Journal Un si joli nom

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
25
25
nov.
2014

Regin a fait son apparition sur les médias internat hier.
Il s'agit d'un cheval de Troyes particulièrement évolué dont Symantec et Kasperski s'entendent pour dire qu'il ne peut être que d'origine étatique.

Le premier article qui m'est venu sous les yeux était publié sur le site lemonde.fr : http://www.lemonde.fr/pixels/article/2014/11/24/le-virus-regin-arme-de-surveillance-de-masse-developpee-par-un-etat_4528195_4408996.html

Il semble que ce logiciel ne soit pas franchement récent mais qu'il ait réussi pendant plus de six ans à rester particulièrement discret. http://www.tomshardware.fr/articles/regin-malware,1-54923.html

Son mode d'installation est décrit ici: http://www.futura-sciences.com/magazines/high-tech/infos/actu/d/securite-regin-logiciel-espion-redoutable-vient-etre-decouvert-56168/ , il s'agit apparement d'une pénétration par étape, chaque élément appelant une couche supplémentaire.

Les cibles semblent se situer en Russie, en orient, mais aussi au sein de l'Union Européenne et l es USA et la perfides Albion seraient soupçonnés d'être à l'origine de ce virus.

Le fait qu'un nouveau virus attaque MS Windows n'aurait peut-être pas sa place ici si une dépêche n'avait pas été publiée sur notre site le 22 novembre faisant de la publicité pour un logiciel proposé par Amnesty International (Detekt) décrit ainsi: Ce logiciel libre (GPL v3) a pour but de détecter des logiciels espions (spywares) sur un système d’exploitation Windows.

J'avais indiqué qu'il me paraissait délirant d'utiliser un tel logiciel compte tenu de la fausse impression de sécurité qu'il pourrait induire pour des personnes dont la vie ou la liberté serait menacées. Je regrette de voir l'actualité me donner ainsi raison.

  • # paramétrage du firewall

    Posté par  (site web personnel) . Évalué à 3.

    Les graphes sur l'installation semble au moins indiquer que la bonne configuration d'un firewall consiste à bloquer par défaut non seulement toutes les connexions entrantes non sûres — ce qui est évident — mais aussi toutes les connexions sortantes. De telles configurations permettent vraisemblablement de compliquer un peu la vie du malware.

    « IRAFURORBREVISESTANIMUMREGEQUINISIPARETIMPERAT » — Odes — Horace

    • [^] # Re: paramétrage du firewall

      Posté par  (site web personnel) . Évalué à 4.

      Tu veux bloquer le port 80 en sorti ?

      "La première sécurité est la liberté"

    • [^] # Re: paramétrage du firewall

      Posté par  . Évalué à 8.

      oui enfin tu peux décider de couper le net aussi hein. Si le virus est malin il se connecte sur le port 80 ou 443 d'un serveur dédié, ou un port 6665-9, ou un port msn, ou encore skype.

      Tu peux aussi faire un blocage géographique en te disant que les serveurs russes et chinois t'en as pas l'usage; ça n'empêchera pas ces derniers de louer des serveurs en Europe ou aux US pour relayer les commandes.

      Techniquement si je veux être discret j'attends que le pc navigue sur internet et je mêle mes communications à celles du logiciel de navigation; ce serait un peu balo d'être dans la place et hurler sur les toits ouhou je suis la je communique sur le port 666 :) (sauf pour les robots spammer bien entendu ;) )

      Il ne faut pas décorner les boeufs avant d'avoir semé le vent

      • [^] # Re: paramétrage du firewall

        Posté par  . Évalué à 1.

        sauf que sous windows, il est très facile de trouver des firewalls applicatifs (en gros, des règles proxys par application ou groupe d'application), à ma connaissance, sous linux, c'est quasiment impossible, c'est dommage d'abord.

        • [^] # Re: paramétrage du firewall

          Posté par  . Évalué à 4.

