Alert (AA22-103A), par Anton Klimm

14 avril 2022 23h53

Je suis informaticien, je vois les alertes majeures quant aux logiciels malveillants compromettant tout le code Microsoft. Je suis consultant Senior en informatique mais pas encadrant.

Ce soir j’essaye de joindre un sous-directeur d’une des plus grosses sociétés de service informatique française, injoignable ! Deux spécialistes de la sécurité informatique, certes à 22h00, mais injoignables aussi, j’envoie les liens expliquant que les logiciels Microsoft sont compromis et je n’ai que des gens qui dorment ou me répondent par un SMS « Allez bonne nuit »

Comment des gens qui ont des postes de sécurité dans des grandes entreprises françaises peuvent-ils être aussi inconséquents, pour ne pas dire incompétents ?

Peut-on parler de « responsabilité » ou de « fonction » si l’on dort au moment où existe pour notre entreprise un risque majeur de sécurité ?

Pour l’instant et à défaut de mieux, mais au plus vite, installez des systèmes d’exploitation Linux ou mettez à disposition un autre PC avec Linux pour les responsables et intervenants les plus importants !

P.S. Cette mesure doit être temporaire car il est probable que Linux est lui aussi partiellement compromis.

informatique

Cyberguerre

14 réponses à “Alert (AA22-103A), par Anton Klimm”

okko

15 avril 2022 6h49

Ca ne concerne pas les ordi de bureau ce malware que je sache. Mais des machines très spécifique de type custom embarque qui tourne sur un windows embedded ou une image linux custom pour des opérations industrielles. Mr tout le monde n as pas besoin d’installer Linux sur son pc.

Répondre
L.Pointal

15 avril 2022 9h54

Les machines de bureau servent souvent de relai pour atteindre les systèmes embarqués ±industriels.

Répondre
ez

15 avril 2022 10h01

Tout le monde semble avoir oublié Snowden et ses révélations du système d’espionnage de masse PRISM (2013) auquel tous les GAFAM ont participé. Si des portes dérobées ont été intentionnellement créées pour servir les agences de renseignements alors elles peuvent également être détournées par des entités criminelles ou servant les interêts de puissances belligérantes. Les distributions libres ne sont pas exemples de failles. On en découvre régulièrement. Leur avantage par rapport aux logiciels commerciaux est que leur code source est consultable par tous et qu’une petite communauté dévouée veille à en faire la publicité et à les réparer aussitôt qu’elles sont détectées. Les distributions SUSE (https://www.cert.ssi.gouv.fr/avis/CERTFR-2022-AVI-341/), Redhat (https://www.cert.ssi.gouv.fr/avis/CERTFR-2022-AVI-322/), Ubuntu (https://www.cert.ssi.gouv.fr/avis/CERTFR-2022-AVI-343/) ont fait récemment (14 Avril) l’objet de communications concernant des vulnérabilités dans leur noyau permettant l’exécution de code arbitraire, déni de service, atteinte à la confidentialité des données, élévation de privilèges. Parfois les vulnérabilités sont logées dans le hardware et son micro-code. Par exemple Intel n’est toujours pas débarrassé des vulnérabilités qui affectent ses microprocesseurs et qui ont connues sous les noms de Meldown et Spectre, voir https://meltdownattack.com et https://www.intel.com/content/www/us/en/developer/topic-technology/software-security-guidance/processors-affected-consolidated-product-cpu-model.html.

Répondre
1. Ruiz
  
  16 avril 2022 12h05
  
  @ez La récente parution de ces failles Linux ne montre pas qu’elles soient récentes, ce qui veut dire que la sécurité par la publication du code est une illusion, si ces corrections sont proposées maintenant n’est-ce pas à cause d’un risque accru lié à des activités agressives décelées ?
  
  Répondre
rainbow

15 avril 2022 11h11

Je travaille dans une usine et nous avons ce style de Windows-embedded avec des PLC Schneider. Le problème c’est que ces automates ont accès au réseau de l’organisation parce qu’il faut alimenter en données ces automates et donc peut infecter potentiellement d’autre postes par ricochet. Les protections sont rares dans le domaine.

Pour avoir entendu ces derniers mois plusieurs usines piratées avec un blocage de production pendant plusieurs jours, il faut prendre cela au sérieux. La plus grande aluminerie d’Amérique du Nord a d’ailleurs été piratée au début de la guerre.

