Nota Bene

Il y a quelques jours, Microsoft a lancé une offensive d’ampleur contre le dynamic DNS du fournisseur No-IP. Bilan : vingt-deux de ses domaines ont été saisis.  Les gars de Redmond ont affirmé qu’ils avaient de bonnes raisons de le faire. D’abord, No-IP héberge une multitude de différents malwares, ainsi que de nombreux hackers. Ensuite, il est constamment la cible de cyberattaques, et refuse malgré cela de s’allier à d’autres quand il s’agit d’éradiquer tous ces méchants.

Comme dans la plupart des conflits, chaque camp se renvoie la balle et excelle dans la tactique du  » ce n’est pas de ma faute  » et de  » c’est lui qui a commencé ! ».

C’est surtout le cas pour No-IP, qui  affirme suivre une ligne de conduite irréprochable et toujours être disposé à coopérer quand il s’agit de lutter contre  les cybercriminels. Quant aux clients, ils sont très contrariés par le raid, qu’ils considèrent comme injustifié, surtout contre une compagnie comme No-IP, qui exerce dans la légalité. Ils trouvent aussi insensé que le fournisseur soit face à la justice alors qu’on trouve des malware pratiquement partout.

Est-ce légal de fermer une entreprise parce qu’on y a trouvé un  #virus… ? On en trouve pourtant partout, non ?Tweet

Entre temps, les objectifs fixés pour le raid ont largement été atteints : plus de 4 millions de sites ont été désactivés (certains nuisibles, d’autres non) ce qui a affecté 1.8 millions d’internautes. Microsoft essaie de séparer le bon grain de l’ivraie et s’applique à réactiver les sites inoffensifs. Malgré cela, de nombreux utilisateurs continuent à se plaindre de la perturbation qui concerne encore plusieurs sites.

Chercher à savoir qui est le vrai coupable serait une mission ingrate et désespérée. Je vais laisser les journalistes faire leur travail, et vais plutôt vous donner matière à réfléchir. En se basant uniquement sur des faits et des données chiffrées, on pourra peut-être tirer nos propres conclusions quant à la légalité et l’éthique des actions menées par Microsoft.

1) La saisie de 22 domaines de No-IP a affecté l’activité d’environ 25% des attaques répertoriées chez nous à KL. Et cela représente des centaines d’opérations d’espionnage et de cyberattaques qui ont eu lieu au cours des trois dernières années. Environ un quart d’entre eux possède un centre de contrôle et de commande chez cet hébergeur. Par exemple, des groupes de hackers comme les Syrian Electronic Army et les Gaza Team n’utilisent que No-IP alors que Turla utilise 90% de ses hébergeurs.

2) Il est vrai que, des principaux fournisseurs, No-IP dynamic DNS était le moins disposé à coopérer. Par exemple, ils ont ignoré tous nos mails au sujet des botnets.

3) Nos recherches indiquent que les pirates passent souvent par No-IP pour le pirater les centres de contrôle  et de commande. Une simple recherche via le scanner de Virustotal suffit à le confirmer : 4.5 millions échantillons de malware inédits viennent de No-IP.

4) Pourtant les derniers données enregistrées par notre sécurité de cloud (KSN) révèlent que les choses ne sont pas si simples. Voici un récapitulatif des différentes  cyberattaques enregistrées sur les principaux fournisseurs de  dynamic DNS :

Comme vous pouvez le constater, No-IP n’est pas en tête de liste, ce n’est donc pas lui qui comptabilise le plus grand nombre d’attaques, même si les pourcentages enregistrés restent élevés.

Autre point de comparaison : le % d’hébergeurs dont les noms de domaines terminent par .com représente 0.03%, ceux terminant par.ru 0.39% alors que ceux de No-IP représentent 27.5% !

Et voici d’autres données pour nuancer les choses : en une semaine,  on a comptabilisé environ 30 000 domaines de malware sur No-IP, alors que cette même semaine on a enregistré 429 000 détections chez l’un des domaines les plus malicieux parmi les .com, ce qui représente 14 fois plus que chez No-IP. Ensuite, le 10^ème domaine le plus infecté des .ru a généré 146 000 détections, c’est-à-dire presque autant que les dix premiers fournisseurs de DNS dynamics  réunis.

