Un pirate parvient à dérober des secrets militaires
Parce qu'un mot de passe FTP par défaut n'a pas été changé

Le , par Patrick Ruiz, Chroniqueur Actualités
Les manuels de maintenance d'un drone MQ-9 ainsi que de la documentation militaire supplémentaire sont apparus sur les étals du darknet. La firme de sécurité à l’origine de l’information atteste de l’authenticité des documents proposés pour des sommes variant de 150 à 200 $.


Tout est parti de la mauvaise configuration d’un routeur comme rapporté par Future Recorded de ses échanges avec le pirate. Ce dernier s’est appuyé sur une vulnérabilité divulguée en 2016 à propos des Netgear Nighthawk R7000. « Si les utilisateurs ne modifient pas les identifiants par défaut pour l’accès aux fonctionnalités de partage de fichiers, les informations disponibles sur les supports de stockage connectés à ces routeurs sont visibles depuis l’extérieur », écrivait le site sfgate. En faisant usage du moteur de recherche shodan, l’intrus a pu repérer des milliers de dispositifs vulnérables, dont celui d’un officier de l’armée américaine sur une base du Nevada. Il a ensuite procédé à la pénétration desdits systèmes en se servant d’ « aptitudes techniques modérées. » « Le pirate a agi seul et a été capable d’identifier et exploiter toutes ces failles en une semaine », rapporte The Verge.

Dans sa gibecière, l’intrus compte également des manuels d’utilisation de chars Abrams M1 et de la doc qui instruit sur la façon de contrer certains engins explosifs. Aucune source n’est formelle sur l’origine de ce dernier groupe de contenus, mais certaines rapportent que le Pentagone est également concerné par ces développements.


Le MQ-9 est un drone capable d’opérer de façon autonome si ses possesseurs ont décidé de ne pas faire usage du mode de pilotage à distance. Il s’agit de l’une des armes les plus puissantes dont les États-Unis disposent pour le moment. Le Pentagone, le département de la Défense, la CIA et la NASA en font usage. Le fait que des tiers soient en possession de cette documentation pose donc un sérieux problème de sécurité pour les USA. Il s’agit en effet de contenus précieux pour des groupes terroristes qui pourraient ainsi en apprendre plus sur les techniques et tactiques de l’armée américaine.


Future Recorded a notifié le Département de la Sécurité intérieure des États-Unis du casse à la mi-juin. D’après la firme de sécurité, les responsables de cette administration reconnaissent que la situation est alarmante. Les investigations se poursuivent.

Sources : Forbes, The Verge

Et vous ?

Comment expliquer que des tiers puissent s’emparer aussi facilement de données sensibles au sein d’administrations de ce calibre par des temps aussi marqués par des cyberattaques en tous genres ?

Prenez-vous particulièrement les alertes sécurité au sérieux ? Sinon, quels dispositifs continuez-vous de garder vulnérables en faisant fi des règles de base en la matière ?

Voir aussi :

Un pirate s'empare d'une base de données du forum du jeu populaire Clash of Kings en exploitant une faille connue datant de 2013

Ethereum : un pirate réussit à dérober l'équivalent de près de 30 millions € en s'appuyant sur une faille dans les contrats intelligents de Parity

Un groupe de hackers aurait réussi à pirater PlayStation Network de Sony et a revendiqué l'attaque via un compte Twitter officiel de PlayStation

Un pirate d'Anonymous déclare avoir piraté les données du NHS portant sur environ 1,2 million de patients, SwiftQueue revoit ce chiffre à la baisse

USA : des hackers auraient piraté un système de gestion de carburant d'une station-service avant d'emporter 600 gallons de carburant