Répondre
blawete

15 avril 2022 12h25

Les États-Unis affirment que des pirates informatiques avancés ont montré leur capacité à détourner des infrastructures critiques
13/04/2022 | 20:19

https://www.zonebourse.com/cours/action/PALO-ALTO-NETWORKS-INC-11067980/actualite/Les-Etats-Unis-affirment-que-des-pirates-informatiques-avances-ont-montre-leur-capacite-a-detourner-40047336/

Répondre
Ruiz

15 avril 2022 12h35

Les gens compétents savent depuis longtemps que tous ces logiciels en particulier les OS Microsoft sont compromis.
Il n’est pas de logiciel sur une machine liée plus ou moins lachement à Internet ou accessible à une clé USB qui ne puisse être compromis.
La question est de savoir si on cherche à savoir comment et par qui, pour un responsable informatique si on lui donne les moyens suffisants pour le faire et faire adopter l’organisation et l’architecture la plus adaptée.

Tant qu’il n’y aura pas de crise majeure les budgets ne seront pas alloués et les décisions iront toujours vers le moindre coût, l’usage de solutions externalisées, internationalisées et les plus courantes.

La NSA s’est intéressée à Linux … et TOR vient de la marine américaine.

Répondre
1. rainbow
  
  15 avril 2022 13h05
  
  C’est très vrai pour le budget mais aussi pour un problème de confort des utilisateurs qui souvent n’arrêtent pas de râler sur les contre-mesures avec authentification à 2 facteurs. Si la direction ne veut pas brusquer ses employés et vous n’imaginez pas le nombre d’heures par jour que les gens râlent sur les logiciels informatiques (trop lent, pas pratique, veut ci, veut ca, pourquoi c’est pas encore fait), rien ne va être mis en place jusqu’à ce qu’un drame arrive.
  
  Répondre
DENARD Bob

15 avril 2022 13h19

il n’y a pas de raison intrinsèque que Windows soit plus compromis qu’un des nombreux forks LINUX (forks dont la variété est, disons, arborescente, problème auquel il faut rajouter tous les machins développés sous des bibliothèques python et autre, dont le niveau d’audit est sans doute pathétique).

Pour ce qui est de l’alerte AA22-103A, d’une part comme dit ci-dessus, on est sur du SCADA, et d’autre part, l’alerte est diffusée professionnellement depuis deux jours. Pour finir, il est possible aussi de faire des messages sous Linkedin, avec un réseau ad hoc, ça passe bien.

Répondre
1. Jean-Baptiste Auxiètre
  
  15 avril 2022 22h10
  
  C’est hélas l’inverse qui est vrai : les logiciels Microsoft sont certainement autant compromis que Linux : cependant les codes Linux sont relus et les failles publiées ! C’est pourquoi à priori les logiciels Microsoft seraient plus compromis.
  
  Répondre
  1. Nicolas
    
    16 avril 2022 9h19
    
    Quand les codes sont disponibles, ils peuvent en effet être relus. C’est ce qui nous est présenté comme élément fondamental de la sécurité des logiciels libres (dont Linux). Cependant, on entre parfois dans des choses très spécifiques et j’aimerais savoir combien il reste concrètement de relecteurs.
    Une faille récente concerne l’authentification LDAP (standard de gestion des utilisateurs) de NGINX (serveur web libre). C’est évidemment utilisé par plein de monde, mais combien de personnes maintiennent concrètement ?
    
    Répondre
2. Ruiz
  
  16 avril 2022 13h33
  
  @DENARD Bob L’attaque possible de systêmes SCADA, n’est pas nouvelle en particulier pour Siemens illustrée il y a plus de 10 ans avec STUXNET, mais aussi plus récemment :
  https://securityaffairs.co/wordpress/89720/hacking/siemens-simatic-s7-hack.html
  
  Répondre
Nicolas

15 avril 2022 21h56

Professionnels, nous avons la naïveté de croire que la sécurité matérielle serait transposable dans le virtuel de l’informatique et des télécoms. Avouons-le nous : la saisie des mots de passe, la validation par téléphone portable (nommée MFA en langue professionnelle), retrouver ses codes pour les impôts, c’est pénible.
Vos responsables ne répondent pas parce qu’ils sont fatigués de leur journée, parce que, passée la réception du salaire, ce sont des métiers globalement pénibles (sauf peut-être les dix premières années quand on est encore ébahi par la cathédrale des systèmes d’exploitation).
Allez, bon week-end de Pâques et n’oubliez pas de payer en espèces.

Répondre
1. Ruiz
  
  16 avril 2022 6h04
  
  @Nicolas La double authentification par téléphone portable n’est pas uniquement un moyen apparent revendiqué de sécurisation, mais surtout un moyen de fichage généralisé et d’exploitation de big data par interconnection de fichiers.
  
  C’est pour celà qu’elle tend à être généralisée …
  
  Au lieu d’un mot de passe éventuellement compliqué partagé localement à la discrétion utilisateur/serveur, un numéro de téléphone portable constituant un identificateur de rapprochement avec d’autres activités et un moyen de paiement identifiant (prélèvement CB) (=> utiliser un téléphone dédié payé par l’entité en charge du serveur ou sans abonnement) et qui permet une géolocalisation datée (utiliser le répondeur ?).
  
  Répondre