Pour résumer:

D’un côté, le blocage de sites populaires consultés par des centaines, si ce n’est des milliers d’internautes, ce n’est pas bien. D’un autre côté, fermer des endroits propices au développement de malwares c’est juste, et noble.

Attaquer les domaines de No-IP. Est-ce bien ou mal ? Ambiguïté avec un grand A.Tweet

Puis les mathématiciens ont fait l’avocat du diable en avançant que :

Quantitativement, la fermeture de tous les domaines de No-IP n’est pas plus efficace pour lutter contre la distribution de malware que la fermeture d’un des plus puissants domaines de malware dans une zone populaire comme i.e., .com, .net ou même .ru. Pour faire simple, même si vous étiez sur le point de fermer tous les fournisseurs de dynamic DNS, Internet ne serait pas encore assez propre pour qu’on puisse faire la différence.

Donc la voilà l’ambiguïté avec un grand A.

Cela permet à chacun de se sentir juste et honnête, par rapport à des choses qui sont loin d’être neutres dans cette affaire. Et quand il s’agit de différencier le bien du mal, ce qui est juste de ce qui ne l’est pas, même Nietzsche s’y perd.

Pourtant, certaines pensées resurgissent …

C’est évident que tant que la quantité de pirates ou le degré de criminalité dépassera un certain seuil, les ‘autorités’ commenceront subitement à fermer des services, et à ignorer les lois concernant les libertés sur Internet et la liberté d’entreprendre. Les choses sont comme ça, une règle de vie dans nos sociétés : Si ça colle, il faudra tôt ou tard le nettoyer.

La liste des sites bloqués est déjà relativement longue : Napster, KaZaA, eMule, Pirate Bay et bien d’autres. Depuis No-IP a été ajouté à la liste.

À qui le tour?

// Bitcoin? Cela a déjà commencé.

Selon bon nombre de sites internet, Bergen est la ville la plus humide et pluvieuse de tout le continent européen. N’en croyez pas un traître mot ! Il y a peu, avec quelques amis, nous sommes allés y faire un tour. Nous y sommes restés 3 jours et pas une goutte de pluie. Au contraire, le soleil brillait si fort que joues étaient plus rouges que les grosses crevettes en vente sur le marché aux poissons de Bergen. (Voir photo ci-dessous).

Et à plus de 200 kilomètres de hauteur, toujours rien excepté un ciel bleu et dégagé, hormis quelques petits nuages. Ce fut seulement en observant au loin qu’on aperçut quelque chose qui ressemblait à une fine pluie. Les gens du coin étaient stupéfaits eux aussi, il n’avait jamais plu aussi peu en été !

En lire plus :La ville la plus pluvieuse d’Europe. Hélas.

Piratage en Bourse pour quelques microsecondes.

Les cyber-arnaques sont partout. Même sur le marché boursier. Mais tout d’abord, un peu d’histoire …

Il fut un temps ou trader était un métier respecté, mais aussi très pénible. En effet, les agents de change travaillaient, sans relâche et durant un nombre incalculable d’heures, sur des places financières saturées. Ces derniers étaient stressés jour et nuit par la prise constante de décisions capitales. Ils achetaient et vendaient des titres, des fonds, des obligations, des produits dérivés ou autre, peu importe leurs noms, en choisissant toujours le meilleur moment, en fonction de l’évolution des prix et des taux de change. Plus les traders travaillaient,  plus ils devaient faire face à une augmentation de problèmes cardiaques ou autres maux engendrés par l’épuisement. Parfois, pour mettre un terme à cela, ils décidaient tout simplement de sauter par la fenêtre. En gros, c’était loin d’être le meilleur boulot du monde.

Quoi qu’il en soit, c’était il y a longtemps. Toute cette main d’œuvre épuisée a été remplacée par des machines. De nos jours, il n’est plus nécessaire de se creuser les méninges, stresser ou transpirer : une grande partie du travail est prise en charge par des machines. Ces robots sont programmés pour déterminer quel est le meilleur moment pour vendre ou acheter. En d’autres termes, le métier de courtier se résume aujourd’hui à la programmation de robots. Et dans ce cas, leur temps de réaction (à la micro seconde prêt) est essentiel pour tirer un maximum de profit des oscillations du marché. La vitesse dépend donc de la qualité de la connexion internet des systèmes électroniques d’information boursière. C’est-à-dire que plus le robot se trouve proche du centre boursier, plus il aura de chance de faire du bénéfice. Et inversement, les robots situés en périphérie seront toujours en retard, tout comme ceux qui ne disposent pas du tout nouveau logiciel d’algorithme.

