Adobe : failles critiques dans Acrobat et Reader

Nouvelle fournée de correctifs en prévision chez Adobe. L’éditeur prévient en effet ses utilisateurs qu’Acrobat et Reader sont victimes de failles critiques, permettant donc une prise de contrôle à distance. Un ou plusieurs patchs seront distribués ce mardi.

Adobe ne précise pas la teneur de ces vulnérabilités mais assure qu’elles ne sont pas exploitées. Adobe Acrobat XI et Reader XI (11.0.10 et versions précédentes), ainsi qu’Adobe Acrobat X et Reader X (10.1.13 et versions précédentes) pour Windows et OS X sont concernés.

Contactez-nous

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Source : http://www.zdnet.fr/actualites/adobe-failles-critiques-dans-acrobat-et-reader-39819162.htm

Lenovo : l’outil de mise à jour était troué

Michael Milvich et Sofiane Talmat, les deux chercheurs, viennent de publier un avis de sécurité (http://www.ioactive.com/pdfs/Lenovo_System_Update_Multiple_Privilege_Escalations.pdf) où ils expliquent que le service de mises à jour « System Update » de Lenovo est complètement troué.

System Update assure la mise à jour de la couche logicielle maison présente sur les ordinateurs Lenovo. Un outil pratique, mais qui n’était pas fiable jusqu’à récemment.

Ce service, qui permet aux clients de télécharger les derniers pilotes et logiciels Lenovo, dont les correctifs de sécurité, est victime de vulnérabilités importantes, qui permettent des attaques par escalade de privilèges.

L’une d’entre elle permet de contourner les contrôles de validation et de remplacer les programmes Lenovo proposés au téléchargement par des logiciels malveillants, et directement exécutés sur la machine par System Update. Une autre faille assure au pirate la possibilité d’exécuter ses propres commandes sur l’ordinateur piraté.

Un patch disponible

Les vulnérabilités affectent Lenovo System Update 5.6.0.27 et les versions antérieures. Le fabricant chinois a publié un patch le mois dernier pour corriger les failles de sécurité. Il est donc indispensable pour les clients de la marque de télécharger la mise à jour de sécurité pour ne pas courir le risque de compromettre leurs machines (https://support.lenovo.com/us/en/product_security/lsu_privilege).

Ces vulnérabilités ont été découvertes en février dernier, en plein milieu de l’affaire Superfish. Pas mesquin, IOActive a contacté Lenovo pour lui faire part de ses découvertes et lui permettre de déployer des correctifs de sécurité. Reste que la réputation de Lenovo commence à pâtir de ces multiples affaires de failles béantes.

Contactez-nous

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Source : http://www.zdnet.fr/actualites/lenovo-l-outil-de-mise-a-jour-etait-troue-39819028.htm

Par Guillaume Serries

Alerte : La campagne d’un annonceur de Google détournée par des pirates

LNuclear Exploit Kit cible spécifiquement les vulnérabilités dans Flash Player d’Adobe, Java d’Oracle et Silverlight de Microsoft. « On dirait que l’ensemble du domaine engagelab.com, sa publicité et sa zone d’ID, est actuellement redirigé vers un domaine qui, à son tour, redirige vers le Nuclear Exploit Kit, attestant d’un éventuel piratage de ce revendeur de services de publicité partenaire de Google », a déclaré le chercheur de Fox-IT, Maarten van Dantzig dans un blog.

Ces redirections ont été stoppées tard dans la journée, ce qui montre que Google ou Engage Lab ont pris certaines mesures. Mais aucun n’a répondu aux demandes de commentaire de nos confrères d’IDG News Service. On ne sait pas combien de sites, ni combien d’utilisateurs ont été touchés, mais, selon Maarten van Dantzig, Fox-IT « a détecté une quantité relativement importante d’infections et de tentatives d’infection de nos clients par ce kit d’exploit ». Les chercheurs de Fox-IT n’ont pas encore identifié le malware distribué par cette campagne. Le problème du « malvertising », ces campagnes de fausses publicités qui détournent les internautes vers des pages web infectées, existe depuis plusieurs années et ne cesse de prendre de l’ampleur.

