156 réflexions sur « Vidéo – Les États-Unis ont perdu »

  1. La cyber-attaque a été déjouée sur un point au moins, connu comme redoutablement difficile
    (roulement de tambours Trtrt trt rt rtr tr tr tr t):
    Les logiciels électoraux de la présidentielle américaine !
    Ceux-ci sont tellement fragmentés entre états (voire entre comtés), que Soulardwinds456 n’a rien pu faire.
    Les élections se sont bien passées !

    L’informatique de pointe va devoir se replonger, néanmoins, dans son catalogue des bonnes pratiques.
    De fait, il n’y a aucune chance qu’un certificat donné à un instant T et validé pour une MàJ sur plusieurs années soit sécurisé dans tous les cas de figure. Même quantique.

    La seule logique qui me semble pouvoir marcher est celle d’un “contact social permanent” entre serveur et lieu d’autorité (la “compagnie” censée certifier son logiciel), la bonne analogie étant quasiment celle de l’épouillage entre singes: des contacts permanents, mais sur des choses minimes (les poux dans la tête) assurent de savoir, par de minimes idiosyncrasies, à qui on a affaire.

    Aucune faille ne peut durer des années dans ces conditions. Tout système qui a un hiatus (:;) dans ses échelles de temps s’expose à une brèche de sécurité (par le contrôleur du contrôleur, etc.) entre temps court (exécution) et temps long (patch, feu les “service pack” de XP qui ont disparu, etc.).

    C’est avec une optique trop généralisatrice, un problème de stock en informatique dual de celui du stock matériel : le second dont le néolithique nous a chargé nous fait courir “à flux tendu” pour le garder au minimum et augmenter le profit capitalistique ; le premier ne coute lui presque rien à stocker, donne l’envie de faire du “flux lâche” (…tous les X ans je rebooterai le grand tout, j’attends W12…), ce qui implique un fonctionnement haché et vulnérable aux intrusions.

    3
      1. Ah, la puce qui a lavé le cerveau de ma génération, c’était “Thomson.. la-puce!” (du temps que les machines à laver portaient cestuy nom).

    1. L’épouillage façon singe, c’est déjà ce qu’essaie de faire la supervision en général, ce que rappellent notamment les exigences listées récemment ici par l’ANSSI ; lire notamment page 10 :

      https://www.ssi.gouv.fr/uploads/2020/12/anssi-guide-doctrine_de_detection_pour_les_systemes_industriels.pdf#page10

      Le problème n’est donc pas là timiota… Le problème est ailleurs et demeure hélas ! inchangé depuis plus de 15 ans !

      J’en suis le premier navré ; ce n’est pas faute d’avoir prévenu… À suivre…

  2. Le scénario en fait s’accélère :

    https://www.lemonde.fr/international/article/2020/12/18/etats-unis-l-equipe-de-joe-biden-s-inquiete-de-l-arret-des-briefings-de-la-part-du-pentagone_6063905_3210.html

    L’équipe du président élu, le gouvernement de transition en quelque sorte n’a plus accès aux données du Pentagone. En pleine cyber-attaque !

    Et c’est sur le file que papy Joe se fait doubler par Satanax Donald… ?

    En plus de ne pas être destitué, il va conserver le pouvoir et renforcer sa main mise. Nous venons de basculer dans un monde parallèle une histoire alternative ! Excellent !

    1. Parlez pour vous , moi l’ancien monde me convenait mieux , Biden va jouer son va tout il se fait vacciner lundi …

      2
  3. Si le logiciel peut être l’occasion d’en finir avec la guerre industrielle ( en million de tonnes de bombes, millions de tonnes de matériel divers, flottant, volant, roulant etc ) bref si ce genre d’outil peut être le nouveau ring des rapports de forces internationaux, envoyant le porte avion dans les musées à côté du diplodocus…c’est peut-être pas un mal ?

    1
  4. Les suisses attendent d’en savoir plus .
    https://www.letemps.ch/economie/une-cyberattaque-mondiale-inedite-tourne-carnage

    Les extraterrestres aussi …
    « Pour « renforcer les chances de survie de l’humanité », certains chercheurs, comme d’autres avant eux, appellent à la prudence dans l’envoi de signaux dans l’espace renseignant sur la position de la Terre. Ils mettent en particulier en garde contre la diffusion d’informations sur notre constitution biologique, qui pourraient être utilisées pour fabriquer des armes ciblant mieux les humains. Certains estiment même que les contacts avec les extraterrestres devraient être limités aux discours mathématiques, jusqu’à ce que nous ayons une meilleure idée du type d’intelligence en question.Nous ne devrions pas non plus donner l’impression d’être une civilisation rapidement expansive ni tendant à détruire les écosystèmes, ce qui pourrait nous faire passer pour « nuisibles » sous le prisme d’une éthique extraterrestre.« 

    https://fr.wikipedia.org/wiki/Vie_extraterrestre

    2
    1. Je pense qu’il s’agit de l’attitude la plus sage. Il paraît désormais évident que la vie existe ailleurs.
      La réponse au paradoxe de Fermi peut simplement être “on a eu du bol jusque là”.
      Une vie intelligente avec 10 000 ans ou même 1 million d’année d’avance, pourrait très bien vouloir “prendre le contrôle en douceur”.
      On voit bien ce que les humains ont fait des cultures moins développées technologiquement.
      Sans aller jusqu’à l’éradication physique (nous sommes une bonne main d’oeuvre), une prise de contrôle “en nous sauvant de nous-même” moyennant quelques colifichets technologiques (énergie propre et cancer, par exemple) forcerait l’admiration et le respect, la peur aussi.
      Que voudraient-ils en échange ? notre système solaire, des ressources minérales, biologiques ou autre ? Quelque chose d’autre qu’on ne peut comprendre encore ?
      Un contrat en bonne et due forme nous plongerait dans la mise sous tutelle pour des…. millénaires.
      La honte de la galaxie !!!

      1
      1. Quand je pense que certains pensent que Star Wars est une film de science de fiction alors que c’est un vieux documentaire historique Klingon, plus récent eux, et qu’ils ont filé à G.Lucas pour habituer les gens d’ici petit à petit.

      2. @ Olivier P Que voudraient-ils en échange ?
        Notre biomasse, jamais la biomasse humaine n’a été aussi élevée par rapport à la biomasse des animaux sauvages.
        Grace à l’explosion démograpique apportée par la médecine et la colonisation.
        Avec la prohibition de la consommation de viande, la part de la biomasse humaine sur la biomasse animale va devenir majoritaire, et la production va encore s’accroître.
        Viendra bientôt le temps de la récolte.
        La Covid va rendre la ressource plus tendre.
        Les prélèvements qualité sont encourageants (MH370).

        Ou alors un travail de terraformation est nécessaire et préalable à toute invasion et utilisation, pour rendre l’atmosphère et le climat compatible, et nécessite de rendre à l’atmosphère la totalité du CO2 enfoui lors de processus naturels biologiques antérieurs dans les combustibles fossiles (400 ans de charbon).

        Certains promoteurs du GIEC, illuminés par cette perspective, mais ne pouvant en communiquer la motivation s’efforcent au nom de la supériorité humaine de ralentir cet aboutissement, les climatosceptiques étant les idiots utiles de cette transformation.

    2. Cool, si Biden se fait vacciner en public comme M. Pence, c’est bien ! Cet homme là est responsable. Enfin quelqu’un de sérieux qui donne l’exemple à ses concitoyens. J’espère que toutes les caméras du monde et à l’international, zoomeront en choeur lors de cet événènement crucial pour l’avenir de l’humanité . Il ne faudra pas manquer les gros plans sur le flacon de la souche et la marque du fournisseur au moment où l’aiguille va aspirer la potion magique du flacon ET au moment crucial de l’injection dans le derme du bras du futur POTUS. La postérité immortalisera cet acte solennel et important pour la survie de la galaxie, n’en doutons pas !

      L’actuel POTUS, Donald Trump himself, n’envisage pas, lui, à priori, la vaccination dans l’immédiat. Il faut dire que Donald est bien connu pour être un gredin et un irresponsable notoire et un va-t’en-guerre contre toute la planète et les moultiples galaxies peuplant l’univers. Même XI n’est pas content. C’est dire. Donc, rien d’étonnant. Je dois dire qu’étant moi même totalement irresponsable ET une véritable complotiste intergalactique; à l’instar de Donald, je n’en veux pas. C’est pénible, ça m’oblige à sortir ma fourche, mon magnum, mes scies égoïnes, mon katana, mes bandanas collector et mes lances en fer forgé de collection de la dernière embardée dans le Mordor, les loukoums à la cigüe, mes slips kangourous offerts par Dumbledore, mon livre des poisons, et mon marcel en coton bio tout doux, mon chacal empaillé et mes pièges à écrevisse…etc, du placard où ils dorment si bien.

      Quant à mutiler l’oreille où la joue d’ycelui ou d’icelle, qui tenterait la pikouze sur votre humble servante si douce et si sensible, n’y pensez même pas !

