Un cheval de troie nommé R2D2

[yoda1234]

Bonjour,

le Chaos Computer Club a révélé l'existence d'un cheval de Troie nommé "R2D2" mais aussi "0zapftis" ou "Bundestrojaner". Ce malware semble être utilisé par les autorités Allemandes comme le BKA et le LKA. Pour l'instant seul le BKA a démenti l'information.
Quelques fonctionnalités de la bête en vrac:
-Le malware peut intercepter les communications de logiciel comme Skype, MSN Messenger et Yahoo Messenger.
-C'est keylogger qui peut aussi faire des captures d'écrans et communiquer avec un serveur distant.

Bref, un malware classique sauf que le CCC a découvert que le trojan était bourré de faille et que n'importe quel hacker pouvait accéder à la machine et y introduire n'importe quoi y compris de fausses preuves, ce qui remet en question la fiabilité de la méthode d'investigation utilisée.
D'autre part, les Allemands ont prouvés à maintes reprises leur sensibilité à tout ce qui touchait la protection des données personnelles dans des affaires comme celle de "Google maps" et "Google analytic". Il faut sans doute s'attendre à un scandale en Allemagne.
Les sources:
http://www.ccc.de/en/updates/2011/staatstrojaner
http://nakedsecurity.sophos.com/2011...-trojan-chaos/
http://nakedsecurity.sophos.com/2011...d2-trojan-faq/
http://www.f-secure.com/weblog/archives/00002249.html
-----

[yoda1234]

La plupart des éditeurs d'antivirus souligne le fait que ce cheval est maintenant intégré dans leurs bases de signatures et que de toutes façons, la détection heuristique aurait fait son travail, ce qui est faux pour certains:
L'heuristique de certains n'a rien détecté à la date du 10-09-2011: http://www.virustotal.com/file-scan/...b13-1318159707 11 détections sur les 43 AV sollicités
Je note également que ESET (NOD32) fait malicieusement remarquer que les Allemands ne sont pas les seuls a utiliser ce genre de moyens et pas que dans les républiques bananières: la France et l’Égypte sont citées. Les éditeurs de sécurité reçoivent de multiples demandes des différents gouvernement comme en témoigne ce billet de F-Secure: http://www.f-secure.com/virus-info/bdtp.shtml
F-secure répond clairement:

Thus, F-Secure Corporation would like to make known that we will not leave such backdoors to our F-Secure Anti-Virus products, regardless of the source of such tools.

De même que les principaux éditeurs AV: https://kevtownsend.wordpress.com/20...rus-companies/ comme je l'avais déjà signalé ici: http://forums.futura-sciences.com/ac...antivirus.html
http://blog.eset.com/2011/10/10/germ...-er-force-luke <le titre est amusant: "Utilise la farce...euh...la Force Luc".
http://www.pcworld.com/businesscente...ckers_say.html
Je rajoute un article de PCI qui précise ce que peux faire LOPSI en France: http://www.pcinpact.com/actu/news/66...le-malware.htm

[yoda1234]

Pour être un peu plus complet, voici l'article de Computer Bild (via google translate): http://translate.google.fr/translate...g-6469246.html

L'utilisation du logiciel donc contraire à la décision de la Cour constitutionnelle fédérale en date du 27 Février 2008, qui fixe des limites strictes de l'interception.

Il y a donc une loi...
À la fin de l'article, ils énumèrent les outils gratuits d'éradication de cet espion illégal.

[Xoxopixo]

Bonjour,

le plus grave, ce ne serait pas que ce programme existe, mais le fait qu'il aurait été installé, diffusé, massivement (si j'en crois les commentaires des internautes sur le Bild). Ce qui parait plausible, si les éditeurs d'anti-virus l'ont intégré à la liste des virus connus ?

Je serais curieux de savoir combien de PC ils ont préparés pour la mise sur écoute, et si ils savent faire la différence entre un PC allemand ou français...
Ils avaient prévus la version Mac vous pensez ?
Mais non, il n'y a jamais de virus sur le Mac...

En tous cas c'est vrai que mettre l'adresse du serveur de contrôle la BKA en dur, il fallait la faire celle-là.
J'ai tenté de pinger cette adresse, mais elle ne répond pas, des pros quoi.

[A voir en vidéo sur Futura]

[yoda1234]

Ce qui parait plausible, si les éditeurs d'anti-virus l'ont intégré à la liste des virus connus ?

Oui et c'est précisé dans les liens que j'ai donné.

et si ils savent faire la différence entre un PC allemand ou français...

Je suppose que tu plaisantes? http://www.cnil.fr/vos-libertes/vos-traces/
https://panopticlick.eff.org/index.p...ion=log&js=yes

[yoda1234]

Les autorités Allemandes confirme l'utilisation de ce genre de logiciels: http://www.theinquirer.net/inquirer/...lance-purposes
Edit: quelques infos http://www.f-secure.com/weblog/archives/00002250.html

[BioBen]

Le virus a été découvert parce que ses concepteurs l'ont testé sur VirusTotal ?

C'est un peu con ....

[yoda1234]

Il "chatouillait" quand même le module heuristique de l'AV F-secur et de certains autres.

