Developpez.com

Club des développeurs et IT pro
Plus de 4 millions de visiteurs uniques par mois

Archimedes : WikiLeaks publie un outil de la CIA pour mener des attaques man-in-the-middle
Au sein des réseaux locaux d'entreprise

Le , par Michael Guilloux, Chroniqueur Actualités
WikiLeaks continue de déballer le lot de documents et outils de piratage de la CIA qui est en sa possession ; lequel a commencé à être publié le 7 mars à travers l’opération baptisée Vault 7. Pratiquement chaque semaine, le lanceur d’alertes a mis en ligne, vague après vague, de nombreux manuels utilisateur et des bouts de code de certains outils de l’arsenal de l’agence américaine. La liste est longue et l'on peut citer l’outil Weeping Angel, un implant pour transformer les smart TV de Samsung en dispositifs d’écoute, ou encore Marble, qui permet à la CIA de masquer ses traces après ses attaques et orienter les chercheurs en sécurité sur des pistes de hackers chinois ou russes. L’un des derniers que nous avons signalés était Grasshopper, un outil pour développer des malwares personnalisés ciblant les PC Windows, mais également échapper à la détection des antivirus.

Ce weekend, WikiLeaks a révélé l’existence d’un autre outil baptisé Archimedes, qui lui-même était une mise à jour d’un autre outil de la CIA, baptisé Fulcrum. Ce dernier vise à attaquer un réseau LAN distant et d'après le guide utilisateur publié par WikiLeaks, Fulcrum « facilite l'utilisation d'une machine contrôlée [par la CIA] pour pivoter vers une autre machine cible non compromise qui se trouve sur le même LAN. L'application effectuera une attaque man-in-the-middle sur l'ordinateur cible. L'application va surveiller ensuite le trafic HTTP de la machine cible et rediriger la cible vers l'URL fournie lorsque les conditions appropriées sont respectées. »

Avant d’aller plus loin, rappelons qu’un réseau local ou LAN (Local Area Network) est un réseau informatique à travers lequel les terminaux qui y participent s'envoient des trames au niveau de la couche de liaison sans utiliser d’accès à internet, ce qui permet notamment de limiter les risques d’attaques informatiques. L’attaque de la CIA repose donc sur une « machine pivot », une machine contrôlée sur laquelle Fulcrum est exécutée.

« Fulcrum n'est pas un exploit ou un ver », est-il précisé dans le guide utilisateur. « Il ne fera pas d'exécution de code arbitraire sur une machine distante et ne créera pas d'escalade de privilège sur la machine pivot. Il n'affectera pas les applications ou les systèmes d'exploitation sur les machines pivots ou cibles. Fulcrum ne va pas se répliquer ou cibler automatiquement les machines sur un réseau local ... Fulcrum dirigera le trafic HTTP d'une machine cible vers l'URL de choix de l'attaquant ».

L’attaque de la CIA est une attaque main-in-the-middle basée sur l’ARP spoofing. Pour information, l’Address Resolution Protocol (ARP, protocole de résolution d’adresse) est un protocole effectuant la traduction d’une adresse de protocole de couche réseau (typiquement une adresse IPv4) en une adresse MAC (typiquement une adresse Éthernet), ou même de tout matériel de couche de liaison. Il se situe à l’interface entre la couche réseau et la couche de liaison. Fulcrum se concentre uniquement sur l'environnement IPv4 et Ethernet ; la combinaison d'IPv4 et Ethernet représentant l'écrasante majorité des réseaux locaux (LAN), est-il indiqué dans le manuel utilisateur.

La technique ARP Spoofing est utilisée sur un réseau local pour permettre à une machine contrôlée par un attaquant d'intercepter des trames de données de machines du réseau, allant vers d'autres destinations. Cela place la machine de l'attaquant au milieu de tout trafic de la machine de la cible vers une autre destination.

La CIA explique dans son manuel que « l'ARP Spoofing compromet la traduction d'adresse IPv4 des machines cibles en adresses MAC en envoyant des paquets ARP falsifiés qui associent l'adresse MAC de l'attaquant à l'adresse IP d'un autre hôte (par exemple, la passerelle par défaut). Tout le trafic destiné à cette adresse IP serait donc envoyé par erreur à l'attaquant », comme vous pouvez le voir sur la figure suivante.


Fulcrum utilise l'ARP spoofing pour se placer entre la machine cible et la passerelle par défaut sur le réseau local afin qu'il puisse surveiller tout le trafic quittant la machine cible. Une fois que tout le trafic réseau de la machine cible est acheminé vers la machine pivot, Fulcrum surveille des messages HTTP spécifiques. Connaissant l'activité de la machine cible, la CIA peut créer une fausse page Web identique à un site visité par la machine cible. Et quand la victime tentera d’accéder à ce site, Archimedes va la piéger en ouvrant la copie, par exemple pour récupérer des informations, des identifiants, etc. Ce logiciel a été spécialement conçu pour les environnements Windows XP, Vista et Seven.

Sources : Communiqué de WikiLeaks, Guide utilisateur Archimedes, Guide utilisateur Fulcrum


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Lyons Lyons - Membre confirmé https://www.developpez.com
le 08/05/2017 à 17:20
Mouais c'est pas la révélation du siècle non plus. L'ARP spoofing est vraiment une technique de base, y'a pléthore d'outil gratuits et opensource pour faire des ARP spoofing et tout ce qui s'en suit (spying, DNS spoofing, DoS...).
Avatar de Aiekick Aiekick - Membre expérimenté https://www.developpez.com
le 09/05/2017 à 3:00
pourquoi wikileaks diffuse des outils de piratage ? pour avoir plus de documents envoyés ? ou pour faire chier les particuliers ?
Avatar de domi65 domi65 - Membre actif https://www.developpez.com
le 12/05/2017 à 11:20
Marble, qui permet à la CIA de masquer ses traces après ses attaques et orienter les chercheurs en sécurité sur des pistes de hackers chinois ou russes.
Je me disais aussi, « sont cons ces hackers russes, supposés ultra performants, à se laisser gauler aussi facilement !»
Avatar de Stéphane le calme Stéphane le calme - Chroniqueur Actualités https://www.developpez.com
le 20/05/2017 à 7:57
Vault 7 : WikiLeaks révèle que le logiciel Athena, utilisé dans les opérations d'espionnage de la CIA,
peut infecter toutes les versions de Windows

WikiLeaks a publié le dernier numéro de sa série de fuites Vault 7, qui propose au public d’avoir des informations sur certains des outils de piratage de la CIA. Cette fois-ci, WikiLeaks a divulgué des informations sur un outil appelé Athena.

Selon les documents divulgués, WikiLeaks a indiqué qu’Athena est un implant (un terme technique de la CIA pour désigner les « logiciels malveillants ») qui peut cibler et infecter tout système Windows, de Windows XP à Windows 10, la dernière version du système d'exploitation de Microsoft.

Les documents qui ont filtré hier comportent des dates qui vont de septembre 2015 à février 2016, montrant que la CIA avait la possibilité de pirater Windows 10 quelques mois après son lancement, malgré le fait que Microsoft mettait fièrement en avant la difficulté de pirater son nouveau système d'exploitation.

