Alert (AA22-103A), par Anton Klimm

Je suis informaticien, je vois les alertes majeures quant aux logiciels malveillants compromettant tout le code Microsoft. Je suis consultant Senior en informatique mais pas encadrant.

Ce soir j’essaye de joindre un sous-directeur d’une des plus grosses sociétés de service informatique française, injoignable ! Deux spécialistes de la sécurité informatique, certes à 22h00, mais injoignables aussi, j’envoie les liens expliquant que les logiciels Microsoft sont compromis et je n’ai que des gens qui dorment ou me répondent par un SMS « Allez bonne nuit »

Comment des gens qui ont des postes de sécurité dans des grandes entreprises françaises peuvent-ils être aussi inconséquents, pour ne pas dire incompétents ?

Peut-on parler de « responsabilité » ou de « fonction » si l’on dort au moment où existe pour notre entreprise un risque majeur de sécurité ?

Pour l’instant et à défaut de mieux, mais au plus vite, installez des systèmes d’exploitation Linux ou mettez à disposition un autre PC avec Linux pour les responsables et intervenants les plus importants !

P.S. Cette mesure doit être temporaire car il est probable que Linux est lui aussi partiellement compromis.

Partager :

14 réponses à “Alert (AA22-103A), par Anton Klimm”

  1. Avatar de okko
    okko

    Ca ne concerne pas les ordi de bureau ce malware que je sache. Mais des machines très spécifique de type custom embarque qui tourne sur un windows embedded ou une image linux custom pour des opérations industrielles. Mr tout le monde n as pas besoin d’installer Linux sur son pc.

  2. Avatar de L.Pointal
    L.Pointal

    Les machines de bureau servent souvent de relai pour atteindre les systèmes embarqués ±industriels.

  3. Avatar de ez
    ez

    Tout le monde semble avoir oublié Snowden et ses révélations du système d’espionnage de masse PRISM (2013) auquel tous les GAFAM ont participé. Si des portes dérobées ont été intentionnellement créées pour servir les agences de renseignements alors elles peuvent également être détournées par des entités criminelles ou servant les interêts de puissances belligérantes. Les distributions libres ne sont pas exemples de failles. On en découvre régulièrement. Leur avantage par rapport aux logiciels commerciaux est que leur code source est consultable par tous et qu’une petite communauté dévouée veille à en faire la publicité et à les réparer aussitôt qu’elles sont détectées. Les distributions SUSE (https://www.cert.ssi.gouv.fr/avis/CERTFR-2022-AVI-341/), Redhat (https://www.cert.ssi.gouv.fr/avis/CERTFR-2022-AVI-322/), Ubuntu (https://www.cert.ssi.gouv.fr/avis/CERTFR-2022-AVI-343/) ont fait récemment (14 Avril) l’objet de communications concernant des vulnérabilités dans leur noyau permettant l’exécution de code arbitraire, déni de service, atteinte à la confidentialité des données, élévation de privilèges. Parfois les vulnérabilités sont logées dans le hardware et son micro-code. Par exemple Intel n’est toujours pas débarrassé des vulnérabilités qui affectent ses microprocesseurs et qui ont connues sous les noms de Meldown et Spectre, voir https://meltdownattack.com et https://www.intel.com/content/www/us/en/developer/topic-technology/software-security-guidance/processors-affected-consolidated-product-cpu-model.html.

    1. Avatar de Ruiz

      @ez La récente parution de ces failles Linux ne montre pas qu’elles soient récentes, ce qui veut dire que la sécurité par la publication du code est une illusion, si ces corrections sont proposées maintenant n’est-ce pas à cause d’un risque accru lié à des activités agressives décelées ?

  4. Avatar de rainbow
    rainbow

    Je travaille dans une usine et nous avons ce style de Windows-embedded avec des PLC Schneider. Le problème c’est que ces automates ont accès au réseau de l’organisation parce qu’il faut alimenter en données ces automates et donc peut infecter potentiellement d’autre postes par ricochet. Les protections sont rares dans le domaine.

    Pour avoir entendu ces derniers mois plusieurs usines piratées avec un blocage de production pendant plusieurs jours, il faut prendre cela au sérieux. La plus grande aluminerie d’Amérique du Nord a d’ailleurs été piratée au début de la guerre.

  5. Avatar de blawete
    blawete

    Les États-Unis affirment que des pirates informatiques avancés ont montré leur capacité à détourner des infrastructures critiques
    13/04/2022 | 20:19

    https://www.zonebourse.com/cours/action/PALO-ALTO-NETWORKS-INC-11067980/actualite/Les-Etats-Unis-affirment-que-des-pirates-informatiques-avances-ont-montre-leur-capacite-a-detourner-40047336/

  6. Avatar de Ruiz

    Les gens compétents savent depuis longtemps que tous ces logiciels en particulier les OS Microsoft sont compromis.
    Il n’est pas de logiciel sur une machine liée plus ou moins lachement à Internet ou accessible à une clé USB qui ne puisse être compromis.
    La question est de savoir si on cherche à savoir comment et par qui, pour un responsable informatique si on lui donne les moyens suffisants pour le faire et faire adopter l’organisation et l’architecture la plus adaptée.

