Selon le New-York Times, l’opération baptisée Olympic Games aurait été initiée sous la présidence du président Georges W. Bush et poursuivie par Barak Obama. La cible de l’opération était le programme iranien d’enrichissement de combustible nucléaire, dont les Etats-Unis craignaient qu’il ne soit à destination militaire. L’approche cyber aurait été notamment préférée afin de retarder une intervention militaire Israélienne.
Olympic Games s’inscrit dans la continuité d’une série d’opérations de sabotage plus traditionnelles menées par la CIA américaine contre les pièces détachées commandées par l’Iran pour son programme nucléaire. Mais selon le New-York Times les résultats n’étaient guère significatifs, au point qu’en 2006 l’option militaire était sérieusement considérée. C’est alors que le Général James E. Cartwright, commandant du US Strategic Command, a proposé l’option novatrice d’un cyber-sabotage d’une ampleur inédite. L’accord n’a été reçu que du bout des lèvres, le Président Bush ne voyant plus guère d’autre alternative avant l’intervention militaire conventionnelle.
Comme toute opération clandestine celle-ci a commencé par une phase de reconnaissance afin de collecter un maximum d’information sur la cible : topologie des réseaux concernés, type de machines, systèmes utilisés… Une reconnaissance rendue difficile par le fait que les réseaux Iraniens visés sont totalement coupés d’Internet. Un parasite spécifique a été développé pour cette mission, baptisé « La balise ».
Une fois les informations de la balise remontées, la NSA et l’Unité 8200 israélienne ont entrepris de développer un code malveillant capable d’endommager précisément les modèles de centrifugeuses utilisés par l’Iran. Le choix de s’associer Israël répondait à deux exigences, explique le quotidien : tout d’abord afin de profiter des connaissances précises du programme nucléaire Iranien acquises par les services Israéliens, et ensuite pour s’assurer qu’Israel ait suffisamment foi en ce programme pour ne pas se lancer immédiatement dans une frappe militaire.
Grâce aux informations recueillies par la balise, le couple Israelo-américain connait le type exact de centrifugeuses utilisées par l’Iran. Il s’agit d’un modèle acheté au célèbreDocteur Khan, père de la bombe nucléaire pakistanaise et accessoirement trafiquant d’arme notoire à destination non seulement de l’Iran mais aussi de la Corée du Nord et de la Libye. Et c’est d’ailleurs grâce à cette dernière que les Etats-Unis disposent déjà de ces mêmes centrifugeuses, prêtes à servir aux premiers tests du nouveau code de sabotage (le Colonel Kadhafi avait remis ses centrifugeuses aux Etats-unis lorsqu’il avait accepté de mettre fin à son programme d’enrichissement nucléaire en 2003).
Selon un ancien chef de la CIA cette opération était une première : si des codes malveillants avaient déjà été utilisés depuis longtemps par les services de renseignement, leur impact se limitait à l’ordinateur infecté. Avec ce qui allait devenir Stuxnet, ce serait la première cyber-attaque d’envergure destinée à provoquer des destructions physiques (les vétérans se souviennent certes du cyber-sabotage d’une pipeline Russe en 1982, mais il s’agissait alors d’un Cheval de Troie unique – et en outre l’affaire n’a jamais été entièrement élucidée)
Une fois le code testé avec succès se pose la question de sa dissémination. Pour cela les services de renseignement américains et Israéliens semblent être revenus aux bases de leur profession : la manipulation de sources humaines. « Il y a toujours un idiot qui ne se méfie pas de la clé USB qu’on lui met entre les mains« , aurait déclaré l’un des architectes de Stuxnet. Dont acte : les premières versions de Stuxnet ont été distribuées sur des clés USB piégées.
Les premières attaques datent de 2008. A cette époque les Iraniens passent totalement à côté de Stuxnet et blament plutôt des pièces défectueuses ou l’incompétence des opérateurs. D’autant plus que le code malveillant est conçu pour renvoyer de fausses informations aux outils de contrôles, indiquant que tout fonctionne parfaitement.
Les résultats sont là : les Iraniens se méfient de tout, sur-réagissent, éteignent des banques entières de centrifugeuses et licencient des personnels du programme d’enrichissement. Les opérations sont effectivement perturbées. Cela a duré jusqu’en 2010. Entre temps, le président Obama s’est installé à la Maison Blanche et bien qu’aucune destruction majeure n’ait eu lieu grâce à Stuxnet, il donne l’ordre de poursuivre les attaques.
