{"id":1512,"date":"2014-02-12T01:28:23","date_gmt":"2014-02-11T23:28:23","guid":{"rendered":"http:\/\/stephane.weblog.starend.org\/?p=1512"},"modified":"2014-02-12T01:28:23","modified_gmt":"2014-02-11T23:28:23","slug":"le-masque","status":"publish","type":"post","link":"http:\/\/stephane.weblog.starend.org\/?p=1512","title":{"rendered":"Le masque"},"content":{"rendered":"

Aujourd’hui, l’actualit\u00e9 informatique est secou\u00e9e par la r\u00e9v\u00e9lation du logiciel d’espionnage Careto<\/a>. Cette r\u00e9v\u00e9lation est \u00e0 mettre au cr\u00e9dit de la soci\u00e9t\u00e9 Kaspersky<\/a> qui a mis au jour une bonne partie de l’ensemble du r\u00e9seau de victimes et de serveurs de C&C.<\/p>\n

Il est encore trop t\u00f4t pour en tirer des enseignements. Mais d\u00e9j\u00e0 il y a plusieurs remarques \u00e0 faire.<\/p>\n

On ne sait pas (officiellement) qui est le commanditaire de ce syst\u00e8me perfectionn\u00e9 de piratage qui prend pour cible des gouvernements, des missions diplomatiques, des activistes et de grandes soci\u00e9t\u00e9s. Les diff\u00e9rents graphes pr\u00e9sents dans l’\u00e9tude nous renseigne un peu sur le contexte des cibles mais pas sur les vraies motivations des pirates. Tout au plus on insiste fortement sur le caract\u00e8re tr\u00e8s organis\u00e9 de ceux-ci, ce qui laisse penser plut\u00f4t \u00e0 une organisation gouvernementale. Je pense que la diffusion des vrais adresses IP derri\u00e8res les statistiques nous en apprendraient beaucoup plus sur l’identit\u00e9 r\u00e9elle ou la parent\u00e9 des cibles, et donc des motivations des attaquants. La r\u00e9partition des cibles dans quelques pays du monde donne un centre de gravit\u00e9 qui ne semble li\u00e9 ni \u00e0 la Russie, ni \u00e0 la Chine et ni au USA. Mais \u00e7a n’est pas une preuve d’absence et le reste n’est que sp\u00e9culation.<\/p>\n

Si le programme malveillant ne s’\u00e9tait pas attaqu\u00e9 \u00e0 une vuln\u00e9rabilit\u00e9 ancienne est depuis longtemps connue d’un des produits de la soci\u00e9t\u00e9 Kaspersky<\/em>, celle-ci n’aurait pas fait l’effort d’analyser le code du programme et n’aurait peut-\u00eatre pas d\u00e9couvert l’ampleur du probl\u00e8me. Donc il y en a s\u00fcrement d’autres class\u00e9s comme virus mais pour lesquels ont n’a pas relev\u00e9 la complexit\u00e9 et la gravit\u00e9.<\/p>\n

Il y a encore une fois l’utilisation de vuln\u00e9rabilit\u00e9s 0-days. La victime est tr\u00e8s classiquement corrompue par un lien dans un email. Les serveurs permettant la compromission du poste g\u00e8rent de multiples syst\u00e8mes d’exploitations, y compris \u00e0 priori des smartphones et tablettes. Le syst\u00e8me de maintient en place du logiciel malveillant (APT) est tr\u00e8s \u00e9volu\u00e9. En 7 ans, aucun flux r\u00e9seau anormal n’a attir\u00e9 l’attention lors de l’exfiltration de documents.<\/p>\n

Enfin, il faut bien se rendre compte que ce n’est que le sommet de l’iceberg qui ressort. Ce r\u00e9seau pirate est en fonctionnement depuis 7 ans et a semble-t-il chang\u00e9 de technologie en cours de route. On a eu Stuxnet, Flame, Duqu et maintenant on a aussi Careto. On a eu les am\u00e9ricains, les isra\u00e9liens, les chinois et maintenant des hispanophones…<\/p>\n

Document original : http:\/\/www.securelist.com\/en\/downloads\/vlpdfs\/unveilingthemask_v1.0.pdf<\/a>Copie locale : careta_unveilingthemask_v1.0<\/a><\/p>\n

\"careto_04s\"<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Aujourd’hui, l’actualit\u00e9 informatique est secou\u00e9e par la r\u00e9v\u00e9lation du logiciel d’espionnage Careto. Cette r\u00e9v\u00e9lation est \u00e0 mettre au cr\u00e9dit de la soci\u00e9t\u00e9 Kaspersky qui a mis au jour une bonne partie de l’ensemble du r\u00e9seau de victimes et de serveurs de C&C. Il est encore trop t\u00f4t pour en tirer des enseignements. Mais d\u00e9j\u00e0 il … Continuer la lecture de Le masque<\/span> →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[2,10],"tags":[107,380],"_links":{"self":[{"href":"http:\/\/stephane.weblog.starend.org\/index.php?rest_route=\/wp\/v2\/posts\/1512"}],"collection":[{"href":"http:\/\/stephane.weblog.starend.org\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/stephane.weblog.starend.org\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/stephane.weblog.starend.org\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"http:\/\/stephane.weblog.starend.org\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1512"}],"version-history":[{"count":0,"href":"http:\/\/stephane.weblog.starend.org\/index.php?rest_route=\/wp\/v2\/posts\/1512\/revisions"}],"wp:attachment":[{"href":"http:\/\/stephane.weblog.starend.org\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1512"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/stephane.weblog.starend.org\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1512"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/stephane.weblog.starend.org\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1512"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}