IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Un pirate parvient à dérober des secrets militaires
Parce qu'un mot de passe FTP par défaut n'a pas été changé

Le , par Patrick Ruiz

290PARTAGES

12  0 
Les manuels de maintenance d'un drone MQ-9 ainsi que de la documentation militaire supplémentaire sont apparus sur les étals du darknet. La firme de sécurité à l’origine de l’information atteste de l’authenticité des documents proposés pour des sommes variant de 150 à 200 $.


Tout est parti de la mauvaise configuration d’un routeur comme rapporté par Future Recorded de ses échanges avec le pirate. Ce dernier s’est appuyé sur une vulnérabilité divulguée en 2016 à propos des Netgear Nighthawk R7000. « Si les utilisateurs ne modifient pas les identifiants par défaut pour l’accès aux fonctionnalités de partage de fichiers, les informations disponibles sur les supports de stockage connectés à ces routeurs sont visibles depuis l’extérieur », écrivait le site sfgate. En faisant usage du moteur de recherche shodan, l’intrus a pu repérer des milliers de dispositifs vulnérables, dont celui d’un officier de l’armée américaine sur une base du Nevada. Il a ensuite procédé à la pénétration desdits systèmes en se servant d’ « aptitudes techniques modérées. » « Le pirate a agi seul et a été capable d’identifier et exploiter toutes ces failles en une semaine », rapporte The Verge.

Dans sa gibecière, l’intrus compte également des manuels d’utilisation de chars Abrams M1 et de la doc qui instruit sur la façon de contrer certains engins explosifs. Aucune source n’est formelle sur l’origine de ce dernier groupe de contenus, mais certaines rapportent que le Pentagone est également concerné par ces développements.


Le MQ-9 est un drone capable d’opérer de façon autonome si ses possesseurs ont décidé de ne pas faire usage du mode de pilotage à distance. Il s’agit de l’une des armes les plus puissantes dont les États-Unis disposent pour le moment. Le Pentagone, le département de la Défense, la CIA et la NASA en font usage. Le fait que des tiers soient en possession de cette documentation pose donc un sérieux problème de sécurité pour les USA. Il s’agit en effet de contenus précieux pour des groupes terroristes qui pourraient ainsi en apprendre plus sur les techniques et tactiques de l’armée américaine.


Future Recorded a notifié le Département de la Sécurité intérieure des États-Unis du casse à la mi-juin. D’après la firme de sécurité, les responsables de cette administration reconnaissent que la situation est alarmante. Les investigations se poursuivent.

Sources : Forbes, The Verge

Et vous ?

Comment expliquer que des tiers puissent s’emparer aussi facilement de données sensibles au sein d’administrations de ce calibre par des temps aussi marqués par des cyberattaques en tous genres ?

Prenez-vous particulièrement les alertes sécurité au sérieux ? Sinon, quels dispositifs continuez-vous de garder vulnérables en faisant fi des règles de base en la matière ?

Voir aussi :

Un pirate s'empare d'une base de données du forum du jeu populaire Clash of Kings en exploitant une faille connue datant de 2013

Ethereum : un pirate réussit à dérober l'équivalent de près de 30 millions € en s'appuyant sur une faille dans les contrats intelligents de Parity

Un groupe de hackers aurait réussi à pirater PlayStation Network de Sony et a revendiqué l'attaque via un compte Twitter officiel de PlayStation

Un pirate d'Anonymous déclare avoir piraté les données du NHS portant sur environ 1,2 million de patients, SwiftQueue revoit ce chiffre à la baisse

USA : des hackers auraient piraté un système de gestion de carburant d'une station-service avant d'emporter 600 gallons de carburant

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de grigric
Membre régulier https://www.developpez.com
Le 12/07/2018 à 8:54
@archqt,
je pense que le rédacteur voulait plus mettre en lumière le problème que si une personne arrive à se connecter à distance sur l'équipement, il pourrait lui donner une mission (de bombardement par exemple) nno désirée.
Et d'après l'article ci-dessous, il semble que ce soit possible de prendre le controle d'un drone.
prise de controle d'un drone par des scientifiques
4  0 
Avatar de benjani13
Membre extrêmement actif https://www.developpez.com
Le 12/07/2018 à 10:56
beegeebogs> Deux choses. Premièrement, oui, les fournisseurs de matériels ou de logiciel doivent arrêter avec les mots de passes par défaut. Il faut soit que l'utilisateur ait un mot de passe généré aléatoirement, soit que celui-ci soit obligé de le changer avant que le système se mette en route la première fois. Deuxièmement, c'est à celui qui utilise le logiciel/materiel de vérifier que les mots de passe ont bien été changé. Cela peut être fait via un inventaire à jour des matériels et logiciels déployés et par l'utilisation de scanners de vulnérabilités qui peuvent détecter ça.