Sur le plan technique, Athena n'est pas si spécial en comparaison aux autres logiciels malveillants développés pour les opérations d'espionnage numérique de l’agence. Selon les documents, un agent de la CIA dispose d'un constructeur avec des options pour générer une charge utile du malware Athena. Cette charge utile peut être spécifiquement assemblée pour fonctionner avec un serveur C&C en ligne, hors ligne ou en mode RAM uniquement (également connu sous le nom de mode sans disque/sans fichier).

Pour l'installation d'Athena, les opérateurs disposent de différentes méthodes allant des méthodes de livraison classiques à la compromission de la chaîne d'approvisionnement, et même via un opérateur sur le terrain, si cela devait s’avérer nécessaire.

Une fois sur le PC d'une cible, Athena communique avec un serveur C&C d'où il reçoit des instructions ou des charges utiles supplémentaires qu'il faudrait installer sur l'ordinateur de sa victime. Le malware fournit une capacité de balisage (y compris la configuration et la gestion des tâches), le chargement/déchargement de la mémoire de charges utiles malveillantes pour des tâches spécifiques et la livraison et la récupération de fichiers vers/depuis un répertoire spécifié sur le système cible. Il permet à l'opérateur de configurer les paramètres pendant l'exécution (pendant que l'implant est sur la cible) pour le personnaliser à une opération.

Ce qui est plus intéressant, c'est que les documents révèlent que la CIA a été épaulée par un entrepreneur non gouvernemental lors du développement du logiciel malveillant : l’entreprise Siege Technologies. Cette dernière est une société de cybersécurité basée dans le New Hampshire, qui a été acquise le 15 novembre 2016 par Nehemiah Security, une autre société américaine basée à Tysons, en Virginie, à la périphérie de Washington et près du quartier général de la CIA. Une zone qui regorge de divers entrepreneurs militaires et de la défense.


Dans un courriel, Jason Syversen, fondateur de Siege Technologies qui a des antécédents en cryptographie et en hacking, a déclaré que son entreprise envisage des améliorations qui fourniraient en temps réel des commentaires sur la question de savoir si un exploit a réellement atteint sa cible. Les commandants militaires « veulent un cratère fumant pour prouver une attaque ayant réussi », a-t-il dit, tout en rappelant que « Nous n'avons pas cela dans le numérique. »

Syversen a expliqué qu'il avait l'intention de créer l'équivalent des soi-disant métriques militaires de probabilité de tuer, une analyse statistique pour savoir si une attaque est susceptible de réussir. « Je me sens plus à l'aise en travaillant sur la guerre électronique », a-t-il affirmé, « C'est un peu différent des bombes et des armes nucléaires – c'est un domaine moralement complexe. Ici, au lieu de bombarder des choses et d'avoir des dommages collatéraux, vous pouvez réellement réduire les victimes civiles, ce qui est une victoire pour tout le monde. »

Depuis mars, WikiLeaks a fait neuf publications relatives à « Vault 7 », qui comprennent notamment (en dehors de cette publication) :
  • AfterMidnight - permet aux opérateurs de charger et d'exécuter dynamiquement les charges utiles des logiciels malveillants sur une machine cible ;
  • Archimedes - un outil d'attaque MitM prétendument créé par la CIA pour cibler les ordinateurs à l'intérieur d'un réseau local (LAN) ;
  • Scribbles - un logiciel prétendument conçu pour intégrer des « balises web » dans des documents confidentiels, permettant à l'agence de suivre les initiés et les dénonciateurs ;
  • Grasshopper - un framework qui a permis à l'agence de créer facilement des logiciels malveillants personnalisés pour entrer dans Microsoft Windows et contourner la protection antivirus ;
  • Marbre - a révélé le code source d'un cadre anti-forensique secret, fondamentalement un obscurcisseur ou un emballeur utilisé par la CIA pour masquer la source réelle de ses logiciels malveillants ;
  • Dark Matter - axé sur les exploits de piratage de l'agence conçus pour cibler des iPhones et des Macs ;
  • Weeping Angel - outil d'espionnage utilisé par l'agence pour infiltrer les téléviseurs intelligents, en les transformant en micros secrets ;
  • Year Zero - des exploits de piratage de la CIA pour infiltrer du matériel et des logiciels populaires.

Source : WikiLeaks
Avatar de mh-cbon mh-cbon - Membre actif https://www.developpez.com
le 20/05/2017 à 10:41
EDIT:
Roh lol j'ai répondu à un post de la première page.
Y'a un truc qui ne fonctionne pas bien dans la nav, des fois j'arrive à la dernière page, des fois à la première.

M'enfin bon, pas très grave, le post reste d'une actualité tout à fait brûlante,
en fait

___________________________________________

Citation Envoyé par emutramp Voir le message
Merci pour cet article très intéressant

Si il était évident que les agences gouvernemental se donnait a cœur joie d’insérer des backdoor / exploiter des vulnérabilités / espionner a grande échelle… sur les smartphone / objets connectés / ordinateurs ayant une parti (voir intégralement) un code source fermé (malheureusement, la politique / intégrité des ces organisations est loin de ce qu’ils affirment / devraient être), j’ai lu sur un autre site que les systèmes Linux était également visé.

Sans être dans l’illusion qu’un système complètement open source est synonyme de secu "bulletproof" (complet jusqu’au drivers de la carte graphique par exemple, nouveau pour les cartes nvidia et non le drivers propriétaire…), il serait intéressant de savoir jusqu’à ou ils ont poussé pour s’introduire sur ces OS.

Est-ce qu’un kernel utilisant le patch grsecurity, sur un système hardened comme Gentoo voir openBSD, avec des applications sandboxed, IDS… ont pu être bypass permettant un remote accès ou autre «*security leaks*»*?
Ne te berces pas trop d'illusions, amha, tous les systèmes sont trouées par la nsa, souviens toi de l'iran avec son système scada qui s'est fait bouffer à coups de clefs usb interposés.

Faut être réaliste nux n'est meilleur qu'en cela que les scripts kiddies et autres mangeurs d'argent nous foutent la paix avec leurs vers.

Citation Envoyé par emutramp Voir le message
Une hypothèse qui pourrait se confirmer avec cette affaire, sont les services de VPN (torguard / ivpn...) offrant, de ce qu’ils affirment, un non log de l’activité du trafic, vie privée etc etc pour quelques euros par mois, tout en proposant leurs logiciels vpn au code source fermé et arguant qu’openvpn peut être utilisé.
</hypothèse>
J'utilise un VPN, par contre, faudrait être stupide, ou naïf de croire que cela protège véritablement.
Je le vois plutôt ainsi, mieux vaut qu'une société privé sans droit particulier puisse voir mes logs sentencieux, et le cas échéant me promette de tout supprimer, qu'un état pourvu du droit de sentence.
Dans le même ordre d'idée, prendre un vpn dans un état non-otan, non-ue c'est encore mieux, c'est comme lorsque tu joues à l'évasion fiscale, tu installes des barrières entre ton pognon et ton administration, parce qu'au fond, tout pourrait se savoir très très très facilement.