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse Signaler un problème

Avatar de archqt archqt - Membre actif https://www.developpez.com
le 12/07/2018 à 0:22
ben non, on pourrait me donner le manuel d'une bombe atomique que cela ne changerait rien.
Donc ok il sait comment réparer/maintenir le truc et après ? oui, ok si on en pique un, ah pardon on me signale que c'est compliqué d'en piquer un.
Fin de l'histoire
Avatar de grigric grigric - Membre régulier https://www.developpez.com
le 12/07/2018 à 8:54
@archqt,
je pense que le rédacteur voulait plus mettre en lumière le problème que si une personne arrive à se connecter à distance sur l'équipement, il pourrait lui donner une mission (de bombardement par exemple) nno désirée.
Et d'après l'article ci-dessous, il semble que ce soit possible de prendre le controle d'un drone.
prise de controle d'un drone par des scientifiques
Avatar de beegeebogs beegeebogs - Futur Membre du Club https://www.developpez.com
le 12/07/2018 à 9:05
Ce que j'ai du mal à comprendre avec ce genre d'histoires (mot de passe par défaut non changé), c'est que toujours rien n'est fait du côté des fabricants (surtout avec des clients "sensibles" pour détecter que le mot de passe par défaut est toujours le même... Une petite alerte qui détecte que le mot de passe est toujours celui par défaut ce serait trop chiant à mettre en place ? Si ce pirate a pu détecter les éléments vulnérables, d'autres entités peuvent le faire.
Je ne dis pas que c'est forcément au constructeur de faire l'effort, c'est avant tout à l'utilisateur d'assurer sa protection mais on pourrait faire un effort des deux côtés.
Avatar de Hermione-V Hermione-V - Membre du Club https://www.developpez.com
le 12/07/2018 à 9:38
Un pirate parvient à dérober des secrets militaires
Parce qu'un mot de passe FTP par défaut n'a pas été changé

Quelle négligeance!

Quel est le sort de ce pirate?
Avatar de Ryu2000 Ryu2000 - Membre extrêmement actif https://www.developpez.com
le 12/07/2018 à 10:23
Citation Envoyé par Patrick Ruiz  Voir le message
Comment expliquer que des tiers puissent s’emparer aussi facilement de données sensibles au sein d’administrations de ce calibre par des temps aussi marqués par des cyberattaques en tous genres ?

Les militaires ont besoin d'une formation sur la sécurité informatique.
Il faut bien faire attention à changer les mots de passe par défaut.
On devrait leur expliquer qu'il y a des données sensible et que des gens cherchent à éxploiter des failles.

Citation Envoyé par Patrick Ruiz  Voir le message
Prenez-vous particulièrement les alertes sécurité au sérieux ? Sinon, quels dispositifs continuez-vous de garder vulnérables en faisant fi des règles de base en la matière ?

Je ne respect pas les protocoles de sécurité. (c'est un peu l'air con pour un informaticien...)
Normalement il faut des mot de passes avec majuscule + minuscule + lettre + caractère spéciaux, ils ne doivent pas contenir de mot, ils doivent être unique pour chaque site (parce que si t'utilises le même partout et qu'on te le vol à un endroit t'es baisé) :
En 8 caractères ça ferait des choses comme ça :
Code : Sélectionner tout
1
2
3
4
5
6
7
8
9
10
U5Wf4a.: 
$xL4t4A. 
G.z4#gT4 
Kz_62De: 
z6n4]EJ& 
8b=Pi6-T 
c9Fx9/^C 
)/vHX98c 
S[8/bRd5 
@VnuJ8:9
Mais c'est difficile à se rappeler...

Après moi je n'ai pas d'info sensible...
Je n'ai pas de webcam ou de micro sur mon PC, donc ça va encore.

Citation Envoyé par Patrick Ruiz  Voir le message
Le fait que des tiers soient en possession de cette documentation pose donc un sérieux problème de sécurité pour les USA. Il s’agit en effet de contenus précieux pour des groupes terroristes qui pourraient ainsi en apprendre plus sur les techniques et tactiques de l’armée américaine.

Il y a un paquet de clients potentiel, parce que les ennemis des USA ce n'est pas ce qui manque...

Bon après ce ne sont que des manuels et de la documentation militaire, ça ne va pas trop loin...
C'est pas comme quand l'Iran a capturé un drone US, a réussi à le contrôler et à créé des copies ^^
L'Iran dévoile un drone copié sur un modèle américain capturé en 2011

C'était pas une grande idée de faire voler un drone au dessus de l'Iran...
L'armée américaine se permet n'importe quoi, elle se croit intouchable, elle est arrogante.

