Powered By Blogger

Rechercher sur ce blogue

mardi 13 août 2019

L’ordinateur du fils d’un cadre serait à l’origine de la cyberattaque contre l’OACI



L’ordinateur du fils d’un cadre serait à l’origine de la cyberattaque contre l’OACI

Le lanceur d'alerte Vincent Smith a travaillé pour l'OACI et d'autres agences de l'ONU.
Radio-Canada
Libellés
cyberattaques
 
 
La plus grave cyberattaque contre l’Organisation de l’aviation civile internationale (OACI), agence de l’ONU basée à Montréal, aurait été lancée à partir de l’ordinateur du fils du président de son conseil, a dévoilé à CBC un lanceur d’alerte.
Selon un texte de Debra Arbec pour CBC News
En février dernier, CBC/Radio-Canada dévoilait que l’OACI avait tenté de dissimuler une cyberattaque sans précédent contre son réseau, orchestrée en novembre 2016.
Cinq mois plus tard, le directeur de l’administration et des services de l’agence, Vincent Smith, sort publiquement et accuse la secrétaire générale de l’OACI
, Fang Liu, et le président du conseil de l’agence, Olumuyiwa Benard Aliu, de mauvaise conduite.
M. Smith a indiqué à CBC qu’on l’avait prévenu qu’il s’apprêtait à faire un suicide professionnel, mais il juge qu’il est de son devoir de dévoiler ces informations.
Il y a de la fumée et rien n’est fait, a indiqué Vincent Smith en entrevue. Je me préoccupe pour l’agence. Je dois être conséquent avec ma conscience.
Fang Liu (gauche) et Olumuyiwa Benard Aliu (droite) lors d'un forum de l'OACI en novembre 2015
Photo : La Presse canadienne / Paul Chiasson
Dans différents rapports rédigés par M. Smith en juin et juillet et destinés aux 36 pays membres de l’agence en plus de son bureau d’éthique, le cadre détaille la façon dont la cyberattaque s’est déroulée et de quelle manière les espions ont pu infiltrer le réseau de l’OACI
.
CBC a obtenu une copie de ces rapports avec l’aide d’une source confidentielle.
Dans l’un de ces rapports, M. Smith raconte avoir reçu le 25 février dernier un courriel de la part du responsable de la sécurité des systèmes d'information de l’OACI
, Si Nguyen Vo, dans lequel il est expliqué que l’ordinateur portable d’un ancien agent en informatique, Maxim Aliu, a été infecté lors d’un voyage au bureau régional de l’agence à Pékin en 2010.
Maxim Aliu est le fils du président du conseil de l’OACI
, Olumuyiwa Benard Aliu, qui était, en 2010, le représentant du Nigeria au conseil.

« Patient zéro »

Le courriel envoyé par M. Vo fait référence à Maxim Aliu comme étant le « patient zéro » et que son ordinateur portable a servi de porte d’entrée au groupe Emissary Panda pour accéder au réseau informatique de l’OACI
.
Emissary Panda est un groupe très raffiné et discret de cyberespions ayant des liens avec le gouvernement chinois.
Un rapport de l’ONU a dévoilé que M. Aliu avait un statut d’administrateur de réseau entre avril 2012 et janvier 2015, explique Vincent Smith.
Les comptes des administrateurs de réseau et des administrateurs de domaine auraient été compromis lors de la cyberattaque, donnant accès aux espions aux adresses courriel et aux mots de passe de l’OACI
.
M. Vo a également écrit à M. Smith pour lui indiquer qu’une chronologie de l’attaque avait été réalisée et que « plusieurs » autres brèches auraient été découvertes, dont une concernant des fonds communs.
Le responsable de la sécurité des systèmes d’information a également dévoilé à M. Smith qu’un dossier de sécurité aurait été effacé entre novembre 2018 et janvier 2019, entraînant la perte de toute information sur les brèches informatiques, y compris les procédures, les plans d’action et l’historique des attaques.
Dans un échange de courriels avec CBC, l’OACI
réfute les allégations de Vincent Smith quant à l’origine de la cyberattaque.
Nous pouvons confirmer [qu’un rapport] sur ce sujet en 2017 n’attribuait pas la responsabilité de la brèche de sécurité à une personne en particulier ou à un appareil, indique un porte-parole de l’OACI
, William Raillant-Clark.
Selon le porte-parole, l’OACI
a également invité l’ONU et des experts indépendants à mener une enquête approfondie sur son plan d’action face à l’attaque informatique.

