août 18th, 2014

Les services de renseignement d’Outre Rhin écoutaient les conversations d’Hillary Clinton à l’époque où elle était Secrétaire d’Etat, puis de son successeur John Kerry. Egalement espionnés, les services gouvernementaux Turcs, un allié de longue date de l’Allemagne doublé d’un partenaire politique et économique quasi historique. Ce scoop est, une fois de plus, le fruit du travail d’enquête des journalistes de Der Spiegel.

Cette affaire tombe d’autant plus mal que l’écoute des conversations téléphoniques d’Angela Merkel par la NSA avait permis à la Chancelière de protester et de jouer les victimes innocentes dans une guerre aveugle du renseignement diplomatique. Le fait que le BND, pourtant membre des « yeux » de la NSA, se permette d’écouter les échanges d’alliés objectifs, membres de l’Otan et partenaires économiques, montre à quel point la notion chinoise de « guerre sans limite » n’est plus une expression purement rhétorique.

Comme il fallait s’y attendre, des protestations de pure forme ont été émises par les victimes, protestation auxquelles le gouvernement Fédéral Allemand a répondu par des excuses tout aussi bancales (l’espionnage Clinton-Kerry était un « accident »). Il faut être très prudent lorsque l’on nettoie un logiciel d’écoute. Parfois, les coups peuvent partir tous seuls.

Predator alias Oreon alias Amonyak, ou Findikoglu dans le civil, le chef de la bande des “braqueurs de distributeurs” a été arrêté, nous apprend un article de Der Spiegel. Une traque longue et complexe pour un hack retord et élaboré.

L’affaire débute en 2012, année durant laquelle l’équipe technique de Predator, d’origine Turque, s’introduit dans les systèmes d’information d’une entreprise Indienne de traitement des transactions bancaires, et dérobe un important volume d’identités. A partir de ces données et de quelques opérations de datamining périphériques, deux séries de comptes sans limitation de retrait sont piratés. L’un dépendant d’un établissement émirati, Rakabank, l’autre dont le siège est basé à Oman, la Bank of Muscat. Ces comptes font alors l’objet d’une opération quasi industrielle de duplication de cartes de crédit, ces cartes étant ensuite confiées à un réseau de mules situées dans le monde entier : Russie, Japon, USA, Allemagne… 26 pays au total serviront à siphonner le contenu de centaines de distributeurs. Le braquage est organisé en deux vagues, chacune n’utilisant qu’un seul compte à la fois : Rakabank le 22 décembre2012, et Bank of Muscat dans la nuit du 19 au 20 février 2013.

La presse nord-Américaine d’alors découvre l’ampleur du vol dès le mois de mai, lorsqu’un premier groupe de 8 complices se fait arrêter. Un premier chef présumé, Alberto Yusi Lajud-Peña, alias Prime, alias Albertico, est retrouvé mort à Manille, début mai, après un échange de coups de feu. Cette mort brutale serait la conséquence d’un différend concernant le partage du butin. Outre Atlantique, à New York notamment, ainsi qu’en Allemagne, quelques mules se font prendre pour avoir sous-estimé l’efficacité des caméras de surveillance équipant les distributeurs. Mais ces petits accrochages entre truands et forces de l’ordre ne compromettent toujours pas l’étanchéité du « système Predator » et ne remet pas en cause l’extraordinaire coordination et efficacité du réseau. C’est d’ailleurs une question qui taraude l’auteur de l’article du Spiegel : qui est derrière l’organisation quasi militaire de ce double casse, qui a conçu le cloisonnement du réseau, établi les modes de communication et assuré la direction opérationnelle de l’ensemble ? Certains experts envisagent la possibilité de soutiens extérieurs de la part d’organisations ou de « conseillers techniques » compétents en matière de logistique.

Un peu de parano signé Sans Institute, qui imagine un scénario d’attaque distribuée utilisant des armadas de routeurs Soho exploités par une faille ntp. A lire comme un roman d’été

Le système de facturation de Supervalu, une chaîne d’épiceries US, a été piraté, occasionnant la fuite d’identités et probablement de références bancaires des clients de plus de 180 magasins.

Le scoop signé James Bamford se trouve dans un article de Wired aussi bien écrit que superbement illustré. Sept pages et deux révélations, MonsterMind et les explications du blackout Internet Syrien de décembre 2012.

