Étiquettes des archives : cyberguerre

Cyberprévisions : 2017.

Les Homo Sapiens sont ainsi : nous sommes constamment (même imprudemment) en train de nous tourner vers l’avenir pour essayer de trouver ce qu’il pourrait nous réserver. Plusieurs disent que nous devrions tous vivre au jour le jour (après tout, on ne sait pas de quoi demain est fait), cependant cela ne marche pas pour tout le monde, et la plupart d’entre nous ont besoin de faire au moins quelques plans pour le futur.

Il existe néanmoins différentes approches de regarder devant soi.

Il y a des croyances au destin, des suppositions pures, des superstitions quant au fait de lancer une pièce de monnaie etc. Il n’y a pas non plus de croyances concernant l’avenir. Il existe toutefois une approche scientifique bien supérieure. C’est un peu la spiritualité orientale, celle de ne pas être tout à fait dans le présent, mais à la place d’analyser avec soin le présent – pour être en mesure de prédire l’avenir le plus précisément possible. Et c’est exactement ce qui est fait pour prédire le cyberfutur ; en particulier, la sécurité du cyberfutur. Et c’est ce qu’on fait, peu à peu chaque jour, mais aussi largement, profondément et surtout, joyeusement, chaque année, lorsque nous réunissons l’élite mondiale de la cybersécurité lors d’une assemblée d’une semaine dans une station balnéaire tropicale, cette assemblée que nous appelons le Security Analyst Summit (SAS) :

Oups, mauvaise vidéo. Voici la bonne… :

Ah non, celle-ci :

Je ne sais pas très bien comment cela se fait, mais chaque année, le SAS ne cesse de s’améliorer. Je m’explique, ça a toujours été grâce à l’Équipe internationale de recherche et d’analyse (GReAT), et elle ne cesse de se développer : plus d’experts, une meilleure qualité de contenu, de meilleures idées plus nombreuses, plus lisses, plus cools, avec toujours plus d’exclusivités mondiales et de matériel exclusif.

Et c’est de ce matériel exclusif dont je parlerai dans cet article de blog. Plus particulièrement de mon top 5 des présentations favorites du SAS 2017. Je ne dis pas que les autres n’étaient pas bonne ou sans plus, c’est juste que je n’y étais pas présent, par conséquent je n’ai pas pu toutes les voir dans la mesure où elles avaient lieu simultanément dans différentes salles. De plus, chacun a ses goûts ; eh bien, voici un guide pour les miens !…

C’est parti !…

En lire plus :Cyberprévisions : 2017.

StoneDrill : Nous avons découvert un nouveau malware puissant nettoyeur de disque dur, et c’est du sérieux.

Si vous êtes un lecteur régulier de mon blog, vous connaîtrez sûrement notre Équipe internationale de recherche et d’analyse (GReAT), 40 excellents experts éparpillés à travers le monde, spécialisés dans la protection de nos clients contre les cybermenaces les plus sophistiquées. Ces experts aiment comparer leur travail à de la paléontologie : en explorant le web dans ses moindres recoins, à l’affût des « os  » des « cybermonstres ». Certains pourraient considérer cela comme une approche désuète : qui y’a-t-il d’aussi spécial à propos de l’analyse des os des « créatures » découlant d’un passé lointain lorsque la protection de vos réseaux contre les monstres qui sont vivants s’avère être une clé ? Eh bien, voici une récente histoire qui prouve que parfois vous ne trouverez pas les monstres vivants d’aujourd’hui sans vous pencher sur les anciens….