Environnement de travail « toxique et hostile »

Au-delà de la cyberattaque orchestrée par Emissary Panda, c’est l’environnement de travail à l’OACI
qui inquiète particulièrement Vincent Smith.
Dans ses rapports, le directeur Vincent Smith décrit l’OACI
sous la gouverne de Fang Liu comme un environnement toxique et hostile caractérisé par du favoritisme et du copinage.
Cela a non seulement créé une culture d’impunité et innocenté des contrevenants allégués, mais a favorisé un culte de la personnalité et une loyauté indéfectible envers la secrétaire générale de la part de ces personnes innocentées sans enquête, a écrit M. Smith tout en précisant que ces personnes sont des employés de sa direction.
Un lanceur d'alerte travaillant pour l'OACI dénonce un culte de la personnalité autour de la directrice générale de l'agence.
Photo : Reuters / Christinne Muschi
Rappelons que quatre membres de l’équipe des technologies de l’information et de la communication de l’OACI
avaient tenté de dissimuler des preuves de leur propre incompétence.
CBC/Radio-Canada avait dévoilé en février dernier que ces personnes étaient toujours employées de l’OACI
et qu’aucune enquête interne n’avait été menée à leur sujet.
Aucune des personnes ayant supposément fait de l’obstruction lors de la cyberattaque de 2016-2017 n’a fait l’objet d’une enquête et je suis toujours leur superviseur, mais sans aucune autorité sur elles, se désole Vincent Smith.
M. Smith accuse Mme Liu d’être allée à l’encontre des recommandations formulées par le Bureau des services de contrôle interne de l’ONU, qui exigeait une enquête sur les quatre employés des TIC.
Le directeur dénonce aussi comment cette même culture a fait de lui une cible de harcèlement, d’intimidation et de représailles par ces employés impliqués dans la dissimulation de preuves, en plus de leur patron. Selon M. Smith, en n’ayant pas à faire l’objet d’une enquête, ces employés se sont sentis encouragés à le mettre de côté.
J’étais maintenant perçu comme un ennemi déloyal et indigne de confiance, dénonce M. Smith dans l’un de ses rapports. Le directeur juge que cette expérience a nui à sa santé, et il est en congé de maladie depuis le 26 mars.

Plus stressant qu’être au front

Vincent Smith n’a pas voulu donner plus de détails à CBC sur ses rapports écrits, indiquant que les documents parlent d’eux-mêmes. Il a par contre donné plus de précisions sur l’environnement de travail à l’OACI
.
M. Smith a longtemps travaillé pour l’ONU, dont deux décennies dans des missions de maintien de la paix dans des régions tumultueuses comme l’Afghanistan, la Somalie, Haïti et le Liberia.
Vincent Smith lors de la mission de l'ONU en Somalie en 1993.
Photo : Gracieuseté
Aucun de ces déploiements ne l’a rendu aussi malade que le climat empoisonné à l’OACI
, a-t-il indiqué en entrevue avec CBC.
Dans toutes mes missions avec l’ONU, j’ai tout le temps su que, même dans les moments où j’étais en danger, la culture de l’ONU a toujours été d’offrir le meilleur soutien à ses employés, de réaliser son mandat de manière éthique et pour le plus grand bien de ceux que l’ONU sert, explique M. Smith dans un courriel à CBC.
Malheureusement, mon expérience à l’OACI a été très différente et ne respecte pas les standards que doit respecter une agence de l’ONU. Je trouve également très malheureux que tout employé qui désire adhérer à ces standards soit d’abord ignoré puis freiné et finalement attaqué.
Vincent Smith
Dans ces rapports écrits, Vincent Smith critique l’OACI
pour avoir tu des informations et pour avoir été insensible aux risques potentiels de la cyberattaque pour des Canadiens.
Il y fait référence à l’article de CBC sur la cyberattaque, qui a révélé que les pirates informatiques ont eu accès aux dossiers personnels d’employés anciens et actuels, aux dossiers médicaux des personnes ayant été soignées à la clinique de l’OACI
, aux dossiers des transactions financières et aux données personnelles de tous les visiteurs des bureaux de l’OACI
et des personnes inscrites au site web de l’agence.
À l’époque, l’OACI
avait réfuté ces allégations.
Après ces révélations, le directeur des communications de l’agence, Anthony Philbin, avait publié un communiqué dans lequel il rassurait le public en indiquant que l’OACI ne gardait aucune information privée ou financière qui pourrait représenter un risque pour des Canadiens.
Dans ses rapports, Vincent Smith soutient plutôt que l’OACI
détient effectivement des dossiers sur ses employés qui incluent, entre autres, des numéros d’assurance sociale, des numéros de passeport, des comptes de finance.
En réponse à ces allégations de la part de M. Smith, le porte-parole de l’agence, William Raillant-Clark, soutient qu’aucun employé de l’OACI n’a rapporté de menace ou de dommage occasionné par une vulnérabilité informatique.
M. Smith exige une enquête indépendante sur la conduite de Fang Liu, en plus de celle du président du conseil Olumuyiwa Benard Aliu. Il veut également que ces deux cadres se récusent pour une telle enquête.
Selon Vincent Smith, le président du conseil, M. Aliu, est en conflit d’intérêts puisque c’est l’ordinateur portable de son fils qui serait à l’origine de l’attaque. M. Smith souligne également que l’OACI
a contrevenu à ses propres règles contre le népotisme en employant le père et le fils.
Dans son courriel à CBC, M. Raillant-Clark affirme que l’agence a reçu plusieurs allégations relativement à l’incident de 2016 et qu’elle a lancé un processus pour les examiner. Il serait donc inapproprié de les commenter publiquement.
Vincent Smith a également exigé la protection contre les lanceurs d’alerte en vertu d’un nouveau règlement interne adopté en juin dernier, cinq mois après la publication de l’article de CBC sur la cyberattaque.