Au sujet de la news,
il n'y a que cette tournure qui me chiffonnes,
en anglais ça sonne bien "the shoot to kill metric",
en français ça demande plus d'effort,
des idées?

Syversen a expliqué qu'il avait l'intention de créer l'équivalent
des soi-disant métriques militaires de probabilité de tuer métrique
Avatar de marsupial marsupial - Membre éprouvé https://www.developpez.com
le 20/05/2017 à 14:11
« Je me sens plus à l'aise en travaillant sur la guerre électronique », a-t-il affirmé, « C'est un peu différent des bombes et des armes nucléaires – c'est un domaine moralement complexe. Ici, au lieu de bombarder des choses et d'avoir des dommages collatéraux, vous pouvez réellement réduire les victimes civiles, ce qui est une victoire pour tout le monde. »

Euh...
Les avis divergent...

Je ne saurai dire pourquoi, mais fichtrement vraiment pas pourquoi, j'ai comme l'impression que le NHS et plus de 300.000 victimes à travers plus de 150 pays ont un profond désaccord au sujet de cette opinion.

Mais je peux me tromper
Avatar de Battant Battant - Membre actif https://www.developpez.com
le 25/05/2017 à 20:58
Bonjour,

On dirait le film traque sur internet ou les prétoires pourrait être non seulement la NSA, CIA comme commandants et autre mais également Facebook Google amazone pour la publicité

Normalement, si un système comme Linux et free-bsd sont open source, ils sont expertisables

A quand les antivirus qui enlève ces programmes pour éviter de participer à une guerre numériques ?

A quand des expertises indépendantes mêmes des programmées propriété pour savoir ce que font réellement nos ordinateurs tant du point de vu logiciel que matérielle ?

A quand le développement de matériels libres ?
https://fr.m.wikipedia.org/wiki/Mat%C3%A9riel_libre

https://korben.info/wiki/materiel_libre

Si vous pouviez voter pour un parti qui s'occupe de ces questions seriez-vous prêt à voter pour le parti pirate ?
Suisse
https://www.partipirate.ch/le-parti/

France
https://partipirate.org/

Que pensez-vous ?

Salutations
Avatar de Coriolan Coriolan - Chroniqueur Actualités https://www.developpez.com
le 02/06/2017 à 18:00
Vault 7 : WikiLeaks révèle Pandemic, un outil de la CIA qui s'appuie sur un serveur Windows
Pour infecter des machines dans un réseau ciblé

WikiLeaks a publié encore une fois plus d’informations sur les outils de piratage de la CIA dans le cadre de sa série de fuites Vault 7. Cette fois-ci, le site a divulgué des détails sur un implant pour serveur nommé Pandemic. Il permet d’infecter des machines dans un réseau ciblé puis mener plusieurs actions.

« Pandemic » commence par contaminer un serveur, une fois l’implant en place, la CIA est en mesure d’infecter les ordinateurs des utilisateurs à distance avec n’importe quel malware qu’ils désirent. Lorsque les machines ciblées essaient d’accéder à un fichier dans le serveur infecté, Pandemic utilise une technique de diversion pour délivrer une version malicieuse du fichier sans se faire détecter, en effet, le fichier initial se transforme précisément au cours du transfert, ce qui complique sa détection. Le trojan est ensuite exécuté dans les ordinateurs ciblés. Chaque application détournée et installée place à son tour un implant dans la machine cliente, elle devient à son tour un vecteur d’infection pour d’autres ordinateurs, ce qui a donné son nom à ce type d’attaque.

Selon les documents publiés ce jeudi, il faut 15 secondes seulement à Pandemic pour qu’il soit installé sur un serveur. Toutefois, la méthode de cette infection n’a pas été précisée, elle pourrait s’appuyer sur une exploitation d’une faille de sécurité ou encore requérir un accès physique au serveur, comme c’est le cas pour de nombreux outils de la CIA.

Cette méthode consiste à passer par de fausses applications pour infecter les machines ciblées, une technique que la CIA a également suivie en détournant certains programmes populaires comme VLC et Notepad++ pour infecter ses cibles. La méthode de Pandemic consiste elle à remplacer des applications au moment du transit, pour éviter d’être détecté, et la machine ciblée se trouve avec le même exécutable du programme. Pandemic peut remplacer jusqu’à 20 logiciels de cette manière, à condition que chaque programme ne doive pas dépasser plus de 800 Mo.

Les documents publiés ce jeudi informent que Pandemic s’installe en tant que « File System Minifilter Driver ». Le chercheur en sécurité Jake Williams a informé ARS que le pilote en question doit être signé par un certificat valide ou qu’il soit installé en exploitant une faille de sécurité. Le certificat en question peut être soit acheté soit volé par l’agent. Ces restrictions et d’autres détails techniques laissent entendre que l’outil a été conçu pour des cas bien précis et non pas pour un usage général. En effet, les grandes entreprises n’ont pas recours aux serveurs de fichiers Windows la plupart du temps. On en conclut que Pandemic vise surtout les petites organisations. Le chercheur de sécurité a également informé que les documents publiés par Wikileaks ne permettent pas d’exploiter l’outil et qu’il manque certainement d’autres documents.

La divulgation de ces nouveaux détails sur les techniques de la CIA donne un autre coup dur aux services de renseignements américains qui ont été incapables de préserver au secret leurs exploits avancés et exploités lors des opérations d’espionnage. Toutefois, les fuites de Vault 7 et les outils de la CIA ne sont pas aussi sensibles que ceux de la NSA. L’agence américaine a connu aussi une vague de fuites lancées par un groupe de hackers connu sous le nom Shadow Brockers. Les outils de la NSA qui sont souvent conçus pour s’exécuter à distance sur un large éventail de machines sont plus avancés que ceux de la CIA. De plus, les Shadow Brockers ont publié des informations détaillées permettant de se faire une idée précise sur le fonctionnement des outils. La publication successive de ces fuites continue donc de nuire à la capacité offensive des agences américaines comme la CIA et la NSA.

Source : WikiLeaks

Et vous ?

Qu'en pensez-vous ?

Voir aussi :

Vault 7 : WikiLeaks révèle que le logiciel Athena, utilisé dans les opérations d'espionnage de la CIA, peut infecter toutes les versions de Windows
Avatar de Ryu2000 Ryu2000 - Membre expert https://www.developpez.com
le 06/06/2017 à 8:48
Citation Envoyé par Coriolan Voir le message
Cette méthode consiste à passer par de fausses applications pour infecter les machines ciblées, une technique que la CIA a également suivie en détournant certains programmes populaires comme VLC et Notepad++ pour infecter ses cibles.
Les salauds !

Si une équipe de créateur de ransomware mettait la main sur certains outils de la CIA ou du NSA ça pourrait peut être poser problème.
Avatar de Battant Battant - Membre actif https://www.developpez.com
le 06/06/2017 à 11:05
Bonjour,

Est-ce que outes les versions de VLC et notepad++ sont affectés par la CIA ?

Ce sont des programmes open source source donc normalement on peut corriger les failles non ?

