• En Suisse, on encourage les hackers à pirater le système de vote électronique
    https://www.lemonde.fr/pixels/article/2019/02/25/les-hackers-invites-a-pirater-le-systeme-de-vote-electronique-suisse_5428208

    Pour rassurer ceux qui critiquent la fiabilité de ce dispositif, les autorités font appel à des hackers pour trouver la moindre faille. Depuis le lundi 25 février et jusqu’au 24 mars, 2 700 hackers du monde entier ont l’autorisation d’attaquer et de pirater le système électoral suisse. La Swiss Post a lancé, lundi à midi, une fausse élection pour soumettre à tous de possibles failles de sécurité dans le logiciel de vote électronique de son partenaire espagnol, Scytl, propriétaire du seul système certifié (...)

    #vote #élections #hacking

  • L’Internet mondial visé par une vague d’attaques informatiques inédite
    https://www.latribune.fr/technos-medias/informatique/l-internet-mondial-vise-par-une-vague-d-attaques-informatiques-inedite-808

    L’internet mondial est actuellement visé par une vague d’attaques informatiques d’une ampleur inédite, qui consistent à modifier les adresses des sites internet pour les pirater. L’information a été confirmée ce lundi 25 février par le secrétaire d’État français chargé du numérique, Mounir Mahjoubi.

    Des pirates informatiques ont attaqué l’annuaire central de l’internet, l’#Icann, ce qui leur a donné potentiellement accès à toutes sortes de données, a confirmé ce lundi matin le secrétaire d’État français chargé du numérique, Mounir Mahjoubi. Fondée en 1998, l’Icann coordonne à l’échelle internationale les identifiants uniques qui permettent aux ordinateurs du monde entier de s’identifier entre eux. C’est cette organisation à but non lucratif qui a donné l’alerte le 22 février dernier.

    « Ce que les pirates ont réussi à faire est quelque chose de très rare : ils ont piraté l’annuaire et chaque fois que vous mettez l’adresse (d’un site internet), au lieu d’aller sur la vraie machine, ils nous amenaient sur une autre machine qui leur appartient. Vous avez l’impression d’être sur le site (...) sauf qu’en fait vous êtes sur la machine de ceux qui vous attaquent (...) Ils peuvent récupérer vos données, ils peuvent les utiliser pour se reconnecter, pour prendre de l’argent. »

    Mounir Mahjoubi a déclaré ne pas être en mesure de dire à ce stade qui était derrière ses attaques ni de savoir ce que les pirates avaient fait des connections qu’ils avaient pu établir. Aussi, il n’a pas dit si les attaques contre l’Icann avaient pu être neutralisées ou avaient cessé.

    Selon des experts extérieurs à l’ICANN interrogés par l’AFP, les pirates ciblent aussi bien des gouvernements que des services de renseignements ou de police, des compagnies aériennes ou l’industrie pétrolière et ce, au Moyen-Orient ou en Europe. L’un d’entre eux estime, en outre, que ces attaques ont pour origine l’Iran.

    Ils « s’attaquent à l’infrastructure internet elle-même », a indiqué vendredi à l’AFP David Conrad un des responsables de l’ICANN, qui évoque une campagne « inédite à très grande échelle », qui s’est extraordinairement intensifiée très récemment.

    « Il y a déjà eu des attaques ciblées mais jamais comme ça », a-t-il ajouté après une réunion d’urgence de l’organisation vendredi.

    • « Confirmé par le ministre » C’est merveilleux, la France. Rien ne s’est produit tant que ça n’a pas été confirmé par le ministre, même si ça ne relève en rien de son action. « Le ministre confirme que ce mois de février est chaud » « Le ministre confirme que les français soutiennent la politique du gouvernement »

    • Une attaque qui vise le cœur d’Internet serait en cours… pas si sûr !

