Archive | CyberDefense

Quand WannaCry bouscule mon petit quotidien…

Wannacry-ransomware Infection Map

Wannacry-ransomware Infection Map

Je n’avais pas prévu d’être interviewé par Hit West sur le sujet… mais suivez bien mon intervention entre Nekfeu et Zayn 🙂
Pour plus de détails, voir mes notes sur le sujet ci-dessous.

Extrait de l’article de Silicon.fr:

WannaCry est un ransomware dont la première version a été détectée pour la première fois le 10 février dernier par un chercheur de Malwarebytes.
La souche a fait ses premiers pas lors d’une brève campagne menée le 25 mars dernier. Sa deuxième version, qui a démarré ses ravages massifs le 12 mai, conserve les caractéristiques essentielles d’un ransomware : l’envoi par un e-mail piégé, une pièce jointe (Word ou PDF) qui déclenche l’infection, un chiffrement des données (documents, images, musique et autres) et une demande de rançon en bitcoins afin de restaurer l’accès aux informations prises en otage (dans le cas présent, l’équivalent de 300 dollars).

Mécanisme d’infection des plus banals + remerciements NSA / ShadowBrokers pour la large diffusion (cf la clef de déchiffrement publiée le 8 avril 2017 dans un article des ShadowBrokers intitulé Don’t forget your base)

Heureusement Microsoft avait patché …

Microsoft Security Bulletin MS17-010 – Critical
Security Update for Microsoft Windows SMB Server (4013389)
Published: March 14, 2017
Version: 1.0

Vendredi 12 mai 2017: gros phishing avec ver qui chiffre les disques + exploitation des vulnérabilités NSA

Excellente synthèse de NoLimitSecu https://www.nolimitsecu.fr/wannacry/ et article de Troy Hunt

Validation Metasploit : https://www.rapid7.com/db/modules/auxiliary/scanner/smb/smb_ms17_010

Kill switch iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com = évitement de sandbox ?

Grosse blague de la découverte par erreur 22-year-old from south-west England who works for Kryptos logic, an LA-based threat intelligence company.
C’est une découverte accidentelle dans le sens où quand il a déposé le nom de domaine il ne savait pas que cela stopperait le ver (sous certaines conditions): https://www.malwaretech.com/2017/05/how-to-accidentally-stop-a-global-cyber-attacks.html

Il déclare même « My job is to look for ways we can track and potentially stop botnets (and other kinds of malware), so I’m always on the lookout to pick up unregistered malware control server (C2) domains. In fact I registered several thousand of such domains in the past years« .

Analyse par Virus total : https://www.virustotal.com/en/file/24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea04703480b1022c/analysis/

https://www.endgame.com/blog/wcrywanacry-ransomware-technical-analysis

wcry

wcry

Du coup, je fais quoi ???

Synthèse des recommandations avec les outils que je maîtrise: Fighting WannaCry with Rapid7

Le meilleur point de départ est sans doute ce blog post publié le premier jour de l’attaque: https://community.rapid7.com/community/infosec/blog/2017/05/12/wanna-decryptor-wncry-ransomware-explained

Quelques points intéressants:
· Le projet SONAR nous donne des tendances sur les terminaux qui exposent le protocole SMB potentiellement vulnérable.
· Le projet HEISENBERG monitore également la recrudescence des scans, des attaques et des techniques
· Base de vulnérabilités: Nexpose intègre bien un check depuis le 14/03/2017 et qui couvre semble-t-il toutes les versions vulnérables (de XP à Windows Server 2016)
· Metasploit: Un module auxiliaire est intégré dans la base Metasploit. Pas de panique, ce n’est donc pas un exploit mais un bout de code non armé qui permet de tester si la machine est vulnérable et ainsi répondre à la question : est-ce que ma machine est correctement protégée ? Ce peut être intéressant lors de l’application d’une contre-mesure par exemple ou sans disposer de Nexpose, si un patch est correctement appliqué.
· Une recherche dans la base à partager : https://rapid7.com/db/search?utf8=%E2%9C%93&q=MS17-010&t=a

CVE pour template Nexpose:

CVE-2017-0143
CVE-2017-0144
CVE-2017-0145
CVE-2017-0146
CVE-2017-0147
CVE-2017-0148

Posted in Boulot, CyberDefenseCommentaires fermés sur Quand WannaCry bouscule mon petit quotidien…

Under Attack ?

