Utilise la porte dérobée
🔞 TOUTES LES INFORMATIONS CLIQUEZ ICI 👈🏻👈🏻👈🏻
Utilise la porte dérobée
Rechercher
Contactez-nous
Suivez-nous sur Twitter
Actu
Produits
Business
Marchés
Magic Quadrant
Dossiers
Investigations
Interviews
Risk Management
International
Points de Vue
Livre Blanc
Cyber Securité
Label « France Cybersecurity »
ESBD
ALLENTIS
RGPD
Vulnérabilités
Malwares
Agenda
Calendrier
Les événements de Global Security Mag
Événements
Webinaires à la demande et podcast
CARTOGRAPHIE DES DC NEUTRES
CARTE DYNAMIQUE DES DC NEUTRES
1.1 GUIDE DES DATA CENTERS PAR ORDRE ALPHABETIQUE
CARTOGRAPHIE DES DC NEUTRES FRANCE
CARTOGRAPHIE DES DC NEUTRES MONACO
CARTOGRAPHIE DES DC NEUTRES LUXEMBOURG
SERVICES ET EQUIPEMENTS POUR DATA CENTERS
Carrière
Offres d’emploi
Formations
GS Days
Guide
FOURNISSEURS - EQUIPEMENTIERS
CONSULTANTS
DISTRIBUTEURS
FORMATION - SENSIBILISATION
INTEGRATEURS
ASSOCIATIONS
Podcast
THEMA
EDR - ANTIMALWARE
IAM - GRC
Actu
Dossiers
Cyber Securité
RGPD
Vulnérabilités
Malwares
Agenda
CARTOGRAPHIE DES DC NEUTRES
Carrière
GS Days
Guide
THEMA
Contact
A propos
Mentions légales
S'identifier
ADMIN
Global Security Mag Copyright 2011
Mi-octobre 2021, l’équipe ICS CERT de Kaspersky a découvert un nouvel acteur malveillant sinophone ciblant les organisations de transport, de production, et de télécommunications dans plusieurs pays d’Asie. Pendant les attaques initiales, le groupe a exploité la vulnérabilité de MS Exchange pour déployer le malware ShadowPad et a infiltré les systèmes d’automatisation du bâtiment de l’une des victimes.
Un système d’automatisation du bâtiment (BAS) connecte toutes les fonctions présentes à l’intérieur du bâtiment – de l’électricité au système de chauffage en passant par les sécurités incendies et la sécurité – et est géré depuis un centre de contrôle. Une fois qu’un BAS est compromis, toutes les procédures au sein de l’organisation sont exposées au risque, y compris celles relatives à la sécurité de l’information.
Les experts d’ICS CERT de Kaspersky ont été témoins d’attaques sur des organisations au Pakistan, en Afghanistan et en Malaisie dans les secteurs industriels, et des télécommunications. Les attaques étaient menées à travers des tactiques, techniques et procédures uniques (TTPs), qui ont poussé les experts à penser que le même acteur malveillant sinophone était à l’origine de toutes ces attaques. Leur attention a été particulièrement attirée par l’utilisation par l’acteur d’ordinateurs d’ingénierie dans les systèmes d’automatisation des bâtiments, appartenant aux infrastructures des entreprises, comme point d’infiltration - ce qui est inhabituel pour les groupes APT. En prenant le contrôle de ces systèmes, l’attaquant peut atteindre d’autres systèmes, encore plus sensibles, de l’organisation attaquée.
L’investigation a montré que le principal outil du groupe APT était la porte dérobée Shadowpad. Kaspersky a été témoin de l’utilisation de ce malware par plusieurs acteurs APT sinophones. Pendant les attaques de l’acteur observé, la porte dérobée ShadowPad était téléchargée sur les ordinateurs attaqués, sous le couvert de logiciels légitimes. Dans bien des cas, le groupe attaquant exploitait une vulnérabilité connue dans MS Exchange, et a entré les commandes manuellement, ce qui indique la nature hautement ciblée des attaques.
« Les systèmes d’automatisation des bâtiments sont des cibles rares pour les acteurs avancés de la menace. Cependant, ces systèmes peuvent être une source précieuse d’informations hautement confidentielles et peuvent fournir aux attaquants une porte dérobée vers d’autres zones, plus sécurisées, des infrastructures. Comme ces attaques se développent extrêmement rapidement, elles doivent être détectées et atténuées dès les premiers stades. Nous vous conseillons donc de surveiller constamment les systèmes mentionnés, en particulier dans les secteurs critiques », commente Kirill Kruglov, expert en sécurité à l’ICS CERT de Kaspersky.
