{"id":192358,"date":"2022-06-09T13:55:09","date_gmt":"2022-06-09T15:55:09","guid":{"rendered":"https:\/\/teknomers.com\/fr\/meme-les-menaces-les-plus-avancees-reposent-sur-des-systemes-non-corriges\/"},"modified":"2022-06-09T13:55:10","modified_gmt":"2022-06-09T15:55:10","slug":"meme-les-menaces-les-plus-avancees-reposent-sur-des-systemes-non-corriges","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/meme-les-menaces-les-plus-avancees-reposent-sur-des-systemes-non-corriges\/","title":{"rendered":"M\u00eame les menaces les plus avanc\u00e9es reposent sur des syst\u00e8mes non corrig\u00e9s"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Les cybercriminels courants sont une menace, cela ne fait aucun doute &#8211; des pirates de chambre aux groupes de ran\u00e7ongiciels, les cybercriminels causent beaucoup de d\u00e9g\u00e2ts.  Mais les outils utilis\u00e9s et la menace pos\u00e9e par les cybercriminels ordinaires sont p\u00e2les par rapport aux outils utilis\u00e9s par des groupes plus professionnels tels que les c\u00e9l\u00e8bres groupes de piratage et les groupes parrain\u00e9s par l&#8217;\u00c9tat.<\/p>\n<p>En fait, ces outils peuvent s&#8217;av\u00e9rer presque impossibles \u00e0 d\u00e9tecter \u2013 et \u00e0 \u00e9viter.  BVP47 en est un bon exemple.  Dans cet article, nous expliquerons comment ce puissant logiciel malveillant parrain\u00e9 par l&#8217;\u00c9tat circule discr\u00e8tement depuis des ann\u00e9es, comment il se d\u00e9guise si intelligemment et expliquerons ce que cela signifie pour la cybers\u00e9curit\u00e9 dans l&#8217;entreprise.<\/p>\n<h2 style=\"text-align: left\">Histoire de fond derri\u00e8re BVP47<\/h2>\n<p>C&#8217;est une longue histoire, digne d&#8217;un roman d&#8217;espionnage.  Plus t\u00f4t cette ann\u00e9e, un groupe de recherche chinois sur la cybers\u00e9curit\u00e9 appel\u00e9 Pangu Lab a publi\u00e9 un rapport approfondi de 56 pages couvrant un morceau de code malveillant que le groupe de recherche a d\u00e9cid\u00e9 d&#8217;appeler BVP47 (parce que BVP \u00e9tait la cha\u00eene la plus courante dans le code, et 47 \u00e9tant donn\u00e9 que l&#8217;algorithme de chiffrement utilise la valeur num\u00e9rique 0x47).<\/p>\n<p>Le rapport est vraiment d\u00e9taill\u00e9 avec une explication technique approfondie, y compris une plong\u00e9e en profondeur dans le code du malware.  Il r\u00e9v\u00e8le que Pangu Lab a initialement trouv\u00e9 le code lors d&#8217;une enqu\u00eate de 2013 sur l&#8217;\u00e9tat de la s\u00e9curit\u00e9 informatique dans une organisation qui \u00e9tait tr\u00e8s probablement un d\u00e9partement du gouvernement chinois &#8211; mais pourquoi le groupe a attendu jusqu&#8217;\u00e0 maintenant pour publier le rapport n&#8217;est pas indiqu\u00e9.<\/p>\n<p>En tant que facteur cl\u00e9, le rapport relie BVP47 au &#8220;groupe d&#8217;\u00e9quations&#8221;, qui \u00e0 son tour a \u00e9t\u00e9 li\u00e9 \u00e0 l&#8217;unit\u00e9 des op\u00e9rations d&#8217;acc\u00e8s sur mesure de l&#8217;Agence de s\u00e9curit\u00e9 nationale des \u00c9tats-Unis (la NSA).  Pangu Lab est arriv\u00e9 \u00e0 cette conclusion car il a trouv\u00e9 une cl\u00e9 priv\u00e9e qui pourrait d\u00e9clencher BVP47 dans un ensemble de fichiers publi\u00e9s par le groupe The Shadow Brokers (TSB).  Le TSB a attribu\u00e9 ce vidage de fichier au groupe d&#8217;\u00e9quations, ce qui nous ram\u00e8ne \u00e0 la NSA.  Vous ne pouviez tout simplement pas l&#8217;inventer, et c&#8217;est une histoire digne d&#8217;un film cin\u00e9matographique.<\/p>\n<h2 style=\"text-align: left\">Comment fonctionne BVP47 en pratique ?<\/h2>\n<p>Mais assez parl\u00e9 de l&#8217;\u00e9l\u00e9ment espion contre espion de l&#8217;histoire.  Que signifie BVP47 pour la cybers\u00e9curit\u00e9 ?  