NSA: Avoir les bonnes autorisations pour traiter des documents secrets a la maison ?




NSA: Avoir les bonnes autorisations pour traiter des documents secrets a la maison ?

 

Le sous-traitant qui avait volé 50 To de données à la NSA condamné à neuf ans de prison

Technologie : Les procureurs n'ont cependant jamais réussi à prouver que l'ancien entrepreneur qui travaillait pour la NSA était à l'origine de la fuite de Shadow Brokers.


Harold Thomas Martin III, un ancien prestataire travaillant pour l'Agence nationale de sécurité américaine a été accusé et a par la suite plaidé coupable d'avoir volé plus de 50 To de données de la NSA. Il a été condamné à neuf ans de prison.

Harold Martin a été arrêté en octobre 2016 après que le FBI eut perquisitionné son domicile et trouvé des documents qu'il ramenait chez lui depuis des années, sans autorisation. Des fichiers ont été trouvés sur son ordinateur et dans sa voiture.

Certains de ces documents portaient la mention "très secret" et contenaient des renseignements sur l'infrastructure et les outils de la NSA, mais il y avait aussi des documents sur la Central Intelligence Agency (CIA), le US Cyber Command, et le National Reconnaissance Office (NRO).
 
 


Rien ne prouve que Martin ait partagé les dossiers

Martin a travaillé comme entrepreneur pour diverses agences gouvernementales américaines pendant 20 ans, entre 1996 et 2016. Au moment de son arrestation, il travaillait pour Booz Allen Hamilton, la même entreprise où Edward Snowden avait travaillé.

Il avait des autorisations qui lui permettait de traiter des documents et des dossiers sensibles du gouvernement, mais seulement au travail, et non à la maison.

Les procureurs ont décrit la planque de documents gouvernementaux découverts chez Martin comme étant d'une ampleur "époustouflante". Les avocats de Martin ont dit qu'il n'emportait des documents qu'à la maison pour étudier et devenir meilleur dans son travail et non dans l'intention de vendre des secrets d'État.

Aucun lien avec Shadow Brokers n'a jamais été prouvé

Au moment de son arrestation, le Washington Post a rapporté que Martin était le principal suspect dans l'enquête du gouvernement sur les Shadow Brokers, un groupe de pirates informatiques qui ont commencé à divulguer des fichiers NSA et des outils de piratage sur Internet à l'été 2016.

Dans un autre article, le New York Times a suggéré que Martin faisait l'objet d'une enquête pour avoir divulgué des documents à WikiLeaks.

Les autorités américaines ont inculpé Martin en février 2017 et il a signé un plaidoyer de culpabilité en mars 2019. Les procureurs n'ont jamais prouvé que Martin avait des liens avec les Shadow Brokers ou WikiLeaks. Martin a signé un accord de plaidoyer admettant sa culpabilité. Dans le cadre du plaidoyer de culpabilité, les procureurs ont déclaré qu'ils ne demanderaient pas plus de sept ans de prison.

Le juge n'était pas lié par le plaidoyer de culpabilité et a condamné Martin à neuf ans de prison, y compris la durée de la peine, et à trois ans de libération sous surveillance. Martin a 54 ans.

