octobre 10th, 2014

De la douceur, du feutré. Oubliées, les tractations entre carders et achat en loucedé d’identités bancaires. Aux orties, les coques plastiques des Skimmers, les claviers marrons, les lecteurs de piste faisandés et les caméras planquées. Le turbin évolue dans le mitan du techno-braco, et même le boulot de mule en est moins risqué. L’astuce ? Injecter un virus spécial « Windows Embedded » qui remplace littéralement la gestion du clavier et de la mécanique de distribution. La mule tape un code secret, sélectionne la cassette la plus remplie, indique le montant du retrait, et les talbins s’empilent dans la fente de prélèvement. Tu prends les adjas les fouilles bourrées d’artiche, sans te soucier des cognes.

C’est Symantec qui a eu le premier la puce à l’oreille, mis la main sur le virus et lui a donné un blaze : Padpin. Rien que les recommandations fournies sur la page Web en question en expliquent plus sur les méthodes de diffusion du virus que tous les manuels de cybertruanderie : « Bloquez les extensions .vbs, .bat, .exe, .pif et .scr sur vos serveurs de messagerie ». « Désactivez le partage de ressources ». Et la pire « Use a firewall to block all incoming connections from the Internet to services that should not be publicly available ». En Engliche dans le texte histoire de ne pas être accusé de traduction tendancieuse et d’entourloupe de sens… Comment un grossium comme Symantec peut-il recommander d’utiliser un firewall sur un réseau bancaire si ses spadassins n’ont pas déjà constaté de visu des systèmes DAB « en petite tenue sur Internet » ? Y’a pas à tortiller, les distributeurs, du moins de l’autre côté de l’Atlantique, sont parfois directement reliés au réseau local de la banque, lui-même relié à Internet d’une manière ou d’une autre. Recta.

Les archers de F-Secure vont plus loin encore, et se demandent comment les auteurs de Padpin sont parvenus à découvrir la fameuse API donnant accès aux « clefs du coffre ». Mais tout simplement en lançant une requête sur Baidu, le Google Chinois. La documentation technique des distributeurs NCR s’y trouve au grand complet, y compris et surtout les échanges d’API nécessaires à la sélection du service « clavier de saisie de code pin ». Du velour, j’te dis.

A l’Est, encore du nouveau. Chez Kaspersky, on bosse sur une toute nouvelle pince-monseigneur numérique nommée Tyupkin. Une vingtaine de signatures auraient été détectées en Russie, 4 aux USA, 2 en Chine et 1 en France. Chiffres à prendre avec des pincettes, car extirpés d’un savant usage des heuristiques de VirusTotal. Pour les mules et les attirés de la tirette, force est d’admettre que les conditions de travail sont revues à la hausse par rapport au système « skimmer/carding ». Une sorte de progrès social par la numérisation des caves, en quelques sortes. Les risques de se faire pincer sont faibles, et grande est la simplicité des manipulations à enchaîner. Une courte séquence vidéo tournée par l’équipe Kaspersky montre à quel point le concept même de « money for nothing »* prend corps grâce aux NTIC et à cette vision si particulière de la sécurité que cultivent les saigneurs de la finance. L’on comprend mieux les raisons pour lesquelles les légers découverts et les « services » par défaut qu’imposent les grands squales de l’oseille subissent une inflation que la disparition des agences et les compressions de personnel ne parviennent pas à compenser. Pour sûr, tout ça va éveiller de la vocation. Déjà Jules-la-perceuse s’est reconverti. Il abandonne la chignole et le pain de plastique au profit d’un Lenovo et d’un compilateur C… on l’appelle désormais « le dab du DAB » ou « Cash Converter ». Dans moins de 5 ans, parole, les meilleurs casses seront signés Microsoft Visual Studio, les complices s’appelleront Windows XP ou 98, et les braqués NCR, Diebold ou Nixdorf.

*ndlc Note de la Correctrice : Les moins de 15 ans y verront une allusion à une ritournelle du groupe Dire Straits et les amoureux de l’understatement et de l’humour Britannique une référence aux romans de P.G. Wodehouse.