===
J’espère que les armées ne vont pas trop loin dans le délire des armes connectés, parce que ça pourrait se retourner contre elles.
Si une autre armée prend le contrôle des appareils, ça risque d'être le cirque.
Avatar de benjani13 benjani13 - Membre chevronné https://www.developpez.com
le 12/07/2018 à 10:56
beegeebogs> Deux choses. Premièrement, oui, les fournisseurs de matériels ou de logiciel doivent arrêter avec les mots de passes par défaut. Il faut soit que l'utilisateur ait un mot de passe généré aléatoirement, soit que celui-ci soit obligé de le changer avant que le système se mette en route la première fois. Deuxièmement, c'est à celui qui utilise le logiciel/materiel de vérifier que les mots de passe ont bien été changé. Cela peut être fait via un inventaire à jour des matériels et logiciels déployés et par l'utilisation de scanners de vulnérabilités qui peuvent détecter ça.

Ryu> Pour les mots de passes tu peux essayer les méthodes des premières lettres ou les méthodes phonétiques, qui donnent des MDP plus facilement mémorisables. (Cf : ANSSI)
Sans oublier les outils type Keepass (tant qu'on oublie pas le mot de passe principal ), l’authentification à deux facteurs avec par exemple Yubikey, l’authentification par certificat pour les services critiques, etc.
Avatar de Daïmanu Daïmanu - Membre chevronné https://www.developpez.com
le 12/07/2018 à 10:56
Citation Envoyé par archqt Voir le message
ben non, on pourrait me donner le manuel d'une bombe atomique que cela ne changerait rien.
Toi individuellement non, mais il existe certainement un marché noir et des États peu scrupuleux qui seront plus à mêmes d'exploiter ces documents, au moins pour analyser les capacités de l'« ennemi ».

Et m'est avis que ce pirate n'a pas un éthique exemplaire.
Avatar de benjani13 benjani13 - Membre chevronné https://www.developpez.com
le 12/07/2018 à 11:04
Citation Envoyé par Ryu2000 Voir le message

J’espère que les armées ne vont pas trop loin dans le délire des armes connectés, parce que ça pourrait se retourner contre elles.
Si une autre armée prend le contrôle des appareils, ça risque d'être le cirque.
En 2015, un couple de chercheurs en sécurité a démontré qu'un fusil sniper à visé automatique était piratable (le rendant inefficace voir lui faisant changer de cible) car il proposait... du wifi... : https://www.wired.com/2015/07/hacker...change-target/
Avatar de Ryu2000 Ryu2000 - Membre extrêmement actif https://www.developpez.com
le 12/07/2018 à 11:10
Citation Envoyé par benjani13 Voir le message
les fournisseurs de matériels ou de logiciel doivent arrêter avec les mots de passes par défaut.
Moi je trouvais ça super pratique, t'arrivais dans l'administration d'une livebox tu mettais "admin" - "admin" et t'étais connecté.
Après le mot de passe par défaut c'était la clé wifi par défaut et c'est tout de suite beaucoup plus chiant que "admin".

Ma Freebox m'a demandé de choisir un mot de passe, j'ai choisi "admin"
Mais j'ai changé, parce qu'on peut changer le mot de passe en appuyant sur la freebox.

Citation Envoyé par Daïmanu Voir le message
Et m'est avis que ce pirate n'a pas un éthique exemplaire.
Ça va... Pour des blacks hats ça n'a rien de choquant ^^
C'est pas de la documentation pour créer une bombe non plus... (manuels d’utilisation de chars Abrams M1 et de la doc qui instruit sur la façon de contrer certains engins explosifs)

La surveillance US doit voler des informations sensible partout dans le monde.
Donc c'est de bonne guerre. Ce n'est que justice que les USA se fassent voler de la documentation.

Ce qui serait marrant c'est que les backdoors installé dans différents système pour la NSA se fassent exploité par une autre force.
Si vous avez un routeur Netgear Nighthawk R7000, n'oubliez pas de changer le mot de passe par défaut ^^
Avatar de sambia39 sambia39 - Membre expérimenté https://www.developpez.com
le 12/07/2018 à 17:31
Bonjour,
Il a ensuite procédé à la pénétration desdits systèmes en se servant d’ « aptitudes techniques modérées. » « Le pirate a agi seul et a été capable d’identifier et exploiter toutes ces failles en une semaine », rapporte The Verge.

Dans sa gibecière, l’intrus compte également des manuels d’utilisation de chars Abrams M1 et de la doc qui instruit sur la façon de contrer certains engins explosifs. Aucune source n’est formelle sur l’origine de ce dernier groupe de contenus, mais certaines rapportent que le Pentagone est également concerné par ces développements.