Et, même si les grands réseaux de publicités affirment avoir mis en place des défenses sophistiquées, les attaquants trouvent toujours de nouveaux moyens pour les contourner. Ces attaques sont particulièrement dangereuses, car elles n’ont pas besoin de rediriger les internautes vers des sites Web obscurs pour diffuser leur malware. Une fois que les attaquants parviennent à pousser leurs annonces malveillantes sur un grand réseau de publicité, celles-ci s’affichent sur des sites populaires dans lesquels les utilisateurs ont généralement confiance.

Contactez-nous

Après cette lecture, quel est votre avis ?
Cliquez et laissez-nous un commentaire…

Source : http://www.lemondeinformatique.fr/actualites/lire-la-campagne-d-un-annonceur-de-google-detournee-par-des-pirates-60793.html

Par Jean Elyan

Europol a démantelé un réseau de pirates contrôlant des millions d’ordinateurs

Coordonnée par le Centre européen de lutte contre la cybercriminalité (CERT-UE) d’Europol, l’opération, décrite dans les colonnes du Parisien, a été menée avec la collaboration des polices allemande, britannique, italienne, néerlandaise et le soutien des compagnies AnubisNetworks, de Microsoft et de Symantec.

Ramnit dans le viseur
Elle ciblait le virus Ramnit, utilisé par le réseau de pirates pour accéder à distance aux machines et dérober des informations personnelles, notamment des données bancaires et des mots de passe. Apparu pour la première fois en 2010, le malware (logiciel malveillant) infectait uniquement les ordinateurs fonctionnant sous Windows: une visite sur un site Web infecté ou un simple clic dans un e-mail suffisait à contaminer les ordinateurs.

Ramnit toujours en action
Par ailleurs, Ramnit était notamment capable de désactiver les protections antivirus, et de faire apparaître des pages Web factices, demandant à l’utilisateur de renseigner des informations sensibles. Malgré ce coup de filet, Symantec souligne que le virus est encore bien présent, «bien que le nombre d’ordinateurs infectés ait décru avec le temps».

Selon l’éditeur de logiciels, les pirates 2.0 auraient, grâce, au malware réussi à prendre le contrôle de 3,2 millions d’ordinateurs, dont 27% se trouvent en Inde et 18% en Indonésie. Symantec dénombre 6.700 cas d’infections en novembre 2014. Les enquêteurs parlent quant à eux de 350.000 machines infectées.

Contactez-nous

Après cette lecture, quel est votre avis ?
Cliquez et laissez-nous un commentaire…

Source : http://www.20minutes.fr/monde/1550407-20150226-cybercriminalite-europol-demantele-reseau-pirates-controlant-millions-ordinateurs

Photo prise le 22 janvier 2002 à Paris, de la tête de mort qui figure sur le tee-shirt officiel de la première école officielle de hackers, qui a ouvert ses portes en octobre 2001 – Joel Saget AFP

Logiciel Espion Superfish installé par Lenovo : son site Internet piraté en représailles

Après le scandale du logiciel publicitaire et à risque installé par défaut sur un grand nombre de ses ordinateurs portables, Lenovo a dû s’expliquer et présenter des excuses. Mais manifestement, le fabricant doit aussi faire face à des représailles du fait de Superfish.

Mercredi 25 février, le site Internet de Lenovo était inaccessible. Cette indisponibilité fait suite à une cyberattaque. Mais avant que l’entreprise ne déconnecte son site et n’informe les visiteurs d’une maintenance en cours, celui-ci affichait un diaporama diffusant des images tirées du service Imgur. Un clic sur les images redirigeait vers un compte Twitter Lizard Squad, critique à l’égard de Lenovo pour la diffusion de l’adware Superfish.

Attaque sur le gestionnaire de domaine
Lenovo a confirmé une faille de sécurité au Wall Street Journal. « Malheureusement, Lenovo a été victime d’une cyber attaque » reconnaît le fabricant de PC. « Un effet de cette attaque a été de rediriger le trafic depuis le site Web de Lenovo. Nous étudions activement d’autres aspects de cette attaque » précise-t-il encore.