A cette date, une nouvelle version du parasite est « poussée » sur les machines infectées. Elle contient une modification – a priori involontaire – qui sera fatale au programme. Le code ne vérifie plus son environnement d’exécution : une fois déployé par un ingénieur Iranien sur une machine connectée à Internet, il commence à se répliquer dans le monde entier. C’est la fin de cette phase de l’opération… mais probablement pas de l’histoire !
Tandis que le code de Stuxnet est encore analysé à ce jour par la plupart des éditeurs d’antivirus, de nouveaux cyber-espions ont étés découverts : le cousin Duqu, et plus récemment Flame. Rien ne prouve qu’ils soient eux aussi l’oeuvre d’une opération d’espionnage initiée par un Etat. Mais il serait naïf d’imaginer qu’une fois une nouvelle arme versée à l’arsenal des Nations – et son efficacité démontrée – elle n’y reste pas…
Plus d’information :
L’article du New-York Times est basé sur l’ouvrage Confront & Conceal, de David E. Sanger. Il s’agit d’une enquête à paraître demain, aux éditions Crown (en pré-commande, 28$).
Jérôme Saiz
Co-fondateur de SecurityVibes et responsable éditorial. N'hésitez pas à me contacter pour toute question relative aux contenus publiés sur SecurityVibes, ou pour me souffler vos envies d'articles !
Co-fondateur de SecurityVibes et responsable éditorial. N'hésitez pas à me contacter pour toute question relative aux contenus publiés sur SecurityVibes, ou pour me souffler vos envies d'articles !
source -> http://www.securityvibes.fr/
__________
http://newsroom.kaspersky.eu/fr/
__________
Mise à jour d'urgence pour Microsoft
Publié le 07-06-2012 à 08:54:24 dans le thème Réseau - Sécurité
Pays : International - Auteur : La rédaction
INFO ZATAZ - Une signature numérique de Microsoft employér par le code malveillant Flame oblige le géant américain à une mise à jour d'urgence. Microsoft a publié une mise à jour Windows d'urgence après la découverte d'une de ses signatures numériques de confiance exploitée par le code malveillant Flame. Ce certificat numérique "non autorisée" permettait de faire croire aux victimes infiltrés que le logiciel utilisait comme cheval de Troie par Flame était légitime et sans danger. Microsoft a révoqué cette clé compromise.
Dimanche dernier, Microsoft a publié l'avis de sécurité 2718074 mettant fin à l'exploitation de la faille utilisée par le malware Flame, qui lui permettait de se faire passer pour un morceau de logiciel signé par Microsoft. Les algorithmes de détection des éditeurs d'antivirus ayant tendanceà faire beaucoup plus confiance à une application signée par Microsoft, le travail de Flame pour se rendre indétectable s'en trouvait d'autant plus facilité.
Notre recommandation est d'appliquer la mise à jour dès que possible, pas nécessairement pour échapper au malware Flame, mais surtout dans le but de renforcer vos machines contre le reverse engineering attendu de la technique par les auteurs de malwares communs et l'inclusion de cette technique particulièrement utile dans leurs portefeuilles.
Microsoft a fourni plus de détails sur les mécanismes dont les auteurs de Flame ont abusé. Une distinction est faite entre Windows XP, 2003 et les versions antérieures du système, où la signature simple avec le mécanisme usurpé était suffisante. Alors que pour Windows Vista et les éditions les plus récentes, les assaillants ont dû effectuer un travail supplémentaire en trouvant / créant un fichier avec une collision MD5 checksum.
