mercredi 18 février 2015

La NSA est capable de reprogrammer n’importe quel disque dur


L’éditeur Kaspersky a mis la main sur un arsenal de malwares ultrasophistiqués dont les traces remontent à l’agence d’espionnage américaine. C’est une plongée étourdissante dans l’art de la guerre numérique.

laisser un avis
Le roi est nu, enfin presque. Après des mois d’enquête, les chercheurs en sécurité de Kasperky ont mis la main sur une série de logiciels d’espionnage aussi complexes que Stuxnet, utilisés par un groupe qu’ils ont baptisé « Equation Group ». Celui-ci est actif depuis au moins 2001, utilise un vaste réseau de serveurs de commande et contrôle (plus d’une centaine) et a infecté plusieurs dizaines de milliers postes partout dans le monde. Vous l’aurez compris : derrière « Equation Group » se cache en réalité... la NSA. Kaspersky ne peut pas l’affirmer à partir des éléments en sa possession, même si beaucoup d’indices pointent dans cette direction. Toutefois, cela a été confirmé auprès de Reuters par un ancien membre de l’agence américaine. Le doute n’est donc pas possible.
Kaspersky a découvert environ 500 victimes dans le monde , mais estime le nombre total à plusieurs dizaines de milliers.
Kaspersky a découvert environ 500 victimes dans le monde , mais estime le nombre total à plusieurs dizaines de milliers.
agrandir la photo
Parmi la demi-douzaine de logiciels d’espionnage analysés, il y en a un qui surpasse tous les autres, car il est capable de reprogrammer (« flasher ») les firmwares de presque tous les disques durs du marché : Maxtor, Western Digital, Samsung, Toshiba, Seagate, Hitachi, IBM, Micron Technologies, etc. Dans quel but ? Pour y installer un mouchard ultrarésistant, impossible à supprimer pour le commun des mortels. Et qui reste opérationnel même après un formatage complet du disque dur ou une réinstallation du système d’exploitation. Ce module de reprogrammation de disque dur ne sert visiblement pas pour une surveillance de masse. Selon Kaspersky, sa présence est « extrêmement rare ». Son utilisation est probablement réservée à l’espionnage de quelques cibles très particulières.

Un système de fichier caché dans la base de registre

Mais cette fonction hors du commun n’est qu’un module d’une plateforme d’espionnage bien plus large, que Kaspersky a baptisé GreyFish. Une fois qu’un ordinateur Windows a été pénétré, celui-ci s’installe en toute douceur et reste quasi invisible. En effet, pour prendre pied dans le système, GrayFish infecte le Master Boot Record, ce qui lui permet de prendre le contrôle de toute la phase de démarrage de Windows. L’ordinateur est compromis avant même qu’il même que son système ne soit lancé. Mieux : lorsque Windows a démarré, GrayFish installe dans la base de registre un système de fichier autonome et virtuel, dans lequel viendront se loger tous les modules d’espionnage et les données à récupérer. Evidemment, tout est chiffré en permanence,  même les exécutables, ce qui permet de ne pas se faire repérer par les logiciels antivirus. En cas de pépin, GrayFish s’autodétruit. Au niveau du codage, c’est donc un vrai travail d’orfèvre.
La procédure d\'infection de GrayFish.
agrandir la photo
Pour infecter leurs victimes, Equation Group/NSA a plusieurs moyens à disposition, à commencer par un ver informatique baptisé « Fanny ». Créé en 2008, celui-ci a utilisé deux failles zero-day qui ont été découvertes plus tard dans... Stuxnet, le célèbre logiciel de sabotage qui a permis à la NSA de saboter le programme nucléaire iranien. Pour se propager, Fanny infecte des clés USB en y créant un espace de stockage caché. Une technique similaire à BadUSB, la faille découverte par les chercheurs de SRLabs.
Les CD-Rom sont un autre canal d’infection. Les espions d’Equation Group ont la capacité d’intercepter les disques optiques envoyés par voie postale à leurs victimes. Kaspersky cite deux exemples. Dans un cas, la victime a commandé les transcriptions audio/vidéo d’une conférence professionnelle à Houston. A l’arrivée, un pack de CD-Rom vérolés. Dans un autre cas, le malware était logé sur un CD d’installation d’Oracle Database. Au total, Kaspersky a dénombré sept failles permettant d'infecter les postes ciblés, dont quatre étaient à l’époque des zero-day. L’éditeur mentionne également l’exploitation de failles inconnues à ce jour - probablement zero-day - dans Firefox 17 et le navigateur Tor Browser Bundle.    
Lire aussi:
La NSA et le GCHQ piratent les hackers pour voler les données qu'ils ont dérobées, le 05/02/2015

@01net sur
à lire aussi
SUR LES MÊMES THÈMES
Uhuru-AM, l’antivirus français pour Windows et Linux, voit enfin le jour
Dans Windows 10, fini les mots de passe, place à la biométrie !
Cyberbraquage : comment les pirates ont réussi à voler un milliard de dollars
Sécurité : Google rallonge (un peu) le délai avant de révéler une faille critique
Le casse du siècle: jusqu’à 1 milliard de dollars dérobé à des banques par des hackers
Facebook : une faille permettait d'effacer toutes les photos du réseau social
Orange et Domino's Pizza en tête du hit parade des vols de données en France
Sourcesure : la plate-forme francophone sécurisée pour les lanceurs d'alerte
Android : alerte au piratage sur les applis de rencontre
Le « kill switch » fait baisser les vols de smartphones
Microsoft comble une faille critique vieille de 15 ans
Memex, le moteur de recherche qui explore les recoins les plus sombres du net
Un opérateur français a laissé traîner 8 millions de données clients sur le web (MAJ)
Comment la police veut filtrer le web pour lutter contre la pédopornographie
Vidéo : il a piraté une voiture à distance et désactivé les freins
Un sénateur américain juge déplorable la sécurité des voitures connectées
Lyon 3 : une sécurité déplorable expose les données de milliers d'étudiants
Comment les éditeurs d'antivirus traquent les malwares au quotidien
Le chiffrement open source GnuPG, sauvé in extremis par les dons des internautes
La NSA et le GCHQ piratent les hackers pour voler les données qu'ils ont dérobées

Aucun commentaire: