Suivre ce blog Administration + Créer mon blog
3 juillet 2014 4 03 /07 /juillet /2014 07:55
Les géants du Web et la cybercriminalité



Les géants du Web se positionnent aujourd’hui comme les fervents défenseurs d’un monde numérique plus sûr, et mettent au coeur de leur priorité une lutte acharnée contre la cybercriminalité. Cependant, le tsunami causé par Edward Snowden et les révélations du programme PRISM ont mis à mal la réputation des mastodontes du Net. Google, Facebook, Apple, Microsoft, autant de sociétés qui ont été montrées du doigt par les internautes, qui se sont sentis trahis, perdant toute confiance envers ceux qui s’autoproclamaient gardiens d’un Internet respectueux des données et de la vie privée des utilisateurs.


De plus, si la lutte contre la cybercriminalité est une cause noble, elle n’en reste pas moins un segment très rentable pour l’économie dont les géants du Web ne se privent pas, puisqu’ils restent avant tout des compétiteurs dont le profit est le leitmotiv.
Ce leitmotiv pousse ces firmes américaines à conquérir de nouveaux marchés, afin de fuir la saturation des réseaux en Occident. Mais les pays émergents accusent un retard conséquent dans l’intégration des nouvelles technologies à leur société. Les géants du Web n’ont alors qu’un pas à faire pour s’engouffrer dans la brèche de la fracture numérique, et se posent alors comme les sauveurs de ses sociétés où beaucoup reste à faire en matière de numérique. Tout cela au risque de déployer un peu plus le cyberespace et ainsi d’offrir un terrain de jeu encore plus attrayant pour les cybercriminels.


Télécharger l'étude : Les géants du Web et la cybercriminalité

Partager cet article
11 novembre 2013 1 11 /11 /novembre /2013 20:50
Quantum Spying: GCHQ Used Fake LinkedIn Pages to Target Engineers


November 11, 2013 By Laura POITRAS, Marcel ROSENBACH, Christoph SCHEUERMANN, Holger STARK and Christian STÖCKER - SPIEGEL Staff


Elite GCHQ teams targeted employees of mobile communications companies and billing companies to gain access to their company networks. The spies used fake copies of LinkedIn profiles as one of their tools.


The Belgacom employees probably thought nothing was amiss when they pulled up their profiles on LinkedIn, the professional networking site. The pages looked the way they always did, and they didn't take any longer than usual to load.

The victims didn't notice that what they were looking at wasn't the original site but a fake profile with one invisible added feature: a small piece of malware that turned their computers into tools for Britain's GCHQ intelligence service.

The British intelligence workers had already thoroughly researched the engineers. According to a "top secret" GCHQ presentation disclosed by NSA whistleblower Edward Snowden, they began by identifying employees who worked in network maintenance and security for the partly government-owned Belgian telecommunications company Belgacom.

Then they determined which of the potential targets used LinkedIn or Slashdot.org, a popular news website in the IT community.


'Quantum Insert'

The computers of these "candidates" were then infected with computer malware that had been placed using infiltration technology the intelligence agency refers to as "Quantum Insert," which enabled the GCHQ spies to deeply infiltrate the Belgacom internal network and that of its subsidiary BICS, which operates a so-called GRX router system. This type of router is required when users make calls or go online with their mobile phones while abroad.

SPIEGEL's initial reporting on "Operation Socialist," a GCHQ program that targeted Belgacom, triggered an investigation by Belgian public prosecutors. In addition, two committees of the European Parliament are investigating an attack by a European Union country on the leading telecommunications provider in another EU member state.

The operation is not an isolated case, but in fact is only one of the signature projects of an elite British Internet intelligence hacking unit working under the auspices of a group called MyNOC, or "My Network Operations Centre." MyNOCs bring together employees from various GCHQ divisions to cooperate on especially tricky operations. In essence, a MyNOC is a unit that specializes in infiltrating foreign networks. Call it Her Majesty's hacking service, if you like.