      Jamais, Ô grand jamais, je n’oserais empêcher qui que ce soit de goûter à ce profond et doux plaisir d’être ainsi pénétré par une aiguille dans l’épaule et de sentir sa chair s’embraser sous l’effet d’un ARN messager. Good vibrations. Voici venu le temps des savantes paillasses et des pieux paillassons. C’est pourquoi lezamis, je me sens absolument solidaire : quelle joie de vous voir vous protéger de la vilaine bébète N°19. Et ce, en attendant la version 20, voire la 21, sponsorisée par la MGM et Tiktok, et accompagnée de sa pénultième vague, sait on jamais…Des fois il y a un peu de houle ci-bas.

      NDLR : mdrr , les medias annoncent déjà une nouvelle souche mutante qui festoierait outre-manche. Le développement de la vie, et des crobes et des virus, et des cellules T et des B et des NK et de l’immunité, et tout et tout et tout, quel problème lezamis ! mdrr

      Vaccination, en grande pompe…mais, sans bozo, qui n’était pas disponible pour la photo du siècle, bikoz, le cirque ne chôme pas…en doutiez-vous ?
      https://www.europe1.fr/international/le-vice-president-americain-mike-pence-vaccine-contre-le-coronavirus-4013403

      Next lockdown Sir ?

      1. @D. 12h53

        Beaucoup de grincements dans votre commentaire.
        Beaucoup trop.

        Libre vous êtes. Mais pas d’en rajouter.
        A chacun ses risques.

        Le vôtre sera de vous faire infecter à l’avenir par un vacciné porteur à l’insu de son plein gré.
        Avec pour corollaire d’imposer à votre entourage de s’abstenir à votre égard de ces gestes d’affection ou de tendresse si désuets?

        1. “Libre vous êtes. Mais pas d’en rajouter.
          A chacun ses risques.
          Le vôtre sera de vous faire infecter à l’avenir par un vacciné porteur à l’insu de son plein gré.
          Avec pour corollaire d’imposer à votre entourage de s’abstenir à votre égard de ces gestes d’affection ou de tendresse si désuets?”

          Je suis libre y compris d’en rajouter que cela vous plaise ou pas !
          En parlant d’infection , je préfère celles qui se soignent et c’est le cas pour le C19, à celle qui a déjà infecté votre esprit au point de souhaiter le pire à ceux et celles qui pensent différement de vous, et qui l’affirment sans peur et sans reproche .
          Vous êtes de ceux dont on peut dire, de fait, ça ose tout, c’est à ça qu’on les reconnait !
          Déjà un pied dans la tombe quoi, pauvre petite chose !

          1
          1. ..??.. On freine , c’est mieux.
            Libre vous êtes. ” Je confirme.
            Par contre , dans la situation-C19 actuelle , tout prosélytisme “anti-vaccin” d’office doit être évité , et , s’il échet , combattu.
            En questionnant sur le plan de la raison si possible… En décrivant simplement ses conséquences évidentes.
            Et , autant que faire se peut , sans agressivité personnalisée.

            1. Oui, mais la ce n’est pas du prosélytisme anti vaccin, c est juste du bon sens vis à vis de la précipitation dans laquelle ont été faites les choses. Le vaccin oui si il est sur avec responsabilité totale des fabricant, le test sur population humaine a grande échelle, pourquoi pas, mais sur les volontaires uniquement. Il me semble que notre situation est plutôt celle ci.

              1. … ” mais sur les volontaires uniquement. Il me semble que notre situation est plutôt celle ci.

                Il me semble qu’il en sera bien ainsi ( pas d’obligation ) dès la semaine prochaine.
                Pas d’obligation mais des “incitants”.
                Incitants “matériels” (voyez le projet de loi en accéléré qui “ouvre” beaucoup trop de portes : par ex : https://www.pauljorion.com/blog/2020/12/21/effondrement-le-direct-le-21-decembre-2020/#comment-830341

                Incitants “moraux culpabilisants” (qui me semblent plus “logiques” mais qu’on ne lit jamais nulle part ) :
                Imaginons hiver 2021 avec 40% de pop fr vaccinée (V)… vaccinée , et donc en théorie protégée (espérons au moins de l’hospitalisation!) …MAIS éventuellement contagieuse périodiquement…!!!!!!
                Resterait donc 60% de pop fr NON-vaccinée (NV) … par choix ou impossibilité.

                Qu’advient’il des comportements dans un cercle d’amis/aimés… dont une partie est (V) et l’autre (NV)… ?
                La quasi-seule responsabilité de (V) envers (NV) seulement s’entend , la réciproque me paraissant plus légère (quoique) .
                Je le répète .. on nous a , à tort ou raison , banni Raoult sans substitut actuel/futur? …ne reste que l’espoir du vaccin… Et pour avoir une vraie chance que ça marche ..il faut une majorité de vaccinés. Sinon c’est vraiment…
                Libres de décider pour soi . Sans publicité contre-productive . Non?

                1
              2. “Il me semble que notre situation est plutôt celle ci.”

                Bien vu Denis, outre le recul scientifique nécessaire à ce genre de programme et qui semble , en l’espèce inxistant; il existe le consentement individuel, inscrit, de fait, dans la constitution.

                The consent of the governed is not consent if it is not informed.
                Edward Snowden

                Ah et, au fait, merci pour votre bienveillance et votre pertinence mais vous savez sur les modèles de brèles rouillées, les liaisons et les circuits mettent plus de temps à s’activer : il faut pédaler plus longtemps…
                Le pot d’échappement pétarade, ça fumote, ça crachouille de l’huile de vidange. En outre, l’allumage et le démarrage sont loin d’être garanti. Parfois le chemin est dur…
                Je vous comprends, il ne faut jamais perdre une occasion de se muscler le mollet, ça peut servir pour le pédalage où pour le coup de pied au cul libérateur ! 😉

    3. @Bernard Ce souci d’éviter des communications malencontreuses avec des ET est partagé, le Radio télescope d’Arecibo vient d’étre mis hors service de façon anticipée le 1er décembre 2020.

      Est-ce vraiment une coïncidence ?

      1
  5. Sommes nous définitivement entrés dans la civilisation de la panne?
    La cyber criminalité demande l’avis d’experts dont la science n’en est qu’à ces balbutiements : les cyber criminologues.

    « Aujourd’hui la cyber criminalité rapporte plus que la prostitution et le trafic de stupéfiants réunis, et c’est juridiquement beaucoup moins risqué”. »
    https://www.lesechos.fr/idees-debats/cercle/cyber-attaques-qui-est-lennemi-1011064

    1
  6. Dans la lutte pour sa part de flux, le gigantisme endémique, systémique finit toujours par perdre face à l’agilité du “Small and beautifull”.

  7. Quelques infos supplémentaires :

    * FireEye a elle même été victime d’une cyber attaque il y a un peu plus d’une semaine (l’article date du 812) ! https://www.nytimes.com/2020/12/08/technology/fireeye-hacked-russians.html

    * les media républicains esaient d’utiliser l’attaque en question pour décrédiibliser le chef de la cybersécurité licencié par Trump en novembre après qu’il a déclaré que les élections avaient été les plus sûres : https://www.foxnews.com/media/christoper-krebs-cisa-trump-media-hack-elections “Après la cyerattaque, la presse silencieuse à a proposs de l’ex-chef de la cybersécurité, qui avait été louangé pour avoir contredit les accusations de fraude de Trump”.

    1
      1. Paul,

        Si c’était avéré, (ce que je ne pense pas une seconde), en tout cas ancrer fortement cette idée, dans le public de Trump, et créer un doute énorme et légitime sur les résultats cela serait bien plus malin que faire l’inverse ! Et il aurait quasi 50 % des votants avec lui ce qui est bien plus qu’assez pour garder le pouvoir exceptionnellement. En face pas un ne broncherait, avec quels moyens d’ailleurs si l’armée suivait ?

        Bon avec des si et des peut-être les martiens peuvent aussi débarquer c’est vrai.

        1. Il me semble que c’est plutôt des bulletins sous enveloppes que l’on a compté trois fois , non ?

          La revanche du travailleur manuel .

          1. Choupinou selon toi les résultats y sont rentrés où à part dans des systèmes informatiques, dans des tableaux avec des colonnes remplies à la craie blanche ?

            1. Si on a encore des doutes , on sait où les retrouver ces bulletins et ces résultats . On enverrait Clo Clo pour les recompter tout seul une quatrième fois , si un fada mettait en avant cet argument informatique pour nier le résultat .

              Mais c’est vrai que ça risquerait de durer quatre ans et que le résultat soit faux .

              Il faut s’appeler Clo Clo ou Trump pour envisager ” sérieusement ” ce cinéma .