Under Attack on 2016-01-28

Under Attack on 2016-01-28


Petits tests depuis ZAP à l’ENSIBS 🙂

De 100 pages vues par jour à 16 000 aujourd’hui.

Posted in Boulot, Clic, CyberDefense, Hack1 Commentaire

Hackers partout, sécu nulle part ?

Lockpicker Training

Lockpicker Training

On en parle le samedi 23 janvier 2016 du côté de Vannes à l’ENSIBS à l’occasion d’un nouvel évènement du HackLab.

J’essaierai de vous éclairer sur le sujet en essayant de ne pas enfoncer que des portes ouvertes.

Quand Xavier Niel piratait l'Elysée

Quand Xavier Niel piratait l’Elysée


Je vous re-sortirai à cette occasions pas mal de vieilleries de mon adolescence … mais pas mon Commodore 64 !
Si vous ne vous souvenez pas de War Games (sorti en 1983) ou que vous n’avez pas eu le temps de lire L’éthique des hackers de Steven Levy, trop occupé que vous étiez à guerroyer sur Clash of Clans, c’est l’occasion de lancer une petit rafraichissement.

On frissonnera à la vue des prouesses techniques de ce BG de Nicholas Hathaway dans Hacker et on se tapera quelques bonnes barres en re-découvrant quelques récentes productions institutionnelles de la cybersécurité.

Du sérieux au futile, du politiquement correct à la limite de l’irrespectueux… je tenterai de vous faire partager ma vision du hacking.

Bref, il fait tout gris, alors lâchez votre PS4 et viendez vous ouvrir l’esprit !
Début à 14h00, fin à plus soif.
Désolé pour ceux qui ont déjà eu à me supporter jeudi et vendredi 🙂

Hackable Janvier-Février 2016

Hackable Janvier-Février 2016


La bête est à poste

La bête est à poste


Le badge #NDH2k15

Le badge #NDH2k15


Hackers: Heroes of the Computer Revolution.

Hackers: Heroes of the Computer Revolution


Notes :

http://phrack.org/issues/7/3.html
https://fr.wikipedia.org/wiki/Steven_Levy
https://fr.wikipedia.org/wiki/L’%C3%89thique_des_hackers
http://framablog.org/2013/01/15/manifeste-du-hacker-aaron-swartz/
http://www.lesinrocks.com/2013/03/11/actualite/steven-levy-le-sens-du-mot-hacker-a-considerablement-evolue-11372889/

Posted in Boulot, CyberDefense, HackCommentaires fermés sur Hackers partout, sécu nulle part ?

En mode hacker…

Carburer au Club-Mate à Numa

Carburer au Club-Mate à Numa

Fin de semaine et WE très chargés entre Hack In Paris, Pas Sage En Seine et Nuit du Hack

De bien belles rencontres et quelques moment de répit à Numa.

Je vous raconte sous peu !

Le badge #NDH2k15

Le badge #NDH2k15

Posted in Crypto, CyberDefense, FêteCommentaires fermés sur En mode hacker…

Défense : livraisons 2014

Voici les principaux matériels qui devraient être livrés l’an prochain. Je n’invente rien, je repompe la liste publiée par JeanDo Merchet :

-13 Rafale (dont 2 Rafale marine F1 rétrofités)

– 4 A400 M

– le satellite de communications franco-italien Sicral

– 1 Awacs (rénové)

– 4 hélicoptères Tigre (appui destruction)

– 7 hélicoptères Caïman (dont 3 en version navale)