A cette époque (on ne prête qu’aux riches) la « fermeture d’Internet » fait l’objet de plusieurs conjectures. Pour les uns, c’est un coup des services secrets Israéliens, pour d’autres, une tentative de censure du régime, comparable à ce qui s’était passé en Egypte lors du Printemps Arabe. Ni l’un ni l’autre, nous apprend Snowden. Cette coupure est le résultat d’un ratage magistral de la NSA qui, à l’époque, tente d’implanter un spyware au cœur des principaux routeurs de Syrie. Mais le coup rate, les équipements d’infrastructure digèrent mal le code et plantent. « Lorsque les techniciens de la NSA se rendent compte du problème, tous n’ont qu’une pensée : Et M… » raconte en substance Snowden. Impossible de reprendre la main sur les équipements compromis afin d’effacer les traces du hack. Fort heureusement, l’esprit des ingénieurs Syriens est plus occupé à remettre le réseau en état de fonctionnement plutôt que d’analyser les logs.

Cette réaction risque fort de constituer un joli sujet de thèse dans les futures promotions de l’Ecole de Guerre. Plus la gaffe est énorme, moins elle a de chances d’être remarquée.

Mais cette ingérence des USA au sein de l’infrastructure d’un pays souverain soulève bien moins d’émotions médiatiques que les révélations à propos de MonsterMind, un série d’outils logiciels que l’on baptise pudiquement de « défense proactive ». Car MonsterMind, outil de contre-attaque cybernétique, pourrait très bien frapper de manière autonome… le mythe du Golem et de Terminator… La NSA saurait-elle respecter les trois lois d’Asimov ? Car pour détecter des attaques émises par une éventuelle puissance extérieure, MonsterMind examine tout le trafic Internet…. Y compris celui des concitoyens des Etats-Unis. NetworkWorld, le Point, Popular Science… les journaux de tous bords voient l’émergence d’une sorte de Big Brother/Big Browser capable de frapper aveuglément n’importe quel pays qui aurait eu la malchance de voir ses infrastructures servir de proxy à une attaque dont la provenance sera toujours inconnue. Cette « innocence de l’attaquant présumé » est en permanence invoquée par la Russie et la Chine, coupables bien souvent désignés par le traceback de certaines attaques.

De quelle manière pourrait se concrétiser la contre-offensive de MonsterMind ? De formidables dénis de service à la mode d’Estonie ? A des techno-missiles ciblés façon Stuxnet ? A des APT visant les OIV des adversaires présumés ? Pour l’heure nul ne connait l’ampleur du véritable arsenal numérique qui doterait ce robot logiciel. Et cette ignorance amplifie les craintes fantasmatiques, fait germer les suppositions les plus folles. La première arme dont dispose MonsterMind est avant tout psychologique.

Sur 10 routeurs SoHo vendus en grande distribution, la moitié se sont avérés vulnérables à une attaque et ont été totalement compromis. C’est ce qu’il ressort du concours de hack SOHOpelessly Broken organisé à l’occasion de la 22ème DefCon. Les Asus RT-AC66U, Belkin N900 DB, Netgear Centria WNDR4700 et TRENDnet TEW-812DRU ont succombés à 15 vulnérabilités différentes. 11 de ces failles ont été découvertes par un seul chercheur, Craig Young (Tripwire), qui travaille sur ce sujet depuis plus d’un an.

Certains équipements ont su résister. Ce sont les Linksys EA6500, Netgear WNR3500U/WNR3500L, TP-Link TL-WR1043ND, D-Link DIR-865L ainsi que les appareils dotés du firmware open source Open Wireless. Profitons de cette manifestation pour signaler que, depuis le 14 juillet dernier, une autre branche de firmware « open » supporte DNSSec, IPv6, DHCPv6 ainsi que le Stateless Address Autoconfiguration. Il s’agit de la version « Barrier Breaker 14.07 » d’OpenWRT. La version RC2 est actuellement en téléchargement sur GitHub. OpenWRT est souvent la seule évolution sécurisée disponible sur certains routeurs qui ne sont plus supportés par leurs propres concepteurs.

Une rustine pour les serveurs BES de Blackberry ainsi qu’un correctif sur les systèmes embarqués destinés aux terminaux sous Blackberry OS (modèles Z10, Z30, Q10 et Q5) sont disponibles depuis le début de cette semaine.

Il prend des photos, enregistre l’environnement audio, capture les coordonnée gps, inventorie les applications, pages web visitées, liste des contacts, contenus des SMS/MMS… et se fait passer pour une application bancaire pour appareils mobiles. « Il », c’est Android/Spy.Krysanec, un cheval de Troie pour plateforme Android analysé par les chercheurs d’Eset .

Iphone r00té, Iphone infecté : Un article du Virus Bulletin signé Axelle Apvrille décrit comment une infection d’origine Chinoise est parvenu à infecter 75000 téléphones, détourner 15 applications publicitaires et polluer plus de 22 millions de messages publicitaires

Patch Wednesday pour Safari 6.1.6 et 7.0.6 qui corrige 7 CVE, sans détail technique comme l’encourage la politique de transparence d’Apple