juillet 18th, 2017

Argument resassé durant la campagne du Président Donald Trump, la constitution d’un haut-commandement du corps de cyber-défense est sur le point de se réaliser. Et, détail d’importance, ce cyber-commandement serait totalement indépendant de la NSA, révèle la chaine PBS.

Le rôle de la NSA dans ce secteur, rapporte la journaliste Lolita Baldor, est de s’investir dans l’espionnage et l’écoute massive des médias numériques : Internet, communications téléphoniques, électromagnétiques et flux de métadonnées de provenances diverses.

La mission de l’armée, quant à elle, est radicalement différente. Un cyber-corps est appelé à se projeter sur des terrains extérieurs, protéger la nation -rôle bien plus actif que la simple activité de renseignement-, voir de riposter en vertu du mantra resassé depuis plus de 10 ans par les trois corps d’armée « The best defense is a good offense ». Or, seuls les militaires, contrairement à la NSA, peuvent être mandatés par le Sénat pour conduire une offensive, numérique ou traditionnelle. Jusqu’à présent, le cyber-commandement, fondé par l’Administration Obama, était embryonnaire, et dépendant du Commandement Stratégique du Pentagone.

En émancipant ce commandement de la « No Such Agency », la Maison Blanche libère donc les militaires de toute tutelle civile et de tous risques de conflits d’intérêts ou de pressions politiques dans la mise en œuvre des missions respectives de ces deux institutions régaliennes.

Reste, fait remarquer Baldor, que la NSA possède une puissance de calcul et d’interception gigantesque et que, pour l’heure, la cyber-armée US ne possède rien, si ce n’est que quelques 6000 cerveaux. Se posera alors, du moins dans un premier temps, la question de la mise à disposition de ces moyens techniques par la NSA, disposition soumise à un contrôle de facto. Côté budget, le Cyber-Command devrait se voir attribuer une enveloppe de 647 millions de $, soit près des trois-quarts du budget général de l’Armée Française tel qu’actuellement établi.

Les malwares suivent des modes, ou plus exactement des tendances techniques. Ce mois de juillet semble placé sous le signe « banquier ascendant multiplateforme » si l’on en juge par les multiples billets publiés dans la sphère sécurité.

Renato Marinho, de Mophus labs, décrit avec une certaine admiration l’audace d’une campagne de phishing bancaire Brésilienne propagée par SMS. Activation d’un lien externe, demande de données à caractère personnel et de numéros d’authentification, le SMS de phishing ne recule devant rien. Il va jusqu’à inciter la victime à photographier et envoyer une carte regroupant une série de numéro servant à la fois de second facteur d’authentification et de « one time pad ». Ce précieux viatique en poche, les escrocs à l’origine de l’attaque peuvent déclencher autant d’opérations frauduleuses qu’il n’existe de numéros encore actifs sur ladite carte.

Encore une attaque bancaire sortant de l’ordinaire, et décrite cette fois par Païvi Tynninen de F-Secure. Attaque d’autant plus intéressante qu’elle cible très précisément des organismes bancaires soit Autrichiens, soit Suisses. Le vecteur de diffusion utilise un très classique courriel de phishing, assez succinct et rédigé en Allemand : « Votre facture N° xxxx datant du xxxx ». Ce qui distingue cette attaque des autres du même genre, c’est que la charge utile est cette fois cachée non plus dans un seul, mais dans deux fichiers. L’un au format Excel ciblant les utilisateurs de systèmes Windows, l’autre au format directement exécutable Mach-O pour systèmes Mac OSX.

Un dernier piratage bancaire sous OSX pour la route ? Celui que décrit Ofer Caspi sur le blog de Checkpoint est assez inhabituel, puisque ses auteurs ont fait les choses dans les règles en achetant un certificat à Apple. Et c’est donc sous l’habit très respectable d’une application « signée » (diffusée une fois de plus via une campagne de phishing) que s’installe le malware. Lequel malware s’empresse de désactiver dans un premier temps les mises à jour de sécurité au nez et à la barbe de Gatekeeper, et détourne les communications avec les différents sites d’Apple. De cette manière, les risques de détection par des canaux de communication externes sont quasiment réduits à néant.

A partir de ce moment-là, le véritable travail du virus peut commencer. Il ouvre un proxy et un accès Tor, puis intercepte et détourne tous les échanges effectués avec une liste d’organismes bancaires exclusivement Suisses… on ne prête qu’aux riches. Lorsque la victime tente d’accéder à son compte bancaire en ligne, elle est détournée vers un pseudo serveur chargé de récupérer ses identifiants. Chose surprenante, c’est à ce stade de l’attaque que le malware en profite pour installer le client de messagerie instantanée chiffré.