Ces temps de réaction ont récemment été piratés par des cybercriminels. Un programme malveillant visant à retarder de quelques centaines de microsecondes le temps de réaction des robots, a infecté un système de fonds de couverture, ce qui lui a probablement fait perdre des opportunités.

En lire plus :CYBERNOUVELLES DU CÔTÉ OBSCUR – 30 JUIN 2014

Privyet à tous !

On peut admirer de magnifiques paysages aux quatre coins du monde. Il m’arrive, de temps en temps, de faire référence à plusieurs d’entre eux sur ce blog. Mais parfois, la beauté et l’enchantement peuvent se trouver juste devant votre porte…

L’autre jour par exemple, en fin d’après-midi, un incroyable groupe de nuages est apparu au-dessus du lac-réservoir qui se trouve en face de notre siège à Moscou. Les premiers,  vaporeux et d’un blanc immaculé, profitaient du soleil éclatant, quand un ensemble d’épais nuages gris et menaçants sont venus les déloger. Malheureusement, le temps que j’aille chercher mon appareil photo, la plupart des nuages sombres avaient disparu, mais j’ai quand même réussi à prendre quelques clichés…

En lire plus :Épaté par les nuages

Les chasseurs de brevets – en savoir plus

Dans ce domaine, les passions continuent à se déchainer, par vague de crises ardentes et déchainées. Malheureusement, les problématiques liées aux parasites de brevets n’ont pas encore disparues. Généralement, on entend seulement parler des cas lourds, plus intéressants. Mais en creusant un peu, on découvre des affaires moins connues, qui sont malgré tout dignes d’intérêt. Nous avons déniché une quantité appréciable d’histoires sur les chasseurs de brevets (ou troll des brevets), assez pour que ce soit le titre de cet article d’ailleurs. Alors voici…

Quand l’ironie est trop forte

Pour ce premier item, je n’ai pas eu à chercher trop longtemps, j’ai seulement fouillé un peu sur Ars Technica. Je suis tombé sur une de ces glorifications du  » regroupeur de brevets  » RPX. Il y est décrit comme un défenseur de la veuve et de l’orphelin, des pauvres et des princesses. Je n’en croyais pas mes yeux :  » RPX vend des abonnements aux sociétés qui se sentent flouées par les chasseurs de brevets, par exemple Apple et plusieurs autres compagnies technologiques. En fait, RPX achète les brevets avant que les chasseurs ne le fassent. En regroupant ainsi le pouvoir de plusieurs compagnies, RPX obtient les brevets à des prix avantageux « . En fait, je suis arrivé à y croire. N’empêche, j’étais secoué par le degré d’hypocrisie…

QUOI ? RPX, un genre d’anti-troll ? Non, mais tout de même…

Source

Nous avons localisé ce pseudo anti-troll au moment de sa création, et nous avons été parmi les premiers à contre-attaquer, et avec succès. En lire plus :Cybernouvelles du côté obscur – 24 juin 2014

Bon, je dois d’abord m’excuser à tous les chauffeurs de Moscou qui, par un récent après-midi ensoleillé, ont été piégés au milieu d’une armada de voitures rétro. C’était nous, KL. On se baladait en compagnie de nos chers associés de l’Europe de l’Ouest.

Les sourires sont contagieux…

La Douma [le parlement]

Le 15 juin 2004 à précisément 19:17, heure de Moscou, un incident marquait le début d’une nouvelle ère dans la sécurité informatique. Le premier malware pour smartphone était découvert.

