Un débat autour des PC infectés par des logiciels espions de la NSA, Réactions à la publication du 26/04/2017

[Lionel]

Les révélations sur les outils de piratage de la NSA ont soulevé nombre d'interrogations sur le nombre de machines infectées et les personnes ciblées.
C'est même aujourd'hui la cause d'un débat entre Microsoft et de nombreux spécialistes. Les deux parties se disputent sur le nombre de machines infectées sur la toile par un de ces dangereux chevaux de Troie. Ce logiciel malveillant est particulièrement complexe et difficile à détecter. En effet, il n'écrit rien sur la machine ciblée et reste seulement résident dans la RAM. En cas de redémarrage il est supprimé. Il est pourtant capable d'envoyer des données de manière très furtive à ceux qui l'ont installé.
Selon les chercheurs et les sources, il y aurait entre 10000 et plusieurs dizaines de milliers (voire 120000) de PC actuellement infectés, chose que Microsoft tend à minimiser.

Il serait difficile de scanner toutes les machines du monde pour le savoir. Toutefois, comme le rapporte ARS Technica, un chercheur en sécurité a étudié à fond ce logiciel malveillant et trouvé le moyen de le désactiver à distance en envoyant une simple commande antagoniste de celle qui a permis de l'installer.

Ce n'est qu'une péripétie dans le cadre de ces révélations, le vrai et profond danger se concrétisera le jour où des pirates trouveront le moyen de modifier les outils de la NSA pour les faire diverger de leur utilisation primitive et les exploiter pour des activités criminelles.

Lien vers le billet original

[tournicotti]

C'est fou, le monde numérique est entrain de se construire un coffre-fort sans serrure, je me demande bien comment cela va finir (ou pas)…

[Fafnir]

Avec les voitures autonome le volume de données en circulation va non seulement exploser mais surtout être critique sans l'étanchéité du monde de l'aviation.
La bureaucratie du renseignement qui connait actuellement un âge d'or va devoir trouver une boule de cristal (revenir aux méthodes policière traditionnelle).

[Backswitch]

En quoi le fait que le logiciel s'installe directement en Ram le rend moins détectable par les anti-virus classiques?

[brenda]

Avec les voitures autonome le volume de données en circulation va non seulement exploser mais surtout être critique sans l'étanchéité du monde de l'aviation.
La bureaucratie du renseignement qui connait actuellement un âge d'or va devoir trouver une boule de cristal (revenir aux méthodes policière traditionnelle).

Sans parler tout ce qui est objets connectés.
Mon lave linge m'a lâchement abandonné après 30 ans de vie commune, je suis passé dans un magasin, il y a plein d'appareils qui se connectent aux smartphones. Le vendeur a été incapable de me donner un vrai avantage mais il doit y en avoir puisque c'est écrit en gros sur plein de lave linge ...

[xav_mtx]

Ce n'est qu'une péripétie dans le cadre de ces révélations, le vrai et profond danger se concrétisera le jour où des pirates trouveront le moyen de modifier les outils de la NSA pour les faire diverger de leur utilisation primitive et les exploiter pour des activités criminelles.

Ah non, le vrai danger c'est que quiconque developpe et deploie ce genre d'outil.

Les US pratiquent, en masse, l'espionnage industriel (ou espionnage tout court) pour favoriser leurs entreprises nationales, imposer leur point de vue politique (liberalisme) au monde entier.
Ce sont bien des pirates qui exploitent ces outils pour des activités criminelles.
Pardon, pour etre precis, ce seraient plutot des corsaires.

[marc_os]

En quoi le fait que le logiciel s'installe directement en Ram le rend moins détectable par les anti-virus classiques?

Les antivirus classiques analysent les fichiers sur le disque. Soit à l'occasion de scans complets de l'ordi, soit en temps réel au moment précis où les fichiers sont ouverts ou modifiés. Si un malware n'est jamais stocké en entier sur le disque dur, mais téléchargé morceaux par morceaux et chargé / reconstitué directement en RAM (en gros), alors il ne pourra pas être détecté de cette manière.
Certains antivirus tentent d'analyser le comportement des logiciels et leur activité afin de détecter des activités « suspectes ». Ceux-là peuvent théoriquement détecter ce genre de logiciels espions. Mais la difficulté est dans la définition du mot suspect.
Qu'est-ce qui distingue un activité suspecte d'une activité normale ? L'envoi de données vers le net par exemple n'est à priori pas suspect, car ça fait partie du fonctionnement même d'Internet que d'échanger des (bouts de) données. Donc si l'analyse comportementale est potentiellement plus efficace que l'analyse classique des fichiers stockés, elle est beaucoup plus difficile à définir et à mettre en œuvre. Car à tout analyser en direct live, faut voir aussi à ne pas dégrader outre mesure les performances de l'ordinateur !