Il ne reste pas moins que si quelqu'un en mettez la main sur les outils de la CIA ou la NSA Et créer des virus ou des ressent moins basé là-dessus ça pourrait poser de gros problèmes les éditeurs ont donc intérêt à corriger ses failles

J'ai entendu dans une émission il me semble que c'était l'échos des gnus dimanche soir à 19h sur radio campus lile http://campuslille.com/ Qu'une faille ou une méthode employée par la NSA ou la CIA peau de toutes façons un jour ou l'autre être employé par d'autres personnes malveillantes

De toutes façons je considère que la CIA ou la NSA sont eux-mêmes des pirates du moment qu'il nous vole notre vie privée. Il nous track to comme Google Microsoft et autres

J'espère que l'Europe interviendra pour faire bouger les choses dans le sens du respect de la vie privée

Salutations
Avatar de Malick Malick - Community Manager https://www.developpez.com
le 16/06/2017 à 3:42
Vault 7 : WikiLeaks révèle que le projet CherryBlossom de la CIA permettait de surveiller les internautes,
de nouveaux documents publiés

Les révélations de WikiLeaks dans le cadre de la campagne Vault 7 continuent de plus belle. En effet, ce dernier vient de porter à l'attention du public que le projet CherryBlossom de la CIA (Agence centrale de renseignement) avait comme objectif de surveiller l'activité des internautes sur la toile. Pour étayer ses dires, WikiLeaks a publié un nouveau lot de documents relatifs à ce projet développé et mis en œuvre par la CIA en collaboration avec le SRI International plus connu sous le nom de « Stanford Research Institute », une société américaine spécialisée dans la recherche dans différents domaines scientifiques et technologiques au profit soit du gouvernement des États-Unis soit des entreprises privées.

Selon WikiLeaks, l'exploitation des documents publiés montre qu'avec le projet CherryBlossom, la CIA avait comme principal objectif de développer des outils qui exploitent les vulnérabilités des périphériques de réseaux sans fil, tels que les routeurs sans fil et les points d'accès, cela dans l'optique de mener une surveillance de l'ensemble des activités de la cible. WikiLeaks soutient que cela fait plusieurs années que la CIA espionne les internautes grâce à la mise en place de ce projet. Il ajoute également que l'ensemble des dispositifs ciblés sont largement utilisés dans les réseaux Internet domestiques, dans les lieux publics comme les hôtels, les bars, les aéroports, etc. Les petites et moyennes entreprises (PME) ne sont pas également épargnées.

L'analyse des documents publiés montre que les routeurs sans fils ciblés par la CIA à travers son projet CherryBlossom sont ceux de DLink, Linksys et Belkin. WikiLeaks ajoute que ces appareils permettent idéalement aux pirates de mener des attaques de type « Man-In-The-Middle » encore appelé attaque de l'homme du milieu (HDM). Ainsi, ils pourront facilement surveiller, contrôler et manipuler le trafic Internet des utilisateurs connectés notamment en modifiant le flux de données entre l'utilisateur et les services Internet.


Source : WikiLeaks

Pour rappel, L'attaque de l'homme du milieu (HDM) ou man-in-the-middle attack (MITM), parfois appelée attaque de l'intercepteur, est une attaque qui a pour but d'intercepter les communications entre deux parties, cela sans que ni l'une ni l'autre ne puisse se douter que le canal de communication entre elles a été compromis.

L'infection des dispositifs se fait par implantation d'un microprogramme CherryBlossom. Une fois que l'implant est en place, le périphérique infecté est transformé en un « FlyTrap » connecté via Internet à un serveur contrôlé et commandé par la CIA et dénommé CherryTree. Sur ce dernier sont enregistrées les informations confidentielles de sécurité transmises par l'implant. En réponse à cette information, CherryTree envoie une requête à l'implant avec des tâches bien définies par les opérateurs de la CIA. Ces derniers, selon WikiLeaks, sont en mesure de visualiser l'état du « FlyTrap » et les informations confidentielles, cela en se servant d'une interface utilisateur dénommée CherryWeb. Avec cette interface utilisateur, les opérateurs seraient également en mesure de planifier de nouvelles tâches et d'effectuer des travaux assimilables à de l'administration système.

« Les tâches envoyées par les opérateurs ciblent généralement les utilisateurs connectés et pour ce faire, elles se basent soit sur les adresses IP, soit sur les adresses de courrier électronique, soit sur les adresses MAC, soit sur les noms d'utilisateurs dans les chats, soit sur les numéros VoIP », déclare WikiLeaks.

Sources : WikiLeaks - CherryBlossom - System Req Spec (CDRL-10) - CherryBlossom - Guide de démarrage rapide - CherryBlossom - Manuel d'utilisation (CDRL-12) - Périphériques WiFi - CherryBlossom - Guide d'installation

Et vous ?

Que pensez-vous de cette nouvelle révélation de WikiLeaks sur la CIA ?

Voir aussi

Vault 7 : WikiLeaks révèle que le logiciel Athena, utilisé dans les opérations d'espionnage de la CIA, peut infecter toutes les versions de Windows

Vault 7 : WikiLeaks révèle Pandemic, un outil de la CIA qui s'appuie sur un serveur Windows pour infecter des machines dans un réseau ciblé

Archimedes : WikiLeaks publie un outil de la CIA pour mener des attaques man-in-the-middle au sein des réseaux locaux d'entreprise
Avatar de Stéphane le calme Stéphane le calme - Chroniqueur Actualités https://www.developpez.com
le 23/06/2017 à 15:15
Vault 7 : Brutal Kangaroo, la boîte à outils développée par la CIA pour cibler les réseaux sensibles,
protégés par un air wall

WikiLeaks a publié le dernier numéro de sa série de fuites Vault 7, qui propose au public d’avoir des informations sur certains des outils de piratage de la CIA. Cette fois-ci, WikiLeaks a divulgué des informations sur une boîte à outils baptisée Brutal Kangaroo (v1.2.1) qui est utilisée par la CIA pour viser les réseaux informatiques fermés et les ordinateurs protégés par un air wall, autrement dit non reliés à Internet. Rappelons qu’il s’agit là d’une technique employée dans des organisations sensibles afin de placer hors de portée des pirates des systèmes manipulant des informations très confidentielles.

La version précédente de Brutal Kangaroo, EZCheese, exploitait une faille inconnue de l’éditeur jusqu’en mars 2015, bien que la version la plus récente utilisait la « vulnérabilité de fichier de lien inconnue (Lachesis / RiverJack) liée à la fonctionnalité de bibliothèque du système opérateur. »

L’exploit EZCheese, qui a été neutralisé par un patch que Microsoft semble avoir publié en 2015, était lancé chaque fois qu'une icône de fichier malveillant a été affichée par l'explorateur Windows. Un exploit ultérieur connu sous le nom de Lachesis a utilisé la fonctionnalité autorun de Windows pour infecter les ordinateurs exécutant Windows 7. Lachesis n'a pas exigé que l'explorateur affiche des icônes. L'exploit de RiverJack, quant à lui, a utilisé la fonction Windows Library-ms pour infecter les ordinateurs exécutant Windows 7, 8 et 8.1. Riverjack n'était lancé que lorsqu'une jonction de bibliothèque était visualisée dans l’Explorateur.