REF.: Article "Contractor who stole 50TB of NSA data gets nine years in prison" traduit et adapté par ZDNet.fr

Des pirates informatiques exposent les données d’un sous-traitant du FSB russe


Des pirates informatiques exposent les données d’un sous-traitant du FSB russe

Sécurité : SyTech, la société piratée, travaillait sur des projets de recherche pour le FSB, le service de renseignement russe. Parmi les projets exposés, on retrouve notamment un projet de desanonymisation des utilisateurs de Tor. 



Hackers Russes

Des pirates informatiques ont visé la société SyTech, un sous-traitant de FSB, le service de renseignement national russe, d'où ils ont volé des informations sur des projets internes sur lesquels la société travaillait pour le compte de l'agence. L’un des projets portait sur la désanonymisation du trafic de Tor.
L’attaque a eu lieu le week-end du 13 juillet, lorsqu'un groupe de pirates informatiques portant le nom de 0v1ru $ a piraté le serveur Active Directory de SyTech à partir duquel ils ont eu accès à l'ensemble du réseau informatique de l'entreprise, y compris une instance JIRA.
Les pirates ont volé 7,5 To de données sur le réseau du contractant puis ont altéré le site web de l'entreprise avec un "yoba face", un emoji populaire auprès des utilisateurs russes et qui est utilisé pour troller.
Les pirates ont posté des captures d'écran des serveurs de la société sur Twitter et ont ensuite partagé les données volées avec Digital Revolution, un autre groupe de pirates informatiques qui s’était attaqué l'année dernière le Quantum, un autre sous-traitant du FSB.
Ce deuxième groupe de hackers a partagé les fichiers volés sur son compte Twitter le jeudi 18 juillet et avec les journalistes russes par la suite.
 

Les projets secrets du FSB

Selon les différents articles parus dans les médias russes, les fichiers indiquent que SyTech a travaillé depuis 2009 sur une multitude de projets, principalement pour le compte de l’unité 71330 du FSB et pour le contractant Quantum. Les projets comprennent:    
  • Nautilus - un projet de collecte de données sur les utilisateurs de médias sociaux (tels que Facebook, MySpace et LinkedIn).    
  • Nautilus-S - un projet de désanonymisation du trafic Tor à l'aide de relais Tor compromis.    
  • Récompense - un projet visant à pénétrer secrètement dans des réseaux P2P, comme celui utilisé pour les torrents.     Mentor - un projet de surveillance et de recherche de communications par courrier électronique sur les serveurs d'entreprises russes.    
  • Espoir - un projet visant à étudier la topologie de l'internet russe et sa connexion au réseau d'autres pays.    
  • Tax-3 - projet de création d'un intranet fermé destiné à stocker les informations de personnalités hautement sensibles, de juges et de représentants de l'administration locale, à l'écart des autres réseaux informatiques de l'État.
BBC Russia, qui a reçu une partie des documents, affirme qu'il existait d'autres projets plus anciens de recherche sur d'autres protocoles réseau, tels que Jabber (messagerie instantanée), ED2K (eDonkey) et OpenFT (transfert de fichiers d'entreprise). D'autres fichiers publiés sur le compte Twitter de Digital Revolution affirmaient que le FSB suivait également des étudiants et des retraités.

Certains projets ont vu le jour et ont été testés

Mais si la plupart des projets semblent n’être que des projets de recherche sur la technologie moderne - ce que tous les services de renseignement mènent à bien -, deux semblent avoir été testés dans le monde réel.
Le premier était Nautilus-S, pour la désanonymisation du trafic de Tor. BBC Russia a souligné que les travaux sur Nautilus-S avaient débuté en 2012. Deux ans plus tard, en 2014, des universitaires de l'Université de Karlstad en Suède ont publié un article détaillant l'utilisation de nœuds de sortie hostiles de Tor qui tentaient de décrypter le trafic Tor.
Les chercheurs ont identifié 25 serveurs malveillants, dont 18 situés en Russie. Ces serveurs relais exécutaient la version 0.2.2.37 de Tor, le même que celui détaillé dans les fichiers filtrés.
Le deuxième projet est "Espoir" : celui ci vise à analyser la structure et la composition du réseau russe sur Internet. Plus tôt cette année, la Russie a mené des tests au cours desquels elle a déconnecté son réseau national du reste de l'internet.
SyTech, la société piratée, a supprimé son site web et a refusé de répondre aux médias.