Essentiellement, cela fonctionne comme une porte d\u00e9rob\u00e9e tr\u00e8s intelligente et tr\u00e8s bien cach\u00e9e dans le syst\u00e8me de r\u00e9seau cible, ce qui permet \u00e0 la partie qui l&#8217;exploite d&#8217;obtenir un acc\u00e8s non autoris\u00e9 aux donn\u00e9es &#8211; et de le faire sans \u00eatre d\u00e9tect\u00e9.<\/p>\n<p>L&#8217;outil a quelques astuces tr\u00e8s sophistiqu\u00e9es dans sa manche, reposant en partie sur l&#8217;exploitation d&#8217;un comportement que la plupart des administrateurs syst\u00e8me ne rechercheraient pas &#8211; simplement parce que personne ne pensait qu&#8217;un outil technologique se comporterait comme \u00e7a.  Il commence son chemin infectieux en mettant en place un canal de communication secret dans un endroit o\u00f9 personne ne penserait \u00e0 regarder : les paquets TCP SYN.<\/p>\n<p>Dans une tournure particuli\u00e8rement insidieuse, BVP47 a la capacit\u00e9 d&#8217;\u00e9couter sur le m\u00eame port r\u00e9seau utilis\u00e9 par d&#8217;autres services, ce qui est tr\u00e8s difficile \u00e0 faire.  En d&#8217;autres termes, il peut \u00eatre extr\u00eamement difficile \u00e0 d\u00e9tecter car il est difficile de faire la diff\u00e9rence entre un service standard utilisant un port et BVP47 utilisant ce port. <\/p>\n<p>La difficult\u00e9 \u00e0 se d\u00e9fendre contre cette ligne d&#8217;attaque<\/p>\n<p>Dans un autre tour encore, l&#8217;outil teste r\u00e9guli\u00e8rement l&#8217;environnement dans lequel il s&#8217;ex\u00e9cute et efface ses traces en cours de route, cachant ses propres processus et l&#8217;activit\u00e9 du r\u00e9seau pour s&#8217;assurer qu&#8217;il ne reste aucune trace \u00e0 trouver. <\/p>\n<p>De plus, BVP47 utilise plusieurs m\u00e9thodes de cryptage sur plusieurs couches de cryptage pour la communication et l&#8217;exfiltration de donn\u00e9es.  C&#8217;est typique des outils de premier plan utilis\u00e9s par les groupes de menaces persistantes avanc\u00e9es, y compris les groupes parrain\u00e9s par l&#8217;\u00c9tat.<\/p>\n<p>Pris ensemble, cela \u00e9quivaut \u00e0 un comportement incroyablement sophistiqu\u00e9 qui peut \u00e9chapper m\u00eame aux d\u00e9fenses de cybers\u00e9curit\u00e9 les plus astucieuses.  La combinaison la plus performante de pare-feu, de protection avanc\u00e9e contre les menaces, etc., peut toujours \u00e9chouer \u00e0 arr\u00eater des outils tels que BVP47.  Ces portes d\u00e9rob\u00e9es sont si puissantes en raison des ressources que les acteurs \u00e9tatiques aux poches profondes peuvent consacrer \u00e0 leur d\u00e9veloppement.<\/p>\n<h2 style=\"text-align: left\">Comme toujours, la bonne pratique est votre meilleur pari<\/h2>\n<p>Cela ne signifie pas, bien s\u00fbr, que les \u00e9quipes de cybers\u00e9curit\u00e9 doivent simplement se retourner et abandonner.  Il existe une s\u00e9rie d&#8217;activit\u00e9s qui peuvent rendre, \u00e0 tout le moins, plus difficile pour un acteur le d\u00e9ploiement d&#8217;un outil tel que BVP47.  Les activit\u00e9s de sensibilisation et de d\u00e9tection valent la peine d&#8217;\u00eatre poursuivies, car une surveillance \u00e9troite peut encore d\u00e9tecter un intrus \u00e0 distance.  De m\u00eame, les pots de miel peuvent attirer les attaquants vers une cible inoffensive \u2013 o\u00f9 ils pourraient bien se r\u00e9v\u00e9ler.<\/p>\n<p>Cependant, il existe une approche simple, bas\u00e9e sur les premiers principes, qui offre une \u00e9norme protection.  M\u00eame des outils sophistiqu\u00e9s tels que BVP47 s&#8217;appuient sur des logiciels non corrig\u00e9s pour s&#8217;implanter.  Patcher constamment le syst\u00e8me d&#8217;exploitation et les applications dont vous d\u00e9pendez est donc votre tout premier port d&#8217;escale.