Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Shadow Brokers : la NSA a pu espionner le trafic chiffré de nombreux clients Cisco pendant une décennie
D'après l'analyse d'un exploit

Le , par Stéphane le calme

58PARTAGES

7  0 
Un groupe de pirates, qui se font appeler « The Shadow Brokers », a annoncé avoir pu mettre la main sur des exploits appartenant au groupe « Equation Group », que Kaspersky avait identifié comme étant le « dieu » du cyberespionnage. Par la suite, des documents de l’ancien contractuel de la NSA Edward Snowden, ont permis à Intercept de trouver des traces de la signature numérique de la NSA dans l’échantillon des exploits publié par The Shadow Brokers, lui permettant d’apporter des éléments de preuve à une hypothèse qui avait déjà été formulée depuis des années : la NSA est derrière Equation Group.

Lorsque les exploits ont été publiés, Cisco et Fortinet, qui ont eux jeter un coup d’œil au même titre que de nombreux chercheurs dans la communauté de la sécurité informatique, ont publié des annonces dans lesquelles ils ont confirmé l’authenticité de ces exploits et ont invité leurs clients à effectuer des mises à jour de sécurité.

Si les révélations d’Edward Snowden sur les exactions de la NSA avec ses programmes d’espionnage semblaient très théoriques, The Shadow Brokers vient apporter des preuves plus tangibles sur l’étendue de la surveillance de la NSA, notamment sur le fait que l’agence a pu espionner systématiquement de nombreux clients de Cisco Systems pendant une décennie. Parmi les exploits publiés, des chercheurs en sécurité ont découvert par exemple une attaque qui extrait à distance les clés RSA de déchiffrement sur les lignes du pare-feu PIX de l’entreprise qui sont désormais abandonnées. Pour rappel, Cisco PIX (Private Internet EXchange) est un boîtier pare-feu vendu par Cisco Systems.

La découverte est relativement importante dans la mesure où le code d’attaque, qui a été baptisé BENIGNCERTAIN a été lancé sur les versions Cisco PIx datant de 2002 jusqu’à la version datant de 2009. Et, bien que Cisco ait fourni un correctif de sécurité en juillet 2009, l’entreprise a continué à offrir un service et un support limité pour le produit durant quatre années supplémentaires. À moins que les clients PIX n’aient pris des précautions particulières, théoriquement la quasi-totalité d’entre eux ont été vulnérables à des attaques conduisant à l’espionnage sur leur trafic VPN. En plus de permettre l’espionnage du trafic VPN chiffré, l’extraction de clés permet également d’avoir un accès complet à un réseau vulnérable en se faisant passer pour un utilisateur distant.

Un chercheur s’est lancé dans l’explication du code et trois autres chercheurs ont confirmé que l’exploit fonctionnait effectivement sur des installations PIX. Comme l’explique le chercheur Mustafa Al-Bassam, l’exploit consiste en trois binaires, chacun représentant une étape individuelle dans le processus d’exploitation. Il a donné un peu plus de détails sur le fonctionnement de l’exploit. Après son analyse, il a avancé que « cela montre que la NSA avait la capacité d’extraire à distance des clés confidentielles des VPN de Cisco pendant plus d’une décennie ». Et, faisant référence aux documents publiés par Edward Snowden, il a continué en disant que « cela explique la raison pour laquelle ils ont été en mesure de déchiffrer des milliers de connexions VPN par minute comme cela est indiqué dans les documents précédemment publiés par Der Spiegel ».

BENIGNCERTAIN exploite une vulnérabilité dans l'implémentation de Cisco de l'Internet Key Exchange (IKE), un protocole qui utilise des certificats numériques pour établir une connexion sécurisée entre deux parties. L'attaque envoie des paquets malveillants à un dispositif PIX vulnérable. Les paquets obligent le dispositif vulnérable à retourner une partie de la mémoire. Un outil d'analyse syntaxique inclus dans l'exploit est alors en mesure d'extraire des données de clés et d'autres configurations prépartagées du VPN sur la réponse. Selon l’un des chercheurs qui ont aidé à confirmer l’authenticité de l'exploit, il travaille à distance, sur l'interface extérieure de PIX. Cela signifie que toute personne sur internet peut l'utiliser. Aucun prérequis n’est nécessaire pour faire fonctionner l’exploit. Fait encore plus intéressant, le Cisco ASA (Adaptive Security Appliance), le pare-feu qui est venu remplacer le PIX, présentait la même vulnérabilité IKE qui a été colmatée il y a seulement quelques mois et était considérée par l’équipementier comme étant critique. Voici une capture envoyée par le chercheur pour montrer le résultat final de l’attaque.