Les attaquants avaient semble-t-il pris le contrôle du site du registrar du domaine utilisé par Lenovo et pu ainsi rediriger le trafic vers un compte gratuit ouvert sur CloudFlare. Contacté par Bloomberg, le spécialiste du CDN et des services DNS déclare avoir désactivé le compte depuis.

Sur Twitter, un compte se revendiquant de Lizard Squad prétend que les hackers du groupe sont à l’origine de cette attaque réussie. Toutefois, cette revendication ne suffit pas à en faire les auteurs véritables du piratage. En janvier, ces derniers assuraient ainsi être à l’origine de la panne de Facebook. Or, cette panne résultait d’une défaillance informatique et nullement d’une attaque.

Après cette lecture, quel est votre avis ?
Cliquez et laissez-nous un commentaire…

Source : http://www.zdnet.fr/actualites/superfish-le-site-de-lenovo-pirate-en-represailles-39815368.htm

Lenovo accusé d’infecter ses propres PC. Le protocole sécurisé SSL aurait été atteint

Lenovo, ce n’est pas n’importe qui. Il s’agit ni plus ni moins du premier fabricant mondial de PC. 60 millions de PC vendus l’an passé tout de même…  Le groupe chinois est connu pour avoir racheté il y a quelques années la division PC d’IBM, ce qui lui a permis de faire son entrée dans la cour des grands. Ensuite, il a particulièrement bien tiré son épingle du jeu grâce à du matériel de qualité. Mais là, son image en prend un coup …

Toujours plus gourmand ?
Le logiciel installé secrètement par Lenovo, appelé Superfish, aurait pour but de créer un canal d’affichage de publicités ciblées lors des recherches effectuées sur certains moteurs de recherche. On appelle cela un « Adware ».

Le but ? Probablement faire de la concurrence à des systèmes bien connus comme Adwords, et créer une source de revenus complémentaires pour le fabricant qui pourrait ainsi entrer dans le marché très rentable de la publicité en ligne. Un péché de gourmandise ?

Le groupe ne nie pas mais minimise. Selon lui, il s’agirait d’améliorer « l’expérience utilisateur » selon l’expression consacrée, en permettant d’afficher du contenu publicitaire qui lui convient vraiment. Du marketing ciblé en un mot.

Contre publicité
Jusque-là, les enjeux sont éthiques (les publicitaires diront que les enjeux touchent l’image de l’entreprise), outre bien entendu un problème potentiel au niveau de la protection des données personnelles de l’utilisateur. Il y a tout de même des règles à respecter dans le cas de l’utilisation de données à caractère personnel à des fins de marketing. Il y a aussi des développements potentiels en droit des contrats si l’on considère que le PC livré ne correspond pas à ce qui a été vendu puisqu’un module supplémentaire, secret et indiscret est livré avec.

Il s’agit toutefois d’une contre-publicité remarquable, car plusieurs commentateurs rappellent que Lenovo a déjà été accusé plusieurs fois d’infecter ses PC lors de leur fabrication en modifiant les microprocesseurs afin de créer une porte d’entrée dérobée. Derrière cela, il y aurait le gouvernement chinois et de sombres opérations d’espionnage et/ou de cyber-guerre. Difficile de savoir si ces accusations ont quelque fondement ou s’il s’agit d’un fantasme lié à l’origine chinoise du fabricant, mais la rumeur est solide. Tel le monstre du Loch Ness, la rumeur est réapparue plus forte que jamais ces jours-ci, suite à l’affaire Superfish.

Un risque grave pour la sécurité
L’affaire Superfish se corse car des chercheurs ont révélé un effet pervers majeur du logiciel superfish : il mettrait en péril le protocole de sécurisation SSL.

Le protocole SSL – abréviation de Secure Socket Layer – est une application des outils cryptographiques, largement utilisée pour les paiements électroniques en ligne, bien qu’il n’a pas été créé spécifiquement pour cela. Le système – intégré par défaut à presque tous les logiciels de navigation – crée un canal de communication sécurisé entre le serveur du vendeur et l’ordinateur du client, assurant entre eux la transmission cryptée des informations communiquées (par exemple : le numéro facial de la carte de crédit, la date d’expiration et le nom du titulaire).