When GCHQ Director Iain Lobban appeared before the British parliament last Thursday, he made an effort to reassure lawmakers alarmed by recent revelations. British intelligence couldn't exactly stand back and watch the United Kingdom be targeted for industrial espionage, Lobban said. But, he noted, only those whose activities pose a threat to the national or economic security of the United Kingdom could in fact be monitored by his agency.


A Visit from Charles and Camilla

Even members of the royal family occasionally stop by to see what British intelligence is up to. In one photo that appears in a secret document, Charles, the Prince of Wales, and his wife Camilla, the Duchess of Cornwall, are shown listening to a presentation at a MyNOC workstation called "A Space." The tongue-in-cheek caption reads "Interlopers in A Space."

The presentation does not indicate the extent to which the royal family is kept abreast of current espionage operations. Their last visit was reportedly about Afghanistan, not Belgium. But the visit had been to the same location where what the secret document described as the "very successful" operation against Belgacom as well as "Operation Wylekey," also run by a MyNOC unit, had been conducted.

This also relates to an issue that the British have made a focal point of their intelligence-gathering activities: the most comprehensive access possible to worldwide mobile networks, the critical infrastructures for the digital age.

Mobile networks are a blessing and a curse for spies worldwide. Because each major wireless communications company operates its own networks, tapping into them becomes more complex. On the other hand, the mobile multi-use devices in our pockets are a blessing, because they often reveal more personal information than stationary computers, such as the user's lifestyle habits and location. They can also be transformed into bugging devices that can be activated remotely at any time to listen in on the user's conversations.


Mobile Phones Become Monitoring Tools

"We can locate, collect, exploit (in real time where appropriate) high value mobile devices & services in a fully converged target centric manner," a GCHQ document from 2011 states. For years, the British spies have aspired to potentially transform every mobile phone on the planet into a monitoring tool that could be activated at any time.

But the government hackers apparently have to employ workarounds in order to infiltrate the relatively inaccessible mobile phone networks.

According to the presentation, in the case of Belgacom this involved the "exploitation of GRX routers," from which so-called man-in-the-middle attacks could be launched against the subjects' smartphones. "This way, an intelligence service could read the entire Internet communications of the target and even track their location or implant spying software on their device," mobile networks expert Philippe Langlois says of the development. It is an effective approach, Langlois explains, since there are several hundred wireless companies, but only about two dozen GRX providers worldwide.

But this isn't the only portal into the world of global mobile communications that GCHQ has exploited. Another MyNOC operation, "Wylekey," targets "international mobile billing clearinghouses."

These clearinghouses, which are relatively unknown to the general public, process international payment transactions among wireless companies, giving them access to massive amounts of connection data.

The GCHQ presentation, which SPIEGEL was able to view, contains a list of the billing companies that are on the radar of the British. At the top of the list are Comfone, a company based in Bern, Switzerland, and Mach, which has since been split into two companies, one owned by another firm called Syniverse and another called Starhome Mach. Syniverse was also on the list of companies to monitor. Together, these companies dominate the industry worldwide. In the case of Mach, the GCHQ personnel had "identified three network engineers" to target. Once again, the Quantum Insert method was deployed.

The spies first determine who works for a company identified as a target, using open source data like the LinkedIn professional social networking site. IT personnel and network administrators are apparently of particular interest to the GCHQ attackers, because their computers can provide extensive access privileges to protected corporate infrastructures.


Targeting an Innocent Employee

In the case of Mach, for example, the GCHQ spies came across a computer expert working for the company's branch in India. The top-secret document shows how extensively the British intelligence agents investigated the life of the innocent employee, who is listed as a "target" after that.

A complex graph of his digital life depicts the man's name in red crosshairs and lists his work computers and those he uses privately ("suspected tablet PC"). His Skype username is listed, as are his Gmail account and his profile on a social networking site. The British government hackers even gained access to the cookies on the unsuspecting victim's computers, as well as identifying the IP addresses he uses to surf the web for work or personal use.

