En direct
Best of
Best of du 1er au 7 août
En direct
Articles populaires
Période :
24 heures
7 jours
01.

Explosion de la violence en France : comment expliquer la faillite de l’Etat (puisque le Hezbollah n’y est pour rien ici...) ?

02.

Ces répliques du Hezbollah et de l’Iran auxquelles s’expose Emmanuel Macron

03.

Le télétravail va-t-il provoquer la fin de l'invulnérabilité des cadres sur le marché mondial du travail ?

04.

Du glyphosate concentré utilisé comme arme chimique pour détruire une exploitation bio

05.

Ce qui se passe pour notre corps quand on arrête l’alcool

06.

Pourquoi le Coronavirus ne repartira plus jamais

07.

Emmanuel Macron exhibe son engin (à moteur) et Voici pense qu’il ne s’épile plus; Nicolas S. & Carla Bruni saluent leurs fans; Joey Starr, Cauet &Clara Luciani amoureux, Charlize Theron en couple avec elle-même; Justin Bieber veut sauver Kim K. & Kanye W.

01.

Pourquoi le Coronavirus ne repartira plus jamais

02.

Savez-vous pourquoi des centaines de "jeunes" se sont affrontés à Etampes ? Parce qu’ils étaient empêchés d’aller au bled

03.

Explosion de la violence en France : comment expliquer la faillite de l’Etat (puisque le Hezbollah n’y est pour rien ici...) ?

04.

Covid-19 : ce que les bonnes nouvelles en provenance de Suède et d’Italie pourraient nous apprendre pour maîtriser le retour du virus

05.

Loi bioéthique : le naufrage moral de l’amendement sur l’interruption médicale de grossesse

06.

La Turquie d’Erdogan ne cache plus ses ambitions de dominer le monde musulman en fondant le califat rêvé par les Frères musulmans

01.

Explosion de la violence en France : comment expliquer la faillite de l’Etat (puisque le Hezbollah n’y est pour rien ici...) ?

02.

Loi bioéthique : le naufrage moral de l’amendement sur l’interruption médicale de grossesse

03.

Edwy Plenel est en très, très grande forme : il assimile la police d'aujourd'hui à celle de Vichy en 1942 !

04.

La morphologie des dingos, des chiens sauvages d’Australie, a fortement évolué au cours des 80 dernières années, les pesticides seraient en cause notamment

05.

Covid-19 : ce que les bonnes nouvelles en provenance de Suède et d’Italie pourraient nous apprendre pour maîtriser le retour du virus

06.

Orange mécanique, le retour : mais que cachent ces tabassages en série pour des histoires de masques ?

ça vient d'être publié
rendez-vous > Science
Atlantico Sciences
Une galaxie au premier stade de l'évolution débusquée grâce à l'IA ; Voici ce qu'il se passe quand un trou noir ne « fonctionne » pas
il y a 38 min 23 sec
pépites > Santé
Au bal masqué ohé ohé
Covid-19 : deux tiers des Français favorables au port obligatoire du masque à l’extérieur
il y a 1 heure 25 min
pépites > International
Onde de choc
Liban : le Premier ministre propose des élections anticipées pour apaiser la colère des habitants
il y a 2 heures 58 min
décryptage > Société
Disruption

Le télétravail va-t-il provoquer la fin de l'invulnérabilité des cadres sur le marché mondial du travail ?

il y a 3 heures 56 min
décryptage > Justice
Bonnes feuilles

La France des caïds : voyage au pays des narcobandits

il y a 4 heures 15 min
décryptage > Société
Agriculture

Du glyphosate concentré utilisé comme arme chimique pour détruire une exploitation bio

il y a 4 heures 16 min
décryptage > Société
Délinquants déconfinés

Gérald Pandelon : "Avec la crise sanitaire, le risque d’augmentation de la délinquance de droit commun est réel ; les gros voyous, en revanche, s’y sont préparés et ont des réserves"