          SE Linux réponds à ce besoin, ensuite tu autorises généralement firefox, suffit de rajouter ou modifier un greffon pour communiquer avec; typiquement adblock, greasmonkey, askbar…

          Faut pas croire que le FW applicatif te protégera forcément; de plus si le virus s'est installé à l'insu de ton plein gré… y a des chances qu'il se soit donné les droits.

          Il ne faut pas décorner les boeufs avant d'avoir semé le vent

    • [^] # Re: paramétrage du firewall

      Posté par  (site web personnel) . Évalué à 4.

      Les graphes sur l'installation semble au moins indiquer que la bonne configuration d'un firewall consiste à bloquer par défaut non seulement toutes les connexions entrantes non sûres — ce qui est évident — mais aussi toutes les connexions sortantes. De telles configurations permettent vraisemblablement de compliquer un peu la vie du malware.

      C'est un principe assez général de sécurité, il me semble, je ne suis pas expert, mais en fait je n'ai pas vu d'information précise sur le mode de communication de ce virus et particulièrement il semble que l'utilisation du chiffrement à tous les étages interdit, pour le moment de savoir ce que fait cette sale bête.
      Quand à bloquer le réseau, autant utiliser un papier et un crayon plutôt que d'allumer bêtement un ordinateur (qui éteint est en principe assez sécurisé).

      Mais le problème est d'un autre ordre: que les US espionnent la Russie, c'est dans l'ordre des choses, mais que l'UE se trouve classée dans la même catégorie ne gêne d'avantage, en fin que des individus finissent par être victime de ce type de procédés et ce n'est qu'une question de degrés me fait littéralement hurler.

      • [^] # Re: paramétrage du firewall

        Posté par  . Évalué à 10.

        que les US espionnent la Russie, c'est dans l'ordre des choses, mais que l'UE se trouve classée dans la même catégorie ne gêne d'avantage

        Tu crois vraiment que les USA sont les alliés de qui que ce soit sur terre ?
        C'est une nation qui est en guerre totale contre le reste du monde. Militairement et économiquement au minimum.
        Guerre totale mais rationnelle, donc ils n'attaquent pas frontalement le monde entier d'un coup.

        Par contre il y a effectivement des pays/gens qui se pensent alliés avec les USA.

        • [^] # Re: paramétrage du firewall

          Posté par  . Évalué à 1.

        • [^] # Re: paramétrage du firewall

          Posté par  (site web personnel) . Évalué à 10.

          Il me semble que cette agressivité ne soit pas uniquement tournée contre l’extérieur, et virerait même parfois à la maladie auto-immune. Elle ne serait d'ailleurs pas spécifique aux USA. Toutes les élites n'auraient-elles pas cette tendance ? Qui s'exprimerait de manière plus ou moins virulente en fonction des conditions externes ?

          « IRAFURORBREVISESTANIMUMREGEQUINISIPARETIMPERAT » — Odes — Horace

        • [^] # Re: paramétrage du firewall

          Posté par  . Évalué à 7.

          Tu crois vraiment que les USA sont les alliés de qui que ce soit sur terre ?
          C'est une nation qui est en guerre totale contre le reste du monde

          Tu ne peux pas confondre comme ça les USA en tant que nation, que peuple, c'est à dire les américains, et l'administration américaine renforcée du complexe militaro-industriel — disons "le pouvoir". Maintenant que "le pouvoir" soit en guerre avec le reste du monde ça n'est pas nouveau et guère surprenant, si on considère que la rivalité économique oppose tout le monde contre tout le monde depuis quelques siècles.

          "La liberté est à l'homme ce que les ailes sont à l'oiseau" Jean-Pierre Rosnay

          • [^] # Re: paramétrage du firewall

            Posté par  (site web personnel) . Évalué à 1.

            « La liberté est à l'homme ce que les ailes sont à l'oiseau »

            Si c'était vrai, le problème des vols serait quasiment résolu !