      2. En tous cas, Romney (ancien candidat républicain face à Obama en 2012) est furieux :

        https://www.foxnews.com/politics/romney-slams-white-houses-inexcusable-silence-russian-cyberattacks

        “Romney descend en flamme la maison blanche pour son silence inexcusable devant les cyber-attaques.” Il dit : “c’est exactement comme si des bombardiers russes avaient survolé de façon répétée le territoire américain entier sans être détectés”.

        Oui je sais j’ai de très mauvaises lectures.

  8. Bonjour Paul,
    Est-ce que vous partageriez votre boite à outil à mathématique avec vos lecteurs (celle dont vous avez parlée il y a quelques semaines) ?
    Pas forcément en donnant un cours sur chaque outil mais en précisant que tel fonction est utile dans tel ou tel cas ou pour analyser tel type de problèmes.
    Ce serait fort utile à beaucoup de monde.
    🙂

    1. “Un” outil mathématique par problème ? Ça peut être parfois pertinent mais pas toujours .

      Si ça peut étayer le problème et la solution , ça ne rend pas forcément plus intelligent , car j’ai plutôt la conviction que c’est par le choix de l’outil mathématique adapté au problème que se manifeste l’intelligence . Et pour ça , il vaut quand même mieux ne pas “débarquer” en mathématiques .

  9. Bonjour,

    17 agences de renseignements d’espionnage et de contre espionnage, 100.000 employés civils et militaires
    un budget colossal et secret, des moyens technologiques de pointe (NSA) et ils n’ont rien vu venir d’une attaque lancée parait-il en mars 2020 ! En effet les USA ont perdu.

    1. @Remo Zandonà ou peut être est-ce ce que l’on veut nous faire croire.

      Bien sophistiquée comme attaque, en lisant sa description pourtant il est facile de comprendre que c’est une manière assez logique de faire les choses proprement et discrètement, en s’installant à l’avance (au moins 15 jours), et que pour surveiller des activités susceptibles de menacer les systèmes aux US (là où il est déployé principalement) c’est un outil intéressant.

      A moins de supposer que la NSA dispose de moyens différents remplissant le même rôle, ce genre d’outil devrait intéresser la NSA et reste certainement à la portée de ses budgets et de sa compétence.
      Peut-être cette version est-t-elle devenue obsolète.

      Peut-être des fuites de données détectées et révélées ou sur le point de l’être ont elle eu lieu par ce moyen et convient-il d’en banaliser l’accès pour noyer le poisson ?
      En tout cas si ce sont les Russes qui ont fait ça, ils connaissent bien le cinéma inspiré d’un auteur britannique pour donner le numéro 007 à la fonction kill ! et suggérer une fausse attribution.

      1. December 18, 2020

        Analyzing Solorigate, the compromised DLL file that started a sophisticated cyberattack, and how Microsoft Defender helps protect customers

        • Microsoft 365 Defender Research Team
        • Microsoft Threat Intelligence Center (MSTIC)

        Share

        We, along with the security industry and our partners, continue to investigate the extent of the Solorigate attack. While investigations are underway, we want to provide the defender community with intelligence to understand the scope, impact, remediation guidance, and product detections and protections we have built in as a result.

        While the full extent of the compromise is still being investigated by the security industry as a whole, in this blog we are sharing insights into the compromised SolarWinds Orion Platform DLL that led to this sophisticated attack. The addition of a few benign-looking lines of code into a single DLL file spelled a serious threat to organizations using the affected product, a widely used IT administration software used across verticals, including government and the security industry. The discreet malicious codes inserted into the DLL called a backdoor composed of almost 4,000 lines of code that allowed the threat actor behind the attack to operate unfettered in compromised networks.

        The fact that the compromised file is digitally signed suggests the attackers were able to access the company’s software development or distribution pipeline. Evidence suggests that as early as October 2019, these attackers have been testing their ability to insert code by adding empty classes. Therefore, insertion of malicious code into the SolarWinds.Orion.Core.BusinessLayer.dll likely occurred at an early stage, before the final stages of the software build, which would include digitally signing the compiled code. As a result, the DLL containing the malicious code is also digitally signed, which enhances its ability to run privileged actions—and keep a low profile.

        In many of their actions, the attackers took steps to maintain a low profile. For example, the inserted malicious code is lightweight and only has the task of running a malware-added method in a parallel thread such that the DLL’s normal operations are not altered or interrupted. This method is part of a class, which the attackers named OrionImprovementBusinessLayer to blend in with the rest of the code. The class contains all the backdoor capabilities, comprising 13 subclasses and 16 methods, with strings obfuscated to further hide malicious code.

        Once loaded, the backdoor goes through an extensive list of checks to make sure it’s running in an actual enterprise network and not on an analyst’s machines. It then contacts a command-and-control (C2) server using a subdomain generated partly from information gathered from the affected device, which means a unique subdomain for each affected domain. This is another way the attackers try to evade detection.

        With a lengthy list of functions and capabilities, this backdoor allows hands-on-keyboard attackers to perform a wide range of actions. As we’ve seen in past human-operated attacks, once operating inside a network, adversaries can perform reconnaissance on the network, elevate privileges, and move laterally. Attackers progressively move across the network until they can achieve their goal, whether that’s cyberespionage or financial gain.

        Figure 1. Solorigate malware infection chain

        The challenge in detecting these kinds of attacks means organizations should focus on solutions that can look at different facets of network operations to detect ongoing attacks already inside the network, in addition to strong preventative protection.

        We have previously provided guidance and remediation steps to help ensure that customers are empowered to address this threat. In this blog, we’ll share our in-depth analysis of the backdoor’s behavior and functions, and show why it represents a high risk for business environments. We’ll also share details of the comprehensive endpoint protection provided by Microsoft Defender for Endpoint. In an upcoming blog, we’ll discuss protections across the broader Microsoft 365 Defender, which integrates signals from endpoints with other domains – identities, data, cloud – to provide coordinated detection, investigation, and remediation capabilities.

        Where it all starts: A poisoned code library

        The attackers inserted malicious code into SolarWinds.Orion.Core.BusinessLayer.dll, a code library belonging to the SolarWinds Orion Platform. The attackers had to find a suitable place in this DLL component to insert their code. Ideally, they would choose a place in a method that gets invoked periodically, ensuring both execution and persistence, so that the malicious code is guaranteed to be always up and running. Such a suitable location turns out to be a method named RefreshInternal.

        Figure 2: The method infected with the bootstrapper for the backdoor

        Figure 3: What the original method looks like

        The modification to this function is very lightweight and could be easily overlooked—all it does is to execute the method OrionImprovementBusinessLayer.Initialize within a parallel thread, so that the normal execution flow of RefreshInternal is not altered.

        Why was this method chosen rather than other ones? A quick look at the architecture of this DLL shows that RefreshInternal is part of the class SolarWinds.Orion.Core.BusinessLayer.BackgroundInventory.InventoryManager and is invoked by a sequence of methods that can be traced back to the CoreBusinessLayerPlugin class. The purpose of this class, which initiates its execution with a method named Start (likely at an early stage when the DLL is loaded), is to initialize various other components and schedule the execution of several tasks. Among those tasks is Background Inventory, which ultimately starts the malicious code.

        Figure 4. The inserted malicious code runs within a parallel thread

        The functionality of the backdoor resides entirely in the class OrionImprovementBusinessLayer, comprising 13 subclasses and 16 methods. Its name blends in with the rest of the legitimate code. The threat actors were savvy enough to avoid give-away terminology like “backdoor”, “keylogger”, etc., and instead opted for a more neutral jargon. At first glance, the code in this DLL looks normal and doesn’t raise suspicions, which could be part of the reason why the insertion of malicious code was undetected for months, especially if the code for this DLL was not frequently updated.

        To have some minimal form of obfuscation from prying eyes, the strings in the backdoor are compressed and encoded in Base64, or their hashes are used instead.

        Figure 5: Example of obfuscated strings

        Initial reconnaissance

        The Initialize method is the de facto execution entry point of the backdoor. It carries out several checks to verify that it is running in a real victim’s environment:

        • It verifies that the process hosting the malicious DLL is named solarwinds.businesslayerhost.exe
        • It checks that the last write-time of the malicious DLL is at least 12 to 14 days earlier
        • It delays execution by random amounts of time
        • It verifies that the domain name of the current device meets the following conditions:
          • The domain must not contain certain strings; the check for these strings is implemented via hashes, so at this time the domain names that are block-listed are unknown
          • The domain must not contain “solarwinds”
          • The domain must not match the regular expression (?i)([^a-z]|^)(test)([^a-z]|$), or in simpler terms, it must not look like a test domain
        • It checks that there are no running processes related to security-related software (e.g., WindbgAutorunsWireshark)
        • It checks that there are no drivers loaded from security-related software (e.g., groundling32.sys)
        • It checks that the status of certain services belonging to security-related software meets certain conditions (e.g., windefendsensecavp)
        • It checks that the host “api.solarwinds.com” resolves to an expected IP address

        If any of these checks fail, the backdoor terminates. All these inspections are carried out to avoid exposing the malicious functionality to unwanted environments, such as test networks or machines belonging to SolarWinds.