In short, GCHQ knew everything about the man's digital life, making him an open book for its spies. SPIEGEL has contacted the man, but to protect his privacy is not publishing his name.

But that was only the preparatory stage. After mapping the man's personal data, now it was time for the attack department to take over. On the basis of this initial information, the spies developed digital attack weapons for six Mach employees, described in the document as "six targeting packs for key individuals," customized for the victims' computers.


GCHQ Wants To Make Mobile Web an All-Seeing Surveillance Machine


In an article in Britain's Guardian newspaper, American IT security expert Bruce Schneier describes in detail how Quantum Insert technology is used to place malware. Apparently, the agencies use high-speed servers located at key Internet switching points. When a target calls up a specific website, such as LinkedIn, these servers are activated. Instead of the desired website, they supply an exact copy, but one that also smuggles the government hackers' spying code onto the target computers.

According to other secret documents, Quantum is an extremely sophisticated exploitation tool developed by the NSA and comes in various versions. The Quantum Insert method used with Belgacom is especially popular among British and US spies. It was also used by GCHQ to infiltrate the computer network of OPEC's Vienna headquarters.

The injection attempts are known internally as "shots," and they have apparently been relatively successful, especially the LinkedIn version. "For LinkedIn the success rate per shot is looking to be greater than 50 percent," states a 2012 document.

Much like the Belgacom spying operation, Wylekey is considered a great success. According to a summary, it provided GCHQ with detailed information about Mach, its communications infrastructure, its business profile and various key individuals.

Another document indicates that the operation yielded much more than that. In addition to "enhanced knowledge of the various clearinghouses, their customers," it also provided "knowledge of and access to encrypted links between the clearinghouses and various mobile network operators."

Interim reports on the course of the Belgacom operation were even more enthusiastic, concluding that the British spies had penetrated "deep into the network" of the Belgian company and were "at the edge of the network." This enabled the British internal encryption specialists ("Crypt Ops") to launch their "Operation Socialist II," so as to crack the encrypted connections, or VPNs.


'LinkedIn Would Not Authorize Such Activity'

When contacted, LinkedIn stated that the company takes the privacy and security of its members "very seriously" and "does not sanction the creation or use of fake LinkedIn profiles or the exploitation of its platform for the purposes alleged in this report." "To be clear," the company continued, "LinkedIn would not authorize such activity for any purpose." The company stated it "was not notified of the alleged activity."

A spokesman for Starhome Mach said his company is "with immediate effect undertaking a full security audit to ensure that our infrastructure is secure" and that its platform had recently switched to a completely new configuration with mainly new hardware. Officials at Comfone said: "We have no knowledge of the British intelligence service infiltrating our systems." Syniverse also stated "there have been no known breaches of the Syniverse or MACH data centers by any government agency."

GCHQ did not comment on questions posed by SPIEGEL.


'Any Mobile Device, Anywhere, Anytime!'

For the British, all of this was apparently only an intermediate step on the path to a greater goal. In addition to the conventional Internet, GCHQ now wants to turn the mobile web into an all-seeing surveillance machine.

This is how the GCHQ spies described their "vision" in 2011: "Any mobile device, anywhere, anytime!"

In this context, the attacks on Belgacom and the clearinghouses merely serve as door openers. Once the telecommunications companies' actual mobile phone networks have been infiltrated, completely new monitoring possibilities present themselves to the spies. A briefing dating from 2011 stated the agency wanted to "increase operational capability to remotely deploy implants when we only know the MSISDN." In other words, GCHQ's phone hackers would ideally like to repurpose every mobile phone in the world into a bugging device, merely on the basis of the phone number. "That would be game changing," the document reads.

