Se connecter avec
S'enregistrer | Connectez-vous

La plus grosse attaque pirate de tous les temps

Par - Source: Tom's Hardware FR | B 26 commentaires

Un billet sur le blog de McAfee révèle qu’un pirate a mené la plus grande attaque sur le web de tous les temps. Operation Shady RAT (Remote Access Tool ou outil d’accès à distance en français) a duré au minimum 6 ans et s’est infiltrée dans de très nombreux serveurs appartenant à des gouvernements ou des entreprises privées. Les intrusions ont parfois duré des mois, voire des années. Ainsi, les serveurs d’un conté de la Californie du Sud ont été piratés pendant 24 mois.

La nouvelle a jeté un pavé dans la marre. Le billet de McAfee ne désigne pas de coupable, mais les médias et les experts ont rapidement noté qu’aucune des attaques ne touchait des sites chinois et ont rapidement commencé à soupçonner l’Empire du Milieu qui dément fermement être responsable. Il convient néanmoins de ne pas tirer de conclusions trop hâtives et souligner que McAfee lui-même ne pointe personne du doigt.

Les pirates ont réussi à compromettre les serveurs à l’aide d’attaques phishing relativement classiques. Il leur a suffi d’envoyer un email aux bons responsables afin de gagner accès à une machine connectée au réseau, puis d’étendre leur présence.

McAfee est tombé sur cette opération presque par accident lorsqu’il a saisi ce qui s’est avéré être un centre de commande et contrôle des chevaux de Troie Generic Downloader.x et Generic BackDoor.t qui furent utilisés pour prendre contrôle à distance des machines infectés. Les logs les plus anciens datent de 2006, mais il est possible que les attaques aient commencé avant. Il n’y a pour l’instant aucun moyen de le savoir.

Comme le montre le schéma ci-dessous, les attaques se sont principalement concentrées aux États-Unis. De nombreux serveurs appartenant à l'ONU ou au gouvernement fédéral ont été ouverts ainsi que ceux d’agences de divers états du pays. Le volume de documents volés dépasse le petaoctet et leur nature est ausssi très diverse, en passant de secrets technologiques, au fonctionnement interne d’entreprises ou gouvernement. Ces fichiers peuvent servir à gagner un avantage indu sur ses concurrents et bénéficier la croissance de pays au détriment d’autres nations. McAfee affirme aussi que la sécurité nationale des pays concernés s’en trouve fragilisée alors que les pirates ont volé des documents classés secret défense et pénétrer des satellites.

Il faut néanmoins prendre du recul par rapport au ton alarmiste qui domine une majorité de médias. Il est pour l’instant impossible de savoir qui est l’auteur de ces attaques et les dommages réellement causés par le vol d’information. En effet, les pirates aiment lancer des scripts pour prendre un maximum de fichiers sans faire de discrimination. Néanmoins, personne ne peut dire s’ils étaient conscients de ce qu’ils avaient entre les mains et ce qu’ils en ont fait. Il est possible qu’ils aient vendu ces secrets ou pas. Ce qui est certain est qu’une très grande partie de ces attaques auraient pu être déjouées avec des systèmes mis à jour et des utilisateurs plus vigilants. En effet, il ne s’agit pas ici d’attaques très élaborées comme on peut en voir dans les conférences Black Hat ou les concours PWN2OWN et le fait que certaines aient duré des années est avant tout un témoignage accablant des mauvaises pratiques de certains administrateurs.

Une question que les médias ne soulèvent pas et qui est pourtant très importante à nos yeux et la question de la responsabilité civile ou pénale des administrateurs négligents qui avaient le pouvoir de repousser ou limiter ces attaques, mais qui ont laissé la porte grande ouverte. Le coupable est peut-être plus proche qu’on ne le pense.

Afficher 26 commentaires.
Cette page n'accepte plus de commentaires
  • sebbk , 4 août 2011 07:47
    Avant de mettre 100% de la faute sur les administrateurs des réseaux et serveurs faudrait faire passer des tests à tous ces gens qui bossent dans l'administration. Soit ils sont capables de ne pas foncer tête baissée dans des pièges classiques, soit ils sont trop c*** pour avoir internet et on leur coupe. En ont ils tous besoin ????
  • -2 Masquer
    collinm , 4 août 2011 07:52
    et les supposés experts informatiques ont rien vû..... allez hop tous dehors
  • Anonyme , 4 août 2011 08:17
    "et les supposés experts informatiques ont rien vû..... allez hop tous dehors"
    encore un qui a rien compris à l'article...
  • Anonyme , 4 août 2011 08:22
    Aucune attaque en France, c'est presque insultant!!
    Plus sérieusement, on ne peut vraiment pas blamer les administrateurs... Même la meilleure configuration réseau n’empêchera pas la secrétaire de mettre son mot de passe sur un post-it sous le clavier ou sur l'écran...
    Alors du phishing, pour peu que ça soit bien fait, aucun doute pour que ça fonctionne...
  • Anonyme , 4 août 2011 08:34
    Bonjour,

    Je suis administrateur de votre site, pouvez-vous me donner votre mot de passe ?


    Merci

    La plus grosse faille, c'est l'interface chaise-clavier
  • fdocteur , 4 août 2011 09:22
    Cafeine76Aucune attaque en France, c'est presque insultant!!Plus sérieusement, on ne peut vraiment pas blamer les administrateurs... Même la meilleure configuration réseau n’empêchera pas la secrétaire de mettre son mot de passe sur un post-it sous le clavier ou sur l'écran...Alors du phishing, pour peu que ça soit bien fait, aucun doute pour que ça fonctionne...