Certains d’entre vous sauront ce que sont les soi-disant nettoyeurs de disque dur, un type de malware qui, une fois installé sur un PC infecté, efface complétement toutes les données, nettoyant entièrement les données de l’ordinateur de l’utilisateur, en n’épargnant aucune pièce du hardware. Le nettoyeur de disque dur le plus connu (et horrible) est Shamoon, un malware qui a beaucoup fait parler de lui au Moyen Orient en détruisant des données sur plus de 30 000 appareils de la plus grande compagnie pétrolière au monde, Saudi Aramco, et en frappant également un autre géant énergétique, Rasgas. Imaginez : + de 30 000 pièces d’hardware inexploitables dans la plus grande compagnie pétrolière au monde…

Shamoon, Shamoon 2.0, StoneDrill, Newsbeef. Ces nettoyeurs de disque dur se répandent à travers le monde

Curieusement, depuis sa campagne dévastatrice contre l’entreprise saoudienne, en 2012, on a peu entendu parler de Shamoon, jusqu’à qu’il fasse son retour en 2016 comme étant Shamoon 2.0, avec plusieurs nouvelles vagues d’attaques, une fois de plus au Moyen-Orient.

Depuis que les nouvelles vagues des attaques de Shamoon ont commencé, nous avons réglé nos capteurs afin de découvrir le plus de versions de malwares possibles (parce que, soyons réalistes, nous voulons qu’AUCUN de nos clients ne soit victime d’un malware tel que Shamoon, jamais). Et nous avons réussi à trouver plusieurs versions, hourra ! Mais ensemble et contre toute attente, nous avons pris dans nos filets un type de malware nettoyeur de disque dur complètement nouveau, que nous avons appelé StoneDrill.

La base du code de StoneDrill est différente de celle de Shamoon, et c’est la raison pour laquelle nous pensons qu’il s’agit d’une famille de malware complétement différente, elle utilise aussi certaines techniques de prévention et de détection avancées, ce que Shamoon ne fait pas. Il s’agit donc d’un nouvel acteur, cela ne fait aucun doute. Et un des éléments les plus inhabituels (et inquiétants) que nous avons appris au sujet de ce malware est qu’à la différence de Shamoon, StoneDrill ne limite pas le champ de ses victimes à l’Arabie Saoudite ou à d’autres pays voisins. Jusqu’à présent, nous n’avons trouvé deux cibles de ce malware, dont l’une d’entre elles est basée en Europe.

Pourquoi cela est-il préoccupant ? Parce que cette découverte indique que certains acteurs malveillants armés de cyber outils dévastateurs tâtent le terrain dans des régions où auparavant des acteurs de ce type étaient rarement intéressés.

En lire plus :StoneDrill : Nous avons découvert un nouveau malware puissant nettoyeur de disque dur, et c’est du sérieux.

Infecter un ami, redémarrer des Boeing, boucher des trous sans authentification et plus encore.

Bonjour mes amis !

Voici mon nouvel article de la série « Uh-oh Cyber-Actualités« , celle où je vous tiens au courant de tout ce qui se passe de terriblement fragile et d’effrayant dans le monde numérique.

Depuis le dernier « Uh-oh », beaucoup d’actualités se sont accumulées et nécessitent votre attention. Oui, le flux de « Uh-oh » est passé de simples gouttes de ruisseau de montagne aux chutes du Niagara. Et ce flux ne cesse de s’accélérer…

En tant que vétéran de la cyberdéfense, je peux vous dire que par le passé, on parlait des cataclysmes à l’échelle planétaire pendant six mois. Tandis qu’aujourd’hui, le flux des messages est comme du saumon pendant la période du frai : surchargé ! Inutile de dire que les nouvelles de nos jours vont tellement vite, qu’on pourrait les comparer à des attaques par déni de service. « J’ai appris l’autre jour le piratage de Mega-Corporation X où tout a été volé, même le hamster du patron a été emporté par un drone ! »…

Qu’importe, puisque le nombre de cyber scandales a augmenté rapidement, par conséquent le nombre de scandales aussi. Auparavant, il y en avait trois ou quatre par blog. Aujourd’hui : sept !

Vous avez préparé le popcorn/le café/la bière ? C’est parti…

1) Infecter un ami et débloquer ses fichiers gratuitement.

En lire plus :Infecter un ami, redémarrer des Boeing, boucher des trous sans authentification et plus encore.

Paresse, cybersécurité et apprentissage automatique.