[Pixelux]

De ce temps-ci, je suis vraiment fasciné par la manière dont les choses bougent dans notre univers. Je suis très impatient de voir comment nos dirigeants vont se comporter face à tous ces développements.

J'ai comme l'impression que l'on va se bidonner.

Ce message a été modifié par Pixelux - 26 Apr 2017, 10:53.

[amike]

Avec les voitures autonome le volume de données en circulation va non seulement exploser mais surtout être critique sans l'étanchéité du monde de l'aviation.

Autonome ne veut pas dire télécommandé.
Et connecté à son smartphone ne veut pas dire mise à jour OTA.

Si on en était resté aux mises à jour par une connexion filaire ou par prise USB, les risques de propagation de logiciels pirates auraient été bien plus réduits.

[yannich]

Les révélations sur les outils de piratage de la NSA ont soulevé nombre d'interrogations sur le nombre de machines infectées et les personnes ciblées.
C'est même aujourd'hui la cause d'un débat entre Microsoft et de nombreux spécialistes. Les deux parties se disputent sur le nombre de machines infectées sur la toile par un de ces dangereux chevaux de Troie. Ce logiciel malveillant est particulièrement complexe et difficile à détecter. En effet, il n'écrit rien sur la machine ciblée et reste seulement résident dans la RAM. En cas de redémarrage il est supprimé. Il est pourtant capable d'envoyer des données de manière très furtive à ceux qui l'ont installé.
Selon les chercheurs et les sources, il y aurait entre 10000 et plusieurs dizaines de milliers (voire 120000) de PC actuellement infectés, chose que Microsoft tend à minimiser.

Il serait difficile de scanner toutes les machines du monde pour le savoir. Toutefois, comme le rapporte ARS Technica, un chercheur en sécurité a étudié à fond ce logiciel malveillant et trouvé le moyen de le désactiver à distance en envoyant une simple commande antagoniste de celle qui a permis de l'installer.

Ce n'est qu'une péripétie dans le cadre de ces révélations, le vrai et profond danger se concrétisera le jour où des pirates trouveront le moyen de modifier les outils de la NSA pour les faire diverger de leur utilisation primitive et les exploiter pour des activités criminelles.

Lien vers le billet original

120.000 sur plusieurs milliards de possesseurs d'ordinateurs ?

[raoulito]

bon je propose une solution radicale!
..
redémarrer tous les ordinateurs

[iAPX]

Les révélations sur les outils de piratage de la NSA ont soulevé nombre d'interrogations sur le nombre de machines infectées et les personnes ciblées.
C'est même aujourd'hui la cause d'un débat entre Microsoft et de nombreux spécialistes. Les deux parties se disputent sur le nombre de machines infectées sur la toile par un de ces dangereux chevaux de Troie. Ce logiciel malveillant est particulièrement complexe et difficile à détecter. En effet, il n'écrit rien sur la machine ciblée et reste seulement résident dans la RAM. En cas de redémarrage il est supprimé. Il est pourtant capable d'envoyer des données de manière très furtive à ceux qui l'ont installé.
Selon les chercheurs et les sources, il y aurait entre 10000 et plusieurs dizaines de milliers (voire 120000) de PC actuellement infectés, chose que Microsoft tend à minimiser.

Il serait difficile de scanner toutes les machines du monde pour le savoir. Toutefois, comme le rapporte ARS Technica, un chercheur en sécurité a étudié à fond ce logiciel malveillant et trouvé le moyen de le désactiver à distance en envoyant une simple commande antagoniste de celle qui a permis de l'installer.

Ce n'est qu'une péripétie dans le cadre de ces révélations, le vrai et profond danger se concrétisera le jour où des pirates trouveront le moyen de modifier les outils de la NSA pour les faire diverger de leur utilisation primitive et les exploiter pour des activités criminelles.