il y a 4 heures 16 min
décryptage > Economie
Différence de taille

Le match du plan de relance allemand et français

il y a 4 heures 18 min
décryptage > International
La France en première ligne

Liban : l'Europe portée disparue

il y a 4 heures 18 min
pépites > International
Deuil
Covid-19 : l'Amérique latine est désormais la région avec le plus de morts dans le monde
il y a 21 heures 39 min
pépites > International
Dernière dictature d'Europe
Belarus : journée d'élection présidentielle, sur fonds de fraudes et d'arrestations arbitraires
il y a 56 min 8 sec
pépites > Santé
Sortez couverts
Ile-de-France : les zones où le masque devient obligatoire à partir de ce lundi
il y a 1 heure 51 min
rendez-vous > Environnement
Atlantico Green
Dérèglement climatique : les émissions de carbone ont chuté en 2020... sans effet notable pour la planète. Les solutions sont ailleurs
il y a 3 heures 15 min
décryptage > Société
SOS liberté d’opinion en danger

Cancel culture : pourquoi les pires dérives du XXe siècle nous menacent à nouveau

il y a 4 heures 2 min
décryptage > International
Zone de tension

L'annexion du Cachemire déclenchera t-elle une nouvelle guerre indo-pakistanaise ?

il y a 4 heures 16 min
décryptage > France
Immortel Astérix

Voulez-vous savoir pourquoi le mot "Gaulois" a émigré en banlieue ?

il y a 4 heures 16 min
décryptage > Santé
Différences

Le Covid-19 allemand est-il quatre fois moins meurtrier que le Français ?

il y a 4 heures 16 min
décryptage > Media
Economie des médias

Tuer les cookies pour sauver le journalisme ? Les très intéressantes leçons venues des Pays-Bas

il y a 4 heures 18 min
pépites > International
Drame
Beyrouth : 158 morts et toujours 21 personnes portées disparues, selon un nouveau bilan
il y a 21 heures 20 min
light > Culture
C'est dans les vieux pots...
"Dirty Dancing" va avoir une suite, avec Jennifer Grey reprenant son rôle de "Bébé"
il y a 22 heures 16 min
© LIONEL BONAVENTURE / AFP
© LIONEL BONAVENTURE / AFP
Cyber-guerre

Des espions iraniens se piègent en diffusant des vidéos d’eux-même en plein piratage informatique

Publié le 19 juillet 2020
Une task-force d’IBM, la X-Force security a obtenu cinq heures de vidéos dans lesquelles on peut voir des hackeurs iraniens en plein piratage de boîtes Gmail.
Didier Hardoin
Suivre
Vous devez être abonné pour suivre un auteur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Didier Hardoin est ingénieur en cyber-sécurité. Il répond ici à titre personnel.
Voir la bio
Michel Juvin
Suivre
Vous devez être abonné pour suivre un auteur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Michel Juvin est expert cybersécurité, membre du CESIN.
Voir la bio
Ajouter au classeur
Vous devez être abonné pour ajouter un article à votre classeur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Lecture Zen
Vous devez être abonné pour voir un article en lecture zen.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Une task-force d’IBM, la X-Force security a obtenu cinq heures de vidéos dans lesquelles on peut voir des hackeurs iraniens en plein piratage de boîtes Gmail.

Atlantico : Une task-force d’IBM, la X-Force security a obtenu cinq heures de vidéos dans lesquelles on peut voir des hackeurs iraniens en plein piratage de boîtes Gmail. Que cela nous apprend-t-il sur leur méthodes ? 

Didier Hardoin : Les hackeurs Iraniens connus également sous le nom d'APT 35, sont une agence étatique sponsorisé par le gouvernement Iranien. Dans les découvertes des vidéos faites par IBM, on peut voir une démonstration de l'exfiltration de données (comptes Google et Yahoo). On parle d'exflitration de données car en ayant accès à un compte Google, on a accès à tout l'univers de services attaché à cette dernière: Drive, Mail, Google docs... L'attaquant va donc s'intéresser à extraire le plus de données liés au compte compromis. 