    Ce sont nos frontières qui nous ont protégé des attaques, tout comme elles nous ont protégé du nuage de Tchernobyl :o  :o 


    En tous cas bon article, qui met en avant une fois de plus une faille insurmontable: le facteur humain, à la fois si intelligent et si faillible.
  • mempoh , 4 août 2011 09:25
    rm -rfBonjour,Je suis administrateur de votre site, pouvez-vous me donner votre mot de passe ?MerciLa plus grosse faille, c'est l'interface chaise-clavier


    admin / admin
  • -5 Masquer
    vardon , 4 août 2011 10:16
    Il est formellement interdit à tout Macuser de faire le moindre commentaire
  • Anonyme , 4 août 2011 10:41
    "Une question que les médias ne soulèvent pas et qui est pourtant très importante à nos yeux ---->ET
  • Marmotte25 , 4 août 2011 11:21
    Cafeine76Aucune attaque en France, c'est presque insultant!

    Et pourtant, on sait bien que dans notre administration, on a de bons gros boulets… :D 
  • David Civera , 4 août 2011 11:31
    Attention, je n'attaque pas tous les admin réseaux. Y a en beaucoup qui font leur boulot et il est vrai que dans certains cas y a pas grand chose à faire quand un haut responsable de la boite qui demande tous les privilège de la Terre ne sait pas reconnaitre une tentative de phishing. Mais dans le rapport de McAfee, il parle aussi de serveurs et machines pas mises à jour et nous savons tous qu'il y a aussi des admin fan de solitaire qui en glande pas deux... Je soulevais juste le fait qu'on en parle moins, voire pas du tout.
  • mogg , 4 août 2011 12:02
    et pendant ce temps le FBI s'attaque a wikileaks : /
  • nasp , 4 août 2011 12:42
    La plupart du temps ce ne sont pas les admins systèmes/réseaux qui sont en cause mais leur hiérarchie qui ne veut pas arrêter les serveurs pour leur mise à jour. Je travaille dans l'infogérance informatique et souvent les clients nous interdisent d'arrêter les serveurs pendant le temps nécessaire aux mises à jour et la raison invoquée est toujours la même: les serveurs doivent être disponibles 24h/24 pour les utilisateurs.
  • realzob , 4 août 2011 13:30
    ouaip, rien ne vau un arret regulier pour maintenance ^^
    et sinon, si tom's hardware est victime d'une attaque, vos admin vont'ils tous se retrouver a la rue? ...alala....
  • geek_du_44 , 4 août 2011 18:41
    naspLa plupart du temps ce ne sont pas les admins systèmes/réseaux qui sont en cause mais leur hiérarchie qui ne veut pas arrêter les serveurs pour leur mise à jour. Je travaille dans l'infogérance informatique et souvent les clients nous interdisent d'arrêter les serveurs pendant le temps nécessaire aux mises à jour et la raison invoquée est toujours la même: les serveurs doivent être disponibles 24h/24 pour les utilisateurs.



    comme pour certaines banques, il suffit de prévenir quelques jours à l'avance d'un arrêt imminent des serveur pour maintenance; prévenus ils feront le nécessaire!
  • -2 Masquer
    lologagny , 4 août 2011 22:23
    Merci Windows!
  • Akira78 , 4 août 2011 22:23
    @Geek_du_44: Malheuresement ce n'est pas tjs possible. Comment fais-tu quand tu dois gérer un service pour une administration française ? Pour mémoire, il y a les DOM/TOM aussi, donc qd il fait nuit en métropole, il fait jour en Guyane...
    Les dernière AO d'administration exige du 100% de dispo, maintenance incluse !!!

    @David : on ne glande pas tous... Je n'ai pas que de bon souvenir du patch HP-UX BL22, 10h de downtime de la plateforme...

    Et enfin, il y a la politique de gestion du risque : Combien coute 3 admin de plus pendant 15ans pour gérer le patch management ? Combien d'attaque y a-t-il ?

    Certe ya tjs moyen de s'améliorer, mais nous donnes-t-on tjs les moyens ?
  • Basilic et Pistou , 5 août 2011 12:07
    vardonIl est formellement interdit à tout Macuser de faire le moindre commentaire

    Commence par donner l'exemple et ne viens plus affirmer que tu ne cherches jamais la merde mais ne fais que répondre aux "attaques" des "hateboys" anti Apple. Tu viens de nous administrer la plus belle preuve de ta capacité à foutre tout seul la merde dans laquelle tu sembles te complaire ! Tiens toi le pour dit.
  • David Civera , 5 août 2011 12:08
    Akira78 -> je n'ai JAMAIS dit que vous glandiez tous!
  • vardon , 5 août 2011 12:55
    Basilic et PistouCommence par donner l'exemple et ne viens plus affirmer que tu ne cherches jamais la merde mais ne fais que répondre aux "attaques" des "hateboys" anti Apple. Tu viens de nous administrer la plus belle preuve de ta capacité à foutre tout seul la merde dans laquelle tu sembles te complaire ! Tiens toi le pour dit.

    1/D'abord tu restes poli. Merci
    2/ Si tu t'énerves pour un petit troll de ce style, je vais en déduire (ce qui à priori ne te ressemblait pas) que les trolls ne sont admis qu'à l'encontre des Macs.
    3/ Je serais donc heureux si tu venais faire ce type de remarque à tous les autres.
Afficher plus de commentaires