C’était Cabir, et il infectait les appareils Nokia propulsés par le système d’exploitation Symbian. Il se propageait via des connexions Bluetooth non sécurisées. Avec cette découverte, le monde apprenait que les malwares – que tout le monde connaissait déjà trop bien (sauf peut-être les vieux ermites et les moines) – n’étaient désormais plus réservés aux ordinateurs et que les smartphones pouvaient aussi en être victimes. Oui, plusieurs se grattaient la tête au début –  » Un virus qui affecte mon téléphone ? Laisse-moi rire !  » – mais la majorité des gens a finalement compris, tôt (quelques mois) ou tard (des années, une décennie) cette réalité toute simple. Pendant ce temps, nos analystes étaient au courant depuis longtemps.

Pourquoi ce malware a-t-il été baptisé Cabir ? Pourquoi avons-nous créé une pièce spéciale sécurisée à notre QG de Moscou ? Comment Cabir est-il abouti dans les poches d’un employé de F-Secure ? Plusieurs questions entourant ce sujet ont été posées à Aleks Gostev, notre chef expert en sécurité, dans une entrevue pour notre intranet. J’ai pensé que ça pourrait être intéressant de la partager avec vous. Voyons ce que dit le principal intéressé !

Accessoirement, l’histoire a débuté quand nous avons utilisé ces deux appareils pour analyser le malware.

…mais plus d’infos à propos de ces deux-là plus bas… En lire plus :10 ans depuis le premier malware pour Smartphone

C’est vers la fin des années 1990 que le premier employé de Kaspersky Lab a eu son premier enfant. Mon toast au baptème de celui-ci fut quelque chose du genre : « Nous nous sommes enfin transformés en virus nous-mêmes – et avons commencé à nous multiplier ! »

Nous avons depuis encouragé nos employés à avoir plus d’enfants ! Plus on est de fous, plus on rit. Oui, nous aimons bien les enfants ici à KL. Il est d’ailleurs assez drôle de voir comment la situation a évolué : au début, chaque fois qu’un nouveau petit arrivait au monde, et nous nous réunissions non pas seulement pour le baptiser mais littéralement pour tremper toute la tête de la pauvre créature :). Quelques années plus tard, alors que la fréquence a augmenté considérablement, nous avons choisi d’offrir un cadeau sympa aux nouveaux parents. Ensuite, quand la fréquence de nouveau-né est passée de Hz à kHz, nous nous contentions d’apprendre la nouvelle autour d’un café. C’est dommage mais que pouvons-nous faire ? Nous avons une planète à sauver !

Je ne sais pas combien de petits nous avons eu à KL maintenant, mais nous en avons beaucoup. C’est dans cet esprit, ainsi qu’à l’occasion de la journée internationale de la protection des enfants en Russie (et dans bien d’autres pays) qui aura lieu au début du mois de juin, que nous avons organisé une énorme fête pour les enfants dans nos bureaux ! Près de 200 enfants de nos employés sont venus au travail avec leurs parents pour découvrir l’endroit où un de ses parents disparaît chaque jour de la semaine et pour jouer, peindre, manger, faire du trampoline, et bien d’autres choses.

En lire plus :Une célébration pour les enfants à KL

C’est l’été. Vous avez un peu plus de temps libre. Alors voici, Mesdames et Messieurs, pour ce weekend:

1.  Ma recommandation littéraire

J’entends souvent de drôles de de commentaire – pas exactement humoristiques – à propos de la Chine moderne, spécialement sur son incroyable croissance économique, ou sur la quantité d’heures de travail que les ouvriers chinois sont prêts à accomplir pour un bol de riz. Mais Wikipedia est bon avec la Chine, tout comme une grande quantité d’ouvrages aussi intéressants, comme celui-ci, celui-là, et aussi ceci (à propos du 121^e rang de la Chine en ce qui concerne le PIB par habitant, la situant entre la Tunisie et la République dominicaine).

Mais pour ceux qui sont RÉELLEMENT intéressés par la Chine, je recommande FORTEMENT la lecture de ce volumineux livre sur la Chine, écrit par nul autre que Henry Kissinger.

Vous y apprendrez toutes sortes de nouvelles connaissances et de curiosités à propos de l’histoire ancienne de la Chine, sur son économie et bien plus encore. On estime que le PIB par habitant de la Chine médiévale était équivalent de celui d’un pays du Tiers-Monde. On traite aussi de toutes les trahisons liées aux guerres de l’opium, du passé communiste et de la renaissance du pays. Je l’ai déjà dit et je le répète, je vous recommande fortement ce livre. Mais attention, on y trouve une tonne de détails, j’ai donc lu certaines pages en diagonale. Avec le 25^e anniversaire de l’affaire de la Place Tiananmen, ça semble d’autant plus pertinent de s’y attarder.