        The backdoor

        After the extensive validation described above, the backdoor enters its main execution stage. At its core, the backdoor is a very standard one that receives instructions from the C2 server, executes those instructions, and sends back information. The type of commands that can be executed range from manipulating of registry keys, to creating processes, and deleting files, etc., effectively providing the attackers with full access to the device, especially since it’s executing from a trusted, signed binary.

        In its first step, the backdoor initiates a connection to a predefined C2 server to report some basic information about the compromised system and receive the first commands. The C2 domain is composed of four different parts: three come from strings that are hardcoded in the backdoor, and one component is generated dynamically based on some unique information extracted from the device. This means that every affected device generates a different subdomain to contact (and possibly more than one). Here’s an example of a generated domain:

        Figure 6: Dynamically generated C2 domain

        The dynamically generated portion of the domain is the interesting part. It is computed by hashing the following data:

        • The physical address of the network interface
        • The domain name of the device
        • The content of the MachineGuid registry value from the key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography

        The backdoor also generates a pseudo-random URI that is requested on the C2 domain. Like the domain, the URI is composed using a set of hardcoded keywords and paths, which are chosen partly at random and partly based on the type of HTTP request that is being sent out. Possible URIs that can be generated follow these formats:

        • pki/crl/<random components>.crl, where <random components> can be numbers and one of the following strings:
          • “-root”
          • “-cert”
          • “-universal_ca”
          • “-ca”
          • “-primary_ca”
          • “-timestamp”
          • “-global”
          • “-secureca”
        • fonts/woff/<random components>-webfont<random component>.woff2 or fonts/woff/<random components>.woff2, where the <random components> can be numbers and one or more of the following strings:
          • “Bold”
          • “BoldItalic”
          • “ExtraBold”
          • “ExtraBoldItalic”
          • “Italic”,
          • “Light”
          • “LightItalic”
          • “Regular”
          • “SemiBold”
          • “SemiBoldItalic”
          • “opensans”
          • “noto”
          • “freefont”
          • “SourceCodePro”
          • “SourceSerifPro”
          • “SourceHanSans”
          • “SourceHanSerif”
        • swip/upd/<random components>, where <random components> can be one or more of the following strings:
          • “SolarWinds”
          • “.CortexPlugin”
          • “.Orion”
          • “Wireless”
          • “UI”
          • “Widgets”
          • “NPM”
          • “Apollo”
          • “CloudMonitoring”
          • “Nodes”,
          • “Volumes”,
          • “Interfaces”,
          • “Components”
        • swip/Upload.ashx
        • swip/Events

        Here are examples of final URLs generated by the backdoor:

        • hxxps://3mu76044hgf7shjf[.]appsync-api[.]eu-west-1[.]avsvmcloud[.]com /swip/upd/Orion[.]Wireless[.]xml
        • hxxps://3mu76044hgf7shjf[.]appsync-api[.]us-east-2[.]avsvmcloud[.]com /pki/crl/492-ca[.]crl
        • hxxps://3mu76044hgf7shjf[.]appsync-api[.]us-east-1[.]avsvmcloud[.]com /fonts/woff/6047-freefont-ExtraBold[.]woff2

        Finally, the backdoor composes a JSON document into which it adds the unique user ID described earlier, a session ID, and a set of other non-relevant data fields. It then sends this JSON document to the C2 server.

        Figure 7: Example of data generated by the malware

        If the communication is successful, the C2 responds with an encoded, compressed buffer of data containing commands for the backdoor to execute. The C2 might also respond with information about an additional C2 address to report to. The backdoor accepts the following commands:

        • Idle
        • Exit
        • SetTime
        • CollectSystemDescription
        • UploadSystemDescription
        • RunTask
        • GetProcessByDescription
        • KillTask
        • GetFileSystemEntries
        • WriteFile
        • FileExists
        • DeleteFile
        • GetFileHash
        • ReadRegistryValue
        • SetRegistryValue
        • DeleteRegistryValue
        • GetRegistrySubKeyAndValueNames
        • Reboot
        • None

        In a nutshell, these commands allow the attackers to run, stop, and enumerate processes; read, write, and enumerate files and registry keys; collect and upload information about the device; and restart the device, wait, or exit. The command CollectSystemDescription retrieves the following information:

        • Local Computer Domain name
        • Administrator Account SID
        • HostName
        • Username
        • OS Version
        • System Directory
        • Device uptime
        • Information about the network interfaces

        Resulting hands-on-keyboard attack

        Once backdoor access is obtained, the attackers follow the standard playbook of privilege escalation exploration, credential theft, and lateral movement hunting for high-value accounts and assets. To avoid detection, attackers renamed Windows administrative tools like adfind.exe which were then used for domain enumeration.

        C:\Windows\system32\cmd.exe /C csrss.exe -h breached.contoso.com -f (name=”Domain Admins”) member -list | csrss.exe -h breached.contoso.com -f objectcategory=* > .\Mod\mod1.log

        Lateral movement was observed via PowerShell remote task creation, as detailed by FireEye and Volexity:

        $scheduler = New-Object -ComObject (“Schedule.Service”);$scheduler.Connect($env:COMPUTERNAME);$folder = $scheduler.GetFolder(“\Microsoft\Windows\SoftwareProtectionPlatform”);$task = $folder.GetTask(“EventCacheManager”);$definition = $task.Definition;$definition.Settings.ExecutionTimeLimit = “PT0S”;$folder.RegisterTaskDefinition($task.Name,$definition,6,”System”,$null,5);echo “Done” C:\Windows\system32\cmd.exe /C schtasks /create /F /tn “\Microsoft\Windows\SoftwareProtectionPlatform\EventCacheManager” /tr “C:\Windows\SoftwareDistribution\EventCacheManager.exe” /sc ONSTART /ru system /S [machine_name]

        Persistence is achieved via backdoors deployed via various techniques:

        1. PowerShell:

        Powershell -nop -exec bypass -EncodedCommand

        The –EncodedCommand, once decoded, would resemble:

        Invoke-WMIMethod win32_process -name create -argumentlist ‘rundll32 c:\windows\idmu\common\ypprop.dll _XInitImageFuncPtrs’ -ComputerName WORKSTATION

        1. Rundll32:

        C:\Windows\System32\rundll32.exe C:\Windows\Microsoft.NET\Framework64\[malicious .dll file], [various exports]

        With Rundll32, each compromised device receives a unique binary hash, unique local filesystem path, pseudo-unique export, and unique C2 domain.

        The backdoor also allows the attackers to deliver second-stage payloads, which are part of the Cobalt Strike software suite. We continue to investigate these payloads, which are detected as Trojan:Win32/Solorigate.A!dha, as the situation continues to unfold.

        Microsoft Defender for Endpoint product and hardening guidance

        Supply chain compromise continues to be a growing concern in the security industry. The Solorigate incident is a grave reminder that these kinds of attacks can achieve the harmful combination of widespread impact and deep consequences for successfully compromised networks. We continue to urge customers to:

        • Isolate and investigate devices where these malicious binaries have been detected
        • Identify accounts that have been used on the affected device and consider them compromised
        • Investigate how those endpoints might have been compromised
        • Investigate the timeline of device compromise for indications of lateral movement

        Hardening networks by reducing attack surfaces and building strong preventative protection are baseline requirements for defending organizations. On top of that, comprehensive visibility into system and network activities drive the early detection of anomalous behaviors and potential signs of compromise. More importantly, the ability to correlate signals through AI could surface more evasive attacker activity.

        Microsoft Defender for Endpoint has comprehensive detection coverage across the Solorigate attack chain. These detections raise alerts that inform security operations teams about the presence of activities and artifacts related to this incident. Given that this attack involves the compromise of legitimate software, automatic remediation is not enabled to prevent service interruption. The detections, however, provide visibility into the attack activity. Analysts can then use investigation and remediation tools in Microsoft Defender Endpoint to perform deep investigation and additional hunting.

        Microsoft 365 Defender provides visibility beyond endpoints by consolidating threat data from across domains – identities, data, cloud apps, as well as endpoints – delivering coordinated defense against this threat. This cross-domain visibility allows Microsoft 365 Defender to correlate signals and comprehensively resolve whole attack chains. Security operations teams can then hunt using this rich threat data and gain insights for hardening networks from compromise.

        Figure 8. Microsoft Defender for Endpoint detections across the Solorigate attack chain

        Several Microsoft Defender for Endpoint capabilities are relevant to the Solorigate attack:

        Next generation protection

        Microsoft Defender Antivirus, the default antimalware solution on Windows 10, detects and blocks the malicious DLL and its behaviors. It quarantines malware, even if the process is running.

        Detection for backdoored SolarWinds.Orion.Core.BusinessLayer.dll files:

        Detection for Cobalt Strike fragments in process memory and stops the process:

        Detection for the second-stage payload, a cobalt strike beacon that might connect to infinitysoftwares[.]com.

