Journal 10 millions ou vous ne reverrez jamais vos données !

Posté par (page perso) .
14
7
mai
2009
L'Etat de Virgine a un site web qui s’occupe de gérer les données médicales des patients. Ce "Virginia Department of Health Professions" liste toutes les prescriptions qui sont faites et enregistre les délivrances de médicaments par les pharmaciens.
Ce beau site web, visible ici, a été attaqué par un ou des pirates et la page d'accueil a été remplacée par le message suivant (traduction de votre serviteur):

"J'ai toute votre merde ! J'ai actuellement en *ma* possession les enregistrements de 8 257 378 patients pour un total de 35 548 087 prescriptions. J'ai fait un backup chiffré et j'ai supprimé l'original. Dommage pour la Virginie mais les sauvegardes semblent également avoir disparu. Uhoh :(
Pour dix millions de dollars je serai heureux de vous envoyer le mot de passe.
"

L'histoire est relatée sur le site Securityfocus et le spécialiste de sécurité Bruce Schneier en parle également sur son blog.
La page d'accueil du site du Department of Health Professions est revenue à la normale mais une déclaration de son directeur est disponible et indique qu'une enquête criminelle est en cours.

A ce stade il est difficile d'en savoir plus mais on peut tout de même se poser quelques questions.
- Les données des patients étaient-elles chiffrées ? Cela ne change rien pour la rançon demandée par le pirate car il a quand même les données et il ne les rendra que contre les 10 millions...mais au moins ces données ne pourront pas apparaitre en clair dans la nature.
- Comment est-il possible que le pirate ait pu effacer les backups ? Les sauvegardes auraient du être complètement distinctes de la base de données, sans aucun accès possible depuis le net. Une hypothèse plausible serait que le pirate ait eu un accès depuis des mois et qu'il ait corrompu les sauvegardes semaines après semaines avant de faire son coup.
- Quelle est l'origine de la faille de sécurité initiale ? Est-ce un vrai trou dans un logiciel ou l'OS ou bien un simple problème de mauvaise configuration ? Et quel était l'OS d'ailleurs ?
  • # Demande de rançon

    Posté par (page perso) . Évalué à 4.

    Je me demande comment peut être viable une demande de rançon de cet ordre.

    Rien que pour récupérer l'argent, il va pas se trimbaler avec ses sauvegardes et de quoi les effacer :/

    Envoyé depuis mon lapin.

    • [^] # Re: Demande de rançon

      Posté par (page perso) . Évalué à 6.

      De ce que j'ai cru comprendre, les données ont été sauvegardées en local et chiffrées.
      Il n'a donc qu'à envoyer la clef par email une fois le pognon reçu :)
      • [^] # Re: Demande de rançon

        Posté par . Évalué à 5.

        Euh, et pour 10 millions de dollars, la NSA peut pas utiliser ses supercalculateurs pour craquer ça en "brute force"?
        • [^] # Re: Demande de rançon

          Posté par (page perso) . Évalué à 10.

          "Chers utilisateurs,

          Demain, les services Google seront indisponibles entre 10h et 10h30 (central time). Veuillez nous excuser pour cette interruption momentanée de service"
        • [^] # Re: Demande de rançon

          Posté par . Évalué à 4.

          S'il a utilisé un algorithme correct, normalement non - enfin pas avec les connaissances officielles (recherche scientifique publique) et les moyens de calculs évalués par ces mêmes chercheurs.
          Après c'est sûr que s'il y a des failles ou si les chercheurs de la NSA ont des moyens de calcul de type inconnu du public spécialisé, tout devient possible... Mais faut aussi se rappeler que si la NSA avait diminué la taille de clef du DES de 64 bits à l'origine à 56 bits, c'est pas vraiment pour des raisons de sécurité, mais bien pour être capable de bruteforcer les clefs.
          Mais bon en plus vu l'atmosphère de secret qui entoure la NSA, ce serait pas le genre à montrer qu'ils savent casser ça ou bien n'en sont pas capable. Ça donnerait beaucoup d'informations sur leurs capacités, ce qu'ils sont certainement pas près de faire.
          • [^] # Re: Demande de rançon

            Posté par . Évalué à 2.

            Pour la petite histoire,

            La NSA a évalué la qualité de l'algo DES et a propos DEUX changements

            1 - changement du fonctionnement de l'algo
            2 - réduction de la taille de la clé : 112 à 56 bits

            Les modifications apportées ont réellement amélioré la sécurité de DES

            un peu de lecture : http://www.zdnet.fr/actualites/informatique/0,39040745,39177(...)
            • [^] # Re: Demande de rançon

              Posté par (page perso) . Évalué à 5.

              Les changement dans l'algo lui même (notament les tables S) ont éffectivement amélioré l'algo. Sans ces modifications l'algo était bien moins résistant aux attaques par cryptographie différentielle, une technique d'analyse qui ne sera publiquement découverte que plusieurs années plus tard. (mais que la NSA connaissait surement déjà à l'époque...)