Le protocole SSL présente principalement les avantages suivants :

• coût réduit : le protocole est intégré dans les logiciels récents de navigation sur l’internet (MS Internet Explorer, Netscape, Opera, etc.) et ne requiert donc pas d’équipement particulier ;
• simplicité d’utilisation : l’intégration au logiciel de navigation dispense l’acheteur de toute démarche particulière. La présence d’un logo représentant un cadenas fermé sur l’écran du logiciel confirme le recours à une transmission cryptée ;
• authentification du vendeur : le protocole SSL assure avant tout l’authentification du vendeur ce qui permet, dans une certaine mesure, de décourager les escrocs qui se font généralement vite repérer par les sociétés émettrices de cartes de crédit ;
• cryptage : l’utilisation de la cryptographie asymétrique permet de sécuriser les transmissions sur le réseau.

Toute médaille ayant son revers, ces avantages et la simplicité d’utilisation constituent également les principales faiblesses du système :

• il n’y a aucune vérification de l’identité du client ;
• le numéro apparent de la carte est transmis au vendeur, ce qui laisse subsister le risque d’une utilisation frauduleuse par ce dernier, ni ne résout le danger d’une intrusion dans le serveur du vendeur par un tiers désireux de faire main basse sur les informations bancaires des clients ;
• l’efficacité de la protection en cours de transmission dépend essentiellement de la clef de cryptage retenue.
• L’importance de SSL est considérable. S’il fallait l’exprimer en quelques mots, on pourrait dire qu’à l’heure actuelle, ce protocole protège quasiment toutes les transactions sur l’internet. Qu’il s’agisse d’acheter des billets de trains, de réserver un spectacle, de télécharger de la musique payante, de commander un livre … SSL est derrière l’immense majorité des opérations. Presque tous les sites qui opèrent le paiement par la transmission du numéro facial de carte de crédit, utilisent SSL. Ce protocole n’est pourtant pas le seul, mais il est le plus utilisé.

En raison de sa conception (recours à des certificats auto signés, en utilisant de surcroît la même clef privée sur tous les ordinateurs équipés de ce logiciel), le logiciel Superfish peut déchiffrer des connexions supposées sécurisées afin d’insérer des contenus publicitaires sans que l’utilisateur ne soit averti d’une telle intrusion, et briser ainsi la sécurité du protocole (plus d’infos en faisant une recherche sur votre moteur préféré avec les mots-clef « superfish ssl »).

Lenovo fait une courbe rentrante
Face au tollé général, le fabricant chinois a été contrainte de reconnaître les faits en les minimisant, et d’assurer que depuis ce mois de janvier, les nouvelles machines ne sont plus équipées de ce logiciel. (voir le communiqué http://news.lenovo.com/article_display.cfm?article_id=1929)

Après cette lecture, quel est votre avis ?
Cliquez et laissez-nous un commentaire…

Source : http://www.droit-technologie.org/actuality-1698/lenovo-accuse-d-infecter-ses-propres-pc-le-protocole-de-securise-ssl.html

Par Etienne Wery, Avocat aux barreaux de Bruxelles et Paris (cabinet Ulys)

Plusieurs entreprises visées par des hackers

Ces piratages prennent la forme d’un e-mail dans lequel un lien ou une pièce jointe contient un logiciel malveillant qui prend en otage les données personnelles contenues sur l’ordinateur. Une fois les fichiers bloqués, les hackers invitent les victimes à payer de 500 à 1 000 euros pour, soi-disant, résoudre le problème.

Restaurer ses fichiers
Parmi les cas recensés ces derniers jours au Luxembourg, ce sont principalement des entreprises qui ont été touchées. Un ordinateur infecté peut alors bloquer les fichiers de tous les ordinateurs connectés au réseau de l’entreprise. Les données sont ensuite quasiment impossibles à récupérer vu la complexité du code utilisé actuellement par les hackers.

