« Sandworm » : différence entre les versions
indication que sandworm nom d'un groupe de hacker dans l'intro |
m v2.05b - Bot T3 PCS#67 - Correction syntaxique (Ponctuation avant une référence - Espace insécable) |
||
| Ligne 1 : | Ligne 1 : | ||
{{Infobox}} |
{{Infobox}} |
||
En [[informatique]], '''Sandworm''' ({{litt.}} « |
En [[informatique]], '''Sandworm''' ({{litt.}} « ver de sable » en français) est un [[logiciel]] [[logiciel malveillant|malveillant]] qui s’infiltre à l’intérieur d’un [[ordinateur]] à l’insu de l’utilisateur. Le rôle de ce logiciel espion est d’accéder aux informations d’un ordinateur en exploitant une [[faille]] informatique présente sur la plupart des versions [[Windows]]. |
||
En 2009, cette faille a été utilisée pour la première fois par un groupe de pirates informatiques provenant de [[Russie]]. Les cibles de ces [[Cyberattaque|cyber-espions]] étaient composées majoritairement d'organisations gouvernementales et d'industries de grande envergure (comme l'[[Organisation du traité de l'Atlantique nord|OTAN]] et la [[Commission européenne]])<ref name="symantec">[http://www.symantec.com/connect/blogs/sandworm-windows-zero-day-vulnerability-being-actively-exploited-targeted-attacks Symantec, Sandworm Windows zero-day vulnerability being actively exploited in targeted attacks, Symantec Security Response, 14 octobre 2014].</ref>. |
En 2009, cette faille a été utilisée pour la première fois par un groupe de pirates informatiques provenant de [[Russie]]. Les cibles de ces [[Cyberattaque|cyber-espions]] étaient composées majoritairement d'organisations gouvernementales et d'industries de grande envergure (comme l'[[Organisation du traité de l'Atlantique nord|OTAN]] et la [[Commission européenne]])<ref name="symantec">[http://www.symantec.com/connect/blogs/sandworm-windows-zero-day-vulnerability-being-actively-exploited-targeted-attacks Symantec, Sandworm Windows zero-day vulnerability being actively exploited in targeted attacks, Symantec Security Response, 14 octobre 2014].</ref>. |
||
| Ligne 6 : | Ligne 6 : | ||
Le {{date-|14 octobre 2014}}, iSIGHT, en collaboration avec [[Microsoft]], annonce la découverte d'une vulnérabilité du jour-zéro ayant un impact dans toutes les versions de Microsoft Windows et Windows Server 2008 et 2012<ref>[http://www.isightpartners.com/2014/10/cve-2014-4114/ WARD, Stephen, iSIGHT discovers zero-day vulnerability CVE-2014-4114 used in Russian cyber-espionage campaign, iSIGHT Partners, 14 octobre 2014]</ref>. |
Le {{date-|14 octobre 2014}}, iSIGHT, en collaboration avec [[Microsoft]], annonce la découverte d'une vulnérabilité du jour-zéro ayant un impact dans toutes les versions de Microsoft Windows et Windows Server 2008 et 2012<ref>[http://www.isightpartners.com/2014/10/cve-2014-4114/ WARD, Stephen, iSIGHT discovers zero-day vulnerability CVE-2014-4114 used in Russian cyber-espionage campaign, iSIGHT Partners, 14 octobre 2014]</ref>. |
||
Sandworm est aussi le nom d'un groupe de hacker lié au service de renseignement russe |
Sandworm est aussi le nom d'un groupe de hacker lié au service de renseignement russe<ref>{{Lien web |langue=fr |titre="Sandworm" : ces hackeurs d’élite russe qui ont tenté de cibler la France |url=https://www.lexpress.fr/economie/high-tech/sandworm-ces-hackeurs-delite-russe-qui-ont-tente-de-cibler-la-france-HOXBNH4N6ZCSBNHJHLTCLM4MXA/ |site=L'Express |date=2024-04-18 |consulté le=2024-05-10}}</ref>. |
||
==Mode d'opération== |
== Mode d'opération == |
||
===Méthode de transmission=== |
=== Méthode de transmission === |
||
Le ver informatique utilise le programme intégré de [[Microsoft PowerPoint]] pour exploiter la faille de Windows. Cette application donne l’avantage au ver d’être considéré comme inoffensif pour l’ordinateur, car il utilise entre autres des [[Extension de nom de fichier|extensions]] de fichier permettant l’installation du [[programme malveillant]] sans notification extérieure. Les fichiers sont retrouvés sous deux formes particulières, soit<ref name="naked">[https://nakedsecurity.sophos.com/2014/10/15/the-sandworm-malware-what-you-need-to-know/ DUCKLIN, Paul, The "Sandworm" malware - what you need to know, nakedsecurity, 15 octobre 2014]</ref> : |