Il faut noter que le moteur de recherche Shodan indique que plus de 15 000 réseaux de par le monde continuent de se servir de PIX, la Russie, les États-Unis et l’Australie étant en tête des pays qui les utilisent le plus.

Cisco, qui était resté silencieux suite à cette révélation et se contentait d’évoquer une politique de fin de vie, a été obligé de modifier un billet de blog qu’il avait précédemment rédigé. Dans la mise à jour, Cisco indique « le 19 août, des articles de presse concernant l'exploit BENIGNCERTAIN qui aurait potentiellement été utilisé pour exploiter les pare-feu existants Cisco PIX ont été publiés. Notre enquête à ce jour n'a pas identifié de nouvelles vulnérabilités dans les produits actuels liés à l'exploit. Même si le Cisco PIX n’est pas pris en charge et n'a pas été pris en charge depuis 2009 (voir avis EOL / EOS), par souci pour les clients qui utilisent encore PIX, nous avons étudié cette question et avons trouvé que les versions PIX 6.x ainsi que les versions précédentes sont affectées. les versions PIX 7.0 et les versions ultérieures ne sont pas affectées par BENIGNCERTAIN. Le Cisco ASA n’est pas vulnérable ».

Source : blog Cisco, blog Cisco (avertissement de sécurité sur IKE), blog Mustafa Al-Bassam, Shodan, Kevin Beaumont, XORcat (capture d'écran), Brian

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Firwen
Membre expérimenté https://www.developpez.com
Le 21/08/2016 à 23:48
Je connais merci. Et pour ton information Windows en un système similaire.
Non tu ne connais rien justement. RPM/dnf ou dpkg/apt, associé à koji ou similaire, te permettent de recompiler entièrement depuis les sources une distribution.
Ceci de son kernel jusqu'au moindre de ses petits paquets graphiques, avec ton propre tuning, tes propres patches, et ta propre configuration.
Chose que ne te permettra jamais Windows.

C'est ce qui est courrement fait pour les distros "maison" comme Scientific Linux du FERMI Lab et toutes les autre distro forks en tout genre.

Certain packaging systèmes comme Nix te permettent même de cross-compiler des distributions entière pour des architectures tiers si besoin est.

Encore une fois, tu parles sans savoir.

L'annerie c'est de croire que Linux et l'OpenSource est secure. Regarde OpenSSL... Distribution via ton fameux systeme de packaging et OpenSource.... Une vrai annerie... Recompiler pour le plaisir et sans analyser le code en faisant confiance a la fameuse communauté (2 benevoles pendant leur temp libre dans ce cas ci). haha
J'ai même pas envie de répondre à quelque chose d'aussi insignifiant.

Je ne dis pas qu'il est inutilisable mais que c'est loin d'etre aussi compétitif et complet qu'Active Directory. Et les parts de marche le prouve.. 90% des serveurs d'entreprise sont des Windows Server. Et si on ne compte que les LDAP, Active directory doit approcher les 99%
Rien d’étonnant à ça, AD est un trés bon produit dans un environnent Windows.
Mais rien à voir avec le paté, car si justement, tu disais que OpenLDAP est in-utilisable en entreprise et tu as évidemment faux.


Google ca ne fait que 3 ans qu'ils ont laché (partielement) Windows. Et devine quel outils est utilisé pour Angular 2 ? TypeScript et Visual Studio Code... de Microsoft...

Les employé d'Amazon ont le choix entre Windows Et Mac.. pas de Linux.

https://www.quora.com/What-kinds-of-...-those-laptops

Meme les concurents direct de direct de Microsoft ne savent pas s'en passer... alors les anneries je ne sais pas lequel de nous 2 les sorts

- Google a l’intégralité de ses serveurs sous Linux ( ou dérivés UNIX ) et la quasi totalité de ses postes client sous Linux ou Mac. Google a sa propre distro dérivée d'une Ubuntu.