Pour garder vos ordinateurs OT à l’abri des différentes formes de menaces, les experts Kaspersky recommandent de :
Mettre régulièrement à jour les systèmes d’exploitation et tout logiciel d’application qui font partie du réseau de l’entreprise. Appliquer les correctifs de sécurité et les patchs aux équipements du réseau OT dès qu’ils sont disponibles.
Réaliser des audits de sécurité réguliers des systèmes OT afin d’identifier et d’éliminer les éventuelles vulnérabilités.
Utiliser des solutions de surveillance, d’analyse et de détection du trafic réseau OT pour mieux se protéger des attaques qui menacent potentiellement les systèmes OT et les principaux actifs de l’entreprise
Fournir une formation dédiée à la sécurité OT pour les équipes de sécurité informatique et les ingénieurs OT. Ceci est crucial pour améliorer la réponse aux techniques malveillantes nouvelles et avancées.
Fournir à l’équipe de sécurité chargée de protéger les systèmes de contrôle industriel des renseignements actualisés sur les menaces. Le service ICS Threat Intelligence Reporting fournit des informations sur les menaces et les vecteurs d’attaque actuels, ainsi que sur les éléments les plus vulnérables des systèmes de contrôle industriel et sur la manière de les atténuer.
Utiliser des solutions de sécurité pour les terminaux et les réseaux OT, telles que Kaspersky Industrial CyberSecurity, afin de garantir une protection complète de tous les systèmes critiques.
Protégez l’infrastructure informatique. Integrated Endpoint Security protège les terminaux de l’entreprise et permet des capacités de détection et de réponse automatisées aux menaces.
Moyens I/O » Sécurité » Qu’est-ce qu’une porte dérobée et que fait-elle?
Posted by
Moyens Staff
Il y a 2 ans
9 Min de lecture
En relation : Cyberattaques – Définition, types, prévention
En relation : Qu'est-ce que LetsExchange et comment ça marche ?
Moyens I/O Staff vous a motivé, donner des conseils sur la technologie, le développement personnel, le style de vie et des stratégies qui vous aider.
Laisser un commentaire Annuler la réponse.
Le monde de la technologie regorge de noms étranges, et la «porte dérobée» en fait partie. Cependant, les implications d’une porte dérobée sur votre système sont plus sérieuses qu’un nom idiot ne le suggère.
Voyons ce qu’est une porte dérobée, ce qu’elle fait et comment elle peut vous affecter.
Imaginez que vous essayez de participer à une fête exclusive. La seule façon d’entrer est d’être sur «la liste», et vous savez que certaines de vos célébrités préférées ont leur nom dessus; malheureusement, vous ne le faites pas.
Vous voulez entrer, alors vous regardez autour du manoir où se déroule la fête. Comme vous vous en doutez, la porte d’entrée est interdite. Des videurs lourds et des caméras de sécurité surveillent le front et s’assurent que personne ne bloque la fête.
Heureusement, vous trouvez un moyen de contourner l’arrière du manoir. Ici, c’est beaucoup plus calme; le jardin est vide, il n’y a pas de videurs et il fait assez sombre pour que la vidéosurveillance ne vous repère pas.
Vous vous faufilez à travers le jardin et dans une porte dérobée du manoir. Vous pouvez maintenant assister à la fête sans être harcelé par la sécurité. Pendant que vous êtes ici, vous pouvez prendre quelques clichés francs de vos célébrités préférées, écouter les ragots que le public n’entendra pas ou même empocher quelques couverts coûteux.
C’est ce qu’est une porte dérobée en termes d’informatique. C’est un moyen pour un intrus d’accéder à un système sans passer par l’itinéraire avec sécurité. Parce que les portes dérobées sont invisibles pour le système de sécurité d’un ordinateur, les victimes peuvent ne pas se rendre compte que leur ordinateur en a une installée.
Bien sûr, si vous utilisiez la porte dérobée suffisamment de fois lors de futures fêtes, les organisateurs de la fête comprendraient que quelqu’un se faufilait. Ce ne serait qu’une question de temps avant que quelqu’un vous surprenne en train de passer par l’arrière, deux fois. petit truc répandu parmi les fans avides.
Cependant, les portes dérobées numériques peuvent être plus difficiles à repérer. Oui, un pirate informatique peut utiliser la porte dérobée pour faire des dégâts, mais elle est également utile pour espionner et copier des fichiers.
Lorsqu’ils sont utilisés pour l’espionnage, un agent malveillant utilise l’entrée secrète pour accéder à distance au système. De là, ils peuvent cliquer et rechercher des informations sensibles sans laisser de trace. Ils n’ont peut-être même pas besoin d’interagir avec le système; ils peuvent à la place regarder l’utilisateur vaquer à ses occupations et extraire des informations de cette façon.