Le ver informatique utilise le programme intégré de [[Microsoft PowerPoint]] pour exploiter la faille de Windows. Cette application donne l’avantage au ver d’être considéré comme inoffensif pour l’ordinateur, car il utilise entre autres des [[Extension de nom de fichier|extensions]] de fichier permettant l’installation du [[programme malveillant]] sans notification extérieure. Les fichiers sont retrouvés sous deux formes particulières, soit<ref name="naked">[https://nakedsecurity.sophos.com/2014/10/15/the-sandworm-malware-what-you-need-to-know/ DUCKLIN, Paul, The "Sandworm" malware - what you need to know, nakedsecurity, 15 octobre 2014]</ref> : |
||
| Ligne 20 : | Ligne 20 : | ||
Le ver s’installe donc lorsque le programme PowerPoint est ouvert, ce qui crée une ouverture pour les autres produits malveillants. Cela assure donc le développement interne du ver, qui peut se servir à volonté dans les données de l’ordinateur et peut maintenant installer et télécharger d’autres fichiers nocifs sans l’avis de l’utilisateur, car il a indirectement obtenu les droits en étant exécuté. Le véritable danger est par contre le complice principal du ver de sable, BlackEnergy. Ce logiciel malveillant utilisait le ver comme clé ouvrant les portes sur les ordinateurs du monde. Ce virus très sophistiqué est utilisé pour espionner l’utilisateur et ensuite saboter les programmes et informations importantes des multiples entreprises visées<ref name="wired">[https://www.wired.com/2014/10/russian-sandworm-hack-isight/ ZETTER, Kim, Russian ‘Sandworm’ Hack Has Been Spying on Foreign Governments for Years, Wired, 14 octobre 2014]</ref>. |
Le ver s’installe donc lorsque le programme PowerPoint est ouvert, ce qui crée une ouverture pour les autres produits malveillants. Cela assure donc le développement interne du ver, qui peut se servir à volonté dans les données de l’ordinateur et peut maintenant installer et télécharger d’autres fichiers nocifs sans l’avis de l’utilisateur, car il a indirectement obtenu les droits en étant exécuté. Le véritable danger est par contre le complice principal du ver de sable, BlackEnergy. Ce logiciel malveillant utilisait le ver comme clé ouvrant les portes sur les ordinateurs du monde. Ce virus très sophistiqué est utilisé pour espionner l’utilisateur et ensuite saboter les programmes et informations importantes des multiples entreprises visées<ref name="wired">[https://www.wired.com/2014/10/russian-sandworm-hack-isight/ ZETTER, Kim, Russian ‘Sandworm’ Hack Has Been Spying on Foreign Governments for Years, Wired, 14 octobre 2014]</ref>. |
||
===Jour-zéro=== |
=== Jour-zéro === |
||
Le ver de sable est très puissant en raison de sa subtilité. Il utilise une [[Vulnérabilité Zero day|vulnérabilité du jour zéro]] de Windows (CVE-2014-4114). Le correctif relatif à cette vulnérabilité a été mis à disposition par Microsoft en {{date-|octobre 2014}}. L’infection par le ver était automatiquement bloquée une fois le correctif appliqué, car la source du problème n’était pas le logiciel<ref name="naked"/>. |
Le ver de sable est très puissant en raison de sa subtilité. Il utilise une [[Vulnérabilité Zero day|vulnérabilité du jour zéro]] de Windows (CVE-2014-4114). Le correctif relatif à cette vulnérabilité a été mis à disposition par Microsoft en {{date-|octobre 2014}}. L’infection par le ver était automatiquement bloquée une fois le correctif appliqué, car la source du problème n’était pas le logiciel<ref name="naked"/>. |
||
==Impact== |
== Impact == |
||