Microsoft a également fourni quelques informations sur la manière dont l'infrastructure Windows Update sera durcie dans les semaines et mois à venir. Il semble que le client Windows Updategagnera sa propre infrastructure de certificats et pourra effectuer une vérification supplémentaire du certificat lui-même pour s'assurer que tous les champs requis sont présents, plutôt que de faire confiance à l'intégrité de la signature numérique elle-même. Restez à l'écoute - nous mettrons à jour cet article dès que davantage d'informations seront publiées. (avec W. Kandek, CTO Qualys pour zataz.com)
# Liens connexes
Technet
source -> http://www.zataz.com/
__________
maj.: 11 juin 2012
le supervirus Flame se suicide
__________
source -> http://www.journaldemontreal.com/
 | zataz Pour ceux qui s'interesse à Flame: L’infrastructure C&C de Flame s’est immédiatement coupée du réseau après l'annonce de sa découverte. 12-06-06 13:15 |
| zataz A l’heure actuelle, on dénombre plus de 80 domaines utilisés par les serveurs C&C de Flame, enregistrés entre 2008 et 2012. 12-06-06 13:15 |
| zataz Au cours des 4 dernières années, les serveurs Flame ont été vus à Hong Kong, Turquie, All., Pologne, Malaisie, Lettonie, Uk et la Suisse. 12-06-06 13:16 |
| zataz Les instigateurs des attaques Flame semblent particulièrement intéressés par les documents PDF, Office et les schémas AutoCad. 12-06-06 13:16 |
| zataz Les données téléchargées sont cryptées (algos relativement simples). Les docs volés sont compressés : open source Zlib et une variante PPDM 12-06-06 13:18 |
| zataz Kaspersky termine son comm'press en indiquant que Windows 7 64 bit semble s’avérer efficace face à Flame. 12-06-06 13:20 |
http://newsroom.kaspersky.eu/fr/
__________
Mise à jour d'urgence pour Microsoft
Publié le 07-06-2012 à 08:54:24 dans le thème Réseau - Sécurité
Pays : International - Auteur : La rédaction
INFO ZATAZ - Une signature numérique de Microsoft employér par le code malveillant Flame oblige le géant américain à une mise à jour d'urgence. Microsoft a publié une mise à jour Windows d'urgence après la découverte d'une de ses signatures numériques de confiance exploitée par le code malveillant Flame. Ce certificat numérique "non autorisée" permettait de faire croire aux victimes infiltrés que le logiciel utilisait comme cheval de Troie par Flame était légitime et sans danger. Microsoft a révoqué cette clé compromise.
Dimanche dernier, Microsoft a publié l'avis de sécurité 2718074 mettant fin à l'exploitation de la faille utilisée par le malware Flame, qui lui permettait de se faire passer pour un morceau de logiciel signé par Microsoft. Les algorithmes de détection des éditeurs d'antivirus ayant tendanceà faire beaucoup plus confiance à une application signée par Microsoft, le travail de Flame pour se rendre indétectable s'en trouvait d'autant plus facilité.
Notre recommandation est d'appliquer la mise à jour dès que possible, pas nécessairement pour échapper au malware Flame, mais surtout dans le but de renforcer vos machines contre le reverse engineering attendu de la technique par les auteurs de malwares communs et l'inclusion de cette technique particulièrement utile dans leurs portefeuilles.
Microsoft a fourni plus de détails sur les mécanismes dont les auteurs de Flame ont abusé. Une distinction est faite entre Windows XP, 2003 et les versions antérieures du système, où la signature simple avec le mécanisme usurpé était suffisante. Alors que pour Windows Vista et les éditions les plus récentes, les assaillants ont dû effectuer un travail supplémentaire en trouvant / créant un fichier avec une collision MD5 checksum.
Microsoft a également fourni quelques informations sur la manière dont l'infrastructure Windows Update sera durcie dans les semaines et mois à venir. Il semble que le client Windows Updategagnera sa propre infrastructure de certificats et pourra effectuer une vérification supplémentaire du certificat lui-même pour s'assurer que tous les champs requis sont présents, plutôt que de faire confiance à l'intégrité de la signature numérique elle-même. Restez à l'écoute - nous mettrons à jour cet article dès que davantage d'informations seront publiées. (avec W. Kandek, CTO Qualys pour zataz.com)
# Liens connexes
Technet
source -> http://www.zataz.com/
__________
maj.: 11 juin 2012
le supervirus Flame se suicide
 | UnderNews_fr Suicide - Les créateurs de Flame sabordent leur ver - http://t.co/pEpaeJZg 12-06-11 15:31 |
 | LP_Techno Les virus Flame et Stuxnet liés http://t.co/o2OwmnFd 12-06-12 09:28 |
 | Le_Figaro Israël et les États-Unis accusés d'avoir développé le virus Flame http://t.co/3KubS9KJ 12-06-20 10:19 |
