août, 2014

3 hacks en 3 ans, s’indigne le journal NetGov. 3 hacks (deux probablement d’origine « étrangère », le troisième par un hacker probablement local) qui ont visé la Nuclear Regulatory Commission US. Ce qui est intéressant, ce n’est pas franchement le hack lui-même, mais la façon dont ces… exploits sont exploités. Le titre de l’article, tout d’abord. « Nuke Regulator Hacked by Suspected Foreign Powers ». Le mot « Nuke » fait peur… mais il ne s’agit en fait que du hack d’une administration chargée de la règlementation dans le domaine de l’énergie nucléaire civile. On est très loin d’une attaque à la sauce Stuxnet capable de faire exploser des centrifugeuses ou de bloquer des barres de combustible dans un réacteur. « Suspected Foreign Power »… une puissance étrangère ne signifie techniquement pas « attaque orchestrée par un état-nation ». Supposition qui semble étayée par un seul argument : l’assaut ayant eu pour conséquence la fuite d’informations plus ou moins restreintes a été provoqué par une campagne de phishing ciblé « caractéristique de certaines opérations lancées auparavant par des pirates Chinois ou Russes ». Le pirate pourrait tout aussi bien se situer sur un axe Vancouver-Dallas-Mexico et transiter par une chaîne de proxy. Le coup du pdf empoisonné, du pseudo-intranet demandant une confirmation de l’identifiant/mot de passe ou de la feuille Excel truffée de macros malignes n’a pas de nationalité propre, Remember Bercy. Enfin, le nombre d’attaques lui-même (officiellement une par an en moyenne) est considérablement en deçà de ce qu’une organisation gouvernementale ou entreprise d’envergure nationale doit essuyer en temps normal. Pourquoi celles-ci en particulier ? La réponse se trouve probablement dans le profil-type des lecteurs de NetGov.

Faux-monnayeur : Encore un « petit métier d’autrefois » qui disparaît, emporté par l’automatisation inhumaine, l’Internet tentaculaire et l’informatique omniprésente. Les scanners tuent la main de l’artiste, les forums et places de marché sur Internet réduisent les fourgues au chômage, et l’imprimante laser a définitivement remplacé l’imprimante à plat sur papier format coquille. C’est ce que nous raconte Brian Krebs qui a enquêté sur les activités d’un vendeur de billets de 20, 50 et 100 dollars connu sous le nom de MrMouse. Impression de précision, support à faible teneur en amidon, filigrane parfait, bande métallique de sécurité… on frise le sans-faute, affirme le vendeur. Et les spécialistes des US Secret Service (dont la principale activité est focalisée sur les fraudes financières) avouent que c’est là de la belle ouvrage, capable de tromper la grande majorité des outils de détection.

Le faux talbin est une constante en matière de délinquance informatique. Le mouvement a tout d’abord débuté dans les années 80 avec les scanners et photocopieuses, en visant notamment les changeurs de monnaie situés dans les gares. Une simple copie noir et blanc sur papier ordinaire suffisait pour que le distributeur sonne comme bandit manchot à Las Vegas. Puis les contre-mesures ont évolué, la science des faussaires également. L’imprimante photo jet-d’encre, puis les « sublimations », enfin les systèmes de reprographie de plus en plus sophistiqués ont permis d’atteindre des qualités d’impression élevées. D’artisanal, l’écoulement de la production a atteint un niveau industriel grâce aux forums spécialisés et places de marché anonymisées sur Internet, généralement les mêmes qui servent au trafic d’identités bancaires et autres filières de carding. Ces plateformes ont mis au chômage les intermédiaires genre grands cons à moustache qui pourraient servir de mètre-étalon à Sèvre. Ceci sans mentionner l’extraterritorialité protectrice qui rend de plus en plus complexe l’application des « peines prévues par l’article 139 du Code Pénal ». Turquie, Ukraine, Russie… les gros producteurs de coupures frelatées, de fausses cartes de crédit, de numéros de comptes vendus en vrac n’opèrent jamais sur leur propre territoire. Assez de matière pour un quatrième tome de la série Max le Menteur de Simonin.