- Facebook a l’intégralité de ses serveurs sous Linux ou dérivés BSD. Facebook a également sa propre distribution basé sur du RedHat aux dernières nouvelles.

- Amazon a l’intégralité de ses serveurs sous Linux. Tous les engineers Amazon que je connais tournent sous Ubuntu. Ce sont principalement que les non-ingé (RH ou commerciaux) qui utilisent du Windows.

Désolé de te décevoir. Mais encore une fois, tu parles sans savoir.
6  0 
Avatar de Matthieu Vergne
Expert éminent https://www.developpez.com
Le 26/09/2016 à 14:32
Ou comment fabriquer un ennemi pour justifier son salaire.
6  0 
Avatar de Firwen
Membre expérimenté https://www.developpez.com
Le 21/08/2016 à 19:04
Alors pour avoir bosser sur un projet d'info militaire ils ont essayés d'utiliser OpenLDAP et différentes solutions libre alors c'est gratuit, ça plante très souvent (OpenLDAP surtout est une vaste blague) bref il n'y a rien de fiable. Conclusion, retour sous Windows avec AD et tout le toutim, simple et fiable et quelques millions économisé au passage rien qu'en récupération de temps de maintenance à la con.
Je connais une bonne dizaine d'institution de plusieurs milliers de collaborateurs qui tournent avec OpenLDAP tous les jours sans le moindre problème, ton problème numéro 1 m'a surtout l'air d’être un problème de compétence.

Et il est parfois mieux de se taire quand on ne sait pas de quoi on parle.
5  0 
Avatar de Firwen
Membre expérimenté https://www.developpez.com
Le 21/08/2016 à 19:09
Et comme le noyaux seul ne sert pas a grand choses....

Encore un foi tous ça c'est beaux mais dans la réalité c'est impossible a mettre en place actuellement.... Windows est la seul possibilité viable.
Si tu connaissais comment marche le système de packaging des distributions Linux, tu saurais que pour la plupart des distributions sont entiérement recompilable depuis les sources, et le tout assez facilement.

Et par conséquent, tu éviterais de dire des anneries.

Je te conseille également de suggérer à des boites comme Google, Facebook ou Amazon que "Windows est la possibilité", juste pour rigoler un petit peu.
5  0 
Avatar de BufferBob
Expert éminent https://www.developpez.com
Le 21/08/2016 à 21:27
Citation Envoyé par Firwen Voir le message
Et il est parfois mieux de se taire quand on ne sait pas de quoi on parle.
perso je me suis désabonné de la discussion, ça m'évite de les lire, il y aurait de toutes façons trop d'idioties préconçues à rectifier pour au final juste gaspiller sa lessive, autant passer son chemin...
4  0 
Avatar de hotcryx
Membre extrêmement actif https://www.developpez.com
Le 26/09/2016 à 16:06
Ils espionnent le monde entier, ils laissent des codes sur des serveurs, la Clinton n'utlise pas des serveurs dédiés sécurisés mais c'est toujours la faute des hackers et plus précisement des hackers russes.

Ca va mal finir tout ça, mais ce n'est JAMAIS la faute des américains (le sauveur du monde auto proclamé).

Ne manquez pas ce soir la confrontation entre Trump & Hillary
4  0 
Avatar de marsupial
Membre expert https://www.developpez.com
Le 26/09/2016 à 16:55
Excusez nous d avoir laisse trainer une tete nucleaire. Mais on ne vous dit rien pour savoir qui va l utiliser pour savoir qui l a recuperee.
4  0 
Avatar de Beanux
Membre éclairé https://www.developpez.com
Le 23/08/2016 à 12:47
@Aeson

Mais quelle est ta foutu (pardon) qualité puisque tu n'en sait rien, puisque tu ne peut pas le savoir. Puisque Seul les gouvernement le peuvent (et microsoft) ?
Tu as vu que tu cites seulement 2 failles Heartbleed et celle de openssh.
  • Combien sont de l'autre coté ? pas mal déjà, et qui sont vieilles il y en a oui.
  • Combien sont encore non découvertes ? haha on ne sait pas. C’est la toute la force du private source. Donc celui qui découvre une faille, jackpot. Et comment sait-on que la faille existe ? Ben en fait on sait pas.

