août 7th, 2014

Dans les années 80, le KGB, dit-on, était tellement submergé d’informations qu’il en était asphyxié, incapable à l’époque de trier et traiter un tel volume de données. Les services de renseignements occidentaux visaient donc deux objectifs. D’une part limiter l’accès aux outils informatiques par le biais des interdictions d’exportation Cocom, et d’autre part intoxiquer leurs adversaires par un déluge de renseignements parfois vrais, souvent sans importance.

Ce ne semble plus être le cas désormais, puisque même les gangs mafieux de l’ex-URSS disposent à la fois des capacités de stockage et très probablement des outils de traitement pour manipuler d’énormes quantités d’information. Selon les experts de Hold Security, une entreprise basée à Milwaukee (Wisconsin, USA), une association de pirates Russes détiendrait près de 1,2 milliard d’identités numériques et mots de passe, près de 500 millions d’adresses de messagerie, le tout récupéré sur plus de 420 000 sites web compromis. Parmi ces données se trouveraient notamment les fichiers nominatifs volés lors des intrusions de la société Adobe de l’an passé. Ces révélations publiées par nos confrères du New York Times.

Le groupe mafieux observerait une discipline et un partage du travail quasi militaire. Certains sont spécialisés dans l’écriture d’exploits (principalement des failles SQL et autres grands classiques dénoncés par l’Owasp-), d’autres dans la chasse aux données, d’autres encore dans le stockage et l’exploitation… jusqu’à présent, très peu de ces fichiers volés ont été vendus. Les données récupérées n’auraient servi jusqu’à présent qu’à alimenter les réseaux de spammers.

Le cloisonnement, y’a qu’ça d’vrai. Mais il est difficile de cloisonner lorsque plus de 3.2 millions de personnes, fonctionnaires et contractuels, ont été officiellement autorisées par le Pentagone à accéder aux fichiers classés Secret, Top Secret et « données sensibles ».

En outre, nous apprend CNN, l’affaire Snowden a, depuis, fait des émules, puisqu’une autre source d’information serait actuellement en train d’alimenter les média en général et The Intercept en particulier. Pour preuve, la date des documents « fuités » serait postérieure à la fuite d’Edward Snowden du territoire US.

De son côté, Cryptome fait le point sur les documents Snowden publiés et ceux qui sont encore à venir. En se basant sur les déclarations du Department of Defense et sur les estimations du Washington Post, 1% seulement des quelques 250 000 pages des Snowden Files auraient été publiées à ce jour. Selon les volumes estimés au fil des révélations, et compte tenu du rythme de parution imposé par les différents médias détenteurs de ces fichiers (The Guardian, Washington Post, Le Monde, Der Spiegel, O Globo Fantastico, New York Times, ProPublica, le Huffington etc.), il faudra encore entre 26 et 42 ans pour que la source se tarisse et que toutes les « révélations » soit faites. Avec l’arrivée de nouvelles recrues dans les rangs des lanceurs d’alertes, la NSA va donc bénéficier des honneurs de la presse pour le demi-siècle à venir. De quoi faire pâlir de jalousie la plus efficace des attachées de presse.

Les NAS Synology utilisant une version de firmware 4.3 et antérieure peuvent être victimes d’un virus-chiffreur, dont la clef ne peut être obtenue que contre payement d’une rançon de quelques 300 euros. C’est le magazine CSO qui donne le plus de détails techniques sur la procédure de chiffrement. L’équipementier, pour sa part, travaille activement pour tenter de résoudre le problème, et signale que les dernières versions de firmware ne sont pas affectées par ce vecteur d’attaque. Les usagers n’ayant pas encore été infectés doivent le plus rapidement possible, déconnecter leur NAS de leur réseau local, lancer immédiatement une sauvegarde, puis vérifier et mettre à jour, si nécessaire, le « Disk Station Manager ».

Cette mésaventure rappelle quelques évidences comportementales dignes de figurer dans le Guiness des mauvaises pratiques :

– Les noyaux et firmwares des appliances ne sont qu’exceptionnellement mis à jour par leurs propriétaires

– Ils le sont d’autant moins que l’équipement est à finalité grand-public ou TPE

– Le backup des données n’est pas, n’a jamais été, ne sera jamais un réflexe, ni chez les particuliers, pas plus au sein de la majorité des entreprises (et quand bien même le serait-il que les fichiers résultants ne sont que très rarement vérifiés et les restores quasiment jamais testés)

– Les NAS d’entrée de gamme ont tous été « enrichis » de fonctions étrangères au stockage de données qui fragilisent leur périmètre : systèmes de vidéosurveillance intégrés, client P2P, interfaces d’accès distant… autant de fonctions nécessitant un accès direct à cette machine depuis un réseau public

– Les logiciels, noyaux et firmwares de ces équipements ne sont jamais audités ou testés par des entreprises spécialisées ou des équipes autres que celles de l’équipementier