Comme le font de nombreuses méthodes d’infection air gap, l’outil infecte d'abord un ordinateur connecté à Internet au sein de l'organisation (appelé « hôte principal ») et installe le logiciel malveillant. Lorsqu'un utilisateur se sert de cet ordinateur et y insère une clé USB, le logiciel-espion se reproduit sur celle-ci et infecte d'autres ordinateurs si cette clé USB est utilisée pour copier des données entre les ordinateurs dans le réseau fermé.


« Si plusieurs ordinateurs sur le réseau fermé sont sous le contrôle de la CIA, ils forment alors un réseau secret pour coordonner les tâches et échanger des données. Bien que non explicitement indiquée dans les documents, cette méthode de compromission des réseaux fermés est très similaire à la façon dont Stuxnet a fonctionné » , a expliqué WikiLeaks.
.
« Les composants Brutal Kangaroo créent un réseau caché personnalisé dans le réseau fermé cible et fournissent des fonctionnalités pour l'exécution des sondages, des listes de répertoires et des exécutables arbitraires », indique un manuel de la CIA qui a été divulgué.

Au cœur de Brutal Kangaroo se trouvent deux exploits (Giraffe et Okabi), des vecteurs d’attaque se basant sur LNK. Notons que, depuis février 2016, Microsoft a publié plusieurs correctifs relatifs à la façon dont ses systèmes gèrent ces fichiers. Dont un en ce mois de juin.

Source : WikiLeaks
Avatar de Battant Battant - Membre actif https://www.developpez.com
le 23/06/2017 à 17:49
Citation Envoyé par mh-cbon Voir le message
EDIT:
Roh lol j'ai répondu à un post de la première page.
Y'a un truc qui ne fonctionne pas bien dans la nav, des fois j'arrive à la dernière page, des fois à la première.

M'enfin bon, pas très grave, le post reste d'une actualité tout à fait brûlante,
en fait

___________________________________________

Ne te berces pas trop d'illusions, amha, tous les systèmes sont trouées par la nsa, souviens toi de l'iran avec son système scada qui s'est fait bouffer à coups de clefs usb interposés.

Faut être réaliste nux n'est meilleur qu'en cela que les scripts kiddies et autres mangeurs d'argent nous foutent la paix avec leurs vers.

J'utilise un VPN, par contre, faudrait être stupide, ou naïf de croire que cela protège véritablement.
Je le vois plutôt ainsi, mieux vaut qu'une société privé sans droit particulier puisse voir mes logs sentencieux, et le cas échéant me promette de tout supprimer, qu'un état pourvu du droit de sentence.
Dans le même ordre d'idée, prendre un vpn dans un état non-otan, non-ue c'est encore mieux, c'est comme lorsque tu joues à l'évasion fiscale, tu installes des barrières entre ton pognon et ton administration, parce qu'au fond, tout pourrait se savoir très très très facilement.

Au sujet de la news,
il n'y a que cette tournure qui me chiffonnes,
en anglais ça sonne bien "the shoot to kill metric",
en français ça demande plus d'effort,
des idées?

Syversen a expliqué qu'il avait l'intention de créer l'équivalent
des soi-disant métriques militaires de probabilité de tuer métrique
Bonjour,

Il faut expertiser tous les systèmes qu'il soit open source ou non mais en particulier les systèmes open source qui sont plus facile à expertiser par 18 universitaire expert en sécurité et ensuite les mandater sais mais j'ai universitaire pour colmater toutes les failles de sécurité exploitée par la NSA

Les systèmes open source sont peut-être troué mais ils sont plus facile à réparer car ouvert

En Europe on a le droit à notre vie privée

Ce qui est sure c'est que c'est la guerre mais c'est très effrayant

Vont-ils s'introduire dans tous les ordinateurs pour installer des logiciels espions non détectable par antivirus ?

Quand est-ce qu'on aura droit à ne plus être espionné au nom du droit à la vie privée ?

Faut-il élire des parties spécialisés comme le parti pirate
Suisse
https://www.partipirate.ch/

France

http://partipirate.org/

Que pensez-vous ?

Salutations
Avatar de Patrick Ruiz Patrick Ruiz - Chroniqueur Actualités https://www.developpez.com
le 29/06/2017 à 20:04
Vault 7 : WikiLeaks dévoile ELSA
Un malware de la CIA qui permet de géolocaliser des PC via des hotspots Wifi

WikiLeaks vient de publier un nouvel épisode de sa fameuse série Vault 7 qui détaille les activités de la Central Intelligence Agency (CIA) dans le domaine de la surveillance électronique. Cette fois, il s’agit d’un manuel utilisateur de 42 pages dédié à un outil dénommé ELSA.

ELSA est un outil de géolocalisation de PC qui se connectent à un réseau Wifi via un système d’exploitation Windows antérieur à la version 8.x. Le malware est conçu pour établir un modèle d’informations de localisation sur la base des détails tirés d’un point d’accès proche de la machine cible. Ces informations sont ensuite transmises soit à une base de données tierce, soit à l’ordinateur d’un agent à des fins de détermination de la latitude et de la longitude de l’appareil cible.


Le processus de géolocalisation débute bien évidemment avec l’injection du malware dans le PC de la victime. Après avoir généré la bibliothèque de liens dynamiques (Dll) nécessaire au pistage de l’ordinateur cible avec un outil dénommé PATCHER, l’agent doit la copier sur ladite machine. La bagatelle d’exploit dont dispose l’agence aide en principe à atteindre cet objectif aisément.

Une fois la Dll installée, elle assure la détection des hotspots Wifi environnant le PC infecté et entame l’enregistrement à intervalles réguliers de l’identifiant ESS – Extended Service Set – unique à chaque réseau. Il est à préciser que le malware est conçu pour que cette opération de collecte se fasse même en cas d’absence de réseau Wifi.

Présence de réseau Wifi ou pas, les informations nécessaires au pistage sont sauvegardées sur la machine cible dans un fichier chiffré avec l’algorithme AES-128. En cas de connexion de la victime à internet, le malware émet une requête vers un serveur de géolocalisation configuré d’avance par un agent.

Les informations obtenues de ce serveur – latitude, longitude de la machine cible et horodatage associé – sont à nouveau sauvegardées sur cette dernière. Par la suite, un agent se connecte à ladite machine et récupère le fichier de log créé par le malware. Il se sert ensuite d’un outil de déchiffrement pour obtenir les informations de géolocalisation ou mieux, interroger un autre serveur de géolocalisation pour avoir des informations plus précises.

Il faudrait préciser que le manuel a été rédigé pour le système d'exploitation Windows 7, ce qui laisse penser que l’agence pourrait disposer d’outils mis à jour pour Windows 10.

Source : Manuel

Et vous ?

Qu’en pensez-vous ?