Une porte dérobée est également utile pour copier des données. Lorsqu’elle est bien faite, la copie de données ne laisse aucune trace, ce qui permet à un attaquant de récolter des informations pouvant conduire à un vol d’identité. Cela signifie que quelqu’un peut avoir une porte dérobée sur son système qui siphonne lentement ses données.
Enfin, les portes dérobées sont utiles si un hacker veut faire des dégâts. Ils peuvent utiliser une porte dérobée pour fournir des charges utiles de logiciels malveillants sans alerter le système de sécurité. En tant que tel, le pirate informatique sacrifie l’avantage caché d’une porte dérobée en échange d’un temps plus facile à déployer une attaque sur un système.
Il y a trois façons principales pour qu’une porte dérobée existe; ils sont découverts, créés par des pirates informatiques ou mis en œuvre par des développeurs.
Parfois, un hacker n’a pas besoin de faire de travail pour créer une porte dérobée. Lorsqu’un développeur ne prend pas soin de protéger les ports de son système, un hacker peut le localiser et le transformer en porte dérobée.
Les portes dérobées apparaissent dans toutes sortes de logiciels connectés à Internet, mais les outils d’accès à distance sont particulièrement vulnérables. C’est parce qu’ils sont conçus pour permettre aux utilisateurs de se connecter et de prendre le contrôle d’un système. Si un pirate informatique peut trouver un moyen d’accéder au logiciel d’accès à distance sans avoir besoin d’informations d’identification, il peut utiliser l’outil pour l’espionnage ou le vandalisme.
Si un pirate ne trouve pas de porte dérobée sur un système, il peut choisir d’en créer une lui-même. Pour ce faire, ils mettent en place un tunnel entre leur ordinateur et celui de la victime, puis l’utilisent pour voler ou télécharger des données.
Pour mettre en place le tunnel, le pirate doit inciter la victime à le configurer pour elle. Le moyen le plus efficace pour un pirate informatique de le faire est de faire croire aux utilisateurs qu’il est avantageux pour eux de le télécharger.
Par exemple, un pirate informatique peut distribuer une fausse application qui prétend faire quelque chose d’utile. Cette application peut ou non faire le travail qu’elle prétend faire; cependant, la clé ici est que le pirate le met en place avec un programme malveillant. Lorsque l’utilisateur l’installe, le code malveillant met en place un tunnel vers l’ordinateur du pirate informatique, établissant une porte dérobée à utiliser.
Les applications les plus sinistres des portes dérobées se produisent lorsque les développeurs eux-mêmes les implémentent. Par exemple, le fabricant d’un produit placera des portes dérobées à l’intérieur du système qu’il pourra utiliser à tout moment.
Les développeurs créent ces portes dérobées pour l’une des nombreuses raisons. Si le produit finit sur les tablettes d’une entreprise concurrente, une entreprise peut mettre en place des portes dérobées pour espionner ses citoyens. De même, un développeur peut ajouter une porte dérobée cachée afin que les forces de l’ordre puissent accéder et surveiller le système.
Un bon exemple de porte dérobée ajoutée par les développeurs est le cas Borland Interbase en 2001. À l’insu des utilisateurs d’Interbase, quelqu’un pourrait accéder au logiciel via Internet sur n’importe quelle plateforme en utilisant un « compte principal ».
Tout ce que quelqu’un avait à faire était d’entrer le nom d’utilisateur «politiquement» et le mot de passe «correct» pour accéder à n’importe quelle base de données. Les développeurs ont finalement supprimé cette porte dérobée.
Parfois, cependant, un hacker n’exploite pas une porte dérobée qu’il trouve ou crée. Au lieu de cela, ils vendront les informations sur le marché noir aux parties intéressées. Par exemple, un pirate a gagné 1,5 million de dollars sur une période de deux ans en vendant des informations de porte dérobée, dont certaines ont conduit aux réseaux d’entreprises du Fortune 500.
Bien qu’ils puissent avoir un nom drôle, les portes dérobées ne sont pas une question de rire. Qu’un hacker les crée ou qu’un développeur en faufile un, ils peuvent causer beaucoup de dégâts.
Si vous souhaitez vous protéger des portes dérobées, consultez les meilleurs outils de sécurité informatique et antivirus.
© 2022 Moyens I/O Magazine, Tous droits réservés.
Pour vous montrer qu'un accès physique, c'est un accès administrateur… Voici un petit exemple de comment permettre de lancer un invite de commande à partir de l'écran d'accueil de Windows, quand on a un accès physique au disque dur.
