Savez-vous vraiment de quoi sont capablesles virus ? C’est vrai, qu’est-ce qui pourrait bien arriver ? Au pire quoi on se retrouveavec un mineur de crypto monnaie qui fait ramer à mort votre PC ? Ou bien peut-êtrequ’on va se faire piquer un compte Tik Tok ?Et bah je peux vous dire tout de suite qu’avec un coup bien préparé et surtout bien ciblé,les dégâts peuvent largement dépasser ceux d’une attaque physique !Salut c’est Léo de la chaîne Techmaker, et aujourd’hui on va parler de hacks dontles dégâts ont été plutôt catastrophiques !Sandworm Et pour commencer, on va parler une attaquequi a eu lieu en 2015 et qui a ciblé l’intégralité du réseau électrique ukrainien. Rien que ça. Ce sont au total environ 230.000 personnesqui se sont retrouvées sans électricité en ce 25 décembre 2015. Sacré jour de Noël en somme.. mais alorsqui a bien pu faire ça et surtout pourquoi ? Bon, on se doute bien que c’est pas Kévinle rageux qui a déclenché ça après s’être fait voler son top 1 sur fortnite par un ukrainien. Même s’il n’y a rien de vraiment totalementofficiel, on pense que cette attaque a été orchestré soit par le groupe de hackeursrusse Sandworm, soit carrément par le gouvernement Russe. Eh oui car en plein contexte de Conflit entrela Russie et l’Ukraine, et bah on comprend bien les intérêts de la Russie dans cettehistoire. Quoi qu’il en soit cette attaque est considéréecomme la première de grande envergure envers un réseau électrique entier, même si finalementtout le réseau n’a pas fini coupé. Enfin on peut quand même se demander à quelpoint une telle attaque est complexe à réaliser. On s’imagine que c’est comme ce qu’on a puvoir à la télé, qu’on a des agents infiltrés qui se sont rendus dans différents endroitsclé afin de brancher leur téléphone sur un serveur pour pouvoir accéder au systèmepour ensuite appuyer sur un gros bouton rouge et tout couper. Eh bien laissez-moi mettre fin à vos rêvestout de suite en vous disant que la première étape de cette attaque a été D’utiliserune bonne vieille campagne de phishing ciblée envers les différents fournisseurs d’électricité. Alors bien sûr, le niveau était probablementun peu plus élevée que qu’on a l’habitude de voir dans nos boîtes mail. Mais quand même, ça montre à quel pointl’idée que la plupart des gens ont d’une attaque informatique est fausse !Shamoon Voyageons maintenant on direction de l’ArabieSaoudite. On est en 2012, et cette fois-ci ça n’estpas le réseau électrique qui va être ciblé mais plutôt le cœur de ce qui fait fonctionnerl’économie dans cette région du globe. Vous l’avez compris, il s’agit bien sûr del’industrie pétrolière ! Et plus précisément, il s’agit de l’entreprise Saudi Aramco, ouSaudi Arabian Oil Company pour les intimes, qui va être prise pour cible. Cette entreprise est tout simplement la compagnienationale saoudienne d’hydrocarbures et possède à elle seule l’immense majorité des ressourcesen hydrocarbures dans ce coin de la planète. Et comme vous le savez, quand on parle depétrole ou que l’on soit dans le monde, ça reste là-bas que l’on trouve les rois. Qu’il s’agisse des réserves ou de la production,on parle bien ici du leader mondial du pétrole. Vous savez, le genre d’entreprise dont lechiffre d’affaires annuel dépasse le PIB de l’Irlande, rien que ça ! On comprend doncpourquoi ça a été une cible de choix dans cette attaque. Le but de la manœuvre était politique : c’estun groupe du nom de Cutting Sword of Justice (ou l’épée tranchante de la justice en français)à qui on la doit, avec comme justification le fait d’être contre la dynastie Saoudienne. Mais alors qu’est-ce qui a bien pu se passer? Eh bien on aurait en fait dans les 35 milles ordinateur appartenant à la firme qui auraitété infecté par un virus au doux nom de Shamoon. Et ce virus et bien on ne peut pas dire qu’ilsoit inoffensif, loin de là même. En effet, ces derniers est tout simplementcapable de rendre l’ordinateur sur lequel il est déployé tout simplement inutilisableen venant corrompre le master boot record, Ce qui a pour conséquence d’empêcher leredémarrage de Windows. Le truc, c’est que ce virus ne fait pas queparalyser le système informatique. Il est aussi capable avant cela d’extrairedes fichiers du système en question avant de les effacer. Autrement dit ça peut vite devenir un cauchemar. Dans ce cas précis Il aura fallu pas moinsd’une semaine à l’entreprise avant d’être capable de remettre en route le système,ce qui peut paraître négligeable car en soi ce n’est finalement rien de plus que 2pour 100 d’une année. Pourtant je peux vous dire qu’une semained’immobilisation pour