La combinaison de ce ver et du virus a eu un fort impact sur les gouvernements du [[Moyen-Orient]] et de [[Occident|l’occident]]. Après quelques recherches et retraçages, le virus avait bel et bien une origine russe et était tout droit relié au gouvernement. Avec des propriétés très complexes, ce virus présente une menace, car ce n’est par un virus ordinaire. La nouvelle technologie utilisée par les Russes fait usage d’ingéniosité, car il pouvait non seulement provoquer des dommages électroniques, mais aussi des dommages physiques. Par exemple, il pouvait faire modifier le débit des [[Pipeline (transport par canalisation)|pipeline]]s, manipuler les centres de purification d’eau, les générateurs d’énergie et d’autres infrastructures critiques causant ainsi des dommages d’envergure catastrophique. Le virus pouvait agir sur des équipements de laboratoire et aussi des [[armes]] de destruction massive, semant la peur chez les gouvernements ciblés. Après l’attaque ravageant le programme nucléaire Iranien, le duo s’est répandu ayant la possibilité de faire de nombreux dégâts<ref>[http://america.aljazeera.com/watch/shows/america-tonight/articles/2015/2/5/blackenergy-malware-cyberwarfare.html ERNEST, Aaron, Is this the future of cyberwarfare?, Al Jazeera America, 5 février 2015]</ref>. |
La combinaison de ce ver et du virus a eu un fort impact sur les gouvernements du [[Moyen-Orient]] et de [[Occident|l’occident]]. Après quelques recherches et retraçages, le virus avait bel et bien une origine russe et était tout droit relié au gouvernement. Avec des propriétés très complexes, ce virus présente une menace, car ce n’est par un virus ordinaire. La nouvelle technologie utilisée par les Russes fait usage d’ingéniosité, car il pouvait non seulement provoquer des dommages électroniques, mais aussi des dommages physiques. Par exemple, il pouvait faire modifier le débit des [[Pipeline (transport par canalisation)|pipeline]]s, manipuler les centres de purification d’eau, les générateurs d’énergie et d’autres infrastructures critiques causant ainsi des dommages d’envergure catastrophique. Le virus pouvait agir sur des équipements de laboratoire et aussi des [[armes]] de destruction massive, semant la peur chez les gouvernements ciblés. Après l’attaque ravageant le programme nucléaire Iranien, le duo s’est répandu ayant la possibilité de faire de nombreux dégâts<ref>[http://america.aljazeera.com/watch/shows/america-tonight/articles/2015/2/5/blackenergy-malware-cyberwarfare.html ERNEST, Aaron, Is this the future of cyberwarfare?, Al Jazeera America, 5 février 2015]</ref>. |
||
==Variante== |
== Variante == |
||
La première variante découverte était également d’origine russe et était nommée Oleksiuk Dmytro. Elle avait des fonctionnalités limitées en tant qu’outil DDoS. Contrairement à ses frères, elle avait comme cible les banques et les systèmes de sécurité où elle pouvait modifier et voler les informations désirées. L’équipe du ver de sable a donc utilisé ce programme pour recueillir des informations et identifier les cibles potentielles. Elle avait alors un bon aperçu sur la situation et avait un bon contrôle informatique très ancré qui lui permettait de mettre en œuvre plusieurs attaques stratégiques et avantageuses pour le gouvernement russe. Des chercheurs ont découvert que l’utilisation du dérivé pouvait changer les informations à un point tel que les proxys et les pare-feu utilisés par les entreprises étaient déroutés. Les virus s’infiltraient sans problème et pouvaient s’intégrer au code de protection lui-même. C’est ce qui permettait au virus de prendre les informations et les données par les [[Serveur informatique|serveurs]] de contrôle. L’efficacité de l’Oleksiuk leur apportait un connaissance très détaillée des failles de sécurité et une connaissance approfondie des structures internes des réseaux<ref name="wired"/>. |
