Archives du mot-clé France

Orly : les avions n’ont pas décollés à cause de Windows 3.1

Incroyable mais vrai, le 7 novembre dernier des avions sont restés cloués au sol à l’aéroport d’Orly en raison d’un bug informatique qui a touché une machine… sous Windows 3.1.

Le système faisait tourner un logiciel baptisé DECOR qui transmet aux pilotes les conditions météos indispensables pour que le vol puisse avoir lieu.
Il semblerait que Windows 3.1 ne soit pas la seule antiquité utilisée par l’aéroport.

Pas rassurant d’imaginer que l’on puisse bloquer le trafic aérien français avec un simple ping of death

Dino : la ferme s’agrandit

Via LeMonde, ESET :

Les chercheurs de chez ESET ont mis la main sur un malware baptisé Dino qui serait l’un des animaux de la ferme virale française avec Casper et Babar.

Et plus des fonctionnalités de RAT qu’on retrouve généralement dans ce type de malware, Dino dispose aussi d’un mécanisme crontab-like pour exécuter des tâches et gère un système de fichier ramFS où des fichiers sont gardées chiffrées en mémoire vive.

Le malware aurait visé des personnes ou entités en Iran durant l’année 2013.

WikiLeaks : la NSA a espionné les présidents français

Via Wikileaks, Mediapart :

L’information qui ne surprendra personne : après avoir mis sur écoute Angela Merkel, piraté avec les services britanniques un FAI belge ou espionné avec l’aide de l’Allemagne des entreprises françaises, la NSA continue son jeu-double et espionne depuis des années les conversations téléphoniques des présidents français.

Bien sûr les différents pays s’espionnent les uns les autres… Mais le gov français n’est-il alors pas coupable de négligence caractérisée et de défaut de sécurisation de ses moyens de communications ? Allez j’appelle la HADOPI 😀

TV5Monde subit un piratage d’un groupe djihadiste

Via NextINpact, 20minutes :

Hier soir la chaîne TV5Monde a vu différents de ses comptes de réseaux sociaux piratés et utilisés par des hackers du groupe cybercaliphate, des sympathisants du groupe terroriste Etat Islamique.
TV5Monde a aussi coupé la diffusion de ses programmes télévisuels sur ses différentes chaînes (l’implication exacte des pirates dans la coupure n’a pas été révélée pour le moment).

La chaîne est en contact avec les ministères de l’Intérieur de la Défense. Le directeur de la chaîne a indiqué que le retour à la normale pourrait prendre quelques jours.

Casper : un autre malware fabriqué en France ?

Via NEXTINpact, Motherboard :

Le retour de la french-touch ? Les chercheurs sécu de chez ESET ont, avec l’aide de personnes de GDATA et du CERT Luxembourg, analysé un malware baptisé Casper qui montre des similitudes (codes et formats d’identifiants communs) avec Babar et une autre bestiole baptisée NBOT.

Ici le public visé par le malware serait de nationalité syrienne : deux zero-days affectant le playeur Flash ont été placées sur un site du gouvernement syrien dans le but d’installer l’exécutable Casper sur les machines des visiteurs.
L’exploitation de ce site qui permet aux syriens de demander des dédommagements liés aux destructions de la guerre civile ne serait pas une fin en soit : le site aurait été choisi principalement car considéré de confiance par le public visé et aussi car vulnérable (ayant subit des intrusions par le passé) ce qui en faisait un relais idéal pour installer le malware.
Il est supposé que les victimes aient été hameçonnées via mail (ou autre) pour visiter la page malicieuse.

Malgré l’utilisation de deux 0-days, le malware Casper installé semble disposer de fonctionnalités assez basique : renvoi d’un rapport identifiant le poste infecté, détection d’antivirus, droppeur.
Son rôle principal est principalement de pouvoir déterminer si la personne vérolée est d’intérêt pour des attaques plus poussées.

Le groupe supposé français derrière ces attaques est déjà surnommé Animal-Farm.

Babar : un APT made in France ?

C’est en tout cas ce que prétend l’entreprise Cyphort : ils ont mis la main sur une bestiole disposant des fonctionnalités d’espionnage classiques (keylogger, screenshots, interception de chats text et audio) et d’un rootkit userland.

Les C&C utilisés semblent être des sites légitimes qui ont été pénétrés.

L’allégation que le malware soit français se base sur un document secret du Centre de la sécurité des télécommunications Canada publié par le Del Spiegel en janvier.

Les attaques DDoS via NTP gagnent en popularité

A lire via Brian Krebs, CloudFlare et Arbor :

Ces derniers mois a été constaté l’explosion du nombre d’attaques DDoS exploitant une faiblesse de configuration dans des serveurs de temps NTP publics.
Le protocole NTP est basé sur UDP, rendant l’adresse expéditrice d’un datagramme facilement falsifiable (spoofing), ce qui fait de NTP un candidat pour les attaques DDoS.

Mais ce qui a intéressé les pirates c’est une fonctionnalité découverte récemment qui offre un bon facteur d’amplification : il est en effet possible d’interroger un serveur NTP via un petit message pour q’il retourne la liste des 600 dernières adresses IPs s’étant connectées au serveur (un message… d’un bon gabarit en comparaison).

Les pirates n’ont alors plus qu’à trouver des serveurs NTP mal configurés et les questionner en se faisant passer pour la victime…

Ces derniers jours, ces attaques ont eu des répercussions visibles en Europe puisque OVH a été à la fois l’instrument (serveurs mal configurés) et la cible d’attaques NTP…

Des vrais-faux certificats Google utilisés à la direction générale du Trésor

Via TheRegister et Silicon :

Voilà qui fait tache : Google a pris la main dans le sac la Direction Générale du Trésor de chez nous qui émettait des certificats signés par le Trésor et se faisaient passer pour le site de Google.

L’ANSSI a déclaré qu’il s’agissait d’une erreur humaine lié à la mauvaise configuration d’un WAF… Trop gros passera pas ? Pour d’autres c’est plutôt une tentative échouée de surveiller l’utilisation faite par les employés du Trésor des services de Google.