            Détournement de propos réussi ? Peut-être s'agit-il d'une méprise ; mais le message auquel vous répondez ne semble pas particulièrement incliner à la confusion entre la puissance USA et la population du territoire sous domination exclusive de cette dernière.

            « IRAFURORBREVISESTANIMUMREGEQUINISIPARETIMPERAT » — Odes — Horace

            • [^] # Re: paramétrage du firewall

              Posté par  . Évalué à 2.

              le message auquel vous répondez ne semble pas particulièrement incliner à la confusion entre la puissance USA et la population du territoire

              Eh bien si, relisez la définition de "Nation" (terme utilisé dans le commentaire auquel je répondais). En voici quelques unes piochées au hasard de Google :

              • "Une nation est une communauté humaine … "
              • Ensemble de personnes vivant …
              • "un groupe humain constituant une communauté …"

              "La liberté est à l'homme ce que les ailes sont à l'oiseau" Jean-Pierre Rosnay

          • [^] # Re: paramétrage du firewall

            Posté par  . Évalué à 3.

            Tu ne peux pas confondre comme ça les USA en tant que nation, que peuple, c'est à dire les américains, et l'administration américaine renforcée du complexe militaro-industriel — disons "le pouvoir".

            Tu veux dire qu'il ne faut pas confondre la nation et l'État (US dans ce cas), c'est bien vrai.

            Concernant l'espionnage par les américains (ou les autres), rappelons cette phrase de Henry John Temple, (L'Angleterre) [Un État] n'a pas d'amis ou d'ennemis (permanents), elle n'a que des intérêts (permanents).

        • [^] # Commentaire supprimé

          Posté par  . Évalué à 4. Dernière modification le 25 novembre 2014 à 20:45.

          Ce commentaire a été supprimé par l’équipe de modération.

          • [^] # Re: paramétrage du firewall

            Posté par  . Évalué à 2.

            Guerre "totale" est peut-être abusif, mais en guerre économique contre le reste du monde, c'est clair.

        • [^] # Commentaire supprimé

          Posté par  . Évalué à -3.

          Ce commentaire a été supprimé par l’équipe de modération.

          • [^] # Re: paramétrage du firewall

            Posté par  . Évalué à 5.

            Ouh là là. Du complot, du Mossad, de la CIA, du Kennedy, des israéliens, de l'adn qui disparait, du pentagone, des manipulations. N'en jetez plus !

            Et puis le reste, 'un peu plus' entre les lignes. Beuark.

            Pour un sextumvirat ! Zenitram, Tanguy Ortolo, Maclag, xaccrocheur, arnaudus et alenvers présidents !

            • [^] # Re: paramétrage du firewall

              Posté par  . Évalué à 4.

              Je suis pas sûr de bien te comprendre, mais j'ai envie de te répondre cela,

              “We’ll know our disinformation program is complete when everything the American public believes is false.”
              – William Casey, CIA Director (from first staff meeting, 1981)

              • [^] # Re: paramétrage du firewall

                Posté par  . Évalué à 1.

                Je suis pas sûr de bien te comprendre

                J'ai d'abord évoqué le truc que certains appellent le complot judéo-maçonnique.
                J'ai ensuite évoqué l'antisémitisme et/ou l'antisionisme de l'auteur du livre cité par l'OP et l'OP lui-même.
                J'ai enfin conclu par une onomatopée, pas trop éloignée d'un borborygme, afin de signifier mon dégoût.

                Pour un sextumvirat ! Zenitram, Tanguy Ortolo, Maclag, xaccrocheur, arnaudus et alenvers présidents !

                • [^] # Commentaire supprimé

                  Posté par  . Évalué à 0.

                  Ce commentaire a été supprimé par l’équipe de modération.

  • # Troyes ou Troie

    Posté par  (site web personnel) . Évalué à 10.

    Cheval de Troyes ??
    Pour moi l'histoire se passe en Grèce, à Troie, et pas en France :)
    Ça c'était pour la forme.

