Publié le 17-08-2010 dans le thème Réseau - Sécurité

Pays : International - Auteur : Damien Bancal

Pub : Découvrez les Labs ZATAZ

Nous l'appellerons AMW, un "special agent" de l'United States Air Force. Sa mission, traquer les pirates informatiques. Nous avons pu lui poser quelques questions sur son travail, ses missions et sa vision de l'Internet.

ZATAZ : Pouvez-vous vous présenter ?
AMW : Je suis un agent spécial, j'officie pour l'Air Force Network Intrusion Response et Investigations (U//FOUO). Ma mission traquer les pirates, prévenir, contrer et enquêter sur toute forme d'attaque informatique.

Qu'est ce que l'AFN ?
Air Force Network est un réseau de défense qui est constitué de deux composantes principales : Région AFOSI 7, des agents spéciaux consacrés aux cyber enquêtes et aux opérations. Ils font appliquer la loi et gère le contre-espionnage. Vient ensuite l'AFCERT, le Computer Emergency Response Team de l'armée de l'air. Ce CERT a en charge d'alerter, prévenir, corriger toutes défaillances et agressions à l'encontre des infrastructures informatiques de l'US Air Force. Chaque MAJCOMS et bases de l'US Air Force ont leur propre équipes d'intervention. L'AFCERT gère le NetD, Le Conducts and operates network defense. Le NetD gère 200 lieux dans le monde.

Quel est votre rôle ?
Je suis un AFOSI CCIs, un cyber crime investigator. Ma mission prévenir toute attaque avant qu'elle n'intervienne et enquêter en cas d'intrusion ou de tentative d'intrusion, d'attaque virale, d'altération informatique voulue ou non orchestrée par un homme. Ma mission est de faire appliquer la loi. Notre mission de contre-espionnage a pour but de soutenir l'AFCERT afin d'éviter toute compromission lors d'une enquête du CERT. Nous sommes présents des la première alerte jusqu'à ce que le dernier système compromis soit réparé et remis en service.

Un travail de terrain alors que tout ce déroule derrière un écran d'ordinateur ?
Oui. Nous sommes chargés d'identifier, de neutraliser et d'atténuer toutes les menaces. Nous menons des enquêtes et des opérations sur mesure en vue de fournir des informations au haut commandement de l'USAF. Nous devons être capable de fournir des alertes précoces sur toutes les menaces de réseau hostile et de l'imminence d'attaques.

Combien d'Agents spéciaux dédiés au cyber à l'US Air Force ?
Le chiffre exacte n'est pas communicable. Nous avons Trois bases. A Sembach, en Allemagne. A Yokota, au Japon et à Hickam, à Hawaï. Aux USA, neuf unités sont dispatchées sur l'ensemble du territoire (Travis, en Californie ; Lackland au Texas ou encore à Langley siège de la CIA).

Y-a-t-il une classification précises dans vos alertes ?
Lors d'une demande de l'AFCERT, nous classifions par catégorie le niveau du problème. Root Level, User Level, Malicieux Logic, ... Toutes les considérations sont prises en compte immédiatement. Nous devons déterminer la nature de l'attaque ; la sensibilité des données en cas d'exploitation malveillante ; la préservation des preuves ; l'acquisition d'éléments de preuve afin de ne pas endommager l'intégrité ou la valeur des preuves ; cibler le lieu de l'attaque ; ...

C'est ensuite que vous intervenez sur le terrain ?
Nous allons interroger l'ensemble du personnel de l'US Air Force concerné. Nous analysons l'ensemble des médias (ordinateurs, fax, téléphones portables, consoles de jeux, ...). Nous consultons des hommes de loi (avocats, ...) afin d'avoir un avis juridique. Nous devons rapidement évaluer les menaces en cours. Mandats de perquisition, ordonnances de la cour, ... nous permettent d'agir contre les contrevenants.

Quelles sont les dernières attaques qui ont marqué l'AFCERT ?
L'Air Force Network Intrusion Response & Investigations a du gérer, il y a quelques temps, une intrusion dans deux systèmes de l'Air Force. Deux serveurs infectés à la fois par un cheval de Troie et un keylogger, un logiciel qui permettait d'intercepter les frappes clavier. A cette époque l'AFCERT a ouvert un incident de catégorie 2 pour les deux systèmes. L'AFCERT avait reçu des informations provenant de la Force-Global Network Operations (JTF-GNO) au sujet d'une nouvelle variante du ver SDBot. Un système de l'AF se connectait à une adresse IP semblant être associé à SDBot.