Premièrement, l'attaquant va siphonner (copie) toute la boîte mail de la victime vers sa machine et l'ajouter à un agregateur de courrier (pour continuer l'espionage), au même temps il s'occupe de supprimer les alertes que Google ou Yahoo peuvent envoyer à l'utilisateur (il est important de prendre en compte que l'attaquant a pris contrôle total du compte), pour ensuite télécharger les photos et contacts de l'utilisateur. Le processus dure environ de 3 minutes à 4 minutes, et peut augmenter selon la taille de la boîte. Il se sert également de Google takeout (takeout.google.com) qui permet d'exporter le contenu du compte google (localisation, appareils associés, etc). Ce processus n'est pas un attaque très sophistiquée, mais plutôt une série de multiples actions répétitives simples pour une 'grande' opération de phishing.

La méthodologie utilisé n'est pas très complexe, mais la masse d'informations obtenues paie, l'attaquant peut donc avoir des renseignements plus précis sur les victimes : photos, documents (impots, factures, copies des cartes d'identité, bulletins de salaire, etc. La question serait pourquoi faire ? Des faux profils, vol d'identité, accès aux contacts de la victime, faire pression sur elle... 

Michel Juvin : En résumé, les enseignements de ce piratage de boîte mail nous apprennent que :
- Les hackers Iraniens possèdent des solutions et scénarios d’attaque puissants et ils les maîtrisent très bien
- La vitesse (j’ajouterai la facilité) avec laquelle le hacker prend le contrôle de la boîte mail est impressionnante et donc inquiétante
- Enfin, heureusement que depuis plusieurs années, les systèmes de messagerie (dont Gmail qui a été le premier à proposer à tous ces utilisateurs y compris pour le grand public), proposent la double authentification et donc évitent ce genre de problème.

De plus, pour les comptes à privilèges en reprenant la notion de Proofpoint (les VAP : Les Very Attacked People) la double authentification est proposée/imposée par tous mes collègues en entreprise.

De plus, on comprend (bien que n’ayant pas vu les vidéos), qu’il s’agit de forces étatiques qui effectuent ces attaques ; c’est une autre confirmation que nous sommes bien en cyber-guerre et que dans cette première phase, comme pour toutes les guerres, le renseignement est primordial et même, la composante la plus importante de la cyber-guerre. C’est encore une fois, l’information qu’il faut à protéger aujourd’hui et c’est l’un des objectifs de notre communauté de diminuer les risques de vol/fuite d’information.

Que cherchent à faire ces hackeurs iraniens en piratant des comptes Gmail ? 

Didier Hardoin : Deux objectifs dans ces vidéos. L'un est purement une démonstration de pouvoir : comment obtenir (siphonner) rapidement des informations des cibles. Le deuxième : ces vidéos étaient clairement faites en tant que tutoriel pour les nouveaux hackers dans ce groupe, pour les entrainer. L'usage donnée ensuite à ces comptes piratés varie entre l'utilisation pour le phishing, ou de continuer à espionner la boîte mail. Bien éviddement sur les principaux cibles de ces vidéos, et la plupart du temps, ce sont très probablement des opérations d'espionnage.

Michel Juvin : Comme on le sait trop, le système de messagerie en entreprise comme dans le privé, contient malheureusement beaucoup d’informations qui sont confidentielles (documents confidentiels, secrets de fabrication, extrait de formule, contrat avec des partenaires ou sous-traitants, solutions de gestion des données, informations stratégiques, …parfois même des droits d’accès !!) car les utilisateurs apprécient la facilité d’utilisation du mail.

Malgré les recommandations de toute la communauté des Experts en Cybersécurité, dont mes pairs du CESIN, on rappelle régulièrement les consignes de sécurité et les alternatives pour stocker ou partager des informations sensibles. Progressivement, d’ailleurs, les utilisateurs adoptent ces solutions de sécurité car on a tous conscience que la sécurité (confidentialité et intégrité) des données est une nécessité désormais.

Face à une telle menace, comment pouvons-nous prévenir de ces attaques ?