Un défaut souvent rencontré chez les informaticiens débutants dans l’analyse de risque, c’est de se focaliser sur les problèmes informatiques : Logiciels, systèmes et réseaux. Au détriment d’autres composantes pourtant essentiellement évidentes comme l’accès physique aux machines.
Avec un tout petit peu d’expérience, tous les consultants et experts vous diront la même chose :
Un attaquant ayant un accès physique est de facto administrateur de la machine.
Mais entre le dire et ressentir vraiment cette implication, il y a encore de la marge.
Aujourd'hui, nous allons donc tenter de la combler en vous montrant un exemple de ce qu'il est possible de faire, lorsque l'on dispose d'un accès physique à un ordinateur sous Windows 10.
On va monter la partition Windows dans un système Linux et ajouter une porte dérobée à l’écran d’accueil de Windows. Celle-ci nous fournira une invite de commande pour changer un mot de passe ou activer l’administrateur.
Puisqu’on part du principe que vous avez un accès physique à la machine, et que vous êtes plutôt pressé , on va passer par un Live CD. N’importe lequel dans notre cas puisque nous n’utiliserons que des outils de bases ( fdisk , mount et cp ).
Comme vous allez le voir, cette technique marche à l’identique si vous prenez le temps de débrancher le disque pour le brancher sur une machine spécifique. Dans le cadre d’expertises, nous l’utilisons parfois sur des clones de disques.
Pour monter le bon disque, il faut d’abord savoir à quel fichier de périphérique il correspond. Pour ça, on utilise fdisk .
Un disque dur SATA ou SSD sera dans dev/sd… , un disque IDE /dev/hd… . Pour être sûr que c’est le bon, vous pouvez vérifiez le nom du disque ( i.e. Windows en toutes lettres), la taille ou toute autre information utile.
Une fois que vous avez le disque, il faut trouver quelle est la partition principale. Pour ça, servez vous du système de fichier ( i.e. NTFS) et de la taille. Les petites partitions (500 Mo à 1Go) ne nous intéressent pas. Mis à part cas rarissime, l’espace global ne sera réparti que sur une seule (c’est la bonne) ou deux (la première est alors souvent la bonne, la deuxième servant pour les fichiers persos).
Avec un disque de 50 Go et via un Live CD, voici ce que me retourne fdisk .
Le disque /dev/sda est un bon candidat. Sa taille correspond (50GiB) et son nom est évocateur (dos). Sur ses trois partitions, deux sont trop petites, c’est donc /dev/sda2 qui nous intéresse.
Pour faire les choses proprement lorsqu’on monte un disque, il faut généralement créer un répertoire pour servir de point de montage. Dans un soucis de propreté et d’automatisation, on utilise généralement le fichier fstab …
Ici, on va aller au plus rapide et monter directement le disque dans un répertoire existant compatible (vide et ne servant pas à quelque chose d’utile). Si vous hésitez, vous pouvez aussi créer votre propre répertoire.
Pour revenir à notre exemple du disque de 50GiB et notre Ubuntu, on va directement utiliser /media .
Dans l’idéal, les lignes précédentes marchent toute seules sans problèmes. Mais comme le monde n’est pas toujours juste, voici quelques problèmes courants et leur solution.
Si Windows n’était pas éteint mais en veille lorsque vous avez démarré sur le live CD, i.e. il est en hibernation. Conséquence : Linux refusera de monter votre disque en Lecture/Ecriture. Vous obtiendrez alors le message d’erreur suivant :
Pour faire simple, vous pouvez arrêter votre live CD, redémarrer sous Windows et l’éteindre proprement. Le système étant alors dans un bon état, vous pourrez monter le disque.
Sinon, vous pouvez aussi utiliser ntfsfix sur le périphérique pour qu’il corrige lui-même les problèmes. Il faudra démonter la partition avant mais à part ça, c’est facile à utiliser :
Enfin, malgré tout ce que vous pourriez lire dans les pages de man, l’option remove_hiberfile de mount ne marche pas avec Windows 10. Vous êtes prévenu.
Depuis la mise à jour 14393 de Windows 10, le pilote NTFS libre NTFS-3G utilisé pour monter ces partitions n’est plus compatible et a un bug. Au lieu de permettre d’accéder à tous les fichiers de la partition Windows, certains fichiers so
La bite de Mandingo dans le cul de la rousse
Une belle jeune brunette étudiante Lylou Sou âgée de 18 ans a flashe sur notre acteur et aimerait se faire défoncer copieusement lors de son casting amateur.
Rouquine française se fait ramoner pour son casting porno