Des informations permettant de pirater les équipements d'un aéroport seraient en vente
Pour 10 dollars US sur le dark web

Le , par Bill Fassinou

100PARTAGES

13  0 
Les aéroports passent bien souvent à tort pour des bastions inviolables de la sécurité numérique. Cette idée a eu le temps de s’ancrer dans l’inconscient collectif de l’humanité et aujourd’hui, nous avons du mal à nous en défaire. Pourtant, ce ne sont pas les cas de failles dans les systèmes de sécurité informatique des aéroports qui manquent. Des chercheurs en sécurité ont révélé que, pour le prix ridiculement bas de 10 USD, on pouvait se procurer les informations permettant d’accéder aux systèmes d’un aéroport dont ils ont préféré taire le nom.

En effet, des chercheurs de la firme éditrice de logiciels McAfee ont révélé une sombre escroquerie prenant pour cible un aéroport. Les criminels auteurs du forfait vendraient l’accès à des équipements aéroportuaires piratés via des boutiques RDP (Remote Desktop Protocol) sur le dark web. Précisons à toutes fins utiles que le Remote Desktop Protocol est un protocole propriétaire développé par Microsoft qui permet aux utilisateurs d'accéder à un autre ordinateur que le leur, par le biais d’une interface graphique. Ces criminels effectueraient un balayage sur Internet afin de repérer les systèmes ouverts aux connexions RDP. Une fois ces systèmes identifiés, les pirates lanceraient leurs attaques en se servant d’outils connus.


Les chercheurs de McAfee ont rapporté qu’ils avaient découvert en vente dans une boutique RDP « un accès lié aux systèmes de sécurité et d'automatisation des bâtiments d'un grand aéroport international ». Ils reconnaissent ne pas savoir précisément de quelle manière ces informations sont tombées entre les mains des pirates, mais ils soulignent qu’elles auraient pu être obtenues par le biais d’attaques par force brute.

N’importe qui pouvant acheter cet accès, les risques d’attaques sont démultipliés. De simples vols de données à des types d’attaques autrement plus dévastateurs, les possibilités d’utilisation néfaste de ces données sont quasi illimitées. Ce nouvel épisode dans la saga des données piratées vient nous rappeler à quel point un seul maillon dans un système de sécurité peut mettre en péril toute une organisation. L’aéroport en question, dont le nom n’a pas été communiqué, aurait déjà pris les mesures nécessaires pour sécuriser son système et le rendre moins vulnérable à ce genre d’attaques, selon ce que les chercheurs ont rapporté.

Les transports aériens ne sont cependant pas le seul secteur sensible dont la sécurité laisse à désirer. Les chercheurs déclarent avoir vu de grandes quantités de données de systèmes gouvernementaux – dont des données du secteur ultrasensible des soins de santé - mises en vente à travers le monde. Et c’est plus qu’inquiétant que les données de secteurs aussi vitaux ne soient pas mieux protégées. En guise de conclusion, les chercheurs informent que l’utilisation de mots de passe complexes et d’une authentification à deux facteurs pourrait considérablement réduire la vulnérabilité des systèmes aux attaques RDP.

Source : McAfee - wccftech

Et vous ?

Que pensez-vous de l'insécurité des données qui s'invite dans tous les secteurs d'activité ?
Que faire pour éradiquer ces attaques qui deviennent un fléau pour la société ?

Voir aussi

Une firme de sécurité poursuivie pour ne pas avoir pu détecter un malware qui a permis de pirater les données de plus de 650 clients d'une entreprise

Android : la nouvelle politique de sécurité de Google imposera des mises à jour régulières les fabricants de téléphones devraient s'y conformer

Quels sont les risques de sécurité majeurs du cloud computing ? Une étude du CSA en révèle douze

Six tendances en sécurité et gestion du risque qui pourraient être bénéfiques à votre entreprise selon Gartner

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de benjani13
Membre extrêmement actif https://www.developpez.com
Le 12/07/2018 à 16:11
Citation Envoyé par J@ckHerror Voir le message
M
Code : Sélectionner tout
Non mais il pense pas du tout faire de la sécurité, ce n'est pas du tout son job.
Exactement comme moi, ce n'est pas mon job mais quand il y a un problème c'est quand même moi que l'on vient voir...
Alors que pour moi, ce rôle devrait au pire revenir à un prestataire externe, qui assure la sécurité informatique de l'entreprise, avec audit régulier etc... en gros ce que les grosses entreprises font devrait également être fait dans les petites, mais ce n'est pas encore le cas aujourd'hui, je suis persuadé que ça viendra, de la même manière qu'on a tous un mec qui passe tous les ans dans le bureau pour les clim, et un autre pour l'électricité.
Je ne suis pas du tout d'accord là dessus. La sécurité c'est pas un gars qui vient une fois par an vérifier le niveau des jauges et remettre un coup de tournevis (c'est une image je ne dénigre pas les réparateurs de clim' ).