Lien vers le billet original

120.000 sur plusieurs milliards de possesseurs d'ordinateurs ?

On ne peut décemment pas chiffrer l'ampleur, sans savoir en plus si l'attaque est massive ou ciblée, et surtout avec beaucoup d'ordinateurs dont les ports du protocole IP ne sont pas scannables à distance.

Ce n'est qu'une nouvelle affaire et une nouvelle attaque, différente des précédente et intéressant à ce titre, car si on monte une attaque non-persistante (donc juste en RAM), c'est soit qu'on veut obtenir de l'information à un moment précis sur une cible précise, soit qu'on est confiant de pouvoir réitérer cette injection au redémarrage, par exemple lorsque Windows se connecte chez Microsoft (ou croit le faire!) pour récupérer des mises à jours, envoyer les informations de l'usager, envoyer ce qu'on a tapé, un peu tout en fait.
Je penche pour le second cas, la NSA ayant -au moins sur le sol américain- les moyens de savoir quel ordinateur se connecte à quoi, et des capacités d'intercepter et de répondre à la place de n'importe quelle compagnie/site/service IP plus rapidement que celui-ci.

Plus on échange avec des dispositifs/compagnies différents sur Internet (je ne parle pas de web là, quoique), plus on est exposé à une attaque, et Window 10 est friand des échanges avec Microsoft

Dans le même temps, le FBI a agit, avec l'accord d'un juge, pour boucher des trous de sécurités massifs sur des dispositifs connectés à Internet, c'est là aussi une nouveauté et encore plus passionnant, car ce-faisant l'organisation protège le public et les compagnies américaines, pro-activement. Qui aurait cru ça?!?

Ce message a été modifié par iAPX - 26 Apr 2017, 11:57.

[Gallows Pole]

Salut à toutes et à tous,

En ce qui me concerne, à chaque fois que j'entends parler de ce genre de choses, j'avoue que je me pose une question, sans doute du fait de ma qualité de néophyte candide en matière de développement informatique...

La question est la suivante : est-il tellement difficile de concevoir un système, ou un logiciel, qui n'ait pas de failles de sécurité ? Je me pose la question parce que j'entends régulièrement dire que Windows est une usine à failles. Mais alors soit ces failles sont introduites volontairement, soit les développeurs informatiques, sans doute grassement payés, de Microsoft, sont des burnes...

Ou alors c'est vraiment très complexe. Ce qui pose alors une autre question selon moi. Les développeurs de ces énormes boîtes n'ont pas les moyens de payer d'autres personnes qui seraient chargées "d'attaquer" le code pour voir s'il est étanche ou pas ? Là encore : est-ce volontaire ou pas (auquel cela relève de l'inconscience !).

Et enfin, si les grosses boîtes ont les moyens de payer ces "hackers", comment se fait-il qu'ils passent apparemment systématiquement à côté d'un certain nombre de trous que les pirates/flibustiers/corsaires arrivent à trouver et exploiter apparemment très facilement ?

Cordialement.

[__otto__]

De ce temps-ci, je suis vraiment fasciné par la manière dont les choses bougent dans notre univers. Je suis très impatient de voir comment nos dirigeants vont se comporter face à tous ces développements.

J'ai comme l'impression que l'on va se bidonner.

C'est pas très compliqué : députés et senateurs sont pour les 3/4 proches de la sénilité et ne comprennent strictement rien aux enjeux du numérique... Les rares capable de comprendre sont bien souvent des tordus comme alain bauer qui se rejouissent d'utiliser absolument tout les moyens possibles pour mettre tout le monde sur écoute en suivant le modèle US... et pareil pour l'europe avec indect.

D'ici moins de 10 ans, ca sera un luxe d'avoir une pièce ou on sera certain de ne pas être espionner par une prise électrique 2.0...

Salut à toutes et à tous,

En ce qui me concerne, à chaque fois que j'entends parler de ce genre de choses, j'avoue que je me pose une question, sans doute du fait de ma qualité de néophyte candide en matière de développement informatique...