Qu'avez vous fait ?
D'abord, trouver le système infecté qui orchestrait la connexion suspecte. Le système infecté était derrière un serveur proxy. Nous avons donc remonté chaque connexion pour trouver la véritable source. Pour cela, il nous a suffit d'atteindre les journaux logs des proxies. L'AFCERT a examiné les résultats et détecter les fichiers suspects. Nous avons ensuite analysé les disques durs des machines infectées. Les disques dur ont été envoyés à de multiples sources, dont un éditeur d'antivirus privé, pour accélérer les analyses. Deux chevaux de Troie différents, qui n'avaient pas été détectés par des antivirus commerciaux, ont été détectés. Nous avons découvert un fichier crypté qui contenait les données keyloggés, interceptés. Un dossier qui contenait des informations sensibles. Nous avons alertés les éditeurs d'antivirus, fourni les signatures virales et fait bloquer l'IP malveillant.

Avez-vous enquêté sur les actions pirates qui auraient été orchestrées par des hackers Chinois ? Est-ce vraiment des pirates Chinois ?
A votre première question, je répondrais oui. A la seconde je répondrais, Secret défense.

Votre compte Facebook a-t-il été infiltré ?

24-05-2012 à 12:09 - 0 commentaire(s)

Info zataz - Une vague de faux messages vise des milliers de comptes Français Facebook. Prudence aux photos sexy diffusées.

Fuite de données pour iPhone

22-05-2012 à 00:43 - 0 commentaire(s)

Info zataz - Un iPhone jailbreaké couplé avec Tweak Bulletin permet de passer outre le mot de passe d´ouverture du téléphone.

Téléphone portable ZTE piégé

22-05-2012 à 00:38 - 0 commentaire(s)

Le fabricant chinois de téléphone portable ZTE a confirmé la présence d'une porte dérobée dans l'un de ses smartphones sous Android.

Le Bureau de Justice US piraté

22-05-2012 à 00:31 - 0 commentaire(s)

Info zataz - Des milliers de données sensibles volées par des Anonymous au Bureau of Justice US.

Anonymous contre pédophiles

22-05-2012 à 00:09 - 0 commentaire(s)

Info ZATAZ : Plusieurs dizaines d´informations concernant des pédophiles présumés venant du réseau Darknet diffusées par des Anonymous.

Vulnérabilité sur les site de FHM, ELLE et Forbes

20-05-2012 à 20:38 - 0 commentaire(s)

Info zataz - Des failles découvertes sur les sites des magazines FHM, ELLE et Forbes peuvent mettre en danger les lecteurs internautes.

Anonymous menacent le gouvernement québécois

20-05-2012 à 20:28 - 0 commentaire(s)

Info @zataz - Le gouvernement Québécois veut faire interdire des manifestations étudiantes. Les Anonymous répondent en lançant des attaques informatiques.

Class action de 15 milliards contre Facebook

20-05-2012 à 20:23 - 0 commentaire(s)

Facebook rentre en bourse, des internautes lancent une Class Action de 15 milliards de dollars contre Facebook.

Votre compte Facebook a-t-il été infiltré ?

Info zataz - Une vague de faux messages vise des milliers de comptes Français Facebook. Prudence aux photos sexy diffusées.

Vulnérabilité sur les site de FHM, ELLE et Forbes

Info zataz - Des failles découvertes sur les sites des magazines FHM, ELLE et Forbes peuvent mettre en danger les lecteurs internautes.

Fuite pour l'Université du Massachussets

Info zataz - 3.000 identités d´étudiants, dont des Français, étaient disponibles à partir de l'Université du Massachussets.

Utiliser WhatsApp en WiFi rend les conversations publiques

L’application de messagerie instantanée multiplateforme WhatsApp ne chiffrait pas les données envoyées.

Faille pour le site de Harvard

Info zataz - La prestigieuse école Harvard trouée. Un white hat découvre comment accèder à l'une de ses bases de données.

Rencontres professionnelles de la sécurité informatique

Challenges, conférences, ateliers et démonstrations au programme du salon de la sécurité informatique, les 2 et 3 juin, au Maubeuge

Mise à jour de sécurité pour QuickTime

Apple a publié 17 alertes de sécurité vusant QuickTime Media Player.

Orion Browser Dumper v1.0

Orion Browser Dumper v1.0, un outil qui permet de regarder dans les petits secrets de nos navigateurs Internet.

Réagissez à ce contenu