Heartbleed serait à l’origine du hack de l’organisme hospitalier US Community Health System. C’est ce qu’affirme le blog du consultant TrustedSec , invoquant les dires d’une « trusted and anonymous source close to the CHS investigation »

Quatre chercheurs de l’Université de Bochum se sont penchés sur la possibilité d’une attaque MIM dans le flux d’un serveur de diffusion de logiciels par Internet . Peu ou pas de vérification d’intégrité, pas de signature de code, peu de protection des échanges par VPN, les sites de « download » logiciels doivent s’améliorer.

Enfin du nouveau dans la simplification du keylock picking à l’attention des hackers pas trop habiles de leurs mains (c’est rare mais ça existe) : le cadenas Bluetooth .

Steve Balmer abandonne officiellement son fauteuil de CEO de Microsoft, annonce confirmée par une lettre ouverte adressée à son successeur, Satya Nadella . Au style pompier de Ballmer s’oppose la froide concision de Nadella.

Aux USA, 45 millions d’identités et numéros de sécurité sociale ont été dérobés sur les systèmes de Community Health System, opérateur de santé publique regroupant près de 206 établissements hospitaliers. Le numéro SS est, aux USA, un identifiant pouvant servir à l’obtention d’un crédit ou la délivrance d’une carte bancaire

Brandan Blevin, de SearchSecurity, dresse une synthèse des différentes interventions ayant pour thème l’Internet des Objets (IoT) lors de la dernière DefCon/BlackHat de Las Vegas. Et la liste est longue : Dan Geer, Charlie Miller et Chris Valasek avec une effrayante prise de contrôle à distance de la colonne de direction d’une voiture en train de rouler et la publication d’une étude sur les surfaces d’attaque des IoT, Billy Rios qui s’est penché sur les appareils de filtrages situés dans les aéroports et qui sont vulnérable à des attaques distantes, Ruben Santamarta qui s’est attaqué aux liaisons satellites chargées des accès Internet dans les vols long courrier, Silvio Cesare, mentionné par nos confrères du HNS et qui s’est passionné pour les vulnérabilités des protocoles radios des IoT, Hewlett Packard dont le récent rapport sur les objets connectés révèle que plus de 70% des appareils IoT sont vulnérables, sans mentionner Josh Corman et sa lettre ouverte intitulée « Voilà la cavalerie ! » demande aux industriels de l’automobile de repenser la sécurité de cette forme d’informatisation « communicante » qui bourgeonne à tout-va.

Ces avertissements ont-ils des chances d’être entendus ? Les vieux routiers de la sécurité estiment que ces appels resteront sans réponse, pour les mêmes raisons que celles qui ont présidé au lancement du « tout web » dans les années 90 n’ont éveillé la moindre velléité d’amélioration. Les espérances de gains à court terme sont plus impérieuses que les préoccupations sécuritaires… d’autant plus que les victimes ne sont pas du côté des vendeurs mais de la clientèle. Caveat Emptor. Du côté des médias, la situation n’est guère plus brillante, car ne sont relatés que les scénarii les plus sensationnalistes, les plus catastrophistes, ceux-là même qui ne résistent pas à une analyse de risque sommaire mais qui font du clic web et du lectorat qualifié. Une hypothétique apocalypse terroriste exploitant la faille obscure d’une interface d’administration, la prise de contrôle d’une centrale nucléaire, d’une usine de traitement d’eau, de l’ordinateur de bord d’un unique modèle de voiture lancée à 200 km/h… Quelle est la probabilité de ces risques au regard des gains que promettra le « gadget de la connectivité et de la modernitude » ? Quasi nulle. Mais économiquement, le dédommagement d’une victime n’est rien en comparaison des bénéfices visés.