Future Recorded a notifié le Département de la Sécurité intérieure des États-Unis du casse à la mi-juin. D’après la firme de sécurité, les responsables de cette administration reconnaissent que la situation est alarmante. Les investigations se poursuivent.
Et vous ?

Comment expliquer que des tiers puissent s’emparer aussi facilement de données sensibles au sein d’administrations de ce calibre par des temps aussi marqués par des cyberattaques en tous genres ?

Ce passage est un peu fort et élogieux. Certes, il a usé d’exploit et vulnérabilité connue, mais dire qu’en un temps donné (une semaine) il a traité toutes les machines vulnérables, c’est un peu fort.
Je pense surtout que l’attaquant a exploité un vecteur simple. Il cartographie et obtient la liste de machines mal configurée grâce shodan. Suite ça, il a probablement configuré, utilisé et déployé des bots en fonctions de la liste avec pour objectifs testés des combinaisons/le couple «*login/password*» de son dictionnaire (téléchargeable gratuitement sur le net) voire exploité d’autre vulnérabilité et ce, jusqu’à a ce qu’il se log ou épuiser l'ensemble des techniques/vulnérabilités connus.
L’ensemble des machines qui ont accepté le couple de logins/password sont alors répertoriées pour une ultérieure investigation. Suite a ça il faut encore pas mal de temps pour tomber sur le bon sauf, s’il sait ou chercher.

Bref, peut-être que c’est vrai, mais je doute que l’attaquant ait passé une semaine pour traiter l’ensemble des machines cibles. Si ça se peut, il est peut-être tombé sur le serveur en question de l’armée au bout de la quatrième machine dans lequel il n'y avait des informations intéressantes. Mais s’il était question de PDF livres de cuisine recommandés par le caporal Tatane commis de cuisine je doute que l’on puisse entendre parler de piratage de documents sensible/ que l’attaquant face parler de luis
Bref, c’est mon avis personnel je sais pas se que vous en pensé. Sinon bon article.

Citation Envoyé par Ryu2000  Voir le message
Je ne respect pas les protocoles de sécurité. (c'est un peu l'air con pour un informaticien...)
Normalement il faut des mot de passes avec majuscule + minuscule + lettre + caractère spéciaux, ils ne doivent pas contenir de mot, ils doivent être unique pour chaque site (parce que si t'utilises le même partout et qu'on te le vol à un endroit t'es baisé) :
En 8 caractères ça ferait des choses comme ça :
Code : Sélectionner tout
1
2
3
4
5
6
7
8
9
10
U5Wf4a.: 
$xL4t4A. 
G.z4#gT4 
Kz_62De: 
z6n4]EJ& 
8b=Pi6-T 
c9Fx9/^C 
)/vHX98c 
S[8/bRd5 
@VnuJ8:9
Mais c'est difficile à se rappeler...

En plus qu'ils ne soient potentiellement pas faciles à retenir, l’ensemble des mots de passe ci-dessous en exemples sont largement faciles à casser pour celui qui possède une bonne machine. Dans le cas présent et à titre d'exemple, il faut a un attaquant entre 22 à 72 heures au maximum pour qu'il casse un mot de passe de la liste et entre 7 et 15 heures au minimum pour casser certains mots de passe de cette même liste.
  • 7 à 10 heures pour les mots de passe suivants: 8b=Pi6-T
  • 11 à 14 heures grand max pour les mots de passe suivants: U5Wf4a.: et S[8/bRd5
  • 16 à 72 heures grand max pour les mots de passe suivants: )/vHX98c c9Fx9/^C et @VnuJ8:9


Le minimum de 8 mots de passe ne tient plus la route à condition d’avoir une complexité dans l’élaboration du mot de passe en utilisant diverses méthodes pour le complexifier exemple la méthode complexification se basant sur a la phonétique par exemple. Bref personnellement, une longueur de mots de passe de 12 du style "j,7[.e{79J%3" avec une hygiène de mots de passe (changement régulier de mots de passe) garantit l’essentiel. D’un autre, coter ont peut faire bête et méchant et robuste temporairement un mot de passe du style à 30 fois est bien plus robuste tout comme 20 fois le caractère espace mais déconseiller. Aux finales plus la taille du mot de passe est cours plus le mot de passe est facile trouver.

à bientôt
Contacter le responsable de la rubrique Accueil