Partager cet article
25 juin 2013 2 25 /06 /juin /2013 15:50
Surveillance : "un flot de révélations dans les prochains mois"

24/06/2013 Propos recueillis par Guerric Poncet / Le Web en lignes - Le Point.fr


Le scandale de la surveillance sur Internet n'en est qu'à ses débuts, selon Jarno Limnéll, docteur en science militaire et expert en cybersécurité.


Les publications sur le programme Prism par la presse anglo-saxonne ont mis au jour les méthodes d'espionnage des internautes du monde entier par les États-Unis. Jarno Limnéll, docteur en science militaire et expert mondialement reconnu, décrypte les événements et l'évolution du monde vers l'ère de la cyberguerre. Rencontré la semaine dernière par Le Point.fr à l'ambassade de Finlande, à Paris, il est aujourd'hui directeur de la cybersécurité pour l'éditeur finlandais de logiciels Stonesoft.


Le Point.fr : Avez-vous été surpris par les révélations sur le programme Prism de l'agence nationale de sécurité américaine (NSA) ?


Jarno Limnéll : Les informations dévoilées par la presse ne m'ont pas surpris, mais Prism n'est que la partie émergée de l'iceberg. Beaucoup d'autres révélations vont avoir lieu dans les mois à venir, il se passe beaucoup plus de choses que ce que l'on a découvert. Y compris ici en France, je vous le garantis.


Est-ce une bonne chose que ces informations aient été rendues publiques ?

C'est une excellente chose que l'opinion publique ait découvert Prism et sache qu'elle est surveillée, car il faut aujourd'hui placer le curseur entre la sécurité et la liberté. Il faut un débat public pour cela, et les démocraties ont le devoir d'être plus transparentes pour expliquer les raisons d'une telle surveillance.


Comment voyez-vous l'évolution des problématiques d'espionnage et de cyberguerre aujourd'hui ?

On connaissait l'ère de la Guerre froide, celle de la Détente, puis celle du terrorisme de 2001 à 2013. Nous entrons aujourd'hui dans l'ère de la cyberguerre. Beaucoup de changements se sont déjà produits : le terrorisme est désormais numéro deux sur la liste des menaces dressée par la Maison-Blanche : le numéro un est le cyber. Je distingue deux mondes : celui des atomes et celui des octets. Presque toute l'information est aujourd'hui dans le monde des octets, et il ne se passe pas un jour sans que l'on parle d'une cyberattaque. C'est un champ de bataille.


Il faut donc recruter des armées cybernétiques ?

Pour la cyberguerre, vous ne devez plus essayer d'avoir un maximum de muscles. Dans le passé, un chef militaire aurait choisi 100 soldats moyens plutôt qu'un seul très entraîné. Mais aujourd'hui il vaut mieux avoir un individu talentueux, qui pourra tromper ou faire face à un flot de hackers moins expérimentés.


Est-il vrai que l'attaquant gagne presque toujours ?

C'est comme James Bond : s'il veut vous tuer, il y arrivera un jour. Il faut l'accepter. L'attaquant gagne presque toujours, car il suffit qu'il traverse une seule fois les défenses pour gagner. On peut faire un parallèle avec la Première Guerre mondiale. L'arrivée des premiers chars sur les champs de bataille a perturbé les équilibres, mais on a rapidement développé des armes antichars et depuis, c'est une course sans fin entre les deux types d'armes, chars et antichars. Avec un déséquilibre important : le blindage est obligé de "gagner" à chaque fois, alors que l'antichar sera victorieux s'il perce le blindage ne serait-ce qu'une fois sur dix.


Quelles sont les conséquences pour les États ?