Seuls les geeks, les hackers, les spécialistes sécurité possèdent un aperçu réel de la situation d’ensemble… mais ne savent pas franchement l’exprimer. Car le danger réside moins dans l’accident exceptionnel que dans la collecte massive, anodine et quotidienne d’informations et d’habitudes d’usage. Et la mise à jour de cet obscur travail de fourmi des bigdata lovers est moins « vendeur » que le hack d’un système embarqué dans un avion de ligne. En outre, à ce genre d’argument, l’on oppose l’exagération de cette vision Orwellienne de l’Internet des Objets. L’IoT n’est pas Big Brother, car il n’existe aucune décision immanente, aucun plan occulte mondial cherchant à coordonner cette formidable dépendance à l’interconnexion et à ce flicage quasi volontaire. Reste que la chaine alimentaire de l’IoT est comparable à celle de la nature : herbivores, prédateurs, super-prédateurs… il y aura toujours, quelque part, un Google ou un Microsoft, voir un « data broker » moins connu mais tout aussi efficace, qui sera capable de réunir et recouper, puis désanonymiser les messages de l’IoT pour les mieux exploiter. Car c’est moins l’IoT lui-même que l’analyse « big data » des données que cet IoT collecte qui présente un risque pour la société et l’individu. Alors oui, on peut s’inquiéter des failles radio et des très probables exploitations mafieuses ou terroristes dans le secteur de l’Internet des Objets. Mais tout ça reste comparable à la probabilité d’exploitation des défauts de sécurité Wep des premières liaisons Wifi : beaucoup de bruit pour des conséquences rétrospectivement marginales, à une attaque de chaine de magasins près. Le problème de l’IoT se situe en amont de la chaîne d’exploitation et relève plus de l’encadrement législatif et de l’harmonisation des lois internationales. C’est donc plus une question politique que technique.

Selon Rob Williams, de Hot Hardware, le dernier lot de correctifs Microsoft contiendrait quelques défauts, notamment le MS14-045 (mise à jour de sécurité concernant les pilotes de type « kernel drivers ») et quelques patchs publiés dans la kBase est destiné aux plateformes Windows RT. L’auteur conseille de désinstaller les rustines portant sur les articles KB •2982791, 2970228, 2975719 (ne concerne que les versions Russes de Windows) et 2975331.

Google Translate servirait-il à véhiculer des messages secrets cachés dans les textes de remplissage de type « Lorem Ipsum » ? Ce Lorem Ipsum que les vieux « prots » de l’imprimerie au plomb affublaient du nom de « bolobolo » et qui sert généralement à remplir de faux textes des maquettes et autres tentatives de mise en page. Le Lorem Ipsum est à l’imprimerie ce que le gravier est à la marine à voile : un lest de remplissage, peu cher et sans signification ni valeur particulière.

Mais Brian Krebs prend l’affaire au sérieux et nous entraîne dans une aventure au scénario plus ravagé qu’un roman de Dan Brown. Les héros de l’histoire sont trois chercheurs, Lance James, patron de la branche cyber-intelligence chez Deloitte, Michael Shoukry de FireEye et un troisième dénommé « Kraeh3n ».

Ces enquêteurs de l’improbable ont découvert que les mots « lorem ipsum », selon la manière dont ils étaient écrits, avec ou sans majuscule, leur disposition dans la phrase, leur éventuelle répétition, pourraient offrir des significations étonnantes lorsque passées par le filtre de l’outil de traduction Google. Ainsi, les mots « lorem ipsum » donneraient « Chine », Lorem Lorem équivaudrait à « Home Business » et ipsum ipsum à « exam » (ndlr, depuis, Google Translate traduit Lorem Ipsum par Lorem Ipsum, ce qui est nettement moins rocambolesque et peu à l’avantage d’un logiciel de traduction)

Alors, les services de Google serviraient-ils de grille de codage aux valeureux espions de la NSA en opération dans le monde ? Plus besoin de chiffre, de grille de code, d’encre sympathique, d’embrouilleurs vocaux… il suffit d’expédier une missive en latin, Google se charge du décodage. Et nos chercheurs d’imaginer une édition moderne du Grand Chiffre de Louis XIV, comme d’autres chercheurs, en d’autres temps, ont cru deviner un sens caché à l’Apocalypse de Saint Jean ou aux écrits de Michel de Notre Dame. Ce qui tendrait à prouver que certaines boissons fermentées, de rares espèces de champignons ou des mélanges herbacés peuvent affecter avec la même virulence aussi bien des grands mystiques de Patmos, des mages du XVIème siècle ou des programmeurs « côte ouest ».