La question est la suivante : est-il tellement difficile de concevoir un système, ou un logiciel, qui n'ait pas de failles de sécurité ? Je me pose la question parce que j'entends régulièrement dire que Windows est une usine à failles. Mais alors soit ces failles sont introduites volontairement, soit les développeurs informatiques, sans doute grassement payés, de Microsoft, sont des burnes...

Ou alors c'est vraiment très complexe. Ce qui pose alors une autre question selon moi. Les développeurs de ces énormes boîtes n'ont pas les moyens de payer d'autres personnes qui seraient chargées "d'attaquer" le code pour voir s'il est étanche ou pas ? Là encore : est-ce volontaire ou pas (auquel cela relève de l'inconscience !).

Et enfin, si les grosses boîtes ont les moyens de payer ces "hackers", comment se fait-il qu'ils passent apparemment systématiquement à côté d'un certain nombre de trous que les pirates/flibustiers/corsaires arrivent à trouver et exploiter apparemment très facilement ?

Cordialement.

Suivant les estimations, un codeur fait en gros 10 erreurs pour 1000 lignes de code...
Auditer du code c'est couteux, inefficace et ça demande trop de temps...
Si tu rajoutes à tout ça le fait que les OS modernes sont devenues des milles feuilles de bibliothèque empilé les une sur les autres, ça en fait des chose à gérer pour être certain qu'un soft soit sans faille...

[mirmidon]

Si en cas de redémarrage il est supprimé, il suffit donc de simplement redémarrer les ordinateurs.
Je ne comprends pas en quoi c'est si compliqué.

[marc_os]

[...]
Ou alors c'est vraiment très complexe.

Oui. Et même encore plus que tu ne l'imagines.

Ce qui pose alors une autre question selon moi. Les développeurs de ces énormes boîtes n'ont pas les moyens de payer d'autres personnes qui seraient chargées "d'attaquer" le code pour voir s'il est étanche ou pas ? Là encore : est-ce volontaire ou pas (auquel cela relève de l'inconscience !).

Et enfin, si les grosses boîtes ont les moyens de payer ces "hackers", comment se fait-il qu'ils passent apparemment systématiquement à côté d'un certain nombre de trous que les pirates/flibustiers/corsaires arrivent à trouver et exploiter apparemment très facilement ?

« apparemment très facilement ».
« apparemment », c'est cela dans 99,9% des cas.
Et ce que tu préconises, c'est ce que font les grosses boîtes.
Sauf que c'est pas si simple.
Une des grandes difficultés en développement tant informatique que hardware, c'est la gestion des erreurs, des états dégradés, des situations imprévues. Il peut y avoir des cas d'erreurs mal ou insuffisamment gérés, des bogues, mais aussi du code avec 0 bogues à l'instant t, mais qui se comporte mal un an ou dix ans plus tard quand les conditions de son utilisation ont changé et où par exemple des cas considérés initialement comme "impossibles" sont devenus non seulement possibles mais courants.
Etc, etc.

Si en cas de redémarrage il est supprimé, il suffit donc de simplement redémarrer les ordinateurs.
Je ne comprends pas en quoi c'est si compliqué.

Si tu ne sais pas comment il est arrivé, tu n'as aucune garantie qu'après redémarrage il ne reviendra pas illico presto.

[Licorne31]

En quoi le fait que le logiciel s'installe directement en Ram le rend moins détectable par les anti-virus classiques?

Les antivirus classiques analysent les fichiers sur le disque. Soit à l'occasion de scans complets de l'ordi, soit en temps réel au moment précis où les fichiers sont ouverts ou modifiés. Si un malware n'est jamais stocké en entier sur le disque dur, mais téléchargé morceaux par morceaux et chargé / reconstitué directement en RAM (en gros), alors il ne pourra pas être détecté de cette manière.
(...)

Un antivirus qui ne scanne pas la RAM, mais se contente de scanner les fichiers, lors d'un scan à la demande, n'est pas un antivirus digne de ce nom, mais une "capote trouée".

Par contre, un antivirus ne passe pas son temps à scanner la RAM...
Donc, si l'interface chaise/clavier ne lance pas un scan au "bon" moment, l'antivirus ne trouvera rien... parce qu'il n'aura pas cherché là où il y a un truc à trouver!

[marc_os]

En quoi le fait que le logiciel s'installe directement en Ram le rend moins détectable par les anti-virus classiques?