– 5 hélicoptères Cougar rénovés

– 1 Falcon 50 transformé pour la surveillance maritime

– 1 frégate multimissions (Normandie)

– 1 système de défense sol-air Mamba

– 77 VBCI

– 13 lance-roquettes unitaires

– 115 camions PPT

– 4 036 équipements Félin et 1 500 nouveaux parachutes EPC

– Au chapitre des munitions :

  • 220 AASM,
  • 25 torpilles MU 90,
  • 60 missiles de croisière navals,
  • 10 missiles Aster 15,
  • 7 missiles Aster 30,
  • 300 missiles Mitral (rénovés)

– Le centre de commandement, de détection et de contrôle des opérations aériennes de Lyon ainsi que trois radars haute et moyenne altitude

– Toute une série d’équipement SIC :

  • 6 stations de communications Astride,
  • 16 kits de numérisation Numtact,
  • 44 sites du réseau RDIP,
  • 26 modules projetables SIA,
  • 15 réseaux navals Rifan étape 2,
  • 3 stations de communication Syracuse III,
  • 40 stations sol Comcept,
  • ainsi que des moyens de cyberdéfense (PC sous Windows 8<= bad joke). 

Et je croise avec les informations de Mer&Marine

Le ministre de la Défense a présenté hier son projet de loi de finances pour 2014. Jean-Yves Le Drian prévoit un budget de 31.4 milliards d’euros (dont 16.5 milliards de crédits d’équipement) l’an prochain, soit dit-il 1.5% du produit intérieur brut de la France et un effort financier maintenu par rapport à cette année. Ce PLF, qui devra être voté par le parlement, où l’examen de la nouvelle loi de programmation militaire se poursuit, constituera la première annuité de la LPM 2014 – 2019. Pour ce qui est des contrats concernant spécifiquement la Marine nationale, divers équipements seront livrés ou notifiés l’an prochain.

Les contrats devant être signés

Côté commandes, la plus importante sera celle du quatrième sous-marin nucléaire d’attaque du type Barracuda, un investissement qui était initialement prévu cette année. Le programme, qui doit comprendre six SNA, fait l’objet d’un léger étalement, soit environ un an, ce qui reporte la livraison du second de la série, le Duguay-Trouin, en 2020 au lieu de 2019, date à laquelle seule la tête de série, le Suffren, sera en service.

Alors que la DGA passera commande de 20 torpilles lourdes Artémis  (F21), destinées aux nouveaux SNA ainsi qu’aux sous-marins nucléaires lanceurs d’engins, dans le domaine de la dissuasion, les travaux portant sur la nouvelle version du missile balistique M51, qui équipe progressivement les SNLE depuis 2010, débuteront également l’an prochain. Les études de conception de la nouvelle génération de sous-marins stratégique (SNLE 3G) vont en outre se poursuivre.

Alors que deux patrouilleurs légers destinés à la Guyane (PLG) seront commandés en 2014, la Direction Générale de l’armement doit également notifier 6 réseaux intranet RIFAN 2.

Les équipements devant être réceptionnés  

Côté livraisons, le projet de loi de finances prévoit la réception, par la Marine nationale, de sa seconde frégate multi-missions  (FREMM), la Normandie, qui sera la première à mettre en œuvre le missile de croisière naval.

Les 60 premiers MdCN (appellation des militaires français pour le Scalp Naval) doivent d’ailleurs être livrés l’an prochain par MBDA. L’industriel poursuivra dans le même temps ses livraisons de missiles surface-air Aster 15 (10) et Aster 30 (7).

Toujours dans le domaine de l’armement, 25 torpilles légères MU90 seront livrées par le site DCNS de Saint-Tropez.