        Detection for the PowerShell payload that grabs hashes and SolarWinds passwords from the database along with machine information:

        Figure 9. Microsoft Defender for Endpoint prevented malicious binaries

        Endpoint detection and response (EDR)

        Alerts with the following titles in the Microsoft Defender Security Center and Microsoft 365 security center can indicate threat activity on your network:

        • SolarWinds Malicious binaries associated with a supply chain attack
        • SolarWinds Compromised binaries associated with a supply chain attack
        • Network traffic to domains associated with a supply chain attack

        Alerts with the following titles in the Microsoft Defender Security Center and Microsoft 365 security center can indicate the possibility that the threat activity in this report occurred or might occur later. These alerts can also be associated with other malicious threats.

        • ADFS private key extraction attempt
        • Masquerading Active Directory exploration tool
        • Suspicious mailbox export or access modification
        • Possible attempt to access ADFS key material
        • Suspicious ADFS adapter process created

        Figure 10. Microsoft Defender for Endpoint detections of suspicious LDAP query being launched and attempted ADFS private key extraction

        Figure 11. Microsoft Defender for Endpoint alert description and recommended actions for possible attempt to access ADFS key material

        Our ability to deliver these protections through our security technologies is backed by our security experts who immediately investigated this attack and continue to look into the incident as it develops. Careful monitoring by experts is critical in this case because we’re dealing with a highly motivated and highly sophisticated threat actor. In the same way that our products integrate with each other to consolidate and correlate signals, security experts and threat researchers across Microsoft are working together to address this advanced attack and ensure our customers are protected.

        Threat analytics report

        We published a comprehensive threat analytics report on this incident. Threat analytics reports provide technical information, detection details, and recommended mitigations designed to empower defenders to understand attacks, assess its impact, and review defenses.

        Figure 12. Threat analytics report on the Solorigate attack

        Advanced hunting

        Microsoft 365 Defender and Microsoft Defender for Endpoint customers can run advanced hunting queries to hunt for similar TTPs used in this attack.

        Malicious DLLs loaded into memory

        To locate the presence or distribution of malicious DLLs loaded into memory, run the following query

        DeviceImageLoadEvents | where SHA1 in (“d130bd75645c2433f88ac03e73395fba172ef676″,”1acf3108bf1e376c8848fbb25dc87424f2c2a39c”,”e257236206e99f5a5c62035c9c59c57206728b28″,”6fdd82b7ca1c1f0ec67c05b36d14c9517065353b”,”2f1a5a7411d015d01aaee4535835400191645023″,”bcb5a4dcbc60d26a5f619518f2cfc1b4bb4e4387″,”16505d0b929d80ad1680f993c02954cfd3772207″,”d8938528d68aabe1e31df485eb3f75c8a925b5d9″,”395da6d4f3c890295f7584132ea73d759bd9d094″,”c8b7f28230ea8fbf441c64fdd3feeba88607069e”,”2841391dfbffa02341333dd34f5298071730366a”,”2546b0e82aecfe987c318c7ad1d00f9fa11cd305″,”e2152737bed988c0939c900037890d1244d9a30e”) or SHA256 in (“ce77d116a074dab7a22a0fd4f2c1ab475f16eec42e1ded3c0b0aa8211fe858d6″,”dab758bf98d9b36fa057a66cd0284737abf89857b73ca89280267ee7caf62f3b”,”eb6fab5a2964c5817fb239a7a5079cabca0a00464fb3e07155f28b0a57a2c0ed”,”ac1b2b89e60707a20e9eb1ca480bc3410ead40643b386d624c5d21b47c02917c”,”019085a76ba7126fff22770d71bd901c325fc68ac55aa743327984e89f4b0134″,”c09040d35630d75dfef0f804f320f8b3d16a481071076918e9b236a321c1ea77″,”0f5d7e6dfdd62c83eb096ba193b5ae394001bac036745495674156ead6557589″,”e0b9eda35f01c1540134aba9195e7e6393286dde3e001fce36fb661cc346b91d”,”20e35055113dac104d2bb02d4e7e33413fae0e5a426e0eea0dfd2c1dce692fd9″,”2b3445e42d64c85a5475bdbc88a50ba8c013febb53ea97119a11604b7595e53d”,”a3efbc07068606ba1c19a7ef21f4de15d15b41ef680832d7bcba485143668f2d”,”92bd1c3d2a11fc4aba2735d9547bd0261560fb20f36a0e7ca2f2d451f1b62690″,”a58d02465e26bdd3a839fd90e4b317eece431d28cab203bbdde569e11247d9e2″,”cc082d21b9e880ceb6c96db1c48a0375aaf06a5f444cb0144b70e01dc69048e6″)

        Malicious DLLs created in the system or locally

        To locate the presence or distribution of malicious DLLs created in the system or locally, run the following query

        DeviceFileEvents | where SHA1 in (“d130bd75645c2433f88ac03e73395fba172ef676″,”1acf3108bf1e376c8848fbb25dc87424f2c2a39c”,”e257236206e99f5a5c62035c9c59c57206728b28″,”6fdd82b7ca1c1f0ec67c05b36d14c9517065353b”,”2f1a5a7411d015d01aaee4535835400191645023″,”bcb5a4dcbc60d26a5f619518f2cfc1b4bb4e4387″,”16505d0b929d80ad1680f993c02954cfd3772207″,”d8938528d68aabe1e31df485eb3f75c8a925b5d9″,”395da6d4f3c890295f7584132ea73d759bd9d094″,”c8b7f28230ea8fbf441c64fdd3feeba88607069e”,”2841391dfbffa02341333dd34f5298071730366a”,”2546b0e82aecfe987c318c7ad1d00f9fa11cd305″,”e2152737bed988c0939c900037890d1244d9a30e”) or SHA256 in (“ce77d116a074dab7a22a0fd4f2c1ab475f16eec42e1ded3c0b0aa8211fe858d6″,”dab758bf98d9b36fa057a66cd0284737abf89857b73ca89280267ee7caf62f3b”,”eb6fab5a2964c5817fb239a7a5079cabca0a00464fb3e07155f28b0a57a2c0ed”,”ac1b2b89e60707a20e9eb1ca480bc3410ead40643b386d624c5d21b47c02917c”,”019085a76ba7126fff22770d71bd901c325fc68ac55aa743327984e89f4b0134″,”c09040d35630d75dfef0f804f320f8b3d16a481071076918e9b236a321c1ea77″,”0f5d7e6dfdd62c83eb096ba193b5ae394001bac036745495674156ead6557589″,”e0b9eda35f01c1540134aba9195e7e6393286dde3e001fce36fb661cc346b91d”,”20e35055113dac104d2bb02d4e7e33413fae0e5a426e0eea0dfd2c1dce692fd9″,”2b3445e42d64c85a5475bdbc88a50ba8c013febb53ea97119a11604b7595e53d”,”a3efbc07068606ba1c19a7ef21f4de15d15b41ef680832d7bcba485143668f2d”,”92bd1c3d2a11fc4aba2735d9547bd0261560fb20f36a0e7ca2f2d451f1b62690″,”a58d02465e26bdd3a839fd90e4b317eece431d28cab203bbdde569e11247d9e2″,”cc082d21b9e880ceb6c96db1c48a0375aaf06a5f444cb0144b70e01dc69048e6″)

        SolarWinds processes launching PowerShell with Base64

        To locate SolarWinds processes spawning suspected Base64-encoded PowerShell commands, run the following query 

        DeviceProcessEvents| where InitiatingProcessFileName =~ “SolarWinds.BusinessLayerHost.exe”| where FileName =~ “powershell.exe”// Extract base64 encoded string, ensure valid base64 length| extend base64_extracted = extract(‘([A-Za-z0-9+/]{20,}[=]{0,3})’, 1, ProcessCommandLine)| extend base64_extracted = substring(base64_extracted, 0, (strlen(base64_extracted) / 4) * 4)| extend base64_decoded = replace(@’\0′, ”, make_string(base64_decode_toarray(base64_extracted)))//| where notempty(base64_extracted) and base64_extracted matches regex ‘[A-Z]’ and base64_extracted matches regex ‘[0-9]’

        SolarWinds processes launching CMD with echo

        To locate SolarWinds processes launching CMD with echo,  run the following query 

        DeviceProcessEvents| where InitiatingProcessFileName =~ “SolarWinds.BusinessLayerHost.exe”| where FileName == “cmd.exe” and ProcessCommandLine has “echo”

        C2 communications

        To locate DNS lookups to a malicious actor’s domain, run the following query 

        DeviceEvents| where ActionType == “DnsQueryResponse” //DNS Query Responseand AdditionalFields has “.avsvmcloud”

        To locate DNS lookups to a malicious actor’s domain, run the following query 

        DeviceNetworkEvents| where RemoteUrl contains ‘avsvmcloud.com’| where InitiatingProcessFileName != “chrome.exe”| where InitiatingProcessFileName != “msedge.exe”| where InitiatingProcessFileName != “iexplore.exe”| where InitiatingProcessFileName != “firefox.exe”| where InitiatingProcessFileName != “opera.exe”

        Find SolarWinds Orion software in your enterprise

        To search for Threat and Vulnerability Management data to find SolarWinds Orion software organized by product name and ordered by how many devices the software is installed on, run the following query 

        DeviceTvmSoftwareInventoryVulnerabilities| where SoftwareVendor == ‘solarwinds’| where SoftwareName startswith ‘orion’| summarize dcount(DeviceName) by SoftwareName| sort by dcount_DeviceName desc

        ADFS adapter process spawning

        DeviceProcessEvents| where InitiatingProcessFileName =~”Microsoft.IdentityServer.ServiceHost.exe”| where FileName in~(“werfault.exe”, “csc.exe”)| where ProcessCommandLine !contains (“nameId”)

        Appendix

        MITRE ATT&CK techniques observed

        This threat makes use of attacker techniques documented in the MITRE ATT&CK framework.