Le CIRCL suggère à toutes les entreprises de bien vérifier leur back-up. «Souvent les entreprises sauvegardent leurs fichiers mais ne vérifient pas que leur back-up est bien fait», explique-t-on au CIRCL. Il faut donc vérifier que les fichiers sauvegardés peuvent bien être restaurés et qu’ils disposent d’une période de conservation adéquate. Du côté des particuliers, sauvegarder ses données personnelles sur un disque dur externe est un bon réflexe. «Mais il ne faut pas laisser le disque dur branché à l’ordinateur», insiste-t-on encore au CIRCL, faute de quoi les fichiers contenus sur le disque dur externe seront aussi accessibles aux hackers

Comment reconnaître un «ransomware»?
Ce type d’attaque informatique circule via les liens ou les pièces jointes d’un e-mail. Souvent, il s’agit de courriers électroniques demandant de payer une facture. L’adresse du destinataire ne paraît à première vue pas suspecte.

Comment les éviter?
Pour éviter de se faire hacker, il faut donc garder en tête les précautions de base. Par exemple, ne pas cliquer sur un lien ou ouvrir un fichier .pdf, .zip ou .doc de la «Deutsche Telekom» si vous n’avez pas de facture à recevoir de cet opérateur. De même avec un e-mail pour un colis que vous n’attendez par, par exemple.

Le CIRCL recommande aussi de mettre à jour vos logiciels, y compris les plug-ins des navigateurs (comme Flash, Java, Silverlight, etc.) et de vous assurer que votre anti-virus est bien à jour.

Après cette lecture, quel est votre avis ?
Cliquez et laissez-nous un commentaire…

Source : http://www.lessentiel.lu/fr/news/story/15460014

Le site web de l’Internet System Consortium touché par un malware

Le site web de l’Internet System Consortium a été temporairement mis hors ligne suite à la découverte d’une attaque ayant pu affecter les visiteurs du site. Une page statique est actuellement en ligne avec des indications nécessaires pour les utilisateurs de BIND, le serveur DNS proposé par l’ISC. L’attaque subie par le consortium n’a pas affecté les programmes publiés par l’ISC dont le code source est hébergé sur un serveur différent du site web. Selon The Register, qui a contacté un membre de l’Internet System Consortium, l’attaque n’était pas ciblée et n’a touché que le site web, qui avait recours au CMS WordPress. Une attaque automatisée « inhérente aux CMS de ce type » ajoute Dan Mahoney, responsable de la sécurité de l’ISC.

L’attaque a permis aux attaquants de rediriger certains internautes vers une page distribuant un malware windows, le Angler Exploit Kit. Celui ci est connu depuis quelques temps et exploite plusieurs failles dans Flash, Internet Explorer et SilverLight pour ensuite exécuter du code malveillant sur la machine ciblée. La finalité du malware reste encore peu connue, mais mieux vaut prévenir que guérir. Pour l’instant, l’ISC n’a pas encore signalé d’utilisateur infecté par leur site mais a préféré mettre le site hors ligne en attendant de résoudre le problème.

Plus de peur que de mal donc, mais l’ISC fait partie des sociétés vitales pour Internet : le consortium développe et maintient le code de BIND, le serveur DNS le plus largement utilisé aujourd’hui sur le réseau et héberge l’un des 13 serveurs racine du DNS. Si ces derniers ne sont pas affectés par l’attaque, les internautes et administrateurs systèmes qui ont visité le site wordpress de l’ISC avant le 22 décembre ont en revanche de quoi s’inquiéter.

Après cette lecture, quel est votre avis ?
Cliquez et laissez-nous un commentaire…

Source : http://www.zdnet.fr/actualites/le-site-web-de-l-internet-system-consortium-touche-par-un-malware-39812011.htm

Par Louis Adam

CryptoPHP – Plus de 23 000 serveurs web infectés

Plus de 23 000 serveurs web ont été infectés par un backdoor baptisé CryptoPHP qui est arrivé avec les thèmes et les plug-ins piratés pour des systèmes de gestion de contenu très populaires, à savoir WordPress, Joomla et Drupal. CryptoPHP est un script malveillant qui permet des attaques à distance avec la possibilité d’exécuter du code délictueux sur des serveurs web et d’injecter du contenu inapproprié sur des sites web.