un système informatique, en particulier sur une entreprise d’une telleenvergure, c’est tout simplement catastrophique et ça n’arrive juste jamais ! Bref, c’étaitun peu la cata. Wannacry et NotPetyaParlons maintenant un peu des ransomwares. Vous avez sûrement déjà entendu parlerdu premier et des ravages, mais pas autant du second qui est toute autant dévastateur! Ils chiffrent les fichiers présents sur votre disque dur et vous demandent une rançon(d’où le nom ransomware) en échange de la clé qui vous permettra de retrouver vosprécieux documents ! Alors bien sûr, si vous chopez ça sur votre PC, vous êtes dansune belle galère. Mais c’est rien à côté du carnage qui peutavoir lieu si ce genre de virus parvient à se retrouver dans des institution par exemple! C’est ce qui est arrivé avec ces deux virus que sont Wannacry et Petya en 2017. Dans le cas du premier, les dommages ont étérelativement modérés à cause de, ou je devrais plutôt dire grâce à une sécuritéprobablement mise en place par les personnes qui ont créé le virus. En gros cette protection permet de garderle machin sous contrôle, en lui faisant vérifier si un domaine est accessible. S’il l’est, alors le virus n’essaiera pasde se propager. L’idée est que les pirates vont avoir unserveur local associé à ce nom de domaine, de manière à ce que si le virus se trouvesur ce réseau, il soit en quelque sorte bridé, mais qu’une fois dans la nature, il se propageà toute vitesse. Et ça, ça a été découvert par un chercheuren sécurité, qui a alors décidé de déposer ce nom de domaine. Et il se trouve que ça a fonctionné : tousles virus alors en activité ont à partir de ce moment pu accéder au domaine en question,et sont donc repassés en mode “bridé”, ce qui a considérablement ralenti la propagation…Jusqu’à ce qu’une nouvelle version du virus voie le jour sans cette sécurité. Malheureusement, le fait que le virus ne sepropage plus ne signifie pas que les données qui avaient déjà été chiffrées à cemoment là sont redevenues accessibles comme par magie… Pour les personnes déjà atteintes,c’est une autre solution qui a permis de récupérer dans certains cas les fichiers. Pour faire très simple, le programme de chiffrementstocke la clé permettant de déchiffrer les données dans la mémoire vive, il a doncété possible avec des outils adaptés de récupérer cette clé depuis la RAM pourensuite l’utiliser pour déchiffrer les fichiers. Sauf que vous le savez peut-être, la RAMest une mémoire volatile, c’est-à-dire que son contenu est perdu lorsqu’elle n’estplus alimentée. Autrement dit, si vous avez éteint votreordinateur depuis son infection, c’est dommage mais vous devrez trouver autre chose !Pour NotPetya, on peut un peu voir ça comme Wannacry sous stéroïdes. Les dommages ont été encore plus élevés,avec un coût global estimé à plus d’un milliard d’euros. Les entreprises sont tombées comme des mouches: Nivea, Auchan, la SNCF, Mondelez, la BNP, TNT, et même la centrale de Tchernobyl quis’est retrouvée à devoir procéder à des mesures manuelles de la radioactivité suiteà la mise hors service du système de mesure automatique. Ce qui est drôle dans cette histoire, c’estque si tout le monde avait fait son boulot, on n’en serait jamais arrivés là. Dans un premier temps, il faut savoir queles deux failles exploitées par le virus pour se répandre à travers un réseau informatiquesont tout simplement été dérobées à la NSA, qui avait voulu les garder pour eux toutseuls, les vilains. Par chance, ces derniers ont apparemment pasmal assumé leur erreur et ont tout de suite prévenu Microsoft, afin qu’un correctifsoit mis en place au plus vite, et pour le coup, ici rien à reprocher, le boulot a bienété fait, si bien que le patch a été déployé plus d’un mois avant l’apparition du virus. Seulement voilà, vous connaissez la chanson,on a beau dire que les mises à jour c’est important et qu’il faut les faire régulièrementet ne pas laisser traîner, ben tout le monde n’écoute pas ! Résultat, une fois qu’unemachine était infectée sur un réseau, le virus se propageait dans tout le système! Et comment est-ce qu’il rentrait sur le réseau ? Et bien en partie en pièce jointede mails piégés. Quand on dit qu’il ne faut pas ouvrir depièce jointe douteuse… Bon j’avoue, gagnerAuLoto.exe c’est tentant, mais quand même !Si vous voulez en savoir plus sur les dégâts que peuvent faire des virus de ce style, vouspouvez aller voir ma vidéo sur le piratage d’une ville entière qui parle de tout çasous un autre angle. Les vidéos d’anniversaire sur FacebookOuais, on est vraiment sur le titre de partie qui claque le plus ici !Imaginez