La première variante découverte était également d’origine russe et était nommée Oleksiuk Dmytro. Elle avait des fonctionnalités limitées en tant qu’outil DDoS. Contrairement à ses frères, elle avait comme cible les banques et les systèmes de sécurité où elle pouvait modifier et voler les informations désirées. L’équipe du ver de sable a donc utilisé ce programme pour recueillir des informations et identifier les cibles potentielles. Elle avait alors un bon aperçu sur la situation et avait un bon contrôle informatique très ancré qui lui permettait de mettre en œuvre plusieurs attaques stratégiques et avantageuses pour le gouvernement russe. Des chercheurs ont découvert que l’utilisation du dérivé pouvait changer les informations à un point tel que les proxys et les pare-feu utilisés par les entreprises étaient déroutés. Les virus s’infiltraient sans problème et pouvaient s’intégrer au code de protection lui-même. C’est ce qui permettait au virus de prendre les informations et les données par les [[Serveur informatique|serveurs]] de contrôle. L’efficacité de l’Oleksiuk leur apportait un connaissance très détaillée des failles de sécurité et une connaissance approfondie des structures internes des réseaux<ref name="wired"/>. |
||
==Protection== |
== Protection == |
||
La découverte de ce problème a entrainé une forte médiatisation, car le danger était relié à un programme très courant. Ayant connaissance du problème, Microsoft et la compagnie iSIGHT Partners ont donc mis à disposition la mise à jour MS14-060, permettant de colmater la faille et de réparer le logiciel de présentation PowerPoint. Le réparateur peut maintenant détecter si les fichiers sont corrompus et ainsi éviter que le ver utilise les fichiers pour s’introduire. |
La découverte de ce problème a entrainé une forte médiatisation, car le danger était relié à un programme très courant. Ayant connaissance du problème, Microsoft et la compagnie iSIGHT Partners ont donc mis à disposition la mise à jour MS14-060, permettant de colmater la faille et de réparer le logiciel de présentation PowerPoint. Le réparateur peut maintenant détecter si les fichiers sont corrompus et ainsi éviter que le ver utilise les fichiers pour s’introduire. |
||
Les logiciels ont maintenant tous un fichier autorun.inf qui n’est aucunement modifiable par l’externe et c’est le seul fichier .inf exécuté lors de l’[[installation (informatique)|installation du logiciel]]. Les produits néfastes ne peuvent donc plus utiliser cette tactique pour s’introduire chez l’hôte<ref name="naked"/>. |
Les logiciels ont maintenant tous un fichier autorun.inf qui n’est aucunement modifiable par l’externe et c’est le seul fichier .inf exécuté lors de l’[[installation (informatique)|installation du logiciel]]. Les produits néfastes ne peuvent donc plus utiliser cette tactique pour s’introduire chez l’hôte<ref name="naked"/>. |
||
==Groupe de hackers== |
== Groupe de hackers == |
||
Par extension, c'est aussi le nom du groupe de hackers qui exploite le ver informatique. En 2023, les américains ont fait le lien entre le groupe de pirates et la branche cyber du [[GRU (Russie)|GRU]]. En effet on avait pu observer que le groupe Sandworm n'agissait pas par pur intérêt financier mais avait toujours un intérêt stratégique derrière. Les attaques de ce groupe étaient déployées essentiellement contre l'[[Ukraine]] dans des actions de cyber-sabotage. En 2017, le groupe Sandworm est aussi responsable du déploiement du [[Cyberattaque NotPetya|rançongiciel NotPetya]] qui a fait des ravages en Europe et aux États-Unis. Ils sont aussi accusés d'être à l'origine de la [[Affaire du Russiagate|tentative de déstabilisation démocratique]] qui a eu lieu pour les élections américaines de 2016. Ainsi que pour la [[MacronLeaks|tentative de déstabilisation]] de l'élection présidentielle française de 2017. En 2020 les services secrets américains sont sûrs que le groupe Sandworm est associé à l'unité 74455, la branche cyber du GRU. En 2023 on apprend l'arrivée de Evgueni Serebriakov à la tête de Sandworm<ref>{{lien web|url=https://www.france24.com/fr/%C3%A9co-tech/20230316-un-pirate-informatique-de-l%C3%A9gende-%C3%A0-la-t%C3%AAte-du-bras-cyber-du-renseignement-militaire-russe|titre=Un pirate informatique de légende à la tête du bras cyber du renseignement militaire russe |