C'est la politique de l'autruche. Vaut mieux que la faille soit la et pas vu, plutôt que quelqu'un la découvre et qu'elle soit corrigé.

Tu viens citer de Munich, mais c'est autant une décision politique qui a été de migrer dessus que celle de le quitter. Le changement de gouvernance de la ville n'y a pas été pour rien.
  • Et pourquoi ils l'ont quitté ? Parce que Microsoft d'une part proposait d'installer un centre pas loin, et en prime que les personnes travaillant au boulot sous Linux avec windows à la maison avaient besoin de formation et que ça coutait cher. HAHA monopole quand tu nous tiens.
  • Et pourquoi l'IT choisit Windows contrairement à Linux ? Parce que ça les déresponsabilise de leur sécurité. Ils ont simplement a appliquer la politique de sécurité préconisé par Crosoft et boum chuis safe garrantie Crosoft. Alors même que la sécurité, ça ne se résume pas qu'à cela.


Et la déjà j'ai pas abordé le fait qu'on ai tenté pour Linux de le rendre plus vulnérable qu'il ne l'est. Bonjour nombres aléatoire fourni par RDRAND @INTEL "veuillez utiliser cela pour votre génération de nombre aléatoire", qui comme part hasard est lui aussi une société américaine. Et je serait pas étonné que vu l'insistance il ne serait pas un générateur pseudo aléatoire vachement pas très aléatoire.
On peut aussi parler des différence dans les sources quand ils ont utilisé BitKeeper, qui a changé une ligne de code sans faire aucun commit, et quelle ligne de code, ça donne simplement le droit root à je sais plus quelle condition.

Après ça on a tout intérêt à se poser la question si la faille Heartbleed a été mise en place par la NSA, vu que la petite partie du code a l'origine de la faille qui à été écrite a été reconnu comme étant différente des pratiques de codage sur le moment par les autres devs de openssl.

Bref facile de balancer des trucs, sans sources ou hors contexte.
Et encore plus facile de déclarer que quelque chose qu'on ne voit pas est plus sur alors que déjà dans les truc qui sont libres (ou au moins opensource) on voit que des failles sont introduites ou au moins tenté d'être introduite.

Alors la moindre allusion à un closed source sur largement utilisé qui serait sur, n'est qu'une vaste blague au vue de la propension à ceux déja libre/opensource à se faire noyauter/éliminer (@trucrypt) quand il est déjà sur.

Quand on parle de sécurité, il faut bien s'assurer de prendre le problème dans sa globalité et sans oeuillères, et pas juste la petite partie que tu constates.
3  0 
Avatar de Marco46
Modérateur https://www.developpez.com
Le 23/08/2016 à 14:01
Citation Envoyé par Aeson Voir le message

Je te retourne le compliment :

http://www.vox.com/2014/4/12/5601828...ernet-security

C'est la qualité pas la quantité... Apparement dans OpenSSL la qualité etait loin d'y etre...
Ça serait pas mal de lire l'article que tu as linké quand même.

A aucun moment l'auteur ne remet en cause l'opensource pour écrire ce type de logiciel. Au contraire. Il critique par contre l'absence d'investissement des sociétés utilisatrices.

Il explique par contre qu'il est de la responsabilité des entreprises utilisant ces logiciels d'attribuer suffisamment de fonds à ces projets. Trop de sociétés se contentent d'utiliser les logiciels opensource pour en tirer des bénéfices directs sans pour autant contribuer à l'écosystème.


So the usual open source model of waiting for users to report and fix bugs as they discover them doesn't work for security problems. To find security bugs before the bad guys do, people have to be actively looking for them. And while many IT workers understand the importance of this kind of security auditing, it's much harder to convince management to devote resources to fixing theoretical security bugs when there are always more immediate non-security bugs requiring attention.
4  1 
Avatar de marsupial
Membre expert https://www.developpez.com
Le 21/08/2016 à 14:28
Bercy, 100% MS. Personne pour se rendre compte que la Chine à pompé très discrètement toutes les informations financières et comptables de 100% des entreprises opérant en France. Mais il s'agit certainement de la faute de linux.
Et non, ils ne sont pas en Cloud.
2  0