Source : Hackers breach FSB contractor, expose Tor deanonymization project and more

DuckDuckGo développe une alternative pour se passer de Google Maps



DuckDuckGo développe une alternative pour se passer de Google Maps

 
Libellés
google maps, plans, DuckDuckGo
 
 
 
Hervé Didier - vendredi 19 juillet 2019 - 17:50
Le moteur de recherche DuckDuckGo met à jour son application de géolocalisation. Sans aucun tracking des données personnelles, elle veut offrir une nouvelle alternative à Google Maps.

(CCM) — La mise à jour des "Cartes" de DuckDuckGo devrait intéresser tous ceux qui veulent éviter que leurs données personnelles soient systématiquement enregistrées par les différents services de Google, dont l'omniprésent Google Maps. Pour cela, l'application de cartographie promet de ne jamais suivre ses utilisateurs à la trace.

Cette promesse de stricte confidentialité est l'argument majeur de DuckDuckGo. Un argument que Qwant mettait également en avant fin juin lors du lancement de son service de géolocalisation sans pistage (cf. notre article sur Qwant Maps). Pour se démarquer clairement de Google Maps, DuckDuckGo annonce qu'aucune donnée personnelle n'est jamais enregistrée. Même les données de géolocalisation en elles-mêmes sont effacées après avoir été utilisées pour trouver localement des résultats de recherche.
Pour développer son service cartographique sans dépendre de Google, DuckDuckGo s'appuie sur la technologie de géolocalisation d'Apple. Là encore, le moteur de recherche alternatif affirme qu'aucune information personnelle n'est partagée avec Apple, y compris l'adresse IP utilisée pour se connecter au service.

La nouvelle version de ses "Cartes" permet à DuckDuckGo d'étoffer son offre de services. En plus du moteur de recherche traditionnel, des actualités, des vidéos et des images, les utilisateurs peuvent désormais lancer des recherches locales. Les requêtes de proximité sont parmi les plus demandées sur les moteurs de recherche. Si bien que pour proposer une alternative crédible, DuckDuckGo se devait de renforcer son service de cartographie. Ce qui n'empêche pas Google Maps de faire le plein de nouvelles fonctionnalités bien entendu....


REF.:

Un Sherbrookois arrêté après avoir acheté une fausse identité sur le web invisible



Un Sherbrookois arrêté après avoir acheté une fausse identité sur le web invisible

hackers, darkweb, Darknet
 
 
 
Un homme de 32 ans qui aurait acheté une fausse identité sur le web invisible (dark web en anglais) a été accusé de tentative de fraude, d'usurpation d'identité et d'utilisation de faux documents vendredi au palais de justice de Sherbrooke.
Janick St-Onge s'est présenté jeudi au comptoir de la Banque de Montréal de la rue King Ouest dans le but d'obtenir une carte de crédit au montant de 6000$ sous un autre nom.
L'employé a eu la puce à l'oreille sentant que quelque chose était anormal. Il a poussé ses recherches et s'est rendu compte que l'identité sur les cartes faisait l'objet d'une alerte Equifax, explique le porte-parole du Service de police de Sherbrooke (SPS), Samuel Ducharme.
L'employé a alors contacté les policiers. Après enquête, on s'est rendu compte que le suspect avait de fausses pièces d'identité et avait volé l'identité de quelqu'un d'autre. Il avait, en fait, acheté l'identité d'une personne sur le dark web, ajoute-t-il.
Selon le SPS, le suspect avait en sa possession un document avec une série d'informations personnelles « très pointues » d'une seule personne qui comprenaient ses adresses, numéros de compte de banque et emploi.
Pour nous, c'est difficile d'établir la provenance, mais avec les informations détenues, il semble assez clair que ce sont des informations qui provenaient d'une institution bancaire, soutient Samuel Ducharme.
Le Directeur des poursuites criminelles et pénales s'est opposé à la remise en liberté du Sherbrookois. Ce dernier doit revenir en cour lundi pour son enquête sur remise en liberté.
Quatrième plainte en 2 semaines
Si c'est la première fois que le SPS arrête une personne qui a en sa possession ce type d'information, reste que, depuis deux semaines, c'est la quatrième plainte pour tentative de fraude qui est déposée à la police de Sherbrooke.
Le Service de police de Sherbrooke lance un appel à la vigilance. Oui, au personnel d'institutions financières, mais aussi à toutes les compagnies qui peuvent ouvrir des dossiers de crédit ou des comptes clients, d'être très vigilants. Ces fraudeurs-là fabriquent maintenant des cartes d'identité qui s'approchent vraiment de la réalité. Les cartes qu'avait le suspect jeudi ressemblaient vraiment à des vraies sauf quelques indices qu'un oeil avisé peut déceler.

REF":