    Sur le fond, est-ce que le logiciel Detekt est capable de détecter ce virus ? As-t-on une source nous indiquant cela ? Parce que j'ai l'impression que tu supposes que Detekt permet de le voir, mais rien ne me dit que c'est réellement le cas.

    • [^] # Re: Troyes ou Troie

      Posté par  (site web personnel) . Évalué à 3.

      Je ne pense pas qu'il le détecte et c'est justement pour cela que l'utilisation de ce logiciel est au mieux inutile au pire franchement néfaste.

      • [^] # Re: Troyes ou Troie

        Posté par  . Évalué à 8.

        je ne suis pas d'accord.
        Je pense que l'utilisation à grade échelle de ce genre de logiciel peut contribuer à éradiquer les "vieux" logiciels espions.
        Du coup, les nouveaux doivent être plus utilisés pour avoir la même efficacité, et cela peut avoir 2 conséquences :

        1) ils deviennent plus répendus, donc il y a plus de chance qu'ils soient détectés plus tôt et du coup éradiqués à leur tour.

        2) pour éviter le point 1) les agences d'espionnage peuvent décider de n'utiliser leurs techniques et logiciels les plus récents et efficaces que pour de l'espionnage ciblé et donc pas de masse.

        Donc je pense que l'on peut y gagner un peu.

        • [^] # Re: Troyes ou Troie

          Posté par  . Évalué à 3.

          Ou 3) les deux à la fois avec deux projets ou plus différents.

          • [^] # Re: Troyes ou Troie

            Posté par  . Évalué à 2.

            je n'ai pas compris ce que tu voulais dire par cela.

            • [^] # Re: Troyes ou Troie

              Posté par  . Évalué à 3.

              Je voulais dire que les agences ou tout groupes soit disant bien attentionnée ou pas peuvent créer deux programmes d'espionnage différents. L'un destiné a être répandu et qui peut très bien se faire bloquer et un autre destiné à quelques cibles précises. Les deux ayants bien sur une signature différente.

              • [^] # Re: Troyes ou Troie

                Posté par  . Évalué à 2.

                ça ne change en rien ce que j'ai écrit plus haut.

                le programme répandu est donc bien répandu, donc il laisse forcément plus de trace sur l'écosystème et à plus de chance de se faire repérer et donc éliminer par le(s) logiciel(s) de protection.
                Celui qui n'est pas répandu est utilisé pour de l'espionnage ciblé, et ça, ça ne me pose pas de problèmes particuliers.

    • [^] # Re: Troyes ou Troie

      Posté par  . Évalué à 5.

      Il est probable que Troie soit en Turquie.

  • # Fausse impression de sécurité ?

    Posté par  . Évalué à 10. Dernière modification le 25 novembre 2014 à 11:35.

    J'avais indiqué qu'il me paraissait délirant d'utiliser un tel logiciel compte tenu de la fausse impression de sécurité qu'il pourrait induire pour des personnes dont la vie ou la liberté serait menacées. Je regrette de voir l'actualité me donner ainsi raison.

    Merci de nous indiquer ce qu’est une vraie impression de sécurité.

    Croire qu’un État capable de concevoir un tel outil va se limiter à une seule plateforme (pourquoi se contenteraient-ils ça, sachant qu’on estime la part des serveurs Linux très majoritaire ?), c’est là, à mon avis, une impression de sécurité dont on devrait se déprendre un peu.

    Ce que je trouve vraiment inquiétant, c’est qu’il aura fallu plus de 6 ans pour découvrir ce malware, alors que de nombreux éditeurs de solution de sécurité s’acharnent à découvrir sur Windows toutes les saloperies que les pirates peuvent inventer. Et même une fois la saloperie découverte, ils ont du mal à savoir ce qu’elle fait. Voilà qui n’est guère rassurant.