C’est comme ça : l’être humain est une créature paresseuse. S’il est possible de ne rien faire, on ne le fait pas. Mais d’un côté, paradoxalement, c’est une bonne chose, parce que la paresse est… le moteur du progrès ! Quoi ? Comment ? Eh bien, si un travail est considéré comme étant trop dur, interminable ou complexe pour les humains, certains hommes paresseux (mais consciencieux) donnent le boulot à une machine ! En cybersécurité, on appelle ça l’optimisation.

Analyser des millions de fichiers et de sites web malveillants tous les jours, développer des « inoculations » contre des menaces futures, améliorer sans cesse la protection proactive, et résoudre des dizaines d’autres tâches critiques, tout ceci serait tout simplement impossible sans l’utilisation de l’automatisation. L’apprentissage automatique est l’un des principaux concepts utilisés en automatisation.

L’apprentissage automatique s’applique dans la cybersécurité depuis plus d’une dizaine d’années, sans toute cette fanfare marketing

L’automatisation existe dans la cybersécurité depuis le tout début (de la cybersécurité en elle-même). Je me souviens par exemple, au début des années 2000, lorsque j’écrivais un code pour un robot afin d’analyser des échantillons de malwares entrants : le robot mettait les fichiers détectés dans le dossier correspondant de notre base de malwares grandissants en fonction de son verdict (celui du robot) à propos de ses caractéristiques (celles du fichier). Il est difficile d’imaginer (même à l’époque) que j’avais l’habitude de faire tout ça manuellement

De nos jours encore, simplement donner des instructions précises à des robots pour réaliser des tâches que vous voulez leur donner n’est pas suffisant. A la place, des instructions pour réaliser des tâches ont besoin d’être données de façon imprécise. Oui, vraiment !

Par exemple, « Trouvez les visages humains sur cette photo ». Pour cela vous ne décrivez pas la manière dont les visages sont reconnus et de quelle façon les visages humains différent de ceux des chiens. A la place, ce que vous faites est de montrer au robot plusieurs photos et d’ajouter : « Ces choses-là sont des humains , voici un visage humain, et ceux-ci sont des chiens ; à présent débrouille-toi pour le reste ! » Et ceci, en résumé, est la « liberté de créativité » nommée l’apprentissage automatique.

25ccd2f400000578-2958597-image-a-27_1424270103152

En lire plus :Paresse, cybersécurité et apprentissage automatique.

Uh-oh Cyber-Actualités : Centrales nucléaires, braquages de banque, et hackers de barrage.

Un rapide aperçu des actualités ces derniers jours et vous aurez sans doute envie d’acquérir… un compteur Geiger. Je veux dire, certaines histoires récentes sont plutôt alarmantes ces derniers temps. Ou c’est moi qui exagère ? Voyons voir…

Uh-oh Actualités. Article numéro 1 :  Prévenir l’apocalypse dès maintenant.

inews-1Photos provenant de Wikipédia

On a appris récemment que le système informatique de l’Unité B de la Centrale nucléaire de Gundremmingen dans le District de Souabe en Bavière, dans le Sud-Ouest de l’Allemagne, avait été infecté par un malware, tout juste 30 ans après la catastrophe de Tchernobyl (!). Il a néanmoins été reporté qu’il n’y avait pas de raison de s’inquiéter dans la mesure où cela ne représentait aucun danger. Tout est sous contrôle, on peut dormir sur nos deux oreilles, le niveau de danger est au plus bas.

Après avoir soupiré « ouffffff » et sué du front, vous lisez ce qui suit…

… Et vous aurez de plus amples détails sur l’incident. Il semblerait en effet que tout soit OK : le niveau de radiation, après tout, n’a pas augmenté. C’est ce qui compte, sûrement. N’est-ce pas ? Mais vous lisez plus loin encore…

Et vous découvrez que le système infecté (isolé d’Internet) se révèle être aussi celui qui contrôle le mouvement des barres de combustible nucléaire. C’est à ce moment précis que vous vous arrêtez de lire, vous vous frottez les yeux, et lisez de nouveau plus lentement…

QUOOOOI ?