Ryu> Pour les mots de passes tu peux essayer les méthodes des premières lettres ou les méthodes phonétiques, qui donnent des MDP plus facilement mémorisables. (Cf : ANSSI)
Sans oublier les outils type Keepass (tant qu'on oublie pas le mot de passe principal ), l’authentification à deux facteurs avec par exemple Yubikey, l’authentification par certificat pour les services critiques, etc.
4  0 
Avatar de
https://www.developpez.com
Le 12/07/2018 à 9:05
Ce que j'ai du mal à comprendre avec ce genre d'histoires (mot de passe par défaut non changé), c'est que toujours rien n'est fait du côté des fabricants (surtout avec des clients "sensibles" pour détecter que le mot de passe par défaut est toujours le même... Une petite alerte qui détecte que le mot de passe est toujours celui par défaut ce serait trop chiant à mettre en place ? Si ce pirate a pu détecter les éléments vulnérables, d'autres entités peuvent le faire.
Je ne dis pas que c'est forcément au constructeur de faire l'effort, c'est avant tout à l'utilisateur d'assurer sa protection mais on pourrait faire un effort des deux côtés.
1  0 
Avatar de benjani13
Membre extrêmement actif https://www.developpez.com
Le 12/07/2018 à 11:04
Citation Envoyé par Ryu2000 Voir le message

J’espère que les armées ne vont pas trop loin dans le délire des armes connectés, parce que ça pourrait se retourner contre elles.
Si une autre armée prend le contrôle des appareils, ça risque d'être le cirque.
En 2015, un couple de chercheurs en sécurité a démontré qu'un fusil sniper à visé automatique était piratable (le rendant inefficace voir lui faisant changer de cible) car il proposait... du wifi... : https://www.wired.com/2015/07/hacker...change-target/
1  0 
Avatar de Hermione-V
Membre du Club https://www.developpez.com
Le 12/07/2018 à 9:38
Un pirate parvient à dérober des secrets militaires
Parce qu'un mot de passe FTP par défaut n'a pas été changé

Quelle négligeance!

Quel est le sort de ce pirate?
0  0 
Avatar de Ryu2000
Membre extrêmement actif https://www.developpez.com
Le 12/07/2018 à 10:23
Citation Envoyé par Patrick Ruiz  Voir le message
Comment expliquer que des tiers puissent s’emparer aussi facilement de données sensibles au sein d’administrations de ce calibre par des temps aussi marqués par des cyberattaques en tous genres ?

Les militaires ont besoin d'une formation sur la sécurité informatique.
Il faut bien faire attention à changer les mots de passe par défaut.
On devrait leur expliquer qu'il y a des données sensible et que des gens cherchent à éxploiter des failles.

Citation Envoyé par Patrick Ruiz  Voir le message
Prenez-vous particulièrement les alertes sécurité au sérieux ? Sinon, quels dispositifs continuez-vous de garder vulnérables en faisant fi des règles de base en la matière ?

Je ne respect pas les protocoles de sécurité. (c'est un peu l'air con pour un informaticien...)
Normalement il faut des mot de passes avec majuscule + minuscule + lettre + caractère spéciaux, ils ne doivent pas contenir de mot, ils doivent être unique pour chaque site (parce que si t'utilises le même partout et qu'on te le vol à un endroit t'es baisé) :
En 8 caractères ça ferait des choses comme ça :
Code : Sélectionner tout
1
2
3
4
5
6
7
8
9
10
U5Wf4a.: 
$xL4t4A. 
G.z4#gT4 
Kz_62De: 
z6n4]EJ& 
8b=Pi6-T 
c9Fx9/^C 
)/vHX98c 
S[8/bRd5 
@VnuJ8:9
Mais c'est difficile à se rappeler...

Après moi je n'ai pas d'info sensible...
Je n'ai pas de webcam ou de micro sur mon PC, donc ça va encore.

Citation Envoyé par Patrick Ruiz  Voir le message
Le fait que des tiers soient en possession de cette documentation pose donc un sérieux problème de sécurité pour les USA. Il s’agit en effet de contenus précieux pour des groupes terroristes qui pourraient ainsi en apprendre plus sur les techniques et tactiques de l’armée américaine.

Il y a un paquet de clients potentiel, parce que les ennemis des USA ce n'est pas ce qui manque...

Bon après ce ne sont que des manuels et de la documentation militaire, ça ne va pas trop loin...
C'est pas comme quand l'Iran a capturé un drone US, a réussi à le contrôler et à créé des copies ^^
L'Iran dévoile un drone copié sur un modèle américain capturé en 2011

C'était pas une grande idée de faire voler un drone au dessus de l'Iran...
L'armée américaine se permet n'importe quoi, elle se croit intouchable, elle est arrogante.

===
J’espère que les armées ne vont pas trop loin dans le délire des armes connectés, parce que ça pourrait se retourner contre elles.
Si une autre armée prend le contrôle des appareils, ça risque d'être le cirque.
0  0 
Avatar de Daïmanu
Membre émérite https://www.developpez.com
Le 12/07/2018 à 10:56
Citation Envoyé par archqt Voir le message
ben non, on pourrait me donner le manuel d'une bombe atomique que cela ne changerait rien.
Toi individuellement non, mais il existe certainement un marché noir et des États peu scrupuleux qui seront plus à mêmes d'exploiter ces documents, au moins pour analyser les capacités de l'« ennemi ».