Voir aussi :

Vault 7 : Wikileaks dévoile l'arsenal informatique de la CIA, l'agence est capable de contourner le chiffrement de WhatsApp
WikiLeaks : comment la CIA aurait piraté les smart TV de Samsung pour les transformer en dispositifs d'écoute des conversations privées
La CIA s'est servie de VLC et de plusieurs autres logiciels portés par la communauté du libre pour mener ses opérations d'espionnage
Avatar de LapinGarou LapinGarou - Membre averti https://www.developpez.com
le 30/06/2017 à 14:35
Avec tous ces outils de la NSA, pourquoi tous ces hackeurs qui s'amusent a foutre le bor... partout sur les grandes entreprises ne s'en servent pas plutôt pour pister tous ces terroristes sur le web ? Avec tout leur savoir technique, quel gachis de ne se contenter que de bloquer telle ou telle entreprise pour lui montrer ses failles alors que pouvoir localiser abu truc-muche et ses congénère ça aidera à la chopper. Bref... Si il y avait une prime offerte là ils s'y mettraient je pense.
Avatar de TiranusKBX TiranusKBX - Expert confirmé https://www.developpez.com
le 30/06/2017 à 14:44
Tu à perdus le point de la bonne idée, les primes pour de telles cibles existent déjà
Avatar de Namica Namica - Membre confirmé https://www.developpez.com
le 01/07/2017 à 3:49
Citation Envoyé par Patrick Ruiz Voir le message
...Il faudrait préciser que le manuel a été rédigé pour le système d'exploitation Windows 7, ce qui laisse penser que l’agence pourrait disposer d’outils mis à jour pour Windows 10...
Ben voyons...
Avatar de Patrick Ruiz Patrick Ruiz - Chroniqueur Actualités https://www.developpez.com
le 01/07/2017 à 11:35
Vault 7 : WikiLeaks dévoile le malware OutlawCountry
Utilisé par la CIA pour créer une table netfilter masquée sous Linux Red Hat Linux 6.x et dérivés

Après les récentes révélations sur le malware ELSA utilisé pour pister des PC Windows connectés à des réseaux Wifi, la série se poursuit avec la publication du manuel utilisateur d’un autre outil utilisé par les agents de la Central Intelligence Agency (CIA) contre des ordinateurs tournant sous Linux.

L’outil, utilisé par l’agence depuis 2015, est un module du noyau qui crée une table netfilter cachée sur une cible Linux. Au chargement du module, la table cachée se voit assigner un nom obscur. Dans cette version de l’outil, le nom assigné à cette dernière est « dpxvke8h18 ».

La connaissance de ce nom permet à un agent de créer de nouvelles règles de gestion des paquets IP prioritaires par rapport aux anciennes et hors d’atteinte de détection par l’administrateur système puisque masquées.

Ainsi, des paquets IP en provenance du réseau Ouest – WEST_2 – et transitant par le serveur Linux compromis (TARG_1) à destination d’un hôte précis – par exemple EAST_3 – peuvent ainsi être redirigés vers des postes de surveillance tenus par des agents de la CIA EAST_4 ou EAST_5.



L’installation du module sur la cible se fait via un accès shell à la cible. Le procédé requiert cependant que l’opérateur dispose de droits root sur le système cible, toutes choses que les agents réalisent sûrement au moins du nombre important d’exploits dont l’agence dispose.

Le module malveillant est conçu pour tourner sur les versions 64 bits des distributions CentOS et Red Hat 6.x. munies d’un kernel 2.6 au moins et d’une table de routage NAT.

Comme d’habitude, la recommandation donnée aux intervenants sur les systèmes visés est de les maintenir à jour. Le manuel laisse cependant entrevoir un moyen additionnel de mitiger ce type d’attaque.

Le fait pour un administrateur système de redémarrer le service de gestion de la table de routage aurait pour effet de placer le module dans un état dormant, ce qui obligerait l’agent à relancer la procédure d’installation.

Source : Manuel

Et vous ?

Que pensez-vous de cette nouvelle révélation de WikiLeaks ?

Voir aussi :

Vault 7 : Wikileaks dévoile l'arsenal informatique de la CIA, l'agence est capable de contourner le chiffrement de WhatsApp
WikiLeaks : comment la CIA aurait piraté les smart TV de Samsung pour les transformer en dispositifs d'écoute des conversations privées
La CIA s'est servie de VLC et de plusieurs autres logiciels portés par la communauté du libre pour mener ses opérations d'espionnage
Avatar de FatAgnus FatAgnus - Membre régulier https://www.developpez.com
le 01/07/2017 à 12:34
Cette faille cible uniquement Red Hat ou dérivé avec le noyau Linux 64 bits 2.6.32. Autant dire que cela ne court pas les rues. Ce noyau Linux 2.6.32 est sorti il y a bientôt huit ans.

De plus l'attaquant doit déjà avoir un accès shell à un système pour réaliser cet exploit. Les privilèges administrateurs sont également nécessaires pour charger un module noyau qui n'est pas déjà installé... Avec un shell ouvert sous l'utilisateur « root » beaucoup de systèmes sont vulnérables...

À lire : I'm concerned about the OutlawCountry exploit
Avatar de LittleWhite LittleWhite - Responsable 2D/3D/Jeux https://www.developpez.com
le 01/07/2017 à 12:42
Meme si le prerequis du noyau est vieux, il faut se rappeler de deux choses :
- les cibles sont precises (un SI precis) et l'objectif n'est pas de contaminer tout le monde, mais juste la ciblr (plus discret)
- ils peuvent avoir des exploits plus recents. La, il ne me semble pas reposer sur une faille quelconque, donc libre a eux de recompiler le module pour une version plus recente, si besoin est.
Avatar de Lcf.vs Lcf.vs - Membre éprouvé https://www.developpez.com
le 01/07/2017 à 14:20
Perso, ce qui m'inquiète toujours, quand un exploit requiert un accès root, c'est de savoir comment ils l'obtiennent...

Je doute qu'ils misent sur le fait que leurs cibles soient forcément plus cons que d'autres, donc, est-ce que cette distrib a spécifiquement plus de failles que d'autres permettant cet accès?
Avatar de LittleWhite LittleWhite - Responsable 2D/3D/Jeux https://www.developpez.com
le 01/07/2017 à 17:46
Pourtant, ils ont le choix. Ces dernieres annees, on a vu pas mal de faille, avec des noms "amusants" (qui marque) et on peut citer la faille de sudo, d'il y a quelques semaines, ou encore le stack clash de la semaine derniere.
Avatar de Aiekick Aiekick - Membre expérimenté https://www.developpez.com
le 02/07/2017 à 4:32
Pas trop pigé, et je connais pas bien linux.

j'ai compris, je pense que :
- ce malware est injecté en module dans le kernel.
- qu'une version de kernel est utilisé par plein de distrib

Du coup pourquoi est ce que ce malware n'impacte que 2 distribs ?
ou alors il s'agit d'un kernel customisé pour ces deux distribs ?

pour moi, les distribs personnalisait la surcouche applicative, ou faisait un choix des technologie connectée au kernel,
mais que tout l'interieur du kernel pour une version donnée était la meme pour toute les distribs.

j'aimerais comprendre.
Avatar de Patrick Ruiz Patrick Ruiz - Chroniqueur Actualités https://www.developpez.com
le 07/07/2017 à 7:46
Vault 7 : WikiLeaks dévoile les malwares BothanSpy et Gyrfalcon
Utilisés par la CIA pour pirater des clients SSH sous Windows et Linux

WikiLeaks vient de faire d’une pierre deux coups avec la publication des manuels de deux malwares par le biais de la même annonce. Comme dans le cas du précédent de la série – le malware OutlawCountry – nous avons encore affaire à des implants, c’est-à-dire à des logiciels malveillants que l’agence introduit dans les systèmes de ses cibles en tirant parti d’exploit dont elle seule a le secret.

