WikiLeaks dévoile Angelfire un outil de la CIA

L'actualité & News Informatique!
Donc pas de demande d'aide dans cette partie.
Avatar de l’utilisateur
Parisien_entraide
Informaticien
Informaticien
Messages : 328
Inscription : 02 juin 2012 20:48

WikiLeaks dévoile Angelfire un outil de la CIA

Message par Parisien_entraide » 01 sept. 2017 11:20

Il ne se passe pas une semaine sans que soit découvert une série d'outils destinés à pénétrer l'OS de Microsoft

Cette fois ci on a droit à Angelfire
Wikileaks Angerfire.png
Tous les détails et documentation technique à https://wikileaks.org/vault7/#Angelfire (1)

Les OS visés sont XP et Windows 7, et s'attaquent au système de démarrage

Le kit dispose de 5 outils et tous travaillent ensemble au travers d’une infection du secteur de démarrage de l’unité de stockage.

- Solartime : Uun logiciel malveillant dont l’objectif est de modifier le secteur de démarrage afin d’exécuter un deuxième module nommé Wolfcreek.
- WolfCreek : Ce dernier a pour fonction de permettre le chargement d’autres implants.
- Keystone, est lié à Wolfcreek. Son rôle est de permettre un démarrage de logiciels malveillants sur les systèmes compromis. Tout ceci fonctionne de manière transparente. Aucun fichier système n’est modifié.
- BadMFS est un système de fichiers cryptée et cachés à la fin de la partition active. Le cinquième élément est une alternative à BadMFS.
- Windows Transitory File system (altrenative à BadMFS) est présenté comme une nouvelle méthode d’installation d’AngelFire. Le processus utilise cette fois des fichiers temporaires.

Evidemment il y a des contraintes pour que cela fonctionne. On peut les lire à partir de la page 12 de la documentation, avec les solutions qui seront apportées dans les futures versions

Ex : Si le système est installé sur le disque D, cela ne fonctionnera pas car l"outil recherche le chemin "c:\windows\system32\svchost.exe
La future version inclura une recherche dynamique du chemin

La seule possibilité de détecter ce kit, serait dans les fuites mémoires que le kit peut engendrer
En tous les cas à la lecture, on voit que ceux qui sont derrière ce kit on une connaissance approfondie de l'OS Microsoft (une aide intérieure ?)

Pour le détail des autres outils

https://wikileaks.org/vault7/releases/

et un aperçu par catégories

https://wikileaks.org/-Leaks-.html


_____________________________

(1) Pour la petite histoire, il faut savoir qu'aux USA, le simple fait de mettre un lien sur le site Wikileaks vous conduit en prison
Le journaliste Barrett Lancaster Brown (décrit comme "acktivist') a été emprisonné pour avoir publié des informations la source Wikileaks
Barrett Brown a été poursuivi et condamné à 63 mois de prison pour avoir simplement fait un lien vers les mails de Stratfor publiés sur Wikileaks et condamné également à verser $900,000 à Stratfor en dédommagement
Récemment une doctorante, Cynthia McKinney, a été cité à comparaitre pour avoir également inséré dans sa thèse, une référence à Wikileaks


Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86905
Inscription : 10 sept. 2005 13:57
Contact :

Re: WikiLeaks dévoile Angelfire un outil de la CIA

Message par Malekal_morte » 04 sept. 2017 21:05

Salut,

Un Bootkit donc.
merci l'UEFI =)
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Parisien_entraide
Informaticien
Informaticien
Messages : 328
Inscription : 02 juin 2012 20:48

Re: WikiLeaks dévoile Angelfire un outil de la CIA

Message par Parisien_entraide » 07 sept. 2017 13:33

Malekal_morte a écrit :
04 sept. 2017 21:05
Salut,

Un Bootkit donc.
merci l'UEFI =)
Quant il a été dit que l'UEFI était une volonté de "certains acteurs" (les mêmes qui se sont insérés pour la crypto, la faille GSM etc) avec le pourquoi (faudrait que je retrouve l'article mais il me semble que c'était un lien de la revue MISC) et non pas celle des utilisateurs, sous couvert que ceux ci réclamaient une interface graphique (c'est visuel et plus agréable à l'oeil), voulaient protéger les ordinateurs contre les logiciels malveillants etc tout le monde riait...

Détails :

https://www.ssi.gouv.fr/uploads/IMG/pdf ... le_fr.pdf (lire à partir du point 3.1 pour les failles)
http://www.lemagit.fr/actualites/450414 ... et-du-BIOS

Quelques exemples :

http://www.silicon.fr/le-firmware-de-de ... 05103.html
http://www.itespresso.fr/securite-it-ue ... 33861.html
http://blog.trendmicro.com/trendlabs-se ... t-systems/

On retrouve une discussion avec des liens https://www.betaarchive.com/forum/viewtopic.php?t=36105 au sujet du secure boot où en résumé il est dit
" il est impossible pour Microsoft de révoquer complètement les clés filtrées, ce qui pourrait donner à la "Law enforcement" (FBI, NSA,...) un déverrouillage spécial qui peut être utilisé pour déverrouiller des périphériques alimentés par Windows dans des affaires criminelles.

Sauf que les "Golden Keys" (qui n'en sont pas en fait) sont dans la nature...

https://arstechnica.com/information-tec ... olden-key/

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86905
Inscription : 10 sept. 2005 13:57
Contact :

Re: WikiLeaks dévoile Angelfire un outil de la CIA

Message par Malekal_morte » 07 sept. 2017 19:26

Après je dis pas qu'un jour, il n'y a pas de bootkit en UEFI. "Y a toujours moyen".
Simplement, les bootkits c'est vieux (2010) et l'UEFI oblige à repartir de zéro.
Donc pendant ce temps là, l'utilisateur est protégé pour ce type de menaces car il y en a pas.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Répondre

Revenir vers « Actualité & News Informatique »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 6 invités