En lire plus :Uh-oh Cyber-Actualités : Centrales nucléaires, braquages de banque, et hackers de barrage.

La résurrection des anciens créateurs de virus

Bonjour à tous !

De nombreux évènements sur la sécurité informatique ont lieu tout autour de la planète tout au long de l’année, mais la conférence RSA est l’un des plus importants. Je ne vous expliquerai pas de quoi il s’agit exactement ici, je préfère partager quelques photos de l’évènement avec vous. Les photos ont été prises à la veille de l’ouverture alors que les stands étaient installés : bien que toutes les installations ne soient pas prêtes, vous pouvez quand même découvrir les lieux sans qu’une masse de visiteurs ne vous cache la vue …

RSA Conference 2013

De retour à l’ancienne école …

Kaspersky Lab est-il en train de développer son propre Système d’Exploitation? Confirmation des rumeurs et fin des spéculations !

Bonjour à tous !

Aujourd’hui je veux vous parler du futur : un futur par très glamour avec des cyber-attaques massives visant des installations nucléaires, des centrales électriques, des centres de transport, des structures financières et de télécommunications, ou, ce que nous appelons globalement des installations critiques. Pour vous faire une idée, rappelez-vous du film Die Hard 4 : retour en enfer, où une attaque portée à des infrastructures plongeait le monde entier dans le chaos.

Mais cette fois-ci, John McClane n’est pas là pour résoudre le problème de vulnérabilité des systèmes industriels. Et même si c’était le cas, ses méthodes ne fonctionneraient pas. Cependant, nous sommes en train de travailler sur le développement technologique d’un système d’exploitation fiable qui a pour objectif de protéger ces systèmes IT si critiques, (des systèmes de contrôle industriel (ICS)). Il y a déjà eu quelques rumeurs à ce sujet sur Internet, je pense donc qu’il est temps de lever le rideau (un peu) sur notre projet secret et de partager avec vous ce que nousavons entre nos mains.

Mais, tout d’abord, je vais vous parler un peu des systèmes industriels vulnérables et du réel besoin qu’à le monde de posséder notre approche nouvelle et différente.

Les Systèmes Industriels en total manque de défense…

Pire que l’odeur du Fromage : Et Maintenant, les Effrayants Scénarios qui Provoquent des Cauchemars – les Cinq Questions Principales sur la Sécurité IT.

Je me suis récemment demandé à combien d’interviews de presse je répondais chaque mois. Bien sûr, le total est assez inégal selon les mois, mais dans les périodes les plus intenses leur nombre peut aller jusqu’à 70 ! Et je parle seulement des interviews, c’est-à-dire, celles que je donne en personne ou par téléphone. Si je devais aussi inclure des entretiens via courrier électronique – le nombre serait juste incroyable.

Mais je ne me plains pas. Au contraire – j’aime les interviews ! Cela me rappelle Richard Branson et sa règle pour les interviews : « Si CNN me téléphonait pour me dire qu’elle veut me faire une interview, je laisserais tout tomber pour la faire. » Je suis aussi cette règle – à la lettre – non sans bonne raison.

La plupart des interviews sont ce à quoi vous vous attendiez. On me pose des tas de questions, je réponds du mieux que je peux, et voilà tout.

Mais je suis très rarement interviewé par un bon journaliste, méticuleux au point de chipoter, qui connaît non seulement tout de moi et de KL, et ce que nous faisons, mais aussi tout du sujet précis dont traite l’interview. Vers la fin de l’heure je suis épuisé, l’esprit lessivé, et j’ai l’impression que mon âme et mes réponses prolixes aux questions sophistiquées sortent en même temps de ma tête.