Les antivirus classiques analysent les fichiers sur le disque. Soit à l'occasion de scans complets de l'ordi, soit en temps réel au moment précis où les fichiers sont ouverts ou modifiés. Si un malware n'est jamais stocké en entier sur le disque dur, mais téléchargé morceaux par morceaux et chargé / reconstitué directement en RAM (en gros), alors il ne pourra pas être détecté de cette manière.
(...)

Un antivirus qui ne scanne pas la RAM, mais se contente de scanner les fichiers, lors d'un scan à la demande, n'est pas un antivirus digne de ce nom, mais une "capote trouée".

Par contre, un antivirus ne passe pas son temps à scanner la RAM...
Donc, si l'interface chaise/clavier ne lance pas un scan au "bon" moment, l'antivirus ne trouvera rien... parce qu'il n'aura pas cherché là où il y a un truc à trouver!

J'adore les affirmations péremptoires.
Tu en connais beaucoup des antivirus qui scannent la RAM ?
Ceci dit, dans 99,9 % des cas, avant d'être en RAM, un logiciel se trouve d'abord sur disque. Et un bon antivirus peut détecter qu'un malware a été téléchargé par exemple par Safari au moment même où il vient de l'être, et avant que toute tentative de lancement (avec chargement en RAM) n'ait pu être faite.
A moins que tu dises que c'est courant des logiciels qui sont chargés en RAM sans passer par la case disque. Dans ce cas, j'aimerais bien que tu donnes des exemples - mis à part semble-t-il, le logiciel espion dont il est question ici.

Ce message a été modifié par marc_os - 26 Apr 2017, 18:00.

[FolasEnShort]

Et s'il suffisait de vider sa RAM?

[LordJohnWhorfin]

Sans parler tout ce qui est objets connectés.
Mon lave linge m'a lâchement abandonné après 30 ans de vie commune, je suis passé dans un magasin, il y a plein d'appareils qui se connectent aux smartphones. Le vendeur a été incapable de me donner un vrai avantage mais il doit y en avoir puisque c'est écrit en gros sur plein de lave linge ...

Ben moi je trouve que c'est sympa d'etre prevenu sur son smartphone que la lessive est prete a mettre dans le seche linge. Je peux vivre sans, mais si c'est une option disponible a bon marche je suis preneur. Un autre truc indispensable: un capteur de fuite d'eau sous la machine, qui notifie en cas d'inondation.

[FolasEnShort]

Sans parler tout ce qui est objets connectés.
Mon lave linge m'a lâchement abandonné après 30 ans de vie commune, je suis passé dans un magasin, il y a plein d'appareils qui se connectent aux smartphones. Le vendeur a été incapable de me donner un vrai avantage mais il doit y en avoir puisque c'est écrit en gros sur plein de lave linge ...

Ben moi je trouve que c'est sympa d'etre prevenu sur son smartphone que la lessive est prete a mettre dans le seche linge. <<< Je trouve ça ridicule, mais passons. Je peux vivre sans, mais si c'est une option disponible a bon marche je suis preneur. Un autre truc indispensable: un capteur de fuite d'eau sous la machine, qui notifie en cas d'inondation.<<< En passant en revue les différents modèles, je n'ai rien vu de tel.

Par contre, un détecteur de fuite, ça existe déjà et ça n'est pas connecté. Pour finir, je voudrais mettre en lumière le défaut majeur de ces systèmes: Leur extrême sensibilité aux surtensions (plus que nombreuses en France) qui grillera imancablement la carte. Quant à savoir le prix du remplacement et si la programmation de la dite carte correspond au modèle acheté, c'est une autre histoire.

Ce message a été modifié par FolasEnShort - 26 Apr 2017, 20:19.

[M_Marc]

Sans parler tout ce qui est objets connectés.
Mon lave linge m'a lâchement abandonné après 30 ans de vie commune, je suis passé dans un magasin, il y a plein d'appareils qui se connectent aux smartphones. Le vendeur a été incapable de me donner un vrai avantage mais il doit y en avoir puisque c'est écrit en gros sur plein de lave linge ...

Ben moi je trouve que c'est sympa d'etre prevenu sur son smartphone que la lessive est prete a mettre dans le seche linge. Je peux vivre sans, mais si c'est une option disponible a bon marche je suis preneur. Un autre truc indispensable: un capteur de fuite d'eau sous la machine, qui notifie en cas d'inondation.