<\/p>\n<p>Le fait d&#8217;appliquer un patch en soi n&#8217;est pas l&#8217;\u00e9tape la plus difficile \u00e0 franchir, mais comme nous le savons, appliquer rapidement un patch \u00e0 chaque fois est une chose avec laquelle la plupart des organisations ont du mal.<\/p>\n<p>Et bien s\u00fbr, c&#8217;est exactement ce sur quoi les acteurs de la menace tels que l&#8217;\u00e9quipe derri\u00e8re BVP47 s&#8217;appuient, alors qu&#8217;ils mentent et attendent leur cible, qui aurait in\u00e9vitablement trop de ressources pour appliquer des correctifs de mani\u00e8re coh\u00e9rente, manquant finalement un correctif critique. <\/p>\n<p>Que peuvent faire les \u00e9quipes sous pression ? <a rel=\"nofollow noopener\" href=\"https:\/\/tuxcare.com\/live-patching-services\/\" target=\"_blank\">Correctif automatis\u00e9 en direct<\/a> est une solution car elle supprime le besoin de patcher manuellement &#8211; et \u00e9limine les red\u00e9marrages chronophages et les temps d&#8217;arr\u00eat associ\u00e9s.  Lorsque l&#8217;application de correctifs en direct n&#8217;est pas possible, l&#8217;analyse des vuln\u00e9rabilit\u00e9s peut \u00eatre utilis\u00e9e pour mettre en \u00e9vidence les correctifs les plus critiques.<\/p>\n<h2 style=\"text-align: left\">Pas le premier &#8211; et pas le dernier<\/h2>\n<p>Des rapports approfondis comme celui-ci sont importants pour nous aider \u00e0 rester conscients des menaces critiques.  Mais BVP47 \u00e9tait en jeu depuis des ann\u00e9es et des ann\u00e9es avant ce rapport public, et d&#8217;innombrables syst\u00e8mes ont \u00e9t\u00e9 attaqu\u00e9s entre-temps, y compris des cibles tr\u00e8s m\u00e9diatis\u00e9es dans le monde entier. <\/p>\n<p>Nous ne savons pas combien d&#8217;outils similaires existent &#8211; tout ce que nous savons, c&#8217;est ce que nous devons faire pour maintenir une posture de cybers\u00e9curit\u00e9 toujours solide\u00a0: surveiller, distraire et corriger.  M\u00eame si les \u00e9quipes ne peuvent pas att\u00e9nuer toutes les menaces, elles peuvent au moins mettre en place une d\u00e9fense efficace, ce qui rend aussi difficile que possible l&#8217;exploitation r\u00e9ussie des logiciels malveillants.<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/06\/even-most-advanced-threats-rely-on.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Les cybercriminels courants sont une menace, cela ne fait aucun doute &#8211; des pirates de chambre aux groupes de ran\u00e7ongiciels, les cybercriminels causent beaucoup de d\u00e9g\u00e2ts. Mais les outils utilis\u00e9s et la menace pos\u00e9e par les cybercriminels ordinaires sont p\u00e2les par rapport aux outils utilis\u00e9s par des groupes plus professionnels tels que les c\u00e9l\u00e8bres groupes [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":192359,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[53595,4168,8543,4158,4165,4161,133,4157,4159,4171,4170,65,4167,147,4742,4160,4163,4162,24996,4172,4169,60,5046,4166,4164],"class_list":["post-192358","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-avancees","tag-comment-pirater","tag-corriges","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-des","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-logiciel-malveillant-de-ransomware","tag-meme","tag-menaces","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-reposent","tag-securite-informatique","tag-securite-internet","tag-sur","tag-systemes","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/192358","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=192358"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/192358\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/192359"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=192358"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=192358"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=192358"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}