Ce sont les interviews les  plus usantes, mais aussi les plus utiles. Pourquoi ? Parce que pendant des sessions si intenses la matière grise et le mécanisme situé à l’intérieur du crâne fonctionne vraiment bien, et pense à de nouvelles façons d’approcher des sujets familiers ou à de nouveaux points de vue – à tel point qu’après la fin de l’entretien cet élan d’idées mène à toutes sortes de nouveaux aperçus. Il est vraiment fascinant de voir comment la connaissance créative naît. Et tout ça grâce à des journalistes ultra préparés qui font leur travail de manière magistrale. Respects. Et merci !

Curieusement, ce qui unit ces entretiens

Flame a changé le monde

Aussi longtemps que je vivrai, je n’oublierai jamais l’Oktoberfest de 2010. Oui, j’aime la bière, en particulier l’allemande, et concrètement celle de l’Oktoberfest. Mais je ne me rappelle même pas de la bière, et ce n’est pas parce que j’en ai trop bu J C’est à ce moment-là que nous avons reçu les premières informations d’une tendance désagréable, que j’avais craint durant des années. En effet, c’était la première fois que Stuxnet montrait son côté obscur –le premier programme malveillant créé avec l’aide de l’Etat et conçu pour accomplir une mission militaire précise. C’est ce dont nous avions précisément parlé lors de notre conférence de presse à l’Oktoberfest : Bienvenue dans l’ère de la guerre cybernétique ! Il était déjà évident que Stuxnet n’était que le commencement.

Peu de choses ont changé entre ce mois de septembre et aujourd’hui. Tout le monde avait une idée assez précise de qui se cachait derrière Stuxnet et d’où il venait, bien qu’aucun pays n’en a assumé la responsabilité; de fait, ils se sont éloignés de sa paternité autant que cela leur était possible. Cette « avancée » eu lieu à la fin du mois de mai quand nous avions découvert un nouveau malware, qui laissait peu de doutes quant à ses origines militaires et ses objectifs.

Oui, je vous parle aujourd’hui du malware Flame…

Appel à l’action : Internet devrait devenir une zone sans armée.

Quelle est la différence entre un missile militaire et un malware ?

Il ne s’agit pas d’une blague –un malware peut prendre le contrôle d’un missile, mais un missile ne peut pas être utilisé pour détruire un malware. Avec les bons outils un missile peut être détourné par un malware, mais aucune puissance, aussi grande soit-elle, ne peut détourner un software malveillant une fois qu’il est actif.

Contrairement aux armes traditionnelles, le logiciel malveillant peut se reproduire à l’infini. Tandis qu’un missile peut souvent être contrôlé d’une certaine façon, le malware a tendance à attaquer sans faire de distinction : personne ne sait qui il touchera, ni quel virage il prendra sur son chemin. Sur les trajectoires impénétrables du Web, aussitôt qu’un black hat lance un malware pour gagner de l’argent rapidement, tout peut arriver. Il est impossible de calculer l’effet qu’il aura, ce qui pourrait être affecté par accident, et même comment il pourrait nuire à ses créateurs via un effet boomerang. Les gens ont tendance à faire des erreurs dans tout ce qu’ils font – et écrire des codes, malveillants ou autres, n’est pas une exception. Il existe de nombreux exemples de ce genre « de dommages collatéraux » – lisez mon article précédent sur les fortunes d’Internet.

Au moins, nous sommes en train d’assister à des efforts communs pour combattre les cybercriminels.

L’industrie de la sécurité resserre l’étau sur eux, et les gros poissons tel que Microsoft s’investissent. D’autres organisations à but non-lucratif et intergouvernementales rejoignent aussi le mouvement. Les gouvernements commencent à comprendre qu’Internet peut être une autoroute vers l’enfer, et se lèvent pour prendre les choses en mains. Un progrès est donc en cours.

Cependant, je suis davantage concerné par un autre côté de la sécurité Internet. Les astuces d’un cybercriminel sembleront bien ridicules face à une cyber guerre à l’échelle du Web. Oui, vous lisez bien – une cyber guerre du Web ! C’est là que les choses commenceront à être bien plus  compliquées et obscures.

Voici les faits…