L’aéronautique navale recevra, pour sa part, ses deux premiers Rafale ex-F1 portés au standard F3 (les 10 avions de ce type seront modernisés d’ici 2017) et continuera de recevoir des appareils neufs, soit normalement deux avions sur les 11 que Dassault doit livrer l’an prochain.  L’avionneur achèvera par ailleurs la transformation d’un Falcon 50 anciennement utilisé pour le transport de personnalités en avion de surveillance maritime (le premier a été livré cet été, le second devrait l’être d’ici la fin de l’année et le dernier en 2015). En parallèle, quatre Atlantique 2 abandonneront la patrouille maritime pour se consacrer exclusivement à la surveillance maritime. Dans le domaine des hélicoptères, la marine recevra trois nouveaux Caïman (NH90).

On notera, enfin, que le système de surveillance côtier SPATIONAV, qui monte en puissance en métropole,  commencera son déploiement outre-mer en 2014 (zone Antilles-Guyane et Mayotte normalement).

Des notifications encore attendues d’ici la fin de l’année

 

 

A noter que certaines commandes prévues sur le PLF 2013 doivent encore intervenir d’ici la fin de cette année. Alors que la signature du contrat portant sur la rénovation de 15 Atlantique 2 doit intervenir ce vendredi, on attend également la notification, autour du mois de novembre, des trois bâtiments multi-missions (B2M) chargés de remplacer les bâtiments de transport léger (Batral) outre-mer. De même, le programme des bâtiments de soutien et d’assistance hauturier (BSAH), inscrit au PLF 2013, n’est toujours pas lancé. Vu qu’il n’apparait pas dans le PLF 2014, il devrait lui aussi être notifié d’ici la fin décembre, bien qu’il semble que l’accouchement de ce projet, qui porte sur huit bâtiments et doit comprendre un partenariat public-privé, soit assez complexe.   

 oncernant les effectifs, on ne sait toujours pas de combien de marins la flotte française va devoir se séparer. Alors que le ministre de la Défense a décidé de supprimer 23.500 postes d’ici 2019, s’ajoutant aux 54.000 de la LPM précédente (dont 10.000 restent encore à supprimer). Jean-Yves Le Drian a indiqué hier que 7881 emplois seront retranchés des effectifs de la Défense en 2014. Le ministre a, par ailleurs, annoncé une première série de fermetures et réorganisations de bases, aucune ne touchant la marine. 

 

Posted in CyberDefenseCommentaires fermés sur Défense : livraisons 2014

ENSIBS. Cyberdéfense : une formation unique en France

Conférence de presse ENSIBS

Conférence de presse ENSIBS

J’assistais hier soir à la conférence de presse de présentation de la formation Cyberdefense sur le Campus de l’ENSIBS.

La formation d’ingénieur en alternance semble bien née parrainée par les acteur suivants présents à la table ronde :

  • Thierry Evanno (Alcatel-Lucent),
  • Patrick  Coat (Orange),
  • Bernard Pouliquen (Région Bretagne),
  • Jean Peeters (Université de Bretagne Sud),
  • Pierre Monfort (It2i et UIMM)

Les 27 élèves de la première promo, sélectionnés parmi 200 candidats et accompagné d’une centaine de personnes ont suivi en direct de l’amphi cette présentation conduite par Charles Préaux, instigateur et directeur de cette nouvelle formation.

Plusieurs acteurs de la Défense étaient aussi présents pour insister sur les partenariats avec les Ecoles de Saint Cyr Coetquidan et la DGA.

« Ce projet répond à une préoccupation exprimée dès juin 2008 dans le Livre blanc de la Défense et de la sécurité nationale qui retient le risque d’une attaque informatique comme l’une des menaces majeures des quinze prochaines années. D’où l’intérêt de développer la formation dans le domaine de la défense et de la sécurité des systèmes d’information. »

Conférence de presse CyberDefense ENSIBS

Conférence de presse CyberDefense ENSIBS

Petit détail amusant : l’assemblée réunie dans l’amphi a pu profiter d’une superbe vue  projetant malicieusement sur l’écran mural l’image d’un bon vieux XP avec un plugin java. Comme quoi, il y a vraiment du travail 🙂

 

 

Posted in CyberDefense1 Commentaire