        Initial Access

        T1195.001 Supply Chain Compromise

        Execution

        T1072 Software Deployment Tools

        Command and Control

        T1071.004 Application Layer Protocol: DNS

        T1017.001 Application Layer Protocol: Web Protocols

        T1568.002 Dynamic Resolution: Domain Generation Algorithms

        T1132 Data Encoding

        Persistence

        T1078 Valid Accounts 

        Defense Evasion

        T1480.001 Execution Guardrails: Environmental Keying

        T1562.001 Impair Defenses: Disable or Modify Tools

        Collection

        T1005 Data From Local System 

        Additional malware discovered

        In an interesting turn of events, the investigation of the whole SolarWinds compromise led to the discovery of an additional malware that also affects the SolarWinds Orion product but has been determined to be likely unrelated to this compromise and used by a different threat actor. The malware consists of a small persistence backdoor in the form of a DLL file named App_Web_logoimagehandler.ashx.b6031896.dll, which is programmed to allow remote code execution through SolarWinds web application server when installed in the folder “inetpub\SolarWinds\bin\”. Unlike Solorigate, this malicious DLL does not have a digital signature, which suggests that this may be unrelated to the supply chain compromise.  Nonetheless, the infected DLL contains just one method (named DynamicRun), that can receive a C# script from a web request, compile it on the fly, and execute it.

        Figure 13: Original DLL

        Figure 14: The malicious addition that calls the DynamicRun method

        This code provides an attacker the ability to send and execute any arbitrary C# program on the victim’s device. Microsoft Defender Antivirus detects this compromised DLL as Trojan:MSIL/Solorigate.G!dha.

        2
        1. Ça ressemble de plus en plus à la lutte d’un système immunitaire contre une armée de pathogènes en tous genres, les uns déjà connus, les autres non. D’où une défense à plusieurs niveaux aussi tordue qu’une centrale nucléaire (l’usine à gaz, ça a plus d’un siècle, il est temps de se mettre à jour !)

          Cyberdéfenseurs et immunologistes auraient peut-être des idées à se piquer réciproquement.

        2. En fait ils semble que les attaquants aient eu accès au dépôt du code source de l’éditeur. ls ont dû tout simplement se faire embaucher en tant que sous-traitants.

          1. @lit75 ou se faire racheter …
            En fait la négligence involontaire ou simulée laissait le champ libre à n’importe qui :
            https://searchsecurity.techtarget.com/news/252493761/SolarWinds-breach-highlights-dangers-of-supply-chain-attacks

            Vinoth Kumar found a public GitHub repository leaking file transfer protocol (FTP) credentials that belong to SolarWinds on Nov. 19, 2019 through manual GitHub reconnaissance and discovered it contained a password to a SolarWinds update server that was “SolarWinds123.”
            That repo had FTP credentials and FTP server is accessible in public.

            1. Quoi qu’il en soit j’espère que le type dont les credentials ont été utilisés pour pousser ces modifications savait ce qu’il faisait et était rétribué en conséquence, ou est maintenant très loin… Il faut vraiment pas être le lampiste dans ces cas-là.

      2. @lit75 Celà signifie qu’une certification digitale n’est pas suffisante pour protéger un systême Windows qui accepte des mises à jour.
        Ce qu’a pu faire ce maliciel, Microsoft peut le faire tous les jours.
        C’est probablement ce qui inquiète Microsoft.

        Le problème c’est que les clients en général, y compris les organismes gouvernementaux sont incapables de s’assurer eux-mêmes qu’ils ne sont pas les victimes de telles attaques et au mieux font appel à des tiers comme FireEye .
        A qui il sont contraints de faire confiance et qui eux aussi se font hacker.

        Defender de Microsoft détecte le maliciel, mais seulement depuis qu’il est connu !

        1. > @lit75 Celà signifie qu’une certification digitale n’est pas suffisante pour protéger un systême
          > Windows qui accepte des mises à jour.

          Non ce n’est pas suffisant si l’éditeur de logiciel ne contrôle pas qui a accès à son dépôt de code source et qui a le droit de signer les exécutables qu’il met à disposition de ses clients.

          Là, il semble, qu’un employé ou un sous-traitant avec accès au code source a “poussé” le code malicieux. Le binaire a ensuite été compilé et signé par les procédures normales de l’éditeur.

          En fait dans toute cette histoire, il y au moins autant de technique que de psychologie pour s’assurer que les différents acteurs ne remarqueront rien :

          * le code source est modifié de sorte que les développeurs ne remarqueront rien ;
          * on s’arrange pour que l’administrateur ne remarque rien ;
          * on s’arrange pour que les outils ou les administrateurs qui regardent le trafic sortant ne remarquent pas grand chose ;
          * plus pervers encore, le malware, à la façon d’une vulgaire voiture diesel Volkswagen, s’arrête si on essaie d’utiliser des outils de diagnostic pour un administrateur qui essaierait de comprendre ce qui se passe (Windbg, Autoruns, Wireshark).

          1
          1. D’autant que la pratique de la backdoor, si elle réveille les fantasmes des pirateries les plus audacieuses n’en est pas moins répandue malgré des intentions que l’on qualifieraient un peu vite de peu louables. Car dans le vice se cache une vertu bien utile révélant de nombreux usages courants :
            – le responsable technique de la solution peut très bien avoir besoin de soulever le capot pour un contrôle technique
            – le patron du responsable technique peut très bien profiter des compétences de son employé pour étendre les capacités catalogue de l’outil contre une économique rétribution
            – un client de cette même entreprise peut également demander une extension discrétionnaire
            – et si une autorité de bon conseil réclamait alors de se joindre au banquet
            – un régulateur intelligent pourrait de même y disposer de son droit de regard
            – …
            – puis enfin le méchant, l’obscure et l’immonde profiteur masqué que l’on ne connait pas venu des sous-bois…

            Bref, du logiciel de caisse muni de sa touche spéciale ni vu ni connu pour engager des transactions furtives au black, fournie par l’éditeur via suggestion parfois insistante de son client (pharmacien, restaurateur, etc. …), à l’accès tous privilèges sur une chaine d’analyse médicale pour revente d’infos aux labos (ou comment produire, accélérer voir tester une phase d’étude clinique avec le paramètre ‘aveugle’ garanti) ou bien divulgation de l’état de santé d’un VIP en info exclusive grand public (politique, sportif, people) avant le délai légal de remise des résultats et ce malgré la protection de mise des données médicales personnelles (tient donc le halètement d’un éditeur de logiciel connu s’entend une fois de plus en coulisse), de ces quelques exemples glanés lors de conversations parfaitement anodines au fil de mes expériences professionnelles, c’est en réalité d’une pratique largement exposée dans tous les secteurs d’activité où l’IT aiguise les appétits dont on assiste à une forme d’apothéose. Car les cartes sont désormais posées sur la table.

            De là à automatiser la production de passeports russes fictifs, on connaît bien sûr l’exercice des faux papiers dans de nombreux domaines parfois complaisants, mais le sujet mériterait d’être épuisé avant de conclure. Cela dit, ajouter un tuyau, incorporer une dérivation, poser un judas, raccorder le mitigeur, brancher un robinet… notre plombier aura bien été guidé avant de se présenter au concours.

            Méditons

  10. Ci-dessous un extrait du Wall Street Journal qui écrit que la cyberattaque, relève du “traditionnel espionnage numérique” et “qu’aucune donnée n’a été modifiée ou détruite, et aucune infrastructure ou système informatique n’ont été endommagés”

    WASHINGTON—Despite its size, a sprawling computer hack blamed on Russia could leave President Trump and the incoming Biden administration struggling to find the right response, former U.S. cybersecurity officials and experts said.

    While Sen. Dick Durbin (D., Ill.) called the breaches that hit at least six cabinet-level departments as well as private companies “virtually a declaration of war,” the former officials said the intrusions fell more along the lines of classic digital espionage, however brazen. As far as is known from descriptions of the hack, no data was altered or destroyed, and no computer systems or other infrastructure damaged.