    Alors quelle sécurité peut-on attendre sur une plateforme où l’on fait moins de recherche des saloperies de ce genre, parce qu’on sait après tout avec une belle certitude que les serveurs Linux, ça n’intéresse bien sûr pas les pirates et qu’il y a déjà trop de gens pour relire le code… …

    À moins qu’on se trompe lourdement…

    Les fausses impressions de sécurité, ce n’est pas juste chez les autres. Faire du Windows-bashing, c’est toujours marrant, mais bon, ça n’a jamais renforcé d’un seul iota la sécurité et la qualité des autres solutions.

    • [^] # Re: Fausse impression de sécurité ?

      Posté par  (site web personnel) . Évalué à 4.

      Je ne fais pas du Windows bashing, je n'ai pas parlé de système pourri, bourré de backdoor volontairement incluses par la NSA et la CIA, je reproduis une information et je critique un logiciel promus par une ONG publié sous licence GPL parce que je pense que son utilisation ne répond pas à la gravité de ses besoins.

      • [^] # Re: Fausse impression de sécurité ?

        Posté par  . Évalué à 5.

        Je pense que son commentaire était une réponse à ta remarque concernant Amnesty et Detekt.
        C'est clair que Detekt n'est pas une garantie absolue, mais que proposes-tu? Ne rien utiliser puisque de toutes façons c'est pas fiable à 100%? Où alors, les activistes des droits de l'homme que défend Amnesty feraient mieux de ne plus utiliser de moyens de communications du tout (et donc ne plus être activistes)?
        Il me semble que soit Detekt est le moins mauvais outil pour détecter des spywares, et dans ce cas, merci Amnesty de contribuer à l'information sur ce sujet, soit il n'est pas le moins mauvais et dans ce cas, on devrait suggérer à Amnesty un logiciel qui fonctionne mieux.

        • [^] # Re: Fausse impression de sécurité ?

          Posté par  (site web personnel) . Évalué à -2.

          En deux mots: Tor Tails

        • [^] # Re: Fausse impression de sécurité ?

          Posté par  . Évalué à 10. Dernière modification le 25 novembre 2014 à 13:06.

          Ma remarque sur le Windows-bashing s’adressait en fait un peu à tous ceux qui dénigrent un OS et les tentatives de le sécuriser comme vaines, pas spécifiquement à l’auteur du journal. Cette attitude me paraît idiote quand on apprend depuis quelque temps tous les moyens mis en œuvre pour faire de l’espionnage. Ce n’est pas une énième guéguerre Windows versus Linux pour savoir qui est plus sécurisé. Le problème concerne tout le monde.

          La NSA et Regin me poussent à penser qu’aucun OS n’est à l’abri, vraiment. Six ans pour détecter un malware ? C’est tout simplement énorme. Les pirates ne se sont certainement pas endormis depuis lors. Et pourquoi se priverait-on de développer ces malwares pour Linux, Mac, BSD, etc. ? Se marrer sur les problèmes de l’OS honni quand on n’a aucune garantie que les autres OS sont dépourvus de ce genre d’attaques, c’est de l’auto-satisfaction condescendante.

          Quant à Tails, ça ne répond qu’à un besoin bien spécifique. Personne n’utilise ça en entreprise, encore moins comme serveur. Je doute aussi que ça puisse satisfaire la plupart des particuliers, ne serait-ce que tous les gamers et autres professionnels utilisant des softs n’existant pas sur Linux.
          Donc, oui, il faut sécuriser Windows autant que possible, même si on sait parfaitement que tous les outils de sécurité sont imparfaits.

    • [^] # Re: Fausse impression de sécurité ?

      Posté par  . Évalué à 7.

      de toute façon faudra bien se rendre à l'évidence que la sécurité est un problème caduque par design. C'est comme la lutte contre la délinquance par l'emploi de forces armées, au mieux cela réduit l'ampleur du problème. Dans 100% des cas cela produit des criminels toujours plus adroit.

    • [^] # Re: Fausse impression de sécurité ?