      Sous un titre se voulant rassurant, un contenu qui ne l’est pas forcément…

      https://www.latribune.fr/opinions/tribunes/une-attaque-qui-vise-le-coeur-d-internet-serait-en-cours-808677.html

      L’attaque, qui fait peur à l’ICANN, a réussi à contourner cette double défense. La liste des sites qui ont pu être victimes de ce piratage subtil interpelle. On y trouve des sites webmail du gouvernement chypriote, du ministère des Affaires étrangères des Émirats arabes unis, du ministère des Finances du Liban. Des serveurs mails du ministère des Affaires étrangères égyptien, du bureau de l’aviation civile du Koweït, du ministère du Pétrole égyptien et celui d’une compagnie aérienne ont aussi été visés. Des sites web du ministère de la défense égyptien, des services secrets d’Albanie et de Jordanie, l’accès à distance au réseau informatique de la police d’Abu Dhabi terminent cette liste non exhaustive. Le trafic vers tous ces sites a pu être redirigé vers des serveurs contrôlés par les pirates. Les pays de ces sites sont très ciblés : Albanie, Chypre, l’Égypte, l’Iraq, la Jordanie, le Koweït, le Liban, la Libye , l’Arabie Saoudite, et les Émirats arabes unis. Il n’en a pas fallu plus pour mettre en cause l’Iran.
      […]
      Le piratage a été mis en évidence en vérifiant vers quels serveurs web pointaient les noms de sites web officiels de plusieurs pays du Moyen Orient repris ci-dessus. Alors qu’ils n’avaient pas changé depuis des années, subitement ces dernières semaines ces sites web pointaient désormais temporairement (de quelques heures à quelques jours) vers des serveurs hébergés en Allemagne.

      Deux gestionnaires de serveurs DNS ont été attaqués, l’un en Suède, l’autre en Californie. L’un et l’autre contrôlent un très grand nombre de noms de domaines (des serveurs racines de noms de domaines). Le gestionnaire suédois a d’abord vu la partie de son système sans DNSSEC attaquée, ce qui a permis plus facilement aux pirates de réaliser des modifications dans les tables de relation entre les noms des sites web et les adresses IP des serveurs correspondants. Pour ce faire, ils ont pu utiliser, peut-on penser, un login et un mot de passe volé auprès d’un service d’enregistrement de noms de domaines ; ce sont eux en effet qui annoncent les changements dans les noms de domaines, les nouveaux noms de domaines enregistrés, les modifications et les transferts. Le gestionnaire suédois a expliqué que ses clients, du Moyen Orient en l’occurrence, n’implémentent pas tous DNSSEC même si lui le fait pour sa propre infrastructure.

      Mais les pirates ont aussi réussi à compromettre la partie DNSSEC, et c’est toujours via le service d’enregistrement de noms de domaines qu’ils y sont parvenus... Depuis celui-ci, ils ont réussi à arrêter le protocole DNSSEC pendant un temps pour écouter les communications sur le réseau et de collecter les mots de passe des utilisateurs envoyés pour accéder à leurs emails et pour se connecter à distance au réseau de leurs entreprises. L’idée était sans doute de pouvoir accéder aux mails des officiels des pays imapctés. Là où ils n’ont pas pu (ou oublié d’) interrompre le protocole DNSSEC, les employés ont vu cette sécurité bien fonctionner : le service email fut interrompu sans que cela n’inquiète les utilisateurs). On a aussi pu mettre en évidence que les pirates ont réussi à obtenir de nouveaux certificats pour les sites web qu’il avait redirigés vers leurs serveurs.

      L’extrême sophistication de l’attaque met en émoi la communauté cyber : le protocole DNSSEC a été contourné par une accumulation de faiblesses organisationnelles périphériques : des certificats d’authenticité donnés un peu complaisamment, des services d’enregistrement de noms de domaines trop peu regardants sur la manière d’authentifier leurs agents, peu de précautions prises par ces derniers lors des demandes de modification d’un serveur qui héberge un site web ou un service mail. La leçon est toujours la même : lorsqu’un protocole semble sûr (DNSSEC), les pirates cherchent alors à profiter des faiblesses organisationnelles et des négligences humaines. Pour les 80% du web non encore protégé par DNSSEC, c’est encore plus simple. L’ICANN a raison de sortir de sa réserve.

    • suite à fausse manœuvre de ma part, le commentaire (msg 763227) de @stephane sur le deuxième article de la Tribune apparait en commentaire du commentaire (msg 763156) citant ce deuxième article et n’apparait donc pas ici… je le reprends donc pour garder le fil.

      Stéphane Bortzmeyer - 26/02/2019 14:59:55

      Plein d’erreurs techniques énormes dans cet article : si, DNS peut utiliser TCP, non DNSSEC n’introduit pas d’aléatoire (ils confondent avec SPR), non, DNSSEC ne chiffre pas, et ces attaques n’utilisaient pas de techniques DNS de tout façon.