      1. Oui , Otromeros restons prudent , les conclusions du WSJ ont peut-être été écrites par le logiciel espion à l’insu du journal !
        Sans oublier la clause « retour à l’envoyeur » dans le logiciel de lancement des ogives nucléaires ?

    1. @xtian celà peut aussi signifier qu’il s’agit de business as usual en matière d’espionnage, en particulier s’il s’avérait que les victimes étaient aussi des alliés comme en matière d’écoutes téléphoniques …
      Le scandale serait moindre .

  11. Un possible délit d’initié à Solarwinds :

    « … Par ailleurs, la vente d’actions par des investisseurs de la société quelques jours avant que la cyberattaque ne soit révélée pose question. Quelque 280 millions de dollars auraient ainsi été vendus, rapporte le Washington Post (en anglais), soulevant la question d’un éventuel délit d’initié.. »

    https://www.francetvinfo.fr/internet/securite-sur-internet/cyberattaques/solarwinds-ce-que-l-on-sait-sur-la-cyberattaque-massive-qui-touche-notamment-microsoft-et-des-agences-federales-americaines_4223253.html

  12. En attendant Biden … changeons d’ “air” …

    https://www.telos-eu.com/fr/nord-stream-2-gaz-climat-et-sanctions-americaines.html

    … ” En fait, Nord Stream 2 est en passe de devenir un cas d’école de la manière dont les secteurs gaziers russe comme européens envisagent le gaz naturel et l’hydrogène comme complémentaires dans le temps et dans les applications.
    Ainsi, l’adjonction d’ hydrogène bas-carbone dans des systèmes gaziers est aujourd’hui largement porté par les mastodontes de la production et/ou du transport du gaz naturel. L’enjeu est d’utiliser l’hydrogène bas-carbone pour couper l’herbe sous le pied de tous ceux qui disent que les projets gaziers ne répondent pas aux objectifs de l’Accord de Paris sur le Climat, et de tenter de changer la nature de certains projets limités par des sanctions.

    En somme, l’Allemagne comme la Russie mettent au point des dispositifs de contournement des sanctions américaines au prétexte de la lutte contre le réchauffement climatique. Ce sujet sera nécessairement au cœur de la politique et de la diplomatie de l’administration Biden tant on voit mal Joe Biden et John Kerry — le futur secrétaire d’État — dire oui à tous les projets positifs pour le climat dans le monde sauf en Russie

    Moscou et Berlin sont en train d’ajuster NS2 pour le faire concorder avec les objectifs de politique étrangère de la nouvelle administration américaine. Le projet n’a pas changé en soi mais juste un peu pour poser un dilemme d’affichage politique à l’administration Biden : doit-elle continuer à sanctionner la Russie si cette dernière contribue — en théorie — au bien de la planète, en exportant de l’hydrogène vers son principal client ? Oui, c’est cynique mais… oui, ça peut marcher pour Berlin et Moscou, et peut-être même avec l’appui inattendu de Varsovie, le tout sous l’œil attentif de Bruxelles.

  13. Ils n’ont pas encore découvert le bout de code “apoptosis”, il se déclenche quand la densité tombe au-dessous d’un certain seuil.

    1. Vous êtes ridicule : vous n’avez même pas regardé la vidéo ! J’ai dit que ça pouvait être la Chine 48 heures avant Trump ! J’ai dit : “C’est la Russie, la Chine, ou les extra-terrestres”.

      1. C’était juste pour montrer que Trump et Paul Jorion sont sur la même longueur d’onde ! 😉
        Je remarque que Trump n’a pas parlé des extra-terrestres. Sûrement un oubli de sa part.

        1. Trump n’a mentionné ni les Russes, ni les extra-terrestres, il reste donc 2 suspects, parce que, comme l’a dit Garry Kasparov l’autre jour : “Une preuve que ce sont les Russes qui sont responsables du piratage informatique ? Trump n’a rien dit !”

    2. Où l’on a appris au milieu de la nuit que Cisco et Nokia font partie des domaines déchiffrés parmi lesquels pointaient 2 des nombreux flux de l’exploit. Ce qui paraît équilibrer les récentes actualités concernant Huawei, sa 5G, ses réseaux, son monitoring, etc. … mais bon, à ce stade l’iceberg comprend de nombreux sommets émergés dont la géographie nous emmène dans des confins inexplorés, les systèmes se succédant aux systèmes au fil des découvertes.

      1. Ce logiciel semble très répandu dans toutes les organisations qui ont des serveurs Windows. Et tout administrateur système qui a consciencieusement paramétré les choses pour faire les mises à jour périodiquement (selon les bonnes pratiques en vigueur) va récupérer ce malware.

        En fait solarwinds était vraiment la cible parfaite :
        * un logiciel tournant avec des privilèges élevés ;
        * une part de marché très importante dans les grandes entreprises et administration ;
        * et une gestion de la sécurité, qui, à première vue, a l’air quand -même en-dessous des standards attendus.

        1. Tous les OS sont dans le viseur (Microsoft, IOS, Linux, autres …) à partir du moment où Orion est capable de monitorer l’ensemble. Une großße tuile quoi.

          1. Non, l’exploit décrit plutôt dans les artciles de FireEye et de Microsoft vise spécifiquement du code .NET. Il y a bien des agents Orion pour d’autres systèmes comme Linux, mais ils sont écrits dans un autre langage.

            https://documentation.solarwinds.com/en/success_center/orionplatform/content/core-agent-requirements-sw476.htm

            Après, effectivement, une fois dans la place, rien n’interdit au pirate de faire des mouvements latéraux vers d’autes systèmes.

  14. Quelques nouvelles de la complosphère :

    Nos amis ummites ont garanti qu’ils ne laisseront pas faire l’holocauste nucléaire 🙂 🙂 par contre pour le crash économique c’est pour bientôt selon eux 🙂 🙂

    https://www.youtube.com/watch?v=i82nNTZTHhQ

    on a le calendrier complet aussi :

    https://www.youtube.com/watch?v=MzFWpN3Z3sQ

    Et pour finir on sait enfin qui est derrière le mécanisme de rebond dans les crises boursières éclairs qui intrigue Mr Jorion 🙂 🙂

    https://www.youtube.com/watch?v=eKjgZCCnEQo

    Alors seulement 5% les ET ??? 🙂 🙂

    Un peu déçu que M Jorion n’est pas laissé aussi quelques pourcents à Mr Robot… 😉

  15. “Pour ceux qui ne connaissent pas SolarWinds, il s’agit d’un NMS (Network Management System), qui permet aux administrateurs système et au pôle d’exploitation des réseaux de se faire une idée de la santé et du bien-être de leur environnement informatique. Pour obtenir une image complète, il doit avoir accès et être installé (dans la plupart des cas) sur chaque système intéressant à surveiller, ce qui signifie généralement partout. Afin d’obtenir des données de qualité, utiles et complètes, qui sont souvent, de par leur conception, protégées par le système d’exploitation des ordinateurs hôtes (…). L’un des principaux points d’ancrage de tout attaquant, quelle qu’en soit le but, est non seulement de s’introduire, mais souvent aussi d’avoir la possibilité d’exécuter un mouvement latéral. A l’image d’un jeu d’échec, ces mouvements sont souvent liés à la relation des systèmes (pièces) avec d’autres systèmes et à l’endroit où ils existent dans l’environnement (échiquier). Vous devez faire preuve de créativité avec les pions, les tours et les chevaliers en raison de certains de leurs mouvements limités, mais dans le contexte du type d’accès proposé par SolarWinds, cela transforme tous les systèmes auxquels vous accédez en dames.” (via Deepl), voila, voila…

    src.: https://webjedi.net/2020/12/16/fighting-the-fire-bucket-brigade-not-more-matches/

    1
  16. Et si c’était l’Iran un peu aidée par la russie (ils ont tout à fait les compétences informatiques et il y a de nombreux iraniens dans l’informatique américaine) ?

  17. Cette cyber-attaque prend de plus en plus l’air d’un avertissement, comme ceux que les Chinois ont faits aux dépens de USA à chaque fois qu’ils franchissaient un cap technologique.
    Coucou j’en suis là maintenant, et tu le sais, si je le fais c’est que j’ai aux moins trois coups d’avances…
    Let’s see..