Par extension, c'est aussi le nom du groupe de hackers qui exploite le ver informatique. En 2023, les américains ont fait le lien entre le groupe de pirates et la branche cyber du [[GRU (Russie)|GRU]]. En effet on avait pu observer que le groupe Sandworm n'agissait pas par pur intérêt financier mais avait toujours un intérêt stratégique derrière. Les attaques de ce groupe étaient déployées essentiellement contre l'[[Ukraine]] dans des actions de cyber-sabotage. En 2017, le groupe Sandworm est aussi responsable du déploiement du [[Cyberattaque NotPetya|rançongiciel NotPetya]] qui a fait des ravages en Europe et aux États-Unis. Ils sont aussi accusés d'être à l'origine de la [[Affaire du Russiagate|tentative de déstabilisation démocratique]] qui a eu lieu pour les élections américaines de 2016. Ainsi que pour la [[MacronLeaks|tentative de déstabilisation]] de l'élection présidentielle française de 2017. En 2020 les services secrets américains sont sûrs que le groupe Sandworm est associé à l'unité 74455, la branche cyber du GRU. En 2023 on apprend l'arrivée de Evgueni Serebriakov à la tête de Sandworm<ref>{{lien web|url=https://www.france24.com/fr/%C3%A9co-tech/20230316-un-pirate-informatique-de-l%C3%A9gende-%C3%A0-la-t%C3%AAte-du-bras-cyber-du-renseignement-militaire-russe|titre=Un pirate informatique de légende à la tête du bras cyber du renseignement militaire russe ?|éditeur=France 24|auteur=Sébastian SEIBT |date=16-03-2023|consulté le=16-03-2023|accès url=libre}}</ref>{{,}}<ref>{{lien web|url=https://www.wired.com/story/russia-gru-sandworm-serebriakov/|titre=This Is the New Leader of Russia’s Infamous Sandworm Hacking Unit|langue=en|éditeur=Wired|auteur=Andy Greenberg|date=15-03-2023|consulté le=16-03-2023|accès url=libre}}</ref>. |
||
En avril 2024, le groupe fait une confusion : en voulant attaquer le barrage de [[Courlon-sur-Yonne]], les hackers russes s'en sont pris à la centrale hydroélectrique du moulin de [[Courlandon]]<ref>{{lien web|url=https://www.lemonde.fr/pixels/article/2024/04/17/comment-sandworm-les-hackeurs-d-elite-de-l-armee-russe-ont-pirate-un-moulin-francais-en-pensant-attaquer-un-barrage_6228320_4408996.html|titre=Comment Sandworm, les hackeurs d’élite de l’armée russe, ont piraté un moulin français en pensant attaquer un barrage|éditeur=[[Le Monde]]|auteur=Damien Leloup et Florian Reynaud|date=18-04-2024|consulté le=20-04-2024|accès url=payant}}</ref>. |
En avril 2024, le groupe fait une confusion : en voulant attaquer le barrage de [[Courlon-sur-Yonne]], les hackers russes s'en sont pris à la centrale hydroélectrique du moulin de [[Courlandon]]<ref>{{lien web|url=https://www.lemonde.fr/pixels/article/2024/04/17/comment-sandworm-les-hackeurs-d-elite-de-l-armee-russe-ont-pirate-un-moulin-francais-en-pensant-attaquer-un-barrage_6228320_4408996.html|titre=Comment Sandworm, les hackeurs d’élite de l’armée russe, ont piraté un moulin français en pensant attaquer un barrage|éditeur=[[Le Monde]]|auteur=Damien Leloup et Florian Reynaud|date=18-04-2024|consulté le=20-04-2024|accès url=payant}}</ref>. |
||
==Notes et références== |
== Notes et références == |
||
{{Références|colonnes=1}} |
{{Références|colonnes=1}} |
||
==Voir aussi== |
== Voir aussi == |
||
===Articles connexes=== |
=== Articles connexes === |
||
* [[Fuite d'information#Les fuites par espionnage ou malveillance|Fuite d'information]] |
* [[Fuite d'information#Les fuites par espionnage ou malveillance|Fuite d'information]] |
||
* [[Vers]] |
* [[Vers]] |
||
Dernière version du 11 mai 2024 à 06:17
En informatique, Sandworm (litt. « ver de sable » en français) est un logiciel malveillant qui s’infiltre à l’intérieur d’un ordinateur à l’insu de l’utilisateur. Le rôle de ce logiciel espion est d’accéder aux informations d’un ordinateur en exploitant une faille informatique présente sur la plupart des versions Windows.