Et m'est avis que ce pirate n'a pas un éthique exemplaire.
0  0 
Avatar de Ryu2000
Membre extrêmement actif https://www.developpez.com
Le 12/07/2018 à 11:10
Citation Envoyé par benjani13 Voir le message
les fournisseurs de matériels ou de logiciel doivent arrêter avec les mots de passes par défaut.
Moi je trouvais ça super pratique, t'arrivais dans l'administration d'une livebox tu mettais "admin" - "admin" et t'étais connecté.
Après le mot de passe par défaut c'était la clé wifi par défaut et c'est tout de suite beaucoup plus chiant que "admin".

Ma Freebox m'a demandé de choisir un mot de passe, j'ai choisi "admin"
Mais j'ai changé, parce qu'on peut changer le mot de passe en appuyant sur la freebox.

Citation Envoyé par Daïmanu Voir le message
Et m'est avis que ce pirate n'a pas un éthique exemplaire.
Ça va... Pour des blacks hats ça n'a rien de choquant ^^
C'est pas de la documentation pour créer une bombe non plus... (manuels d’utilisation de chars Abrams M1 et de la doc qui instruit sur la façon de contrer certains engins explosifs)

La surveillance US doit voler des informations sensible partout dans le monde.
Donc c'est de bonne guerre. Ce n'est que justice que les USA se fassent voler de la documentation.

Ce qui serait marrant c'est que les backdoors installé dans différents système pour la NSA se fassent exploité par une autre force.
Si vous avez un routeur Netgear Nighthawk R7000, n'oubliez pas de changer le mot de passe par défaut ^^
0  0 
Avatar de Ryu2000
Membre extrêmement actif https://www.developpez.com
Le 13/07/2018 à 8:05
Citation Envoyé par sambia39 Voir le message
Dans le cas présent et à titre d'exemple, il faut a un attaquant entre 22 à 72 heures au maximum pour qu'il casse un mot de passe de la liste et entre 7 et 15 heures au minimum pour casser certains mots de passe de cette même liste.
Ouais mais il ne me semble pas qu'on puisse faire des attaques par force brut sur un site...
Au bout de 5 essais tu vas être bloqué, au mieux il va y avoir un captcha et le but du truc c'est de bloquer les robots.

Voici la liste des 25 mots de passe les plus populaires (et probablement les moins sûrs) de 2017
Est-ce que vous croyez que c'est pire d'avoir comme mot de passe "c9Fx9/^C" ou "123456789" ?
Il y a un caractère de plus dans le deuxième, donc quelque part ça augmente ça complexité (selon comment on regarde), mais je trouve que le premier semble plus sécurisé.
C'est pareil si tu mets ton prénom + nom, tu vas avoir un long mot de passe, mais c'est pas forcément très sécurisé.

Avoir "c9Fx9/^C" comme mot de passe, ce serait déjà beaucoup mieux que la plupart des mots de passe.
Il y a peut être des fous de la sécurité qui n'utilisent que des mots de passe qui ressemblent à des clés WPA du genre "epgVXg8fcozKUNvoJL8WKd2l697IqAtue4r0u0KHWPGLtRFvielq7acNuTmSxmV" qu'ils changent tous les mois ^^ En les notant nulle part et en ne les sauvegardant pas dans le navigateur.
0  0 
Avatar de benjani13
Membre extrêmement actif https://www.developpez.com
Le 13/07/2018 à 15:00
Ryu> Ce qu'il se passe la plupart du temps est que quelqu'un réussi à récupérer la BDD d'un site, et casse les hash des mots de passe en offline (sur GPU).

"c9Fx9/^C" sera plus robuste que "123456789", mais comme tu le dis (avec ton exemple prenom + nom), le nombre de caractère et le charset utilisé ne sont pas les seuls critères pour qualifier la robustesse d'un mot de passe. Notamment, sa forme compte beaucoup. Il est possible de casser des mots de passes qui semblent forts car ils ont en fait une forme très commune.

Par exemple une forme très commune est d'avoir un mot débutant avec une lettre majuscule et finissant par un nombre. Mettont que ton mot de passe était toto, et que tu le change pour "Toto1986" pour être plus robuste. Pour casser ce mot de passe, on va faire ce qu'on appelle de la mutation. Tu prend un dictionnaire de mots (qui contient surement "toto", pour chaque mot tu créer toutes les formes possibles avec une majuscule en première lettre et une année à la fin (mettons de 1950 à 2000). Tu met tout ça dans un nouveau dictionnaire enrichie (en vrai ça peut être fait à la volée par les programmes adéquats). Tu vois ainsi que "Toto1986" n'est pas vraiment plus robuste que "toto", de par sa forme très commune.

Un autre point assez amusant et l'analyse lexicale des mots de passes. Si tu as volé la base d'un site d'automobile, tu auras a coup sur beaucoup de mots de passes contenant des mots du lexique de l'automobile ("Ferrari21", "mercedes4ever", ...). Donc en élaborant un dictionnaire contenant plutôt du lexique automobile tu maximise tes chances de casser les mots de passes de cette base. Le dictionnaire peut même être réalisé automatiquement à partir du contenu du site en question (et ça c'est forte je trouve).
0  0