  18. Le rideau est tombé sur la diffusion d’information. Mais quelques noms commencent malgré tout à émerger. Il reste néanmoins à confirmer dans quelle mesure ils ont été touchés à la lumière leur présence dans la liste des entreprises ciblées. Ce sera désormais difficile à déterminer maintenant que le silence est de rigueur :
    – Microsoft
    – Intel
    – Cisco
    – Nvidia
    – Deloitte
    – Belkin
    – Mediatek

    tbc

  19. // principaux organismes d’états et premiers de cordée :
    https://en.wikipedia.org/wiki/2020_United_States_federal_government_data_breach#List_of_confirmed_connected_data_breaches
    …++…
    – une technologique de premier plan VMware (virtualisation = denrée primaire du cloud computing)
    … ++ …
    – les big 4 (avec en plus du déjà cité Deloitte, KPMG, E&Y et PWC (ça sent les leaks)
    – Crédit Suisse
    – Nestlé
    – Novartis
    – Swisscom
    – de très nombreuses PME-PMI et structures publiques canadienne
    – 10 entreprises suédoises passées sous silence (la presse locale enquête)
    – ceinture, bretelle et nœud papillon sur la bouche tendance immunité groupée en Angleterre qui s’allume pourtant en couleur sur la cartographie Microsoft. On sait malgré tout que le GCHQ l’a subi…
    – et pour la France, où seul un petit liséré violet de la carte précédemment citée apparaît du côté de l’Hérault, un domaine en roymerlin.com apparaît dans la liste déchiffrée, s’il s’agit de leroy-merlin il faut alors à la fois considérer la base cliente du groupe et son implantation internationale (Espagne, Portugal, Italie, Grèce, Roumanie, Pologne, Ukraine, Russie, Chine, Afrique du Sud et Brésil)

    tbc

  20. – Bank of Punjab
    – DenizBank (banque turque ex-Dexia, réseau en Autriche, Russie et Chypre)
    – Lukoil
    – Traiana

    tbc

    1. @kertugal Internet est un Far-West, mais il y a un sheriff !
      https://www.europol.europa.eu/newsroom/news/cybercriminals%E2%80%99-favourite-vpn-taken-down-in-global-action
      Vers une société plus policée …

      pour compléter la liste Sunburst très peu de français
      No match for domain “ROYMERLIN.COM” !! qui n’existe pas / plus ?
      Mais sunburst est bien un produit vendu par Leroymerlin !

      insead.org INSEAD Business School

      et puis des cibles pour l’Iran ?
      staff.technion.ac.il, tr.technion.ac.il , employees.technion.ac.il, mnh.rg-law.ac.il

  21. Ce n’est qu’une “Mise au point”

    – Internet est l’équivalent du mur de facebuck pour la NSA
    – Un secret a une demi-vie qui est fonction essentiellement de sa “valeur” marchande et de l’épaisseur de sa carapace.
    – Les backdoors font partie intégrante des systèmes informatiques, ils ne fonctionneraient pas sans.
    – Le maillon faible c’est l’humain.
    – Le succès d’une aventure ne dépend pas de votre capacité à garder un secret.
    – Si vous êtes clostro, n’utilisez jamais un ascenseur piloter par du Microsoft.
    – Dans cette histoire de hack, toutes ces entreprises ont certainement voulu tester le plus grand ascenseur pour l’enfer des solutions à deux balles jamais construites. Désolé, ce n’est vraiment qu’une horde de cons façon immunité au virus.
    “Small is beautiful” finit toujours par mettre à genoux les monstres hideux. C’est peut-être la clé !!

  22. Bonjour
    Je suis un ferme partisan de la paix et alerte sur le danger d’un conflit nucléaire;;;et je reste très prudent sur qui ,et le principal facteur de guerre.
    Mais, je trouve votre position trop pro – américaine, les USA serais une pauvre victime, innocente, impuissante
    la Russie, la Chine ou d’autres le diable
    Comment pouvais vous affirmer a 100% que Trump et l’homme de Poutine,
    que les espions Russes sont les plus fort, que les espions US ou Anglais sont minables ou inefficace
    Vision un peut simpliste
    Vous oublier la NSA, Assange, Snowden, les multiples guerres des USA (officiel ou secrètes), pour déstabiliser plein de pays, notamment la Chine, la Russie, l’Iran, le Venezuela….et j’en passe, en Amérique du sud. Tout simplement les multiples manipulations , tripatouillages des services de renseignements, fort nombreux 8 agences d’espionnages (aux USA), un nombres important d’employés, et des budgets pharaoniques….
    la simple différences c’est que les USA ne disent pas , ce qu’ils font, dans ces pays, comment ils agissent, il ne présente que leurs échecs supposés.
    pas leur succès. Peut être que les USA , on la capacité de neutraliser les ogives nucléaires Russes, mais il ne le disent pas…..Dans la gurre de l’espionnage , sous ces différentes formes , informatique, cyberattaques, ou autres , il faut être trés prudent et surtout éviter de croire que, ou de faire croire que, nous occidentaux sommes des blanches colombes innocentes, des victimes des attaques Russes , Chinoises ou autres, et que nous occidentaux n’agissons pas ou ne faisons que répondre aux attaques d’en face.
    Ce qu’il faudrait surtout dire, c’est dénoncer ce scandale, ou on passe des sommes gigantesques, et des moyens en techniques et personnes; dans l’armement , la guerre, et sont corollaire qui va avec l’espionnage, le renseignement, avec ses multiples magouilles et tripatouillages, ce gaspillage d’énergies dans :comment on va pouvoir déstabiliser l’autres. ET la dessus il faut mettre sur un plan d’égalité…les USA, la Russie, la Chine et d’autres pays comme la France, la GB, et j’en passe.

    1. Je suis un ferme partisan de la paix et alerte sur le danger d’un conflit nucléaire… et je reste très prudent sur qui ,et le principal facteur de guerre.

      Si vous me lisiez vous seriez au courant du fait que je suis une des très rares personnes aujourd’hui à alerter constamment sur le danger nucléaire (cf. en particulier dans Comment sauver le genre humain).

      Mais, je trouve votre position trop pro – américaine, les USA serais une pauvre victime, innocente, impuissante
      la Russie, la Chine ou d’autres le diable.

      Tiens ! Ça me change un peu ! On me reproche d’habitude de faire de la Chine, le bon dieu, et de tout le reste, le diable !

      Comment pouvais vous affirmer a 100% que Trump et l’homme de Poutine,
      que les espions Russes sont les plus fort, que les espions US ou Anglais sont minables ou inefficace

      Là, la réponse est simple : en ayant étudié le dossier. Sur “les espions US ou Anglais sont minables ou inefficaces”, lisez les rapports récents par les intéressés eux-mêmes : ils sont en ce moment les premiers à l’affirmer.

      Vous oublier la NSA, Assange, Snowden, les multiples guerres des USA (officiel ou secrètes), pour déstabiliser plein de pays, notamment la Chine, la Russie, l’Iran, le Venezuela….et j’en passe, en Amérique du sud.

      Qui a publié en 2011 le premier livre en français consacré à Assange ? Qui a publié ici, aussitôt l’affaire Snowden connue, un billet intitulé “L’Amérique a trouvé son Nelson Mandela” ? Qui parle encore aujourd’hui de la guerre du Vietnam ? Qui parle encore aujourd’hui, à part moi, du renversement de Mossadegh ? Qui dénonce encore aujourd’hui l’annexion d’Hawaï, sinon moi ?

      On n’est pas obligé de me lire mais on peut s’abstenir de m’attribuer des positions qui ne sont pas les miennes.

      1
      1. Bonjour
        Alors avec mes excuses, je vous lis assez souvent et je vous apprécie (bien que je ne suis pas d’accord sur tout) , mais parfois, a vous écouter on a tendance a penser que les USA c’est bien , surtout les Démocrates aux USA ….affirmez plus souvent, et fermement, vos désaccord avec la politiques US. Sans vouloir vous faire la leçons.
        N’oublions pas , que mêmes sous la présidence Clinton, les USA espionnez ses alliées et pratiquez l’espionnage industriel
        Vous avez vu le film “Vice” aussi, sur Dark vador (dick cheney), édifiant !,par qui sommes nous gouvernez !?; que cela soit des démocrates ou des républicains…..
        On parle beaucoup de la manipulation et du complôtisme, et des fakes news pour moi un des principal accélérateur de ce phénomène, a été :1 la guerre d’Irak sur le plan internationale, avec la fameuse fiole( cela avez commencer aussi avec la guerre en yougoslavie), ou nos dirigeants mentez , manipulez les opinions, pour justifier des guerres, on, trompé les gens. 2 le réferendum européens sur maastrich, sur le plan intérieur, ou un matraquage délirants pour faire voter les gens dans le “bon sens”, plus bien sur les effets de la crises économiques. les gens , ont compris qu’on les trimbaler, les manipuler, et que les “élites” classe politique, n’étaient plus crédibles. Et bien sur les médias co – responsables, avec une grande parti des intellectuels , qui n’ont pas jouer leur rôle de lanceurs d’alerte et de critiques.

        1. Oui, bien sûr, et il s’agit de choses que j’ai d’ailleurs dénoncées au moment où elles se passaient. Je ne suis pas un soutien des Démocrates. Pendant les 12 années que j’ai passées aux États-Unis, j’ai participé aux initiatives des Quakers et j’ai été un soutien actif de l’ACLU. Je ne m’en suis jamais caché.

Les commentaires sont fermés.