En 2009, cette faille a été utilisée pour la première fois par un groupe de pirates informatiques provenant de Russie. Les cibles de ces cyber-espions étaient composées majoritairement d'organisations gouvernementales et d'industries de grande envergure (comme l'OTAN et la Commission européenne)[1].
Le , iSIGHT, en collaboration avec Microsoft, annonce la découverte d'une vulnérabilité du jour-zéro ayant un impact dans toutes les versions de Microsoft Windows et Windows Server 2008 et 2012[2].
Sandworm est aussi le nom d'un groupe de hacker lié au service de renseignement russe[3].
Mode d'opération[modifier | modifier le code]
Méthode de transmission[modifier | modifier le code]
Le ver informatique utilise le programme intégré de Microsoft PowerPoint pour exploiter la faille de Windows. Cette application donne l’avantage au ver d’être considéré comme inoffensif pour l’ordinateur, car il utilise entre autres des extensions de fichier permettant l’installation du programme malveillant sans notification extérieure. Les fichiers sont retrouvés sous deux formes particulières, soit[4] :
- Le fichier slide1.gif, qui est en fait un exécutable qui prend la forme ‘‘.exe’’ lors de l’installation de PowerPoint et qui est renommé slide1.gif.exe avant d’être ajouté au registre d’entrée qui va être lancé lors de la prochaine connexion.
- Le fichier slides.inf, où INF est l’extension Windows donnée pour spécifier l’information utilisée lors de l’installation d’un logiciel.
Le ver s’installe donc lorsque le programme PowerPoint est ouvert, ce qui crée une ouverture pour les autres produits malveillants. Cela assure donc le développement interne du ver, qui peut se servir à volonté dans les données de l’ordinateur et peut maintenant installer et télécharger d’autres fichiers nocifs sans l’avis de l’utilisateur, car il a indirectement obtenu les droits en étant exécuté. Le véritable danger est par contre le complice principal du ver de sable, BlackEnergy. Ce logiciel malveillant utilisait le ver comme clé ouvrant les portes sur les ordinateurs du monde. Ce virus très sophistiqué est utilisé pour espionner l’utilisateur et ensuite saboter les programmes et informations importantes des multiples entreprises visées[5].
Jour-zéro[modifier | modifier le code]
Le ver de sable est très puissant en raison de sa subtilité. Il utilise une vulnérabilité du jour zéro de Windows (CVE-2014-4114). Le correctif relatif à cette vulnérabilité a été mis à disposition par Microsoft en . L’infection par le ver était automatiquement bloquée une fois le correctif appliqué, car la source du problème n’était pas le logiciel[4].
Impact[modifier | modifier le code]
La combinaison de ce ver et du virus a eu un fort impact sur les gouvernements du Moyen-Orient et de l’occident. Après quelques recherches et retraçages, le virus avait bel et bien une origine russe et était tout droit relié au gouvernement. Avec des propriétés très complexes, ce virus présente une menace, car ce n’est par un virus ordinaire. La nouvelle technologie utilisée par les Russes fait usage d’ingéniosité, car il pouvait non seulement provoquer des dommages électroniques, mais aussi des dommages physiques. Par exemple, il pouvait faire modifier le débit des pipelines, manipuler les centres de purification d’eau, les générateurs d’énergie et d’autres infrastructures critiques causant ainsi des dommages d’envergure catastrophique. Le virus pouvait agir sur des équipements de laboratoire et aussi des armes de destruction massive, semant la peur chez les gouvernements ciblés. Après l’attaque ravageant le programme nucléaire Iranien, le duo s’est répandu ayant la possibilité de faire de nombreux dégâts[6].