Selon le cabinet de sécurité néerlandais Fox-IT, qui a publié un rapport sur cette menace la semaine dernière, la porte dérobée est principalement utilisée pour l’optimisation de BHSEO (Black hat search engine optimization), une opération qui consiste à injecter des mots-clés et des pages indélicates sur les sites compromis afin de détourner les recherches effectuées par les moteurs traditionnels et pousser du contenu malveillant le plus haut possible dans les résultats de recherche.

Un backdoor profitant de la culture pirate des webmasters
Contrairement à la plupart des backdoors s’attaquant aux sites web, CryptoPHP ne s’installe pas en exploitant les vulnérabilités. Les hackers distribuent simplement des versions piratées des plug-ins et thèmes commerciaux pour Joomla, WordPress et Drupal et attendent simplement que les webmasters les téléchargent et les installent sur leurs propres sites web. Ces plug-ins et thèmes piratés intègrent le backdoor CryptoPHP. Les serveurs web infectés par CryptoPHP agissent comme un réseau de zombies. Ils se connectent à des serveurs de commande et de contrôle exploités par les hackers en utilisant un canal de communication chiffré et attendent les instructions.

Avec l’aide du Centre national de la cybersécurité du gouvernement néerlandais et d’organisations de lutte contre la cybercriminalité (Fondation Shadowserver, Abuse.ch et Spamhaus), Fox-IT a pris le contrôle des domaines de commande et de contrôle de CryptoPHP envoyant des instructions aux serveurs infectés pour recueillir des statistiques. Une opération connue sous le terme « sinkholing ».

Plus de 1000 sites web infectés en France
« Au total, 23 693 adresses IP uniques étaient reliés aux centres de contrôle », ont indiqué dans un billet de blog les chercheurs de Fox-IT. Cependant, le nombre de sites concernés est probablement plus élevé, parce que certaines de ces adresses IP correspondent à des serveurs d’hébergement web partagé qui ont plus d’un site infecté. Les cinq premiers pays infectés par CryptoPHP étaient les États-Unis (8657 adresses IP), l’Allemagne (2877 adresses IP), la France (1 231 adresses IP), les Pays-Bas (1008 adresses IP) et la Turquie (749 adresses IP).

Depuis la publication du rapport de Fox-IT sur CryptoPHP la semaine dernière, les hackers ont fermé les sites qui ont poussé les plug-ins et thèmes piratés pour en créer de nouveaux. Ils ont également introduit une nouvelle version de leur backdoor, peut-être dans une tentative d’échapper à la détection.

Les chercheurs Fox-IT ont publié deux scripts Python sur GitHub que les webmasters peuvent utiliser pour scanner leurs serveurs et leurs sites web à la recherche de CryptoPHP. Ils ont également fourni des instructions pour le supprimer sur leur blog, tout en notant que finalement il est préférable de complètement réinstaller son CMS afin de repartir sur une base saine.

Après cette lecture, quel est votre avis ?
Cliquez et laissez-nous un commentaire…

Source : http://www.lemondeinformatique.fr/actualites/lire-plus-de-23-000-serveurs-web-infectes-par-cryptophp-59420.html?utm_source=mail&utm_medium=email&utm_campaign=Newsletter

Le rapport : https://foxitsecurity.files.wordpress.com/2014/11/cryptophp-whitepaper-foxsrt-v4.pdf

Article de Peter Sayer, IDG NS (adaptation Serge Leblal)

Virus Regin : Conséquences informatiques ou clash diplomatique ?

Selon le site américain The Intercept, les services de renseignement américains et britanniques se cacheraient derrière. Pour mémoire, The Intercept a été créé par Glenn Greenwald, l’enquêteur ayant publié les révélations d’Edward Snowden sur les programmes de surveillance la NSA.

Citant des sources du secteur et une analyse technique du logiciel, The Intercept affirme que « Regin » est référencé dans des documents fournis par Edward Snowden lui-même, alors qu’il était encore consultant de l’agence américaine de renseignement. Interrogée sur ces informations, une porte-parole de la NSA a répondu par un lapidaire: « Nous n’allons pas commenter des rumeurs ».