Dans ton message, remplace "sécurité" par "correction des bugs". Est-ce choquant qu'on vienne te voir si tu as introduit des bugs? Serait-ce normal de ne pas faire de corrections de bugs et juste demander à un gars de passer de temps en temps pour détecter et corriger les bugs? Est-ce que tu crois que ce serait efficace? C'est exactement pareille avec la sécurité. Pour moi un problème de sécurité doit être considéré comme un bug, et sa non correction doit être considéré comme une dette technique. Dette qui peut couter très cher. J'ai audité des projets (souvent des vieux trucs) où, la conclusion était que le projet était à jeter et à recommencer.

La sécurité est une part du job de toute personne bossant dans l'informatique, du moins ça devrait l'être. Je suis admin réseaux, je dois connaitre les implications en terme de sécurité des choix que je fais (forces et faiblesse des protocoles, etc). Je suis dev web, je dois connaitre les failles web courantes et les éviter. Je suis admin sys, je dois savoir faire du hardenning. Je suis dev bas niveau, je dois connaitre les failles applicatives courantes. Etc, etc.

Le problème est qu'on voit la sécurité comme une matière à part, alors que c'est un tronc commun. Malheureusement les formations ne se sont pas adaptées. Pour chaque matière informatique il devrait avoir un module de sécurité associé pour que les élèves, futurs pro, aient les bons réflexes en tout occasion, quelque soit leur futur métier.

Un dernier point sur la vision de la sécurité. Quelqu'un qui réalise un audit n'est pas non plus là pour mettre un coup de tournevis. Il est là pour analyser et remonter le fait que y a des vis qui sont en trains de se barrer, conseiller comment les revisser correctement, voir conseiller d'autres types de vis qui seraient plus adaptées. C'est à l'organisateur de l'audit de faire redescendre les informations aux bonnes équipes qui iront prendre les mesures adéquats. C'est comme un testeur, un testeur vous remonte des bugs, puis vous les corrigez de la façon adéquats.

Pour finir, je pense que 90% de la sécurisation incombe aux équipes en charges des projets (quelques soit leur poste, technicien, ingénieur, manager, direction), l'auditeur est là pour amener les 10% restant, et il ne pourra jamais allé plus loin que ça (car toujours très limité dans le temps, et on lui demande de se concentrer sur une toute petite partie des applications ou de l'infra). L'auditeur est là pour voir ce qui a échappé à la vigilance des intervenants du projet, découvrir des problèmes plus poussés de part ses compétences, et apporter du conseil.

PS:
Autre cas régulier, une boite développe une appli et se dit, à deux semaines de la mise en prod qu'il serait peut être intéressant de faire un audit. Pour ça, elles paient un prestataire pour 5 jours d'audit. Pensez-vous qu'une personne en une semaine peut trouver et résoudre tous les problèmes de sécurité? Quand je dis une semaine, je compte une bonne demi journée pour se mettre en route (dialogue avec les intervenants, découvertes du périmètres, résolution de problèmes divers), et une bonne journée et demi de rédaction du rapport. Reste, au mieux, 3 jours. Voila au mieux la place que prend la sécurité dans les projets, 3 jours homme, n'est-ce pas ridicule?
4  0 
Avatar de Doksuri
Membre émérite https://www.developpez.com
Le 12/07/2018 à 11:59
c'est comme les USB de charchement des telephones.... c'est super des ports USB de partout (surtout dans les aeroports), mais qui te dit qu'il n'y a pas un serveur derriere qui collecte tes datas.

perso, j'ai un cable USB (que j'ai toujours sur moi depuis des annees) ou j'ai coup les fils de la data, je recharge mon telephone sur n'importe quoi sans avoir peur
2  0 
Avatar de benjani13
Membre extrêmement actif https://www.developpez.com
Le 12/07/2018 à 12:54
Citation Envoyé par Ryu2000 Voir le message
Maintenir tous les systèmes à jour au niveau de la sécurité ça coûterait une fortune et de toute façon on a pas connaissance de toutes les failles.
Ne pas exposer un RDP sur internet ça ne coute pas une fortune. Si c'est vraiment nécessaire, désactiver les comptes par défaut et mettre un mot de passe fort ça ne coute pas non plus une fortune.