Variante[modifier | modifier le code]
La première variante découverte était également d’origine russe et était nommée Oleksiuk Dmytro. Elle avait des fonctionnalités limitées en tant qu’outil DDoS. Contrairement à ses frères, elle avait comme cible les banques et les systèmes de sécurité où elle pouvait modifier et voler les informations désirées. L’équipe du ver de sable a donc utilisé ce programme pour recueillir des informations et identifier les cibles potentielles. Elle avait alors un bon aperçu sur la situation et avait un bon contrôle informatique très ancré qui lui permettait de mettre en œuvre plusieurs attaques stratégiques et avantageuses pour le gouvernement russe. Des chercheurs ont découvert que l’utilisation du dérivé pouvait changer les informations à un point tel que les proxys et les pare-feu utilisés par les entreprises étaient déroutés. Les virus s’infiltraient sans problème et pouvaient s’intégrer au code de protection lui-même. C’est ce qui permettait au virus de prendre les informations et les données par les serveurs de contrôle. L’efficacité de l’Oleksiuk leur apportait un connaissance très détaillée des failles de sécurité et une connaissance approfondie des structures internes des réseaux[5].
Protection[modifier | modifier le code]
La découverte de ce problème a entrainé une forte médiatisation, car le danger était relié à un programme très courant. Ayant connaissance du problème, Microsoft et la compagnie iSIGHT Partners ont donc mis à disposition la mise à jour MS14-060, permettant de colmater la faille et de réparer le logiciel de présentation PowerPoint. Le réparateur peut maintenant détecter si les fichiers sont corrompus et ainsi éviter que le ver utilise les fichiers pour s’introduire.
Les logiciels ont maintenant tous un fichier autorun.inf qui n’est aucunement modifiable par l’externe et c’est le seul fichier .inf exécuté lors de l’installation du logiciel. Les produits néfastes ne peuvent donc plus utiliser cette tactique pour s’introduire chez l’hôte[4].
Groupe de hackers[modifier | modifier le code]
Par extension, c'est aussi le nom du groupe de hackers qui exploite le ver informatique. En 2023, les américains ont fait le lien entre le groupe de pirates et la branche cyber du GRU. En effet on avait pu observer que le groupe Sandworm n'agissait pas par pur intérêt financier mais avait toujours un intérêt stratégique derrière. Les attaques de ce groupe étaient déployées essentiellement contre l'Ukraine dans des actions de cyber-sabotage. En 2017, le groupe Sandworm est aussi responsable du déploiement du rançongiciel NotPetya qui a fait des ravages en Europe et aux États-Unis. Ils sont aussi accusés d'être à l'origine de la tentative de déstabilisation démocratique qui a eu lieu pour les élections américaines de 2016. Ainsi que pour la tentative de déstabilisation de l'élection présidentielle française de 2017. En 2020 les services secrets américains sont sûrs que le groupe Sandworm est associé à l'unité 74455, la branche cyber du GRU. En 2023 on apprend l'arrivée de Evgueni Serebriakov à la tête de Sandworm[7],[8].
En avril 2024, le groupe fait une confusion : en voulant attaquer le barrage de Courlon-sur-Yonne, les hackers russes s'en sont pris à la centrale hydroélectrique du moulin de Courlandon[9].
Notes et références[modifier | modifier le code]
- Symantec, Sandworm Windows zero-day vulnerability being actively exploited in targeted attacks, Symantec Security Response, 14 octobre 2014.
- WARD, Stephen, iSIGHT discovers zero-day vulnerability CVE-2014-4114 used in Russian cyber-espionage campaign, iSIGHT Partners, 14 octobre 2014
- « "Sandworm" : ces hackeurs d’élite russe qui ont tenté de cibler la France », sur L'Express, (consulté le )
- DUCKLIN, Paul, The "Sandworm" malware - what you need to know, nakedsecurity, 15 octobre 2014
- ZETTER, Kim, Russian ‘Sandworm’ Hack Has Been Spying on Foreign Governments for Years, Wired, 14 octobre 2014
- ERNEST, Aaron, Is this the future of cyberwarfare?, Al Jazeera America, 5 février 2015
- Sébastian SEIBT, « Un pirate informatique de légende à la tête du bras cyber du renseignement militaire russe ? »
, France 24, (consulté le )
- (en) Andy Greenberg, « This Is the New Leader of Russia’s Infamous Sandworm Hacking Unit » , Wired, (consulté le )
- Damien Leloup et Florian Reynaud, « Comment Sandworm, les hackeurs d’élite de l’armée russe, ont piraté un moulin français en pensant attaquer un barrage »
, Le Monde, (consulté le )