Mon avis:

Si la machine indique qu'il faut 1heure pour faire la lessive il y a bien des chance qu'après une heure la lessive soit prête à être séchée.... pas vraiment besoin d un appareil connecté pour me dire que si la lessive démarre à 21h00 dès 22h00 elle sera terminée. Bien plus rapide et efficient que de consulter mon téléphone...

Capteur de fuite? Les appareils tels que lave-vaisselle et lave-linge sont équipé de systèmes de bloquage de l'alimentation en eau lors de défectuosité de type fuite ... certainement bien plus efficace d'avoir un mécanisme que stoppe l'arrivée d'eau plutôt que de notifier un utilisateur qu'il y a une fuite....

[Licorne31]

En quoi le fait que le logiciel s'installe directement en Ram le rend moins détectable par les anti-virus classiques?

Les antivirus classiques analysent les fichiers sur le disque. Soit à l'occasion de scans complets de l'ordi, soit en temps réel au moment précis où les fichiers sont ouverts ou modifiés. Si un malware n'est jamais stocké en entier sur le disque dur, mais téléchargé morceaux par morceaux et chargé / reconstitué directement en RAM (en gros), alors il ne pourra pas être détecté de cette manière.
(...)

Un antivirus qui ne scanne pas la RAM, mais se contente de scanner les fichiers, lors d'un scan à la demande, n'est pas un antivirus digne de ce nom, mais une "capote trouée".

Par contre, un antivirus ne passe pas son temps à scanner la RAM...
Donc, si l'interface chaise/clavier ne lance pas un scan au "bon" moment, l'antivirus ne trouvera rien... parce qu'il n'aura pas cherché là où il y a un truc à trouver!

J'adore les affirmations péremptoires.
Tu en connais beaucoup des antivirus qui scannent la RAM ?
Ceci dit, dans 99,9 % des cas, avant d'être en RAM, un logiciel se trouve d'abord sur disque. Et un bon antivirus peut détecter qu'un malware a été téléchargé par exemple par Safari au moment même où il vient de l'être, et avant que toute tentative de lancement (avec chargement en RAM) n'ait pu être faite.
A moins que tu dises que c'est courant des logiciels qui sont chargés en RAM sans passer par la case disque. Dans ce cas, j'aimerais bien que tu donnes des exemples - mis à part semble-t-il, le logiciel espion dont il est question ici.

Celui de McAffee (OK, je ne connais que la version Windows) scanne la RAM, et c'est loin d'être le seul.

Un "bon" antivirus peut détecter le malware lors de son téléchargement...
Tu n'as pas l'impression de te contredire?
Ou alors, pour toi (comme pour moi), un "bon" antivirus scanne la RAM?

(...)
Si un malware n'est jamais stocké en entier sur le disque dur, mais téléchargé morceaux par morceaux et chargé / reconstitué directement en RAM (en gros), alors il ne pourra pas être détecté de cette manière.
(...)

Et pour le 0.01% des logiciels qui vont directement en RAM... Le pourcentage me semble péremptoire, mais je ne le relèverais pas.
Les logiciels qui sont chargés en RAM sans passer par la case disque... ça existe, et pas seulement "made in NSA".
Au hasard, les merdouilles Java (pas "Script") et Flash ("jeux Fesse-Bouc") accessibles en ligne et sans téléchargement.
Au hasard encore, les merdouilles qui réussissent à te traquer bien que tu sois en navigation privée, historique désactivé, sans cookies, et sans cache.
Et je crois que, rien que ça, ça fait largement plus de 0.01% de ce qu'on rencontre quand on passe une journée chez soi, sur sa machine.

[marc_os]

[...]
Un "bon" antivirus peut détecter le malware lors de son téléchargement...
Tu n'as pas l'impression de te contredire?
Ou alors, pour toi (comme pour moi), un "bon" antivirus scanne la RAM?
[...]

Non.
Il se trouve que l'antivirus que j'utilise ne scanne pas la RAM.
Pourtant, si j'active l'option "analyse en temps réel", il détecte les merdes téléchargées par Safari avec l'alerte qui s'affiche en fin de téléchargement (il suffit d'afficher la barre de progression du téléchargement pour le constater).