De plus, le genre d'arguments "de toute façon on a pas connaissance de toutes les failles" est d'une part un non sens car la sécurité se mesure en terme de niveau de risques, ce n'est pas une notion binaire et est souvent un prétexte pour éluder la sécurité des systèmes. Si on suit cette logique je ne vais pas payer pour une serrure pour ma porte d'entrée vu qu'on pourrait toujours l'ouvrir avec un bélier.
2  0 
Avatar de tabouret
Membre actif https://www.developpez.com
Le 12/07/2018 à 16:54
Le jour ou une bibliothèque tiers que j'utilise installera une backdoor ou truc du genre alors là, oui, je serais le seul responsable.
Ou du responsable de la sécurité ou du responsable système.

Disont que le scénario que j'aimerais se voir produire de plus en plus, c'est que les décideurs dans les entreprises (de toutes tailles) commencent à prendre la mesure des risques encourus (que ce soit parce que leurs admin leur en parlent, parce que leurs copains pdg l'a fait aussi, ... peut importe), et donc demande des audits qui forcément vont révéler des problèmes. Puis c'est les équipes en interne qui devront trouvés des réponse aux problèmes, avec sans doute l'aide des auditeurs.
Mais sauf d'en parler à ça hiérarchie et attirer leurs regard dessus, dans la pratique il est bien souvent compliqué de faire bouger les choses, et l'on peut gère faire plus. Oui je peux me perfectionner pour avec des dev béton niveaux sécurité, des mots de passe chiffré en bdd, tant que les opératrices écrivent le mot de passe sur le post it en bas de l'écran ...

Donc oui je te rejoins c'est une politique qui doit être générale, et pour ça il n'y a que le plus haut échelon de l'entreprise qui peut déployer une nouvelle politique d'entreprise.
------> ISO 27001, la formation continue de la sécurité en entreprise en France.
1  0 
Avatar de Ryu2000
Membre extrêmement actif https://www.developpez.com
Le 12/07/2018 à 12:08
Citation Envoyé par Bill Fassinou Voir le message
Que faire pour éradiquer ces attaques qui deviennent un fléau pour la société ?
Ne pas faire de système connecté qui se contrôle à distance (mais parfois on a pas le choix)
Parce qu'il y aura toujours une faille exploitable quelque part.
Maintenir tous les systèmes à jour au niveau de la sécurité ça coûterait une fortune et de toute façon on a pas connaissance de toutes les failles. (c'est une course entre les experts de la sécurité et les hackers)
Il y a des hackers qui partagent leur découvertes pour faire avancer la sécurité.
Il y a des hackers qui gardent leur découvertes pour eux, ou qui les vendent.

En piratant certains systèmes il doit y avoir moyen de bien foutre la merde dans un pays.
La NSA a probablement travaillé là dessus.
0  0 
Avatar de Ryu2000
Membre extrêmement actif https://www.developpez.com
Le 12/07/2018 à 13:19
Il faut chercher à se protéger autant que possible, surtout si il s'agit d'un système sensible (comme une centrale nucléaire par exemple).
Mais on ne peut pas être protégé à 100% (même en étant hors ligne on peut être touché, rappeler vous du virus américo-israélien Stuxnet).
Même en faisant le plus d'effort possible il existe toujours un risque.

Après il faut suivre le protocole, un pote bossait dans une entreprise qui a subit une attaque à l'époque des ransomwares (donc il n'y a pas très longtemps), il disait que l'attaque était passé par l'imprimante car elle avait un mot de passe trop simple.

On ne sera jamais en sécurité à 100% (en plus il peut y avoir des logiciels truqués, des backdoors dans des appareils réseaux ou des logiciels, etc).
Mais il faut quand même faire le maximum pour prévenir le plus de scénarios connu.
0  0 
Avatar de J@ckHerror
Membre expérimenté https://www.developpez.com
Le 12/07/2018 à 13:37
Citation Envoyé par Ryu2000 Voir le message
il disait que l'attaque était passé par l'imprimante car elle avait un mot de passe trop simple.
Étrange comme conclusion, une imprimante n'a jamais eu pour vocation d'être accessible de l'extérieur... Incriminer l'imprimante et sa config par défaut sert juste à discriminer le vrai responsable, celui-qui gère le réseau.
Tous ça pour dire que la sécurité c'est un métier complet au même sens qu'il y a des développeur, des admin réseaux, des admin Bdd, et donc des experts en sécurité. Et pourtant la plupart des temps on fait reposer cette responsabilité sur quelqu'un qui ne connait rien de plus en sécurité que la bonne utilisation d'un mot de passe... comme si c'était suffisant.