2. Ma recommandation cinéma

On ne vit que deux fois : regarder-le si ce n’est pas déjà fait,  autrement, regardez-le encore ! Sean qui se pavane tel un vrai Bond, James Bond ; au shaker, pas à la cuillère !

Et bien, il semble que GoPro y apparaissait pour la première fois il y a 47 ans (voir l’image plus bas) !! Voyez-vous, j’explore toute la série de films de James Bond, à partir de James Bond 007 contre Dr No jusqu’à Skyfall. Je les ai tous sur mon ordinateur portable et je les regarde sur le tapis de course au gym. La course à pied devient ainsi étonnamment agréable.

3. Ma recommandation musicale

Les mots seraient superflus. C’est de la musique, faite pour être écoutée et sentie, pas seulement mentionnée. Amusez-vous !

C’est tout. J’espère que vous profitez de votre été. Bon vent !

Je tiens parole et ci-inclus voici le deuxième épisode de ma nouvelle chronique hebdomadaire  » cybernouvelles du côté obscur « , ou quelque chose du genre…

Aujourd’hui, le sujet principal sera la sécurité des infrastructures critiques ; en particulier les problèmes et les dangers liés à ces infrastructures : les attaques sur les installations manufacturières et nucléaires, sur les moyens de transport, les réseaux électriques, et sur les autres systèmes de contrôle des infrastructures (ICS).

Je n’aborderai pas concrètement  » l’actualité  » ; heureusement, les problèmes de sécurité ne se produisent pas sur une base hebdomadaire, du moins rien d’assez juteux pour être mentionné. L’origine de cette absence dans l’actualité réside probablement dans le fait que la majorité des événements sont maintenus secrets (ce qui est à la fois compréhensible et inquiétant),  et qu’en plus personne ne se rend compte que les attaques se produisent (elles peuvent avoir lieu dans le plus grand silence, encore plus inquiétant).

Alors, plus bas, voici une liste de plusieurs faits curieux qui décrivent bien l’état actuel des choses, les tendances en matière de sécurité des infrastructures essentielles, et quelques observations quant aux stratégies à mettre en place pour faire face à ces menaces.

Il s’avère qu’il existe un bon nombre de raisons d’être préoccupé par la sécurité des infrastructures critiques.

L’objectif des ingénieurs qui fabriquent et installent des ICS est d’assurer ‘leur fonctionnement stable et constant, et c’est tout !’. Donc, s’il y a une vulnérabilité dans le contrôleur, si le système est connecté à Internet, si le mot de passe est 12345678, ils s’en moquent, même si cela permettrait à des pirates de prendre le contrôle du système ! Ils se soucient seulement du maintien de la température adéquate et du fonctionnement stable et sans heurts du système.

Après tout, la correction d’une complication, ou toute autre interférence, peut causer un arrêt du système pour un certain temps, ce qui mérite un blâme sévère pour les ingénieurs des ICS. Oui, oui, ainsi vont les choses avec les infrastructures critiques. On ne voit pas les différents tons de gris présents entre le blanc et le noir. Ou bien serait-ce que tout le monde fait l’autruche ?

En septembre dernier, nous avons mis en place un honeypot. Nous l’avons connecté à Internet et avons prétendu que c’était un système industriel en service. Le résultat ? En un mois, il a été victime de 422 intrusions.  Les cybercriminels sont allés jusqu’à atteindre les automates programmables industriels (API) internes, un des pirates a même réussi à les reprogrammer (comme dans le cas de Stuxnet). Notre expérience avec le honeypot a démontré qu’il est garanti à 100% que les ICS soient piratés aussitôt qu’ils sont connectés à Internet. Et que peut-on faire avec un ICS piraté… beaucoup, beaucoup de choses, comme dans les scénarios de films d’Hollywood. Et les ICSs ont toutes sortes de tailles et de formes. Par exemple, celui-ci :

Malware nucléaire

Source

En lire plus :Cybernouvelles du côté obscur – 4 juin 2014