Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Shadow Brokers : des exploits Windows et des preuves indiquant que le réseau SWIFT aurait été compromis par la NSA
Ont été mis en ligne

Le , par Michael Guilloux

27PARTAGES

8  0 
Le groupe de pirates se faisant appeler Shadow Brokers vient de publier de nouveaux documents, outils et exploits utilisés par la NSA. Rappelons-le, Shadow Brokers avait annoncé avoir réussi à pirater la NSA en août dernier et mettre la main sur l’arsenal de piratage de l’agence américaine. De nombreux documents issus de ce vol avaient même déjà été publiés.

Dans la nouvelle fuite, ce sont des exploits et outils, la plupart ciblant les PC et serveurs Windows, qui ont été mis en ligne. D’après plusieurs documents, la NSA aurait également exploité des failles dans les systèmes de Microsoft pour cibler plusieurs banques, y compris le système interbancaire bancaire SWIFT. On note douze exploits pour les produits de Microsoft parmi les 23 publiés par Shadow Brokers sur GitHub :

  • ExplodingCan : un exploit pour Microsoft IIS 6.0 qui crée un backdoor à distance ;
  • EternalRomance : un exploit SMB qui cible Windows XP, Vista, 7, 8, Windows Server 2003, 2008 et 2008 R2. Pour information, SMB (Server Message Block) est un protocole permettant le partage de ressources (fichiers et imprimantes) sur des réseaux locaux avec des PC sous Windows ;
  • EducatedScholar : un exploit SMB ;
  • EmeraldThread : un exploit SMB pour Windows XP et Server 2003 ;
  • EnglishmanDentist  : il définit les règles Outlook Exchange WebAccess pour déclencher un code exécutable du côté du client pour envoyer un courrier électronique à d'autres utilisateurs ;
  • ErraticGopher : un exploit SMBv1 ciblant Windows XP et Server 2003 ;
  • EternalSynergy : une vulnérabilité SMBv3 d'exécution de code distant sur Windows 8 et Server 2012 ;
  • EternalBlue : un exploit SMBv2 pour Windows 7 SP1 ;
  • EternalChampion : un exploit SMBv1 ;
  • EskimoRoll : un exploit Kerberos (un protocole d'authentification réseau) ciblant les contrôleurs de domaine Windows Server 2000, 2003, 2008 et 2008 R2 ;
  • EsteemAudit : un exploit RDP pour Windows Server 2003. Remote Desktop Protocol (RDP) est un protocole qui permet à un utilisateur de se connecter sur un serveur exécutant Microsoft Terminal Services ;
  • EclipsedWing : un exploit RCE pour le service Serveur dans Windows Server 2008 et les versions ultérieures.

La liste est complétée par des exploits pour IBM Lotus Note et Domino, Sendmail, IMail, Linux, entre autres. Kevin Beaumont, un ingénieur en sécurité basé à Londres, dit avoir pu tester certains exploits et assure qu’ils sont fonctionnels.

Microsoft a déjà corrigé les exploits sur les versions de Windows encore supportées

Après cette nouvelle publication de Shadow Brokers, Microsoft explique que ses clients ont exprimé leurs préoccupations quant aux risques auxquels ils sont désormais exposés. Après analyse des exploits divulgués, Microsoft assure toutefois que la plupart ont été corrigés. « La plupart des exploits qui ont été décrits sont des vulnérabilités qui sont déjà corrigées dans nos produits pris en charge », a expliqué Phillip Misner, Principal Security Group Manager de Microsoft Security Response Center.

Seuls les exploits EnglishmanDentist, EsteemAudit et ExplodingCan n’ont pas été corrigés et Phillip Misner rappelle qu’ils concernent des produits qui ne sont plus pris en charge par la société. « Cela signifie que les clients exécutant Windows 7 et les versions plus récentes de Windows ou Exchange 2010 et les versions plus récentes d'Exchange ne risquent rien. Les clients qui exécutent encore des versions antérieures de ces produits sont invités à se mettre à niveau vers une offre prise en charge », a-t-il ajouté.

La NSA aurait également compromis le réseau interbancaire SWIFT

L’une des grandes révélations des documents récemment publiés par Shadow Brokers est que la NSA aurait également compris le réseau interbancaire SWIFT. Matt Suiche, un hacker français et cofondateur de CloudVolumes, s’est penché sur le lot de fichiers relatifs à SWIFT et partage ses découvertes.