La cybersécurité n'est pas seulement un problème technique, c'est avant tout un défi stratégique. Les États-Unis ont perdu 300 milliards de dollars en 2012 seulement à cause du cyberespionnage, qui a donné lieu au transfert technologique le plus important de toute l'histoire. Et il était évidemment involontaire. L'attaque cyber, c'est très facile et peu cher. Vous pouvez atteindre votre objectif sans envoyer le moindre soldat. Cela oblige à oublier les concepts de guerre et de paix. L'utilisation du cyber se situe dans une zone grise. En plus, les pays ne savent pas ce dont disposent les autres. On ne peut plus se contenter de compter les tanks lors des défilés..., et à ma connaissance, il n'y a pas encore de parade de nerds !


Quand le changement vers l'ère de la cyberguerre a-t-il commencé ?

Le monde a perdu son innocence avec l'affaire Stuxnet (un virus créé par les États-Unis et Israël pour retarder le programme nucléaire iranien, NDLR). Les États investissent énormément, car ils veulent désormais des capacités offensives en plus de la défense. Trois États sont aujourd'hui capables d'attaquer : les États-Unis, la Russie et la Chine. Les États-Unis ont établi une liste de cibles qu'ils frapperont préventivement si des pays les attaquent. Ils ont donc accepté la stratégie du "hit first" (frappe préventive). En Europe, nous n'avons jamais eu ce type de discussions, il n'y a pas de doctrine d'utilisation de l'arme informatique.


Frapper préventivement, certes, mais qui ? On n'est jamais sûr de l'origine de l'attaque...

Le plus gros budget de l'agence de recherche militaire américaine, la DARPA, est alloué à l'équipe qui développe des technologies permettant de remonter à la source d'une attaque. Parce que l'attribution d'une attaque est un problème décisif dans le monde cyber : on n'est jamais sûr de qui nous attaque, c'est vrai. Mais il faut riposter, voire frapper préventivement. Et si on se trompe, on se fait un nouvel ennemi... La Maison-Blanche exige des informations fiables, provenant à la fois des experts cyber et des services de renseignements plus "classiques".


En France, un rapport gouvernemental a suggéré de ne plus acheter d'équipements chinois pour les infrastructures sensibles. Qu'en pensez-vous ?

Il y a beaucoup de spéculations sur la proximité de certaines entreprises avec leurs gouvernements. Les acheteurs sont de plus en plus intéressés par l'origine du vendeur de leurs matériels, cela devient de plus en plus important.


Les entreprises sont-elles conscientes des risques ?

Il faut détruire l'illusion de sécurité qui règne parfois dans le privé. Il y a deux sortes d'entreprise. Celles qui ont été hackées, et celles qui ont été hackées, mais ne le savent pas ou refusent de le reconnaître. En France, 80 % des infrastructures vitales sont détenues par le secteur privé, il est donc crucial que des partenariats public-privé soient mis en place. Mais qui va payer les factures ?


À l'échelle européenne, quel pays est à la pointe ?

Il n'y a pas de pays leader en Europe à ce jour. Nous sommes un peu en retrait par rapport aux trois leaders mondiaux. Il devrait y avoir plus de coopération en Europe, pour compenser le manque de travail collectif au sein de l'Otan, et je pense que la France a une belle opportunité à saisir : elle pourrait devenir la locomotive européenne de la cybersécurité. En comparant les quinze stratégies de cybersécurité mises en place en Europe, on pourrait se contenter de changer le nom sur la couverture des rapports... La vraie différence se fait dans les mesures qui sont effectivement mises en place. Les Pays-Bas par exemple sont moins enclins à suivre leurs propres recommandations que la France.

Partager cet article
24 avril 2013 3 24 /04 /avril /2013 08:00
pour être averti des nouveaux articles publiés sur RP Défense

Suite au changement de plateforme sur over-blog, vos abonnements semblent avoir été "oubliés" dans le déménagement par l'hébergeur.

Merci de vous inscrire à nouveau sur le blog.

Merci à Jean-Louis B, (lecteur assidu !), de m'avoir signalé le problème.

Partager cet article


  • : RP Defense
  • : Web review defence industry - Revue du web industrie de défense - company information - news in France, Europe and elsewhere ...
  • Contact


Articles Récents