L’attaque de l’Agence spatiale européenne facilitée par des mots de passe trop faibles

Le piratage d'un serveur de l'Agence spatiale européenne a surtout permis de mettre en avant la faiblesse de la politique des mots de passe de l'organisation internationale.

Les serveurs de l’agence spatiale européenne (Esa) ont été piratés le 17 avril dernier (date anniversaire du retour sur Terre, en 1970, d’Appollo 13) à 17h17 précisément, a révélé le site spécialisé Zataz.com. Un exploit que son auteur, le hacker TinKode, n’a pas hésité à publier les preuves sur son blog.

On y découvre notamment l’intrusion du serveur ‘esa.int’ ainsi que la publication d’une série de comptes utilisateurs et mots de passe, y compris pour un certain nombre de serveurs FTP, d’administrateurs, webmasters, etc. En résumé, une jolie publicité pour un hacker qui n’en est pas à son premier coup. Il avait visiblement attaqué le site MySQL.com en mars dernier ainsi que le site de la marine britannique. Néanmoins, selon un porte-parole de l’Esa cité par The Register, le site web principal de l’Agence n’a pas été affecté, pas plus que son réseau interne.

Dans le cas de l’Esa, TinKode a visiblement su tirer parti d’une faille système (visiblement sous Linux), sans préciser laquelle, ce qui lui a permis de prendre le contrôle d’une machine. Mais il a surtout « été aidé par la politique de mot de passe de l’Esa », remarque Jérôme Robert, responsable produits chez SkyRecon, éditeur de solutions anti-intrusion et de chiffrement. Une politique qui laisse visiblement à désirer. Selon les documents publiés par le hacker, certains mots de passe ne dépassent pas quatre lettres, d’autres se contentent d’ajouter une année au login (editor/editor2005 par exemple) ou un caractère de ponctuation (mapinject/.mapinject).

« Qu’une organisation aussi sensible que l’Esa s’appuie sur une politique de sécurité aussi faible est assez effrayant, ajoute Jérôme Robert. C’est probablement un héritage de l’époque où la sécurité informatique n’était pas aussi importante qu’aujourd’hui. » Et de mettre en avant la désormais nécessaire éducation/sensibilisation des utilisateurs à la sécurité et les bonnes pratiques aujourd’hui indispensables en matière de sécurité, notamment sur la bonne politique des droits. Mais aussi la mise en place de solutions anti-intrusion et une politique réactive en matière de mises à jour système et applicatives. « La sécurité infaillible n’existe pas mais tout ça mis bout à bout complexifie quand même la tâche des attaquants », souligne le porte-parole de SkyRecon. Ce que n’avait visiblement pas fait l’Esa.

Il n’en reste pas moins que si un simple hacker, aussi doué soit-il, parvient à pénétrer les serveurs d’une agence animée par 18 pays européens et dotée d’un budget annuel de près de 4 milliards d’euros, que penser des intrusions orchestrées par des groupes bien plus organisés? Les regards se tournent notamment vers la Chine qui ne cache pas ses ambitions en matière de conquête spatiale (notamment d’aller sur la Lune) et qui doit s’intéresser de prêt aux données de l’Esa comme nombre d’industriels occidentaux comme EADS …

Lire les commentaires (0) Ajouter un commentaire

Google Chrome OS s'offre un « channel » stable

Preuve que la sortie de Google Chrome OS se veut imminente ? La firme de Mountain View vient tout juste d'ouvrir si je puis dire un nouveau « channel » stable pour son OS, qui va donc vous permettre d'en télécharger les diverses versions « stables » (soit les versions « finales », et destinées à l'utilisateur lambda) qui seront distribuées.

Pour autant, si Google n'a toujours pas daigné dévoiler une date de sortie ferme et définitive de son OS destiné aux netbooks, le coup d'envoi le 10 mai 2011 du nouveau cru Google I/O pourrait être l'occasion idéale pour que la date en question soit lâchée. De notre côté, on croise les doigts …

Lire les commentaires (0) Ajouter un commentaire

Les USA s'attaquent aux sites de poker en ligne

Entre le gouvernement américain et les sites de poker en ligne, l'heure n'est plus au bluff : le FBI a mené le week-end dernier une action percutante contre plusieurs gros sites. Au programme, blocage d'accès, saisies de noms de domaines et accusations de blanchiment d'argent. Les jeux d'argent en ligne sont interdits aux USA depuis 2006.

Depuis le début du week-end, les sites PokerStars, Full Tilt Poker et Absolute Poker affichent un message émanant du FBI, indiquant la saisie du domaine. « La réalisation, le financement, la gestion, la supervision, la direction, ou la possession de tout ou partie d'une entreprise de jeu illégal est un crime fédéral » explique la page d'accueil des trois sites, illégaux sur le territoire américain depuis que le Congrès a interdit les jeux en ligne en 2006. Le site du FBI confirme qu'il ne s'agit pas d'une plaisanterie.

Au blocage en bonne et due forme de ces sites s'ajoutent des poursuites judiciaires à l'encontre de leurs fondateurs, accusés entre autres de blanchiment d'argent. « Les accusés, sachant très bien que leurs affaires sont illégales aux Etats-Unis, ont menti aux banques sur la vraie nature de leurs activités » commente Janice Fedarcyk, en charge du dossier au FBI. « Ils ont fait le pari qu'ils pouvaient continuer leurs activités, mais ont perdu ». Les autorités réclament 1,5 milliard de dollars à PokerStars, 1 milliard de dollars à Full Tilt Poker, et 500 millions de dollars à Absolute Poker. Par ailleurs, 76 comptes bancaires liés aux sites ont été gelés dans 14 pays, et 11 cadres hauts placés dans le fonctionnement des sites ont été arrêtés. Les fondateurs des 3 sites ciblés risquent jusqu'à 20 ans de prison. Ils sont toujours recherchés par Interpol.

Quid de l'argent des joueurs ?

Face à cette action de grande envergure et au blocage de comptes bancaires, les joueurs s'inquiètent, et pas uniquement les américains. Néanmoins, PokerStars et Full Tilt Poker ont assuré ce week-end que les fonds des joueurs étaient en sécurité, et que leur retrait était même possible, même si des difficultés techniques semblent être de mise.

Voyant venir le vent, d'autres services de poker en ligne visiblement non concernés par cette opération ont fait le nécessaire pour fermer l'accès aux joueurs américains – qui représentent entre 30 et 40% de leur clientèle, selon Les Echos.

En France, le poker en ligne est légal depuis fin juin 2010 : les versions françaises des sites ciblés par le FBI n'ont d'ailleurs pas été impactées par cette action coup de poing.

Lire les commentaires (0) Ajouter un commentaire