La NSA est capable de reprogrammer nimporte quel

disque dur
01net.com /editorial/645887/la-nsa-est-capable-de-reprogrammer-n-importe-quel-disque-dur/
Actualits > Scurit

Lditeur Kaspersky a mis la main sur un arsenal de malwares

ultrasophistiqus dont les traces remontent lagence despionnage
amricaine. Cest une plonge tourdissante dans lart de la guerre
numrique.
agrandir la photo
Le roi est nu, enfin presque. Aprs des mois denqute, les
chercheurs en scurit de Kasperky ont mis la main sur une srie
de logiciels despionnage aussi complexes que Stuxnet, utiliss
par un groupe quils ont baptis Equation Group . Celui-ci est
actif depuis au moins 2001, utilise un vaste rseau de serveurs de
commande et contrle (plus dune centaine) et a infect plusieurs
dizaines de milliers postes partout dans le monde. Vous laurez
compris : derrire Equation Group se cache en ralit... la
NSA. Kaspersky ne peut pas laffirmer partir des lments en sa possession, mme si beaucoup
dindices pointent dans cette direction. Toutefois, cela a t confirm auprs de Reuters par un ancien
membre de lagence amricaine. Le doute nest donc pas possible.

Kaspersky a dcouvert environ 500 victimes dans le monde , mais estime le nombre total
plusieurs dizaines de milliers.

agrandir la photo
Parmi la demi-douzaine de logiciels despionnage analyss, il y en a un qui surpasse tous les autres,
car il est capable de reprogrammer ( flasher ) les firmwares de presque tous les disques durs du
march : Maxtor, Western Digital, Samsung, Toshiba, Seagate, Hitachi, IBM, Micron Technologies, etc.
Dans quel but ? Pour y installer un mouchard ultrarsistant, impossible supprimer pour le commun
des mortels. Et qui reste oprationnel mme aprs un formatage complet du disque dur ou une
rinstallation du systme dexploitation. Ce module de reprogrammation de disque dur ne sert
visiblement pas pour une surveillance de masse. Selon Kaspersky, sa prsence est extrmement
rare . Son utilisation est probablement rserve lespionnage de quelques cibles trs particulires.

Un systme de fichier cach dans la base de registre

Mais cette fonction hors du commun nest quun module dune plateforme despionnage bien plus
large, que Kaspersky a baptis GreyFish. Une fois quun ordinateur Windows a t pntr, celui-ci
sinstalle en toute douceur et reste quasi invisible. En effet, pour prendre pied dans le systme,
GrayFish infecte le Master Boot Record, ce qui lui permet de prendre le contrle de toute la phase de
dmarrage de Windows. Lordinateur est compromis avant mme quil mme que son systme ne soit
lanc. Mieux : lorsque Windows a dmarr, GrayFish installe dans la base de registre un systme de
fichier autonome et virtuel, dans lequel viendront se loger tous les modules despionnage et les
donnes rcuprer. Evidemment, tout est chiffr en permanence, mme les excutables, ce qui
permet de ne pas se faire reprer par les logiciels antivirus. En cas de ppin, GrayFish sautodtruit.
Au niveau du codage, cest donc un vrai travail dorfvre.
agrandir la photo
Pour infecter leurs victimes, Equation Group/NSA a plusieurs
moyens disposition, commencer par un ver informatique baptis
Fanny . Cr en 2008, celui-ci a utilis deux failles zero-day qui
ont t dcouvertes plus tard dans... Stuxnet, le clbre logiciel de
sabotage qui a permis la NSA de saboter le programme nuclaire
iranien. Pour se propager, Fanny infecte des cls USB en y crant
un espace de stockage cach. Une technique similaire BadUSB, la
faille dcouverte par les chercheurs de SRLabs.
Les CD-Rom sont un autre canal dinfection. Les espions dEquation
Group ont la capacit dintercepter les disques optiques envoys par
voie postale leurs victimes. Kaspersky cite deux exemples. Dans
un cas, la victime a command les transcriptions audio/vido dune
confrence professionnelle Houston. A larrive, un pack de CDRom vrols. Dans un autre cas, le malware tait log sur un CD
dinstallation dOracle Database. Au total, Kaspersky a dnombr
sept failles permettant d'infecter les postes cibls, dont quatre
taient lpoque des zero-day. Lditeur mentionne galement lexploitation de failles inconnues ce
jour - probablement zero-day - dans Firefox 17 et le navigateur Tor Browser Bundle.
Lire aussi:
La NSA et le GCHQ piratent les hackers pour voler les donnes qu'ils ont drobes , le 05/02/2015
Source:
Kaspersky
envoyer
par mail

imprimer
l'article