park a travaill pour Chosun Expo Joint Venture, une entreprise qui serait lie  une unit de renseignement militaire nord-corenne appele Lab 110 mais qui se fait passer pour une entreprise de jeu et paris en ligne.

Park ferait partie dune unit connue sous le nom de "Lazarus Group", que les tats-Unis allguent galement lie  dautres campagnes de spear phishing,  des attaques par logiciels malveillants et  la tentative de vol de documents et dargent des banques dAsie du Sud-Est et dAfrique.

Le hacker nord-coren a t inculp d'un chef d'accusation de complot en vue de commettre une fraude informatique et d'un autre chef de complot en vue de commettre une fraude lectronique. Laccusation de fraude informatique peut conduire  cinq ans demprisonnement au maximum, tandis que la fraude lectronique peut aller jusqu 20 ans.

Il est peu probable que Park soit extrad car les tats-Unis nont pas de relations formelles avec la Core du Nord.


*Park Jin Hyok*
*Les diffrentes attaques qui lui sont attribues*

Le piratage de Sony Pictures en novembre 2014 a conduit  la publication de milliers de courriers lectroniques internes, de documents et d'autres informations telles que les salaires et les films non publis.

L'attaque a eu lieu avant la sortie du film de comdie The Interview, qui dpeint un complot fictif de la CIA visant  tuer le dirigeant nord-coren Kim Jong-un.

Un mois plus tard, des responsables amricains ont accus la Core du Nord de l'attaque, une accusation soutenue par plusieurs organisations, dont une lie au gouvernement sud-coren.

La cyberattaque WannaCry a eu lieu en 2017 lorsque le ransomware a infect environ 300 000 ordinateurs. Il fallait que les personnes touches par le virus paient une certaine somme en Bitcoin pour accder  leurs fichiers  nouveau.

Une autre attaque informatique de grande envergure que les tats-Unis avaient attribus  la Core du Nord tait le transfert illicite de 81 millions de dollars dune banque bangladaise en 2016.

En somme, selon lacte d'accusation du DOJ de 179 pages, les tats-Unis estiment que Park Jin Hyok, un Nord-Coren de 34 ans, est l'une des nombreuses personnes  l'origine d'une longue srie d'attaques de malwares et d'intrusions, telles que:
le ransomware WannaCry qui a fait beaucoup parl de lui en 2017;les tentatives de piratage de l'entrepreneur de dfense amricain Lockheed Martin en 2016;Les oprations lances contre la Banque centrale du Bangladesh 2016;Lintrusion chez Sony Pictures Entertainment en 2014;Lintrusion dans les systmes des chanes amricaines de cinma AMC Theatres et Mammoth Screen en 2014;Une longue srie de piratages d'organisations de mdias, de banques et d'entits militaires sud-corennes sur plusieurs annes et;des piratages de banques  travers le monde de 2015  2018.
*Le CV qui met sur la voie* 

La Chosun Expo Joint Venture s'est engage  la fois dans le hacking et dans les affaires rgulires, travaillant avec des clients sur des projets logiciels et informatiques et utilisant des services de messagerie gratuits, notamment Gmail, selon la plainte pnale. Lacte daccusation souligne quun indice a permis aux enquteurs de progresser lorsque le prtendu suprieur de Park a envoy son CV et sa photo  une autre entreprise dans le cadre de ses oprations technologiques quotidiennes.

Les enquteurs ont consult environ 1 000 comptes de messagerie et de mdias sociaux en utilisant une centaine de mandats de recherche et les ont utiliss pour rassembler une image des hackers et de leurs oprations, selon la plainte.


Eric Chien, directeur technique de la rponse de scurit chez Symantec Corp., une socit de scurit numrique base  Mountain View, en Californie, qui suit le Lazarus Group et est cit dans le rapport du ministre de la Justice, a dclar que les hackers vont probablement changer leur infrastructure mail. "Nous nous attendons  une accalmie, puis  une reprise dactivit", a dclar Chien dans une interview.

*Les choses se prcisent* 

Lacte daccusation du Dpartement de la justice, lun des plus importants en son genre en ce qui concerne le nombre de pages, numre une vaste gamme dadresses lectroniques utilises pour enregistrer des noms de domaine et acheter des services dhbergement utiliss dans tous les cas.

Il inclut galement les adresses IP utilises pour accder aux serveurs de commande et de contrle des logiciels malveillants, aux comptes de mdias sociaux et aux serveurs pirats hbergeant des logiciels malveillants utiliss dans les attaques.

Les responsables affirment avoir identifi les comptes de messagerie et de mdias sociaux que Park utilisait lors de son travail  Chosun Expo, ainsi que les comptes de messagerie et de mdias sociaux utiliss par Lazarus Group pendant ses quatre annes de piratage.


Les enquteurs signalent en particulier un personnage faux nomm "Kim Hyon Woo" qui semble avoir des liens par adresse IP ou par adresse lectronique avec les oprations de piratage de Lazarus et leurs victimes.