que vous vous réveillez un beau samedi matin de septembre, que vous lanciezvotre réseau social préféré sur votre téléphone, et là, surprise. Vous êtes accueillis par une belle lettrede Facebook vous annonçant… que votre compte a vraisemblablement été victime d’un piratage. Ouais, pas cool le début de journée. En effet, le 28 septembre 2018 Facebook annonceavoir subi une attaque majeure concernant un nombre de compte estimé à l’époque à50 millions, rien que ça ! C’est suite à un pic d’activité inhabituel qui a démarréle 14 septembre 2018 que l’entreprise a ouvert une enquête, pour conclure le 28 septembreà l’existence d’une attaque qu’il a fallu deux jours pour maîtriser. Mais alors, qu’est-ce qu’il a bien pu se passerpour que les utilisateurs ne se rendent compte de rien? C’est assez tordu dans le concept… Mais finalement assez simple à comprendre. Les pirates ont utilisé une combinaison defailles existantes au sein du réseau social pour accéder aux comptes d’utilisateurs. Vous connaissez peut-être la fonctionnalité”Aperçu du profil en tant que” qui vous permet, comme son nom l’indique, de visualiser votreprofil tel qu’il apparaîtrait depuis le compte d’une autre personne, fonctionnalitéfort utile pour savoir comment votre crush va vous voir en stalkant votre profil ! Ironiedu sort, c’est par cette fonctionnalité habituellement utilisée pour vérifier ses paramètres deconfidentialité que les hackers se sont infiltrés. En effet, une faille existait depuis juillet2017 au sein de ce programme. Normalement, lorsque l’on visualise son profildepuis le compte de quelqu’un d’autre, on ne peut évidemment rien faire d’autre quede visualiser… Et de publier une gentille vidéo d’anniversaire,parce que quand même les anniversaires c’est sacré ! Bon en vrai, on ne peut normalementpas faire ça, donc c’est un peu bizarre… Mais bon, au pire, se faire spammer de vidéosd’anniversaire, s’pas bien grave me direz vous ? Sauf que l’histoire ne s’arrête paslà et qu’on arrive dans un scénario digne de Destination Finale puisque cette failleen a rendu une autre accessible : en utilisant l’upload de vidéo, le programme génèreun token d’accès du compte depuis lequel vous visualisez votre profil… Vous voyezoù je veux en venir? Avec ce token, il est donc possible d’accéderau compte en question… C’est comme un petit jeton d’entrée qui vous permet derentrer dans l’attraction en gros ! Je vous laisse imaginer l’effet exponentieldu truc, une fois sur le compte de votre pote, bah il n’y a plus qu’à renouveler l’opération. D’autant plus que les mecs étaient pas despetits joueurs, et qu’avant de tester leur nouvelle technique de ninja, ils possédaientdéjà les accès de 400.000 comptes. A partir de là, ils ont récupéré tranquilloules tokens de 30 millions d’utilisateurs, chiffres annoncés par Facebook à l’issuede l’analyse approfondie du problème Alors qu’elles ont été les conséquencesde tout ça? Tout d’abord, 90 millions de comptes ont étédéconnectés de force. 50 millions qui étaient, au moment de la crise, supposés touchésdirectement par l’attaque, et 40 millions car ils ont utilisé la fonctionnalité concernéependant l’année écoulée. Sur le coup c’était la meilleure manièred’endiguer la propagation du virus, mais clairement quand t’as oublié ton mot de passe, et queça fait des mois voire des années que tu pries pour ne pas être déconnecté à causede ça, c’est chiant. Dans un communiqué de presse d’octobre 2018,Facebook annonce que sur les 30 millions de personnes touchées, 15 millions se sont faitpéter leur nom et détails de contacts (numéro de téléphone et email), 14 millions se sontfait tirer en plus des informations personnelles comme leur statut amoureux, leur lieu de travail,leurs préférences religieuses, les groupes auxquelles elles appartiennent etc. Et puis, si vous savez compter, pour le millionsuivant, il s’agit vraisemblablement de gens soit bénis soit inintéressants puisque rienne leur aurait été volé. Car même si toutes ces données parlés plustôt peuvent parraître insignifiantes, ça vaut réeelement de l’or, c’est tout lemarché du BigData qui peut récupérer ses données pour l’utiliser à des fins plusou moins scrupuleuses… Pareil ici, j’en ai déjà dans une autre vidéo que je vousmet en fiche que vous vous rendiez compte à quel point c’est puissant de savoir quevous sortez avec Jennifer ou Jessica. Concernant les applications tierces, car ouion peut utiliser son compte Facebook pour se loguer sur une myriade d’autres sites,elles n’auraient pas été touchées par l’attaque. Pour finir, c’est surement Facebook qui apris le plus cher dans