Pour information, l'organisation SWIFT fournit un réseau qui permet à plus de 10 000 institutions financières et entreprises de plus de 200 pays d'envoyer et de recevoir des informations sur les transactions financières entre elles. SWIFT repose sur un réseau de partenaires (des bureaux de service SWIFT certifiés) qui offrent aux clients des solutions pour accéder à la gamme complète des services SWIFT. Les bureaux de service fournissent donc de nombreux services liés aux transactions SWIFT, y compris des services de conformité et de lutte contre le blanchiment d'argent. Les transactions bancaires sont également hébergées et gérées par les bureaux de service SWIFT via une base de données et des logiciels SWIFT.

Les documents publiés par Shadow Brokers montrent que la NSA avait mené des missions visant à compromettre des services de bureau et éventuellement tout le réseau SWIFT. L’une des missions JEEPFLEA_MARKET, datant de 2013, cible EastNets, le plus grand bureau de service SWIFT du Moyen-Orient. EastNets a des bureaux en Belgique, en Jordanie, en Égypte et aux Émirats arabes unis (UAE). La mission, quant à elle, ciblait les bureaux de la Belgique, de Dubaï et l’Égypte. Dans une présentation PowerPoint de la NSA, l’agence américaine fait le point de l’avancement de la mission et on peut voir qu’elle avait déjà réussi à compromettre le bureau de service SWIFT.


Sources : Matt Suiche, Microsoft, Kevin Beaumont, GitHub

Et vous ?

Qu'en pensez-vous ?

Voir aussi :

Un ancien employé de la NSA aurait dérobé plus de 75 % des outils de piratage du TAO, une unité de piratage d'élite de la NSA
Vault 7 : WikiLeaks dévoile les outils utilisés par la CIA pour infecter les PC Windows et échapper à la détection des logiciels de sécurité

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de marsupial
Membre expert https://www.developpez.com
Le 18/04/2017 à 9:50
L'information en elle même ne réside pas dans les failles que MS annonce patchées pour l'essentiel mais bien que le secret bancaire a été violé. Surtout celui des banques centrales du monde entier donnant des informations primordiales aux US sur le cours des changes et les politiques monétaires. Je ne suis pas spécialiste financier, loin de là, par contre je pense que ces données valaient bien plus que leur pesant d'or sur le terrain de la guerre économique et financière comme celle que se livre américains et chinois.
1  0 
Avatar de J@ckHerror
Membre expérimenté https://www.developpez.com
Le 18/04/2017 à 11:15
Bah après c'est pas nouveau, ça fait presque 20 ans maintenant que les US ont un accès illégitime à SWIFT !
Fallait être naif de croire qu'en signant un traité ils allaient couper l'accès...

J@ck.
0  0 
Avatar de marsupial
Membre expert https://www.developpez.com
Le 01/06/2017 à 13:17
Kryptos Logic dénombre à ce jour entre 14 et 16 millions de systèmes infectés par WannaCry. Aujourd'hui encore des millions de systèmes sont porteurs sains du ver grâce au kill switch. Cela veut dire que les admin sys n'ont pas pu faire leur travail pour x raisons : manque de temps, d'argent, impossibilité de patcher, etc..
Si Kryptos Logic ferme le nom de domaine, la situation serait pire que lors de la fin de semaine du 12 mai !
Dans ce cas, à quoi bon acheter des failles pour les fixer si derrière ça ne suit pas ?

On s'étonne que la cybercriminalité s'estime à 8 000 milliards pour les 5 prochaines années.

L'action est stoppée par décision légale. source lefigaro.fr
0  0 
Avatar de Démonîls
Candidat au Club https://www.developpez.com
Le 19/07/2019 à 19:52
Quelqun peu peu-être me renseigner ?!!!
0  0 
Avatar de Démonîls
Candidat au Club https://www.developpez.com
Le 19/07/2019 à 19:56
On peu poster des vidéos ici ? j'en ai qui sont hallucinante , j'ai carrément mon texte qui disparait dans le menu déroulant d'la page Facebook !!!!!
0  0 

 
Contacter le responsable de la rubrique Accueil

Partenaire : Hébergement Web