[yoda1234]

À propos de spyware utilisé par les agences gouvernementales, il y a un autre exemple: FinFisher qui contourne un grand nombre des solutions anti-malware existantes. 14/37 chez virustotal.
Cet espion épie les webcams, les claviers, le disque dur et Skype qui comme chacun le sait n'est plus digne de confiance depuis son achat par Microsoft
Ce malware a été découvert quand des activistes Bahreïnien, qu'ils soient situés aux état-unis ou dans leurs pays, ont reçu des e mails contenant des pièces jointes suspectes
Source et plus de détails: http://thehackernews.com/2012/08/fin...unning-on.html et https://community.rapid7.com/communi...8/08/finfisher

[yoda1234]

Bonjour,

en Allemagne, le gouvernement ne se cache plus: Sur le site du BKA se trouve une annonce pour le recrutement de développeurs qui seraient capable d'élaborer et de maintenir des logiciels de prise de contrôle à distance.
http://www.f-secure.com/weblog/archives/00002423.html

J'ai jeté un coup d’œil sur le PDF: D'après le traducteur allemand→français de Google, ils font dans le politiquement correct:
Ils promeuvent l'égalité homme/femme et à compétences égales la candidature d'un handicapé sera préférée à celle d'une personne valide. Ils accueillent également les candidatures étrangères.

[yoda1234]

Bonjour,

le Chaos Computer Club a révélé l'existence d'un cheval de Troie nommé "R2D2" mais aussi "0zapftis" ou "Bundestrojaner".

À propos de ce cheval de Troie découvert par le CCC, le ministère fédéral de l'Intérieur a détaillé les dépenses induites. http://annalist.noblogs.org/post/201...facebook-chat/


Via sebsauvage.

[yoda1234]

Bonjour!

Le gouvernement néerlandais a présenté un projet de loi visant a donner le pouvoir aux forces de l'ordre de pénétrer dans un système informatique y compris ceux situés dans un pays étranger.
Mikko Hypponen, dirigeant emblématique de F-secure a déclaré que cela pourrait conduire les autorités a demander aux éditeurs de solutions de sécurité leur coopération. Il a aussi déclaré qu'il n'avait pas connaissance d'un éditeur ayant coopéré avec les forces de l'ordre.
D'après Sebsauvage, il se trompe: Voir ce billet de 2010: http://sebsauvage.net/rhaa/index.php.../17/54-en-vrac

(Après tout, McAfee avait bien annoncé ne plus détecter NetBus, un cheval de Troie qui était devenu un logiciel commercial "d'administration à distance").

[yoda1234]

Ce malware a été découvert quand des activistes Bahreïnien, qu'ils soient situés aux état-unis ou dans leurs pays, ont reçu des e mails contenant des pièces jointes suspectes
Source et plus de détails: http://thehackernews.com/2012/08/fin...unning-on.html et https://community.rapid7.com/communi...8/08/finfisher

Tiens, à propos de spywares gouvernementaux: Un récent rapport émanant d'un groupe de défense des droits de l'homme a épinglé Gamma International l'éditeur de solutions de surveillance utilisées par des états. Leur logiciel, FinSpy, prend l'apparence du processus Firefox.
Mozilla a bien sûr protesté vigoureusement: Voir sur le blog de Mozilla
Il précise que le spyware gouvernemental n'affecte pas Firefox lui-même.

Source et plus de liens: http://tech.slashdot.org/story/13/05...des-as-firefox

[obi76]

Question idiote : c'est valable aussi sous linux & mac ce truc ?

[yoda1234]

Bonjour!

Honnêtement, j'ai failli répondre "non" à ta question, mais ce PDF montre que tous les OS (à part peut-être la famille BSD) sont accessibles à cet espion.

[polo974]

Il n'y a aucune raison pour que BSD soit épargné, vu que c'est un cheval de Troie (donc installé par l'utilisateur berné).

[obi76]

Re,

OK, merci

[yoda1234]

À propos de spyware utilisé par les agences gouvernementales, il y a un autre exemple: FinFisher qui contourne un grand nombre des solutions anti-malware existantes. 14/37 chez virustotal.

Des hackers ont annoncé sur reddit et twitter qu'ils avaient piraté la société Gamma International UK Ltd., éditrice du spyware Finfisher. révélant ses clients, ses prix, ses possibilités.

http://www.zdnet.com/top-govt-spywar...ed-7000032399/

[yoda1234]

En français: http://www.zdnet.fr/actualites/le-co...r-39804691.htm

[yoda1234]

Bonjour,

un peu plus de précisions sur FinFisher:
http://maniacgeek.net/actualite/wiki...roid-etc/5349/
et donc les sources de l'article:
https://wikileaks.org/spyfiles4/

Source: http://sebsauvage.net/links/?pcxWQg

[yoda1234]

Les éditeurs de sécurité reçoivent de multiples demandes des différents gouvernement

EFF (Electronic Frontier Foundation), Amnesty International, Digitale Gesellschaft et Privacy International ont mis en ligne un logiciel permettant théoriquement de détecter les outils connus pour être utilisés par les agences gouvernementales.
Cet outil se nomme DETEKT : https://resistsurveillance.org/
Il est bien sûr inefficace contre des techniques comme l'inspection profonde de paquets ou DPI utilisé par beaucoup d'états.
Attention ! Detekt ne fonctionne pas comme un antivirus : il ne supprime aucun fichier. Si des menaces sont détectées, l’utilisateur doit considérer que sa machine n’est plus suffisamment sûre, la déconnecter d’Internet et consulter un professionnel.

[obi76]

Comme d'habitude : pas compatible linux...

[yoda1234]

Le problème c'est que très peu de journalistes ou d'opposants aux régimes totalitaires, répressifs utilisent Linux pour, entre autre, des raisons de compatibilité avec leurs rédactions par exemple.

[Bluedeep]

On peut lire : "Detekt is currently available in Amharic, Arabic, English, German, Italian and Spanish".

Je m'interroge sur le choix des langues en question ....