Le marché de la sécurité devrait atteindre, en cette fin d’année, 71 milliards de dollars affirme une étude du cabinet Gartner. Une croissance de 8 points d’une année sur l’autre, avec des secteurs plus porteurs que d’autres. Notamment celui de la protection contre les fuites de données, qui progresserait de près de 19%. La sécurité dans le cloud connaît également une forte croissance, frisant les 10 % des dotations (équipements, services, infrastructure) sécurité de l’ensemble de l’industrie. Cette croissance serait essentiellement provoquée par l’évolution des dépenses des PME en matière de protection informatique. Les autres secteurs en croissance sont ceux de la mobilité et des réseaux sociaux bien que, précisent les analystes du domaine, les dépenses liées à la mise en conformité continuent à soutenir le marché US, tandis que de récentes règlementations en matière de protection des données personnelles animent le secteur DLP en Australie, Union Européenne, Singapour et la Malaisie.

Le hack de la banque JPMorgan Chase à l’origine du vol de près de 83 millions d’identités bancaires serait le résultat d’une opération de cyber-commandos pilotés par le gouvernement Russe, affirme un article du New York Times.

Ce serait là une conclusion logique puisque, explique l’auteur de l’article, la Chase n’est qu’une cible parmi 9 autres, évoluant également dans le secteur bancaire et ayant déploré des infiltrations signées apparemment par les mêmes auteurs. De là à estimer qu’il s’agit d’une attaque coordonnée pilotée par le Kremlin, il n’y a qu’un pas que confirment quelques traceroute.

Tout comme dans le cadre cyber-assauts « supposés Chinois », l’occident se trouve confronté à ce qui semble être une forme d’alliance objective entre les cercles du pouvoir (du FSB dans le cas présent) et les « ring » mafieux et hacktivistes : un pacte de non-agression en temps normal en échange d’une obéissance absolue lorsque les nécessités de l’Etat l’exigent.

Bien sûr, il n’existe strictement aucune preuve sérieuse, ni de l’origine réelle de l’attaque (ou de son centre de commandement effectif) ni de ce lien occulte entre pouvoir et milieu du hacking noir ou gris. Et c’est tant mieux pour les auteurs de romans d’espionnage et les journalistes en mal de copie.

Le billet de Matthew Green, cryptographe, professeur et chercheur à l’Université John Hopkins, achève le travail de sape progressif qui a touché PGP durant ces derniers mois. « it’s time for PGP to die » affirme-t-il. La nature des clefs, l’obligation de partage desdites clefs, préalable obligatoire avant tout échange, difficultés en matière d’authentification de la provenance desdites clefs, en matière de gestion également… « tout ça pue » persiste Green au fil d’un long article qui déconstruit la manière dont le travail de Phil Zimmerman a été intégré, tant au niveau de l’architecture générale qu’à celui de l’adaptation aux différents clients de messagerie.

Pour l’heure, il n’y a pas pléthore d’outils de chiffrement plus ou moins universels, gratuits, répandus, garantissant un minimum de confidentialité envers les indiscrets « de premier niveau ». PGP n’a pas encore de successeur connu, et 80% des usagers d’outils de chiffrement sont bien obligés de « faire avec ».

Le Clusif a publié un guide intitulé « Gestion des vulnérabilités informatiques : vers une meilleure gestion des risques» , et destiné à faciliter la navigation des responsables Infosec dans l’océan de normes, règlementations et pratiques. ISO 27000, Bâle II, PCI-DSS, ETSI ISI, recommandations du SANS, conséquences de la LPM, contraintes liées à la notion d’OIV. Il s’agit là plus d’un «document introductif » que d’un ouvrage pratique détaillé, une quinzaine de pages qui dresse une image générale du « risk management » moderne.

Le FIC, Forum International de la Cybersécurité, communique : Le prochain petit-déjeuner de l’Observatoire FIC se déroulera le mercredi 22 octobre en partenariat avec Beazley sur le thème « Les moyens de paiement se dématérialisent. Quels impacts pour l’entreprise ? ». Par ailleurs, un petit-déjeuner sera organisé à Bruxelles le mardi 4 novembre sur le thème « Europe’s Digital Economy: embracing the Data Revolution »

Rappelons que le prochain FIC (7eme édition) se déroulera à Lille Grand Palais les 20 et 21 janvier prochain. Le programme détaillé des interventions est publié sur le site de l’évènement. L’on y attend, en « guest star », Monsieur Bruce Schneier.