              Par contre la réduction de la taille de la clé, elle, n'a certainement pas amélioré la sécurité offerte par DES... Bien au contraire.

              Pour plus d'info, voir l'excelent livre «Applied cryptographie» de Bruce Schneier.
            • [^] # Re: Demande de rançon

              Posté par (page perso) . Évalué à 1.

              > Les modifications apportées ont réellement amélioré la sécurité de DES

              On retrouve une situation analogue pour SHA-0 pour lequel la NSA a proposé une modification sans explication qui s'est avérée améliorer la sécurité de l'algorithme.

              http://en.wikipedia.org/wiki/SHA1#SHA-0_and_SHA-1

              pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

        • [^] # Re: Demande de rançon

          Posté par . Évalué à 10.

          Avec un peu de chance le pirate utilisait Debian et son prodigieux générateur de nombre aléatoires ... ;)

          BeOS le faisait il y a 15 ans !

  • # Il ne reste plus qu'a remetre une page

    Posté par (page perso) . Évalué à 2.

    avec une heure et un lieu de rendez-vous :p
  • # et quel était l'OS d'ailleurs ?

    Posté par . Évalué à 10.

    La machine actuellement en place (165.176.249.168) utilise Windows 2k avec IIS/5.0 comme serveur.

    ... oh eh ! demain c'est férié !
  • # Oracle?

    Posté par . Évalué à 9.

    D'après ce que j'ai pu en lire, oracle permet de chiffrer de manière transparente les données.
    De plus, cette méthode peut être mise en oeuvre 'on-the-fly'.

    Donc:
    le pirate entre. Il active le chiffrement.
    Les admins continuent de bosser, c'est transparent pour eux.
    Ils font leurs sauvegardes (mais elles sont chiffrées..)
    Le pirate attend.

    Le pirate se déconnecte et déconnecte tout le monde en activant le chiffrement avec demande de mot de passe.

    Il écrit une page web, heu, originale dont une copie est visible ici:
    http://riga.ax.lt/leak/virginia-ransom-2009.html

    Il attend.

    Néanmoins, j'ai vraiment du mal à comprendre ce qu'il peut attendre de cette 'attaque'. Comment gérer les 10 millions qu'il va recevoir? Comment va t'il pouvoir y avoir accès?
    • [^] # Re: Oracle?

      Posté par . Évalué à 1.

      comme le serveur est sous Windows, les données ont été restaurées le lendemain. C'est rassurant n'est-il pas...
    • [^] # Re: Oracle?

      Posté par . Évalué à 2.

      Un compte dans un paradis financier devrait suffire. Comme à la télé : Je demande confirmation d'un virement de 10 millions.

      Mais comme les États-Unis sont un peu ric-rac en ce moment, il paraîtrait que la NSA pourrait tenter de récupérer la sauvegarde.
      • [^] # Re: Oracle?

        Posté par (page perso) . Évalué à 10.

        Il parait justement que les paradis fiscaux (liste noire) n'existent plus depuis le G20. il n'y aurait plus que quelques purgatoires fiscaux(liste grise). Et heureusement, tout le reste du monde bancaire se trouve en enfer fiscal.
        • [^] # Re: Oracle?

          Posté par . Évalué à 4.

          Les paradis financiers assurent un très fort secret bancaire. Les paradis fiscaux, eux, ont une fiscalité très basse. Mais c'est vrai que les paradis fiscaux sont aussi paradis financiers et pourquoi pas aussi paradis judiciaire. Ouvrir un compte dans un pays qui combine les trois, c'est le minimum avant de faire ce genre coup.
    • [^] # Re: Oracle?

      Posté par (page perso) . Évalué à 4.

      Ah pas mal d'avoir retrouvé une copie de la page qu'il avait mise en place. Merci.
      Avec ça on a une information supplémentaire puisqu'il dit que les données des patients sont en clair et qu'il pourra les revendre à qui il veut.
      • [^] # Re: Oracle?

        Posté par . Évalué à 7.

        au moins le site n'a pas été réalisé avec Front Page...

        Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it

  • # Tour de passe passe.

    Posté par . Évalué à 3.

    Et si, en fait, il voulais juste faire un sale coup parce qu'il a eu un différent avec le possesseur du mail hackingforprofit at yahoo ?
  • # Est-ce vrai

    Posté par (page perso) . Évalué à 3.

    A-t'on seulement une preuve que ce n'est pas juste la page d'accueil qui a été changé juste pour «rire»?

    « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

    • [^] # Re: Est-ce vrai

      Posté par (page perso) . Évalué à 4.

      C'est ce que le FBI doit être en train de vérifier.
      • [^] # Re: Est-ce vrai

        Posté par . Évalué à 10.

        ils sont en train de contacter les services de police français pour connaître leurs méthodes légendaires, histoire de retrouver si un gars a envoyé un SMS à un copain en lui disant "Pour hacker le site du Department of Health Professions, t'as une solution ?"

        Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.