De plus la sécurité à 100% n'existe pas, le jeu de la sécurité c'est de mettre un maximum de moyen dedans pour forcer les attaquants à eu aussi monter en moyen. Ainsi plus votre sécurité sera ficelé, plus l'attaquant devra être qualifié, plus il aura besoin de ressources, et donc moins important sera le risque.

J@ck.
0  0 
Avatar de Ryu2000
Membre extrêmement actif https://www.developpez.com
Le 12/07/2018 à 13:44
Citation Envoyé par J@ckHerror Voir le message
Étrange comme conclusion, une imprimante n'a jamais eu pour vocation d'être accessible de l'extérieur...
Ouais ça m'a paru bizarre également.
Peut être qu'il se foutait de ma gueule, j'ai pas approfondi le sujet...
Mais bon les imprimantes peuvent représenter un risque.
0  0 
Avatar de J@ckHerror
Membre expérimenté https://www.developpez.com
Le 12/07/2018 à 14:50
Citation Envoyé par Ryu2000 Voir le message
Ouais ça m'a paru bizarre également.
Peut être qu'il se foutait de ma gueule, j'ai pas approfondi le sujet...
Ou plus simplement il pense faire de la sécurité, mais finalement qu'a la hauteur de ces connaissances, qui sont proches du néant en terme de sécurité, pour beaucoup des mots de passe fort et un SI à jour leurs fait dire qu'ils sont au top de la sécurité. Mais ils ignorent ce qu'est la sécurité informatique.
Je parle comme si je connaissais le truc, mais pas du tout, j'ai fait un peu de sécurité dans un labo de rechercher mais uniquement pour me rendre compte du vaste de domaine qu'est la sécurité informatique.

Maintenant pour revenir à ton pote, pour moi, c'est lui ET sa hiérarchie les responsables dans un tel cas. Il est en effet assez rare qu'une entreprise alloue un budget sécurité informatique, quand bien même la quasis intégralité des entreprises cours un risque, bien souvent assez important. Je présume que les choses vont changer petit à petit, la saison des ransomware à bien aidé à faire prendre conscience de la chose aux décideurs. Dans mon cas perso par exemple, ma direction commence de temps en temps à parler des problèmes de sécurité informatique, car ils ont compris que maintenant le risque est majeur et bien présent (on a bloqué une attaque l'année dernière alors qu'un poste avait été infecté et qu'un serveur commençais à être crypté, 0 impact car réaction rapide (mais chanceuse)). Mais pour autant je suis pas prêt de voir un audit ... mais les choses avance tout doucement.

J@ck.
0  0 
Avatar de tabouret
Membre actif https://www.developpez.com
Le 12/07/2018 à 15:02
Maintenant pour revenir à ton pote, pour moi, c'est lui ET sa hiérarchie les responsables dans un tel cas. Il est en effet assez rare qu'une entreprise alloue un budget sécurité informatique, quand bien même la quasis intégralité des entreprises cours un risque, bien souvent assez important. Je présume que les choses vont changer petit à petit, la saison des ransomware à bien aidé à faire prendre conscience de la chose aux décideurs. Dans mon cas perso par exemple, ma direction commence de temps en temps à parler des problèmes de sécurité informatique, car ils ont compris que maintenant le risque est majeur et bien présent (on a bloqué une attaque l'année dernière alors qu'un poste avait été infecté et qu'un serveur commençais à être crypté, 0 impact car réaction rapide (mais chanceuse)). Mais pour autant je suis pas prêt de voir un audit ... mais les choses avance tout doucement.

Mais c'est surtout la culture des gens (et non des entreprises) qu'il faut changer.

Combien d'ingénieur systèmes et réseaux savent utiliser SE Linux par exemple? Quand bien même ils sont sur CentOS, ils le désactivent parce qu'ils ont la flemme d'étudier son fonctionnement.

ISO27001 devrait pouvoir faire changer un peu les choses.
0  0 
Sondage : quels sont les langages de programmation qui vont probablement disparaître
Siri enregistre les bagarres, les échanges avec les médecins, les ébats sexuels
Est-ce une grosse erreur de considérer la POO comme standard de l'industrie pour l'organisation des bases de code ?
Découvrez les dangers de MySQL et MariaDB, par Frédéric BROUARD (SQLpro)
Contacter le responsable de la rubrique Accueil

Partenaire : Hébergement Web