Gyrfalcon, le plus ancien des deux malwares, est un ensemble de scripts Python conçus pour compromettre l’espace d’adressage réservé au client Linux OpenSSH sur les distributions Red Hat, Ubuntu, Suse, Debian et CentOS. Il aurait servi à des agents de la CIA pour intercepter, de façon furtive, le trafic SSH des postes ciblés.

Comme les logiciels malveillants OutlawCountry et ELSA, il est prévu que les données exfiltrées soient sauvegardées sur la machine cible dans des fichiers chiffrés et récupérées lors d’une session de travail dédiée à cet effet par un agent.

Identifiants, mots de passe et autres données sensibles ont ainsi pu tomber aux mains de l’agence depuis 2013 si l’on s’en tient à la date apparaissant sur la documentation liée.

BothanSpy pour sa part repose sur des bibliothèques de liaison dynamique et des scripts Python pour compromettre les sessions du client SSH Windows Xshell.

La particularité avec ce dernier est que l’exfiltration des données peut se faire sans écriture sur un disque de la machine cible, ce qui, logiquement, est la configuration à adopter par un agent qui veut espionner sans laisser de traces. Ce dernier aurait été utilisé par l’agence depuis 2015.

Ces révélations de WikiLeaks viennent démontrer chaque fois un peu plus à quel point les systèmes sur lesquels des personnes physiques et morales se reposent tant sont vulnérables.

Le plus inquiétant est que, si l’on se réfère aux dates sur les documents publiés, la CIA disposerait d’une expertise avérée pour contourner les mécanismes de « sécurité dès la conception » en principe plus renforcés sur Linux en comparaison à Windows.

Avec de récentes statistiques qui montrent qu’il y a une augmentation importante du nombre de logiciels malveillants développés contre les systèmes tournant sous Linux, nul doute que le futur s’annonce riche en révélations supplémentaires.

Sources : Gyrfalcon (PDF), BothanSpy (PDF)

Et vous ?

Que pensez-vous de ces nouvelles révélations de WikiLeaks ?

Voir aussi :

Vault 7 : Wikileaks dévoile l'arsenal informatique de la CIA, l'agence est capable de contourner le chiffrement de WhatsApp
WikiLeaks : comment la CIA aurait piraté les smart TV de Samsung pour les transformer en dispositifs d'écoute des conversations privées
Avatar de Shepard Shepard - Membre éclairé https://www.developpez.com
le 07/07/2017 à 8:50
Citation Envoyé par Aiekick Voir le message
pour moi, les distribs personnalisait la surcouche applicative, ou faisait un choix des technologie connectée au kernel,
mais que tout l'interieur du kernel pour une version donnée était la meme pour toute les distribs.
J'utilise surtout Gentoo Linux, et rien que pour celle-là au moins trois versions (du kernel) sont maintenues:

gentoo-sources : Kernel spécialisé pour Gentoo
vanilla-sources : La version telle que distribuée par l'équipe de Torvalds
hardened-sources : Kernel spécialisé pour les serveurs

Je ne sais pas comment fonctionnent les autres distributions, mais je ne serai pas étonné qu'elles fournissent également des kernels patchés, optimisés pour l'usage qu'elles en font.
Avatar de marsupial marsupial - Membre éprouvé https://www.developpez.com
le 09/07/2017 à 0:02
Ces révélations de wikileaks accompagnées de celles des shadow brokers ne sont que la partie émergée de l'iceberg des outils des five eyes en opération depuis le 11 septembre sous couvert de lutte anti terrorisme. Que ce soit tombé entre les mains des russes est déjà fort facheux. Qu'ils le répandent sur le net devient un problème non pas de sécurité nationale mais de sureté mondiale, on le voit avec NotPetya.
Commercial en solutions de sécurité est l'occasion de devenir multi-millionaire par les temps qui courent. Ou investir dans le Bitcoin pourrait être pas mal.
Admin sys & réseaux demandez une sévère augmentation ainsi que des primes substantielles de résolution d'incidents.

Très chers Etat, administrations, organisations en tout genre, attendez vous à du gros temps.
Avatar de Patrick Ruiz Patrick Ruiz - Chroniqueur Actualités https://www.developpez.com
le 17/07/2017 à 16:09
Vault 7 : WikiLeaks dévoile l’application Android HighRise
Supposément utilisée par la CIA pour l’interception et la redirection des SMS

La série Vault 7 de WikiLeaks dédiée à la publication des activités de la CIA dans le domaine de la surveillance électronique et de la cyberguerre se poursuit avec la publication du manuel d’une application Android malveillante dénommée HighRise.

D’après WikiLeaks, HighRise fonctionne comme un proxy SMS qui permet d’intercepter et rediriger les messages textes entrants et sortants vers des serveurs de la CIA.

Les smartphones qui tournent sur Android 4.0 à 4.3 sont la cible de l’actuelle version du malware dont on suppose qu’elle a été mise à la disposition des agents de la CIA en décembre 2013.

Avant qu’elle ne puisse être exploitée par un agent, l’application nécessite une installation sur le smartphone cible, ce qui suppose que l’agent a accès à ce dernier. Une fois l’application installée, elle apparaît à l’écran sous le nom Tidecheck.


Une activation de l’application est ensuite requise. Elle se fait par un clic sur l’icône Tidecheck suivi de la saisie d’un mot de passe – configuré sur la chaîne de caractères « inshallah » - et la pression sur un bouton d’initialisation.

L’application est dès lors activée et se met à tourner en arrière-plan après un redémarrage du smartphone. Les messages textes entrants et sortants sont alors interceptés et redirigés vers un centre d’écoute de la CIA.

Cette nouvelle publication de WikiLeaks présente également ce que l’on pourrait considérer comme un implant – c’est-à-dire, un logiciel malveillant que l’agence introduit dans un système cible en tirant parti d’un exploit dont elle seule a le secret –comme celles qui la précèdent.

Dans le cas des malwares BothanSpy et Gyrfalcon utilisés pour pirater des clients SSH sous Windows ou Linux, on sait qu’ils sont constitués pour l’un, de bibliothèques de liaison dynamiques et pour l’autre de scripts python qu’un agent doit « introduire » dans le système cible. L’exploit utilisé pour réussir cette introduction n’est cependant pas précisé.

Dans le cas de cette dernière publication, l’introduction du malware requiert un accès au smartphone cible. Tout le problème ici est de savoir comment l’agent arrive à passer outre le verrouillage d’un appareil – dans les cas où il est configuré – qu’il lui faut absolument compromettre.