Didier Hardoin : L'importance de la culture cyber, et de la cyber vigilance implique de nous rappeller de certaines règles élémentaires: https://www.ssi.gouv.fr/particulier/precautions-elementaires/dix-regles-de-base/

On peut les résumer très succintement ainsi pour nos comptes dans le cloud :
- Avoir un mot de passe complexe de qualité: Chiffres et lettres MAJ et min, avec des numéros et caractères spéciaux.
- Activer la double authentification: Cela permet d'authentifier (et protégér) le compte avec deux facteurs: le mot de passe et un objet que vous avez en votre possession (ex. téléphone portable). La double authentification s'avère un moyen de protection, puisque ces vidéos montrent que lorsque le mot de passe ne marchait pas ou que ce dernier avait une double authentification, l'attaquant passait à la cible suivante
- Changer le mot de passe périodiquement
- Passer en révision les paramètres de sécurité afin de vérifier que ces derniers sont à jour et aucun élément nouveau n'a pas été introduit
- Passer en révision les applications tierces qui sont autorisées à avoir accès à votre compte/mail
- Utiliser un gestionnaire de mots de passe

Des guides sur les bonnes pratiques sont disponibles sur le site www.ssi.gouv.fr

Michel Juvin : Comme cela est indiqué dans l’article la double authentification est bien comprise par les utilisateurs.

Je recommande de plus de mettre en place une solution qui permet d’identifier le device qui accède à votre messagerie ; c’est le cas de la solution Yubico qui sécurise avec une authentification physique via un dongle biométrique, le device qui pourra accéder à vos informations. Cela correspond à mettre en place une triple vérification de l’identité de l’utilisateur. Depuis plusieurs années, c’est cette solution qui est pour moi un impératif pour justement les VAP (admin et utilisateurs manipulant des informations confidentielles) compte tenu de leur exposition aux risques.

Pour compléter cette recommandation, il est nécessaire d’appliquer le concept du Zéro-Trust (historiquement développé par le Jéricho Forum en 2003) pour tous les accès aux données sensibles de l’entreprise. Ce concept autorisant le droit d’accès peut se modéliser sous la forme d’une fonction booléenne de 4 paramètres (Fn(1,2,3,g(a,b,c))) :

  1. L’authentification de l’utilisateur (avec justement un identifiant possédant le multi-facteur d’authentification),

  2. Le device utilisé,

  3. La localisation de l’utilisateur,

  4. Et l’application souhaitée qui s’exprime en fonction de plusieurs paramètres (en fonction de la complexité de l’application) :
    a - le nom de l’application,
    b - le type d’accès (consultation, mise à jour),
    c - les options d’impression ou de sauvegarde, …

Ce concept est difficile à mettre en place et, bien souvent, les entreprises installent une solution technique qui prend en compte les trois premiers critères techniques. Le paramétrage du droit d’accès par application, correspondant au « droit d’en connaître », n’est pas simple à installer et nécessite qu’il soit prévu lors du développement de l’application.

Enfin, il est notoirement important de rester attentif au contenu des messages (plus de 90% des failles de sécurité ont pour origine un mail) et d’écouter les recommandations de l’expert cybersécurité interne de l’entreprise qui rappelle régulièrement à la vigilance les utilisateurs.

Les commentaires de cet article sont à lire ci-après
Le sujet vous intéresse ?
Commentaires (0)
Ecrire un commentaire
Vous devez être abonné pour rédiger un commentaire.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Nos articles sont ouverts aux commentaires sur une période de 7 jours.
Face à certains abus et dérives, nous vous rappelons que cet espace a vocation à partager vos avis sur nos contenus et à débattre mais en aucun cas à proférer des propos calomnieux, violents ou injurieux. Nous vous rappelons également que nous modérons ces commentaires et que nous pouvons être amenés à bloquer les comptes qui contreviendraient de façon récurrente à nos conditions d'utilisation.
*Toute validation est définitive, vous ne pourrez pas rééditer votre commentaire.
Pas d'autres commentaires