l’histoire. En effet, pour resituer le contexte, l’entrepriseest déjà dans le viseur de la presse suite à la diffusion de propagande russe et deFake News concernant la campagne présidentielle américaine de 2016, puis à cause de l’affaireCambridge Analytica. C’est tellement chaud que Marky mark a demandéau FBI d’enquêter pour retrouver les mecs qui ont juste voulu souhaiter bon anniversaireà leurs potes à la base, rappelons-le. Moi je trouve ça un peu limite mais bon,c’est que mon avis, vous en faites ce que vous voulez. Toujours est-il que l’action de Facebook achuté de 2.6% le jour de l’annonce de l’attaque, ce qui d’après mes maigres connaissancesen finance, n’est pas forcément une très bonne chose. Car en général quand c’est écrit en rouge,c’est que c’est pas très bien, j’ai des connaissances en couleurs. StuxnetOn va maintenant terminer notre voyage en Iran, avec cette dernière histoire qui apas mal fait parler. On n’est pas là pour parler de géopolitique,donc on va faire bref avec le contexte. En gros les états unis veulent freiner ledéveloppement du nucléaire en Iran, et ils décident de s’allier avec Israël pour leurmettre des bâtons dans les roues. Sans qu’ils ne s’en rendent compte. Et pour arriver à ce but, ils ont une idéebien précise en tête : freiner l’approvisionnement en uranium enrichi, qui est nécessaire audéveloppement. Le truc, c’est que comme dit plus tôt,la discrétion est de mise. Il n’est alors pas question d’aller envoyerdes militaires pour bloquer les mines ou autre chose du genre. Non, la solution retenue est en fait bienplus diabolique. L’uranium tel qu’il est quand on l’extraitdu sol n’est pas utilisable par la plupart des centrales nucléaires : il a besoin d’être“enrichi”. On peut un peu voir ça comme une purification,qui va permettre de concentrer le “bon” uranium. Et parmi les méthodes permettant de faireça, on a l’utilisation de centrifugeuses. Et c’est ce qu’utilise l’Iran. L’idée est donc de saboter ces centrifugeuses. Sauf qu’encore une fois, il faut être discret,alors on oublie tout de suite les explosions, car en général ça fait un peu de bruit! On ne peut pas non plus simplement désactiver les machines, car ça serait vite grillé…Non, ce qu’il faut, c’est faire en sorte de les abîmer, lentement mais sûrement. Et pour ça, la solution retenue a été demodifier la vitesse des centrifugeuses de manière anormale tout en restant discret,ce qui a eu pour effet d’augmenter largement le taux de panne. Bon, c’est bien beau tout ça, mais commentest-ce qu’ils s’y sont pris ? Car c’est facile à dire mais dans les faits, un peumoins ! D’abord, il y a eu une étape de reconnaissance. L’alliance avec Israël aurait pas mal aidéde ce côté, car ils avaient une bonne connaissance du site en question. Pour récupérer toutes les infos dont ilsavaient besoin, une première infiltration a eu lieu avec un programme espion, qui apermise de réaliser une cartographie du système informatique. Ensuite, ce système a été reproduit afinde tester le vrai virus en conditions proches de la réalité, pour enfin être introduitdans la centrale en 2007. Ça n’est que 3 ans plus tard que le virusa été découvert, à cause d’une propagation incontrôlée hors de la centrale. Les états unis estiment avoir retardé ledéveloppement du programme nucléaire Iranien de plus d’un an et demi avec tout ça !On se rend encore une fois compte de la puissance de l’informatique dans notre monde actuel,chose que nous voyons en ce moment même d’ailleurs avec Anonymous et son retour en force, eton se dit qu’au fur et à mesure du temps les failles seront de moins en moins existantes,mais en réalité, tout devient de plus en plus complexe que c’est assez facile dese retrouver avec un problème dans la matrice, qui permet de s’infiltrer dans n’importequelle système ! Car on a pas parlé de petits rigolos ici et pourtant ils se sont tous faitavoir malgré des dizaines voir centaines d’expert en cybersécurité, donc commequoi… On n’est jamais à l’abri de rien ! Allez, j’ai une question pour vous : àvotre avis, quelle serait la pire attaque possible ? Qu’est-ce qui ferait le plusde dégâts ? Et bien dites moi ça en commentaire ! Vous pouvez aussi mettre un pouce bleu sila vidéo vous a plu ! N’hésitez pas à la partager à vos amis qui pensent qu’ilsvont mettre à genoux la maison blanche car ils savent ouvrir un terminal, et abonnezvous à la chaîne si ça n’est pas déjà fait en cliquant sur le logo qui vient d’apparaîtrejuste ici, c’était Léo de la chaîne Techmaker et surtout, n’arrêtez jamais d’apprendre! Salut !
Skip to content
Skip to sidebar
Skip to footer