    Tant qu’il n’y aura pas de crise majeure les budgets ne seront pas alloués et les décisions iront toujours vers le moindre coût, l’usage de solutions externalisées, internationalisées et les plus courantes.

    La NSA s’est intéressée à Linux … et TOR vient de la marine américaine.

    1. Avatar de rainbow
      rainbow

      C’est très vrai pour le budget mais aussi pour un problème de confort des utilisateurs qui souvent n’arrêtent pas de râler sur les contre-mesures avec authentification à 2 facteurs. Si la direction ne veut pas brusquer ses employés et vous n’imaginez pas le nombre d’heures par jour que les gens râlent sur les logiciels informatiques (trop lent, pas pratique, veut ci, veut ca, pourquoi c’est pas encore fait), rien ne va être mis en place jusqu’à ce qu’un drame arrive.

  7. Avatar de DENARD Bob
    DENARD Bob

    il n’y a pas de raison intrinsèque que Windows soit plus compromis qu’un des nombreux forks LINUX (forks dont la variété est, disons, arborescente, problème auquel il faut rajouter tous les machins développés sous des bibliothèques python et autre, dont le niveau d’audit est sans doute pathétique).

    Pour ce qui est de l’alerte AA22-103A, d’une part comme dit ci-dessus, on est sur du SCADA, et d’autre part, l’alerte est diffusée professionnellement depuis deux jours. Pour finir, il est possible aussi de faire des messages sous Linkedin, avec un réseau ad hoc, ça passe bien.

    1. Avatar de Jean-Baptiste Auxiètre
      Jean-Baptiste Auxiètre

      C’est hélas l’inverse qui est vrai : les logiciels Microsoft sont certainement autant compromis que Linux : cependant les codes Linux sont relus et les failles publiées ! C’est pourquoi à priori les logiciels Microsoft seraient plus compromis.

      1. Avatar de Nicolas
        Nicolas

        Quand les codes sont disponibles, ils peuvent en effet être relus. C’est ce qui nous est présenté comme élément fondamental de la sécurité des logiciels libres (dont Linux). Cependant, on entre parfois dans des choses très spécifiques et j’aimerais savoir combien il reste concrètement de relecteurs.
        Une faille récente concerne l’authentification LDAP (standard de gestion des utilisateurs) de NGINX (serveur web libre). C’est évidemment utilisé par plein de monde, mais combien de personnes maintiennent concrètement ?

    2. Avatar de Ruiz

      @DENARD Bob L’attaque possible de systêmes SCADA, n’est pas nouvelle en particulier pour Siemens illustrée il y a plus de 10 ans avec STUXNET, mais aussi plus récemment :
      https://securityaffairs.co/wordpress/89720/hacking/siemens-simatic-s7-hack.html

  8. Avatar de Nicolas
    Nicolas

    Professionnels, nous avons la naïveté de croire que la sécurité matérielle serait transposable dans le virtuel de l’informatique et des télécoms. Avouons-le nous : la saisie des mots de passe, la validation par téléphone portable (nommée MFA en langue professionnelle), retrouver ses codes pour les impôts, c’est pénible.
    Vos responsables ne répondent pas parce qu’ils sont fatigués de leur journée, parce que, passée la réception du salaire, ce sont des métiers globalement pénibles (sauf peut-être les dix premières années quand on est encore ébahi par la cathédrale des systèmes d’exploitation).
    Allez, bon week-end de Pâques et n’oubliez pas de payer en espèces.

    1. Avatar de Ruiz

      @Nicolas La double authentification par téléphone portable n’est pas uniquement un moyen apparent revendiqué de sécurisation, mais surtout un moyen de fichage généralisé et d’exploitation de big data par interconnection de fichiers.

      C’est pour celà qu’elle tend à être généralisée …

      Au lieu d’un mot de passe éventuellement compliqué partagé localement à la discrétion utilisateur/serveur, un numéro de téléphone portable constituant un identificateur de rapprochement avec d’autres activités et un moyen de paiement identifiant (prélèvement CB) (=> utiliser un téléphone dédié payé par l’entité en charge du serveur ou sans abonnement) et qui permet une géolocalisation datée (utiliser le répondeur ?).

Répondre à Ruiz Annuler la réponse

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Contact

Contactez Paul Jorion

Commentaires récents

Articles récents

Catégories

Archives

Tags

Allemagne Aristote bancor BCE Bourse Brexit capitalisme centrale nucléaire de Fukushima ChatGPT Chine Confinement Coronavirus Covid-19 dette dette publique Donald Trump Emmanuel Macron Espagne Etats-Unis Europe extinction du genre humain FMI France Grèce intelligence artificielle interdiction des paris sur les fluctuations de prix Italie Japon John Maynard Keynes Karl Marx pandémie Portugal psychanalyse robotisation Royaume-Uni Russie réchauffement climatique Réfugiés spéculation Thomas Piketty Ukraine ultralibéralisme Vladimir Poutine zone euro « Le dernier qui s'en va éteint la lumière »

Meta