      Posté par  . Évalué à 10.

      en tous cas c'est sur que ce n'est pas la France ! notre gouvernement n'arrive déjà pas à faire un logiciel de paye commun au armées. Et moulte autre exemples …

      • [^] # Re: Fausse impression de sécurité ?

        Posté par  . Évalué à 8.

        Oui mias ne sous estime pas la volonte et la motivation d'un gouvernement dans le fait de creer (et de reussir) des armes et technologie pour espionner. Un truc basique comme organiser une election sera du domaine des travaux d'hercule par contre organiser l'espionnage de tout les echanges passant par internet sera "piece of cake" (toute ressemblances avec un etat du sud des etats-unis et une de ses entites ne sont pas totalement fortuites :) ).

    • [^] # Re: Fausse impression de sécurité ?

      Posté par  . Évalué à 3.

      (pourquoi se contenteraient-ils ça, sachant qu’on estime la part des serveurs Linux très majoritaire ?)

      bah on s'en moque, on va tous passer sur Haiku

      « Le pouvoir des Tripodes dépendait de la résignation des hommes à l'esclavage. » -- John Christopher

    • [^] # Re: Fausse impression de sécurité ?

      Posté par  (Mastodon) . Évalué à 5.

      Ce que je trouve vraiment inquiétant, c’est qu’il aura fallu plus de 6 ans pour découvrir ce malware, alors que de nombreux éditeurs de solution de sécurité s’acharnent à découvrir sur Windows toutes les saloperies que les pirates peuvent inventer.

      J'y mettrai un bémol. Il s'agit ici d'un cheval de troie et non d'un virus/ver. Il était donc à priori installé sur des cibles spécifiques. Il avait donc bien moins de chance d'être repéré et analysé par des éditeurs d'antivirus.

    • [^] # Re: Fausse impression de sécurité ?

      Posté par  (site web personnel) . Évalué à 2.

      Merci de nous indiquer ce qu’est une vraie impression de sécurité.

      Ben tu as raison, une impression de sécurité est forcément fausse: soit tu as une certitude sur la sécurité de ton logiciel (genre preuve mathématique de son efficacité), soit tu dois te considérer, sinon en milieu hostile, du moins exposé.

      C'est aussi un principe assez classique en matière de sécurité.

      Un autre principe, de bon sens, est de ne pas investir dans la sécurité plus que la valeur des informations que tu protèges et j'ai la faiblesse de penser que la valeur des infos d'une organisation comme Amnesty International est supérieur, sur un plan moral, a beaucoup de données transitant sur Internet.

  • # Il est connu depuis 6 ans.

    Posté par  . Évalué à 7. Dernière modification le 25 novembre 2014 à 13:42.

    Juste pour dire que le virus a été repéré il y a 6 ans, c'est dit sur un de tes liens. En 2011, il a disparu, et est revenu l'an passé.

    De plus, un chercheur en cryptographie (attaqué par Regin) l'avait remarqué l'an dernier.

  • # Source

    Posté par  (site web personnel, Mastodon) . Évalué à 10.

    Sinon c'est pas mal de citer la source directe plutôt que des articles de médias qui ont lu en travers :

    Le papier de Symantec :
    http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/regin-analysis.pdf

    Le papier de Kaspersky :
    https://securelist.com/files/2014/11/Kaspersky_Lab_whitepaper_Regin_platform_eng.pdf

    Comme on peut le voir les deux éditeurs se sont accordés sur la date de divulgation des infos. Certaines traces du malware remontent à 2003.

    On peut voir dans le résumé de Kaspersky ici [1] que Regin est plus qu'un malware classique, et qu'il sait notamment s'interfacer avec les stations GSM pour intercepter et enregistrer les conversations et logs. Ainsi on comprend mieux pourquoi les télécoms représentent 28% des infectés.

    [1] https://securelist.com/blog/research/67741/regin-nation-state-ownage-of-gsm-networks/

    « Je vois bien à quels excès peut conduire une démocratie d'opinion débridée, je le vis tous les jours. » (Nicolas Sarkozy)

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.