Je suis sous Linux et me pose la question suivante. Sachant qu’il est impossible d’accéder au kernel sans un accès physique à la machine en tant que super utilisateur (root), est ce que la CIA a infecté des ordinateurs sous Linux qu’elle a redistribué ensuite ?? Ou à moins que l’utilisateur ait ouvert tous les ports… Avis aux spécialistes (ce que je ne suis pas) pour nous donner le mode d’infection employé par la CIA. J’avoue ne pas bien comprendre. Merci Atlante pour le lien.
WikiLeaks vient de publier du nouveau sur la fuite « Vault 7 » en cours, cette fois détaillant un projet allégué de la CIA qui a permis à l’agence de pirater et d’espionner à distance les ordinateurs exécutant les systèmes d’exploitation Linux.
Appuyé par OutlawCountry, le projet permet aux pirates informatiques de la CIA de rediriger tout le trafic réseau sortant de l’ordinateur ciblé vers les systèmes informatiques contrôlés par la CIA pour les données d’exfiltration et d’infiltration.
L’outil de piratage de Linux OutlawCountry consiste en un module kernel que les pirates informatiques de la CIA chargent via l’accès shell sur le système ciblé et crée une table Netfilter cachée avec un nom dissimulé sur un utilisateur Linux cible.
« Le nouveau tableau permet de créer certaines règles à l’aide de la commande » iptables « . Ces règles ont priorité sur les règles existantes et ne sont visibles d’un administrateur que si le nom de la table est connu. Lorsque l’opérateur supprime le module noyau, le nouveau tableau est également supprimé « , indique le manuel d’utilisation (ci-dessous) divulgué par la CIA.
Bien que la méthode d’installation et la persistance de l’outil OutlawCountry ne soit pas décrite en détail dans le document, il semble que les pirates informatiques de la CIA s’appuient sur les exploits et les backdoors disponibles de la CIA pour injecter le module kernel dans un système d’exploitation Linux ciblé.
Cependant, il existe certaines limites à l’utilisation de l’outil, comme les modules de noyau qui ne fonctionnent qu’avec des noyaux Linux compatibles. « OutlawCountry v1.0 contient un module kernel 64 bits pour CentOS/RHEL 6.x, ce module ne fonctionnera qu’avec des noyaux par défaut.
De plus, OutlawCountry v1.0 supporte uniquement l’ajout de règles DNAT cachées de la chaîne PREROUTING », explique WikiLeaks.Source: TheHackernews relayé par Quoideneuf1
Déja il faut préciser que cela ne fonctionne que sur certaines distributions bien précises qui ne sont pas celles de monsieur tout le monde. J’imagine mal madame michu installer une redhat 64 bits, ou une centOs 64 bits.
Deux distributions dites psycho-rigides. 🙂
Les mint et autres Ubuntu ne sont pas concernées. Les équipes étant beaucoup plus réactives.
De plus les docs datent de 2015. Donc ce n’est plus d’actualité.
Les noyaux ont évolué et les failles ont été comblées depuis.
Le manuel indique clairement :
3.3
(U) Prerequisites
(S//NF) The target must be running a compatible 64-bit version of CentOS/RHEL 6.x (kernel version 2.6.32).
(S//NF) The Operator must have shell access to the target.
(S//NF) The target must have a “nat” netfilter table.
Donc avoir un accès au shell. Donc avoir ou une complicité qui donne un acces a la machine physiquement ou un acces par SSH via le net ou un modem.
« The Operator must have shell access to the target. »
Il faut en plus avoir un accès root sur la machine cible !!
Toute machine laissant un accès root distant est par définition déjà une passoire !
https://fr.wikipedia.org/wiki/Tails_(syst%C3%A8me_d%27exploitation) est fait pour vous ….
Et info qui peut interesser les utilisateurs de Chrome navigateur de google.
http://quoideneuf1.over-blog.com/2017/05/un-bug-permet-a-chrome-d-enregistrer-furtivement-audio-et-video.html
Un logiciel installé par l’utilisateur sous Linux, parce qu’il est utile, ne peut-il pas être un malware déguisé ?
Salut Balou!
Voici un exemple d’utilitaire Linux modifié afin de propager un backdoor.
https://news.drweb.fr/show/?i=9921&c=23&p=1
Dans ce second exemple, ce sont des logiciels connus qui ont été utilisés par la CIA à des fins d’espionnage.
https://www.developpez.com/actu/122317/La-CIA-s-est-servie-de-VLC-et-de-plusieurs-autres-logiciels-portes-par-la-communaute-du-libre-pour-mener-ses-operations-d-espionnage/
« Un logiciel installé par l’utilisateur sous Linux, parce qu’il est utile, ne peut-il pas être un malware déguisé ? »
Oui, si il n’est pas signé par un tiers de confiance !
Mais alors, comment reconnait-on un tiers de confiance sous Linux ?
Tu ne réponds pas à ma question..
Inutile de fantasmer sur ma supposée indisposition..
Balou
Les tiers de confiance ou les réseaux de confiance c’est le b-a-ba de la sécurité des infrastructures à clés publiques. La vrai question dans ce cas c’est plutôt de savoir vérifier que les clés publiques que l’on récupère sont bien valides !
Il s’agit de la signature numérique d’un logiciel par un organisme de certification, comme sous Mac ou Windows ?
Oui, et le système est basé sur GPG et permet donc d’utiliser un réseau de confiance (décentralisé) plutôt qu’un organisme de certification
En définitive, le coût est réduit mais le résultat est le même. L’éditeur étant vérifié, il engage son nom et son numéro professionnel lorsqu’il signe un logiciel. Il est possible de le retrouver en cas de problème, s’il n’a pas disparu de la circulation entre temps. Un logiciel non signé est mal considéré sous Windows, des messages d’alerte mettent en garde, mais l’utilisateur peut décider de le charger quand-même. Cela n’est pas possible sous Linux ?
« mais l’utilisateur peut décider de le charger quand-même. Cela n’est pas possible sous Linux ? »
Si, l’utilisateur qui possède les droits d’administration (root ou sudoer) sous Linux peut tout à fait installer n’importe quel binaire vérolé ou par manque de compétence récupérer une clé de signature falsifiée :-/
il n’y a que les zouaves qui ne connaissent rien qui se font avoir
Tout le monde se fait avoir, quel que soit le système d’exploitation (si bien nommé)
https://francais.rt.com/opinions/40541-john-mcafee-confidentialite-existe-pas-chaque-routeur-suspect