L’affaire est néanmoins prise très au sérieux car « Regin » avait des objectifs très ambitieux

le malware aurait été utilisé contre des réseaux informatiques de gouvernements européens et Belgacom, le réseau public de télécommunications belge.

Dans le détail, « Regin » serait capable d’apporter une grande flexibilité aux attaquants. En effet, ces derniers seraient en mesure de charger des fonctions personnalisées adaptées à des objectifs individuels en cas de besoin. Le virus serait notamment capable de réaliser des captures d’écran, de prendre le contrôle d’une souris et de son curseur, de voler des mots de passe, de surveiller le trafic d’un réseau, et de récupérer des fichiers effacés.

Après l’abandon du dossier des « écoutes Merkel »
Si la nature des assaillants parvient à être authentifiée, les vieux démons pourraient se réveiller des deux côtés de l’Atlantique. L’affaire des écoutes de la NSA venait pourtant de refroidir avec l’abandon samedi de l’enquête concernant la mise sur écoute présumée d’un téléphone d’Angela Merkel. Selon le magazine allemand Focus, aucune preuve n’aurait été trouvée sur la responsabilité de la NSA. « Regin » pourrait donc raviver les tensions.

Interrogé par The Intercept, l’expert en sécurité qui a aidé à supprimer le logiciel espion des réseaux de Belgacom est formel. « Après avoir analysé ce malware et regardé les documents Snowden, je suis convaincu que Regin est utilisé par les services de renseignement américain et britannique », a affirmé Ronald Prins. C’est lui qui permet à l’équipe de Glenn Greenwald d’être si confiante dans ses affirmations.

D’autres sources abondent dans ce sens. « Nous sommes convaincus que ce produit est l’oeuvre des Etats-Unis ou de la Grande-Bretagne », a assuré à SC Magazine Erik de Jong, un expert en cyber-sécurité de la firme Fox-IT. « Nous avons examiné les documents de Snowden, les pièces s’imbriquent ». La société finlandaise F-Secure assure sur son blog que le virus, « pour une fois », ne vient pas de Russie ou Chine.

« Considéré comme révolutionnaire »
Symantec se dispense de donner des noms, mais plutôt des indices sur le niveau de sophistication. « Dans le monde des virus informatiques, rares sont les exemples qui peuvent être réellement considérés comme révolutionnaires. Ce que nous avons là en fait partie ». C’est par cette phrase que débute le rapport de la société publié dimanche.

La complexité de « Regin » implique une phase de conception ayant duré plusieurs mois, voire plusieurs années, et qui a nécessité un investissement financier important. « Le temps et les ressources employés indiquent qu’une nation est responsable », assure Candid Wueest, un chercheur travaillant pour le spécialiste américain de la sécurité informatique.

Encore difficile d’identifier formellement le(s) responsable(s)
Pas question néanmoins d’accuser formellement un Etat. « On ne fait pas d’attribution tant que l’on n’a pas de faits concrets, de preuves irréfutables », se justifie-t-il, « mais il est certain qu’on peut tirer des conclusions ». Chez Kaspersky Lab, le principal concurrent de Symantec en matière de sécurité informatique, on se refuse également à pointer du doigt un pays en particulier. La compagnie russe explique néanmoins que ce virus ne peut avoir été développé qu’avec le financement et les moyens techniques d’une agence nationale de renseignement.

Les experts détaillent ensuite le processus. « Les équipes de Symantec ont détecté des brèches de sécurité avérées dans 10 pays, en premier lieu la Russie puis l’Arabie saoudite, qui concentrent chacune environ un quart des infections », a indiqué Candid Wueest. Les autres pays touchés par ordre d’importance sont le Mexique et l’Irlande suivis par l’Inde, l’Afghanistan, l’Iran, la Belgique, l’Autriche et le Pakistan. Un travail d’orfèvre pour les spécialistes du genre.

Lire la suite….

Après cette lecture, quel est votre avis ?
Cliquez et laissez-nous un commentaire…

Source : http://www.huffingtonpost.fr/2014/11/25/regin-virus-snowden-nsa-gchq-belgique-greenwald_n_6217356.html

Par Grégory Raymond