Mais les responsables ont dclar que malgr les efforts dploys par Park pour ne pas utiliser son personnage, ses e-mails et ses adresses IP rels pour accder  linfrastructure du Groupe Lazarus et aux serveurs pirats, il a finalement laiss des traces reliant ses comptes rels au personnage:

 Les connexions entre les comptes Expo Chosun de PARK et les comptes Kim Hyon Woo incluent un accs partag  une archive .rar crypte, un enregistrement des comptes Kim Hyon Woo dans le carnet d'adresses de Chosun Expo Accounts, un accs  ces comptes  partir des mmes adresses IP, entre autres .

Les fonctionnaires sont persuad que les comptes en ligne associs au personnage "Kim Hyon Woo" ont t utiliss par plusieurs oprateurs, et ils sont convaincus que Park tait l'un d'entre eux.

De plus, en raison de ses antcdents en matire de programmation, ils croient galement quil a particip  la cration du logiciel malveillant Lazarus Group.

Lequel, les fonctionnaires du DOJ ne sont pas certains. Mais ils ont soulign qu'il existe d'innombrables liens entre les diffrents logiciels malveillants auxquels les oprateurs du groupe Lazarus ont eu recours au fil des ans.

 Les chantillons WannaCry et Trojan.Alphanc ont tous deux utilis l'adresse IP 84.92.36.96 comme adresse IP de commande et de contrle. Cette adresse IP tait galement une adresse de commande et de contrle pour un chantillon de logiciels malveillants obtenus par le FBI, qui supprime une charge utile de logiciels malveillants de la mme manire que les autres logiciels malveillants que les socits de cyberscurit prives ont attribus au Groupe Lazarus, ainsi que dautres utiliss pour cibler Lockheed Martin. Le 29 fvrier et le 1er mars 2016, une adresse IP nord-corenne connecte  cette adresse IP. [...] Plus prcisment, cette adresse IP nord-corenne a t utilise pour accder au serveur Web compromis, le 8 janvier 2016; les 22 et 27 janvier 2016, il s'est galement connect  un ordinateur compromis en Caroline du Nord infect par des logiciels malveillants lis  l'attaque de SPE; et, le 10 mars 2016, il a t utilis pour accder  un profil Facebook auquel il tait possible d'accder depuis l'adresse IP nord-corenne # 2 le 13 dcembre 2015 .

Lacte daccusation prsente plus de dtails de ces connexions et dveloppe un maillage complexe qui relie toutes les infrastructures du groupe Lazarus, puis mne au faux personnage de Kim Hyon Woo, puis aux comptes de Chosun Expo connus auparavant pour avoir appartenu  Park.

Source : acte d'accusation (au format PDF)

*Et vous ?*

 ::fleche::  Cela vous semble-t-il suffisamment crdible ou estim vous qu'il y ait des chances que ce ne soient que des conjectures malheureuses ?

*Voir aussi :*

 ::fleche::  Le CEO de Google refuse de s'exprimer devant le Snat amricain sur l'ingrence russe lors des lections US de 2016
 ::fleche::  Un groupe de hackers aurait russi  pirater PlayStation Network de Sony et a revendiqu l'attaque via un compte Twitter officiel de PlayStation
 ::fleche::  Sony capitule face aux menaces des pirates et renonce  sortir son film  The Interview , provoquant ainsi la colre de nombreux acteurs
 ::fleche::  Piratage de Sony : des hackers menacent de lancer une attaque terroriste contre les salles de cinma qui vont projeter le film  The Interview 
 ::fleche::  Sony Pictures victime d'un piratage par la Core du Nord ? L'attaque pourrait tre une riposte suite  la sortie du film 'The Interview'

----------


## alexetgus

Quand la Core du nord publie une info, on est en droit de discuter cette info.
La Core du nord est une dictature et elle n'hsitera pas  sacrifier un pauvre citoyen qui n'a rien  voir dans l'affaire !

Vous devriez avoir honte de diffuser ce type d'info invrifiable !  ::weird::

----------


## 4sStylZ

Cest les tats unis qui laccusent. Pas la core du nord.

----------


## alexetgus

Tu as vu qui est prsident des USA ?  ::calim2::

----------


## Itachiaurion

> Tu as vu qui est prsident des USA ?


Que je sache Donald Trump n'est pas expert en informatique ni en scurit. Un prsident n'est pas reprsentatif de son tat et il est fort probable qu'il ignorais l'existence mme de cette personne avant que cela soit rvler officiellement ou non. C'est un peu comme dire la mme chose mais 5 ans en arrire quand c'tait Barack Obama qui tais bien plus cool en comparaison, les USA ne sont pas uniquement dfini par leur prsident.

----------


## alexetgus

Oui, bon d'accord, je ne vais pas m'acharner.
Peace !  :;):

----------