Voilà autant d’interrogations qui, finalement, laissent toujours un goût d’inachevé après la lecture d’une des publications de WikiLeaks. Les informations manquantes sont probablement passées aux agents par voie orale pour laisser le moins d’informations possible dans les manuels.

Source : HighRise 2.0 (PDF)

Et vous ?

Qu’en pensez-vous ?

Voir aussi :

Vault 7 : Wikileaks dévoile l'arsenal informatique de la CIA, l'agence est capable de contourner le chiffrement de WhatsApp
WikiLeaks : comment la CIA aurait piraté les smart TV de Samsung pour les transformer en dispositifs d'écoute des conversations privées
La CIA s'est servie de VLC et de plusieurs autres logiciels portés par la communauté du libre pour mener ses opérations d'espionnage
Avatar de earhater earhater - Membre confirmé https://www.developpez.com
le 17/07/2017 à 18:04
Ouais enfin faut qu'un mec de la CIA vous prenne le téléphone portable et installe une application qui se trouve sur votre page d'accueil sans que vous ne vous en aperceviez ?
Avatar de kopbuc kopbuc - Membre du Club https://www.developpez.com
le 17/07/2017 à 19:21
Ouais donc en gros du foutage de gueule
Avatar de LittleWhite LittleWhite - Responsable 2D/3D/Jeux https://www.developpez.com
le 17/07/2017 à 19:29
J'ai pensé à une autre approche :
"L'application est nécessaire pour les criminels (pour X ou Y raisons). Ils téléchargent le fake de la CIA. Comme c'est une application qui est comme privée, il y a un mot de passe à l'accès. Sur le forum où le gars la récupéré, le mot de passe indiqué dans l'article est donné. Voilà, vous avez déclenché l'espion sans qu'il y ait eu accès au téléphone ".
Avatar de Aiekick Aiekick - Membre expérimenté https://www.developpez.com
le 17/07/2017 à 23:27
un malware qui nécessite qu'on entre un code pour l’activer. c'est pas le troll du vendredi ? vous etes sur ?
Avatar de Pierre GIRARD Pierre GIRARD - Expert confirmé https://www.developpez.com
le 18/07/2017 à 6:04
Pareil pour moi, un code pour le désactiver : J'aurais beaucoup mieux compris.
Avatar de hotcryx hotcryx - Membre chevronné https://www.developpez.com
le 18/07/2017 à 14:05
Pourquoi l'activer, il est déjà installé, c'est du foutage de gueule.

J'avais une applic similaire pour espionner mon téléphone, je demandais un mot de passe mais ce n'était pas pour l'activer mais pour accéder à l'interface.
Le programme lui était déjà actif.

Rem: je précise que je n'espionnais que mon téléphone (programme installé par mes soins).
Avatar de Pierre GIRARD Pierre GIRARD - Expert confirmé https://www.developpez.com
le 18/07/2017 à 14:21
Citation Envoyé par hotcryx Voir le message
...Rem: je précise que je n'espionnais que mon téléphone (programme installé par mes soins).
Le but, c'était quoi ?

Car moi, mon portable étant toujours avec moi, je ne vois pas l'intérêt de l'espionner. Donc, a part confier son portable à un autre, je ne voie pas trop à quoi peut servir une telle application.
Avatar de Interruption13h Interruption13h - Membre éclairé https://www.developpez.com
le 19/07/2017 à 12:52
J'aime bien le mot de passe
Avatar de Patrick Ruiz Patrick Ruiz - Chroniqueur Actualités https://www.developpez.com
le 21/07/2017 à 18:13
Vault 7 : WikiLeaks dévoile comment Raytheon a aidé la CIA
À développer des malwares supposément inspirés de ceux des Russes et des Chinois

La série Vault 7 consacrée à la publication des activités de la CIA dans le domaine de la surveillance électronique et de la cyberguerre se poursuit avec un nouveau lot de documents. Ce dernier apporte certains détails sur la coopération entre l’agence et Raytheon – une entreprise américaine qui œuvre dans l’aérospatial et la défense – dans le cadre d’un projet dénommé UMBRAGE Component Library (UCL).

« Les documents ont été fournis à l’agence de LangLey entre le 21 novembre 2014 (juste deux semaines après que Raytheon a racheté Blackbird Technologies) et le 11 septembre 2015. Ils contiennent essentiellement des preuves de concept et des évaluations de vecteurs d’attaques en partie basés sur des documents publics émanant de chercheurs en sécurité et d’entreprises œuvrant dans le domaine de la sécurité », peut-on lire dans la dernière alerte de WikiLeaks qui laisse alors penser que la coopération entre Raytheon et la CIA n’aurait duré qu’une année.

Année pendant laquelle Raytheon a agi comme une sorte de chercheur de technologies pour la Direction de développement à distance – RDB – de la CIA, en analysant des données sur les cyberattaques et en donnant des recommandations aux équipes de la CIA pour une étude approfondie et pour le développement de leurs propres projets, d’après ce qui ressort de l’annonce de WikiLeaks.

Il s’agit donc très probablement de technologies dérobées par Raytheon auprès de chercheurs en sécurité ou d’entreprises du domaine de la cybersécurité. Fait intéressant, dans cette nouvelle publication, les groupes auxquels les documents auraient été dérobés sont clairement nommés.

On apprend ainsi que le premier document apporte des informations sur une variante de HTTPBrowser – un outil d’accès à distance conçu pour enregistrer des frappes au clavier dans les systèmes cibles –, dont l’original est issu d’un groupe chinois nommé Emissary Panda.

Les développements du deuxième document portent eux aussi sur un outil dont l’original a supposément été utilisé par un groupe chinois baptisé Samurai Panda. La version de la CIA permet de détecter les identifiants de proxy pour contourner le pare-feu Windows en s’appuyant sur une faille adobe Flash référencée CVE-2015-5122 et des techniques pour contourner le contrôle des comptes utilisateurs.

Après tout, pourquoi se déranger si l’on peut s’appuyer sur l’existant comme base de travail ? Voilà un questionnement simple auquel une publication du magazine The Intercept – datée du 8 avril 2017 – apporte une excellente réponse.

« Avec UMBRAGE et les projets similaires, la CIA peut non seulement augmenter le nombre total de vecteurs d’attaques dont elle dispose, mais faire porter le chapeau aux groupes auxquels les schémas d’attaque ont été dérobés en inscrivant leur empreinte », déclare WikiLeaks.

Sources : WikiLeaks, The Intercept

Et vous ?

Que pensez-vous de ces dernières révélations de WikiLeaks ?

Voir aussi :

Vault 7 : Wikileaks dévoile l'arsenal informatique de la CIA, l'agence est capable de contourner le chiffrement de WhatsApp
WikiLeaks : comment la CIA aurait piraté les smart TV de Samsung pour les transformer en dispositifs d'écoute des conversations privées
Offres d'emploi IT
Administration systeme z/os (h/f)
CTS - Midi Pyrénées - Toulouse (31000)
Recetteurs informatiques
COOPTALIS - Nord Pas-de-Calais - Région Lilloise
Développeur .net h/f
BULL FR - Provence Alpes Côte d'Azur - Aix-en-Provence (13100)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil