septembre, 2015

Un rapport du « office of the director of national intelligence »des USA traitant des cybermenaces mondiales place désormais en première place les moyens en matière de cyber-équipements offensifs des Etats-Nation, devant la menace cyber-terroriste. On note également l’ajout de la Corée du Nord à la liste des adversaires à surveiller

Le prochain afterwork de l’OSSIR à Paris aura lieu le mardi 22 septembre 2015 à partir de 19h, sous les hospices du bar La Kolok, 10 rue du Croissant, 75002. Au programme, une présentation-démo de Digital Forensics Framework, par Frédéric Baguelin (Arxsys), et un compte rendu DefCon / Bsides, par Arnaud Soullié (Solucom)

Selon une étude Vormetric, 63% des citoyens des USA seraient favorables à l’intégration de portes dérobées dans les outils de chiffrement, dans l’espoir de renforcer la sécurité nationale. 62 % pensent également que les pouvoirs publics pourraient abuser de cet avantage, et 34 % seulement y voient un risque de fragilisation dans les échanges du monde des affaires.

A la chasse aux distributeurs de billets compromis : Brian Krebs, cyber-Tintin reporter, signe un double billet de blog narrant sa chasse aux DAB Mexicains dont l’électronique interne a été « amélioré » par un mouchard Bluetooth

Casser du Bcrypt , pourquoi faire ? Graham Clueley revient sur le hack Ashley Madison et « révèle » que les mots de passe les plus courants relevés dans les collections de condensats sont, après cassage, les traditionnels 12345, Password, Default, Qwerty et ABC123.

Cedric Pernet, avec Ziv Chang, Kenney Lu, Aaron Luo et Jay Yaneza, tous chercheurs chez Trend Micro, signent une passionnante étude sur l’opération Tigre de Fer. Passionnante, car elle raconte comment un groupe, probablement très restreint, de pirates Chinois se convertit progressivement en une véritable organisation spécialisée dans l’espionnage politique, le renseignement industriel visant des cibles très précises (spear phishing), avec des méthodes aussi discrètes que sophistiquées. On nage en plein roman. « Ce groupe est à l’origine de la disparition de teraoctets de données, et nous avons été témoins d’attaques portant sur le vol de 58 Go de fichiers en une seule opération » écrivent les auteurs du rapport.

Passionnante également est l’évolution des centres d’intérêts desdits pirates. Si, dans les années 2010, le groupe s’attaquait essentiellement au secteur de l’éducation sur le territoire Chinois, il s’est très vite réorienté vers des objectifs gouvernementaux situés à Hong Kong ou aux Philippines, vers des organisations indépendantistes Thibétaines puis, depuis 2013, en direction de tous les secteurs industriels de pointe des USA : technologies, télécommunications, énergie, secteurs de la production industrielle, avec une préférence pour les sous-traitants dans le domaine de la défense.

Le corps de l’étude de Trend Micro se concentre plus sur les moyens mis en œuvre, sur la complexité des attaques, sur la sélectivité et la précision avec lesquelles sont choisies les cibles. Ce qui demeure dans l’ombre, ce sont les mobiles, le moteur économique de toute cette activité. Car si, dans un premier temps, les membres de l’opération Tigre de Fer sont mus par des intérêts purement économiques, leur travail depuis la fin des années 2010 s’est limité à récupérer des informations plus que des numéros de comptes en banque. Or, ce genre d’information n’est pas facilement monnayable sans attirer l’attention. Les super-vilains et espions internationaux qui travaillent à grande échelle pour le plus offrant relèveraient du fantasme James-Bondien. Dans la réalité, ce sont les autorités « locales » qui seraient en général les premières instigatrices et bénéficiaires. De là à imaginer un pilotage direct depuis l’Etat Major de l’Armée Populaire de Libération… l’émargement de Tigre de Fer ne serait qu’une goutte d’eau dans un budget de plus de 140 milliards d’Euros par an, un effectif de 2 millions d’hommes, et surtout un intérêt régulièrement affirmé pour tout ce qui touche à la mise en place de vecteurs offensifs dans le domaine cyber-militaire.

Prenez une poigne énergique de Jacob Appelbaum, une botte de machines Tor, incorporez progressivement une série de serveurs, faites revenir doucement l’appareil sur le feu doux de l’IETF et sous la forme d’un draft intitulé « The .onion Special-Use Domain Name ».

Le but est plus que stratégique : déposer un top level domain en « .Onion », dont le but serait d’héberger des serveurs qui ne seraient visibles qu’à des systèmes étudiés pour converser avec les domaines en question. En termes plus compréhensibles, des serveurs .onion accessibles par des clients Tor, mais invisibles sur l’Internet public.

Ce qui signifie un réseau sans « porte de sortie », donc sans vulnérabilité du dernier kilomètre, sans passerelle soumise à la surveillance d’un service de police ou autres agences d’espionnage. Un domaine qui, accessoirement, échapperait totalement à tout contrôle de l’internet traditionnel et toute géolocalisation.

Si l’on peut facilement imaginer les récriminations de pères Lapudeur de la transparence « paskejenairienamereprocher » et autres pourfendeurs de cyber terroristes, on voit également très bien ce qu’une entreprise peut en faire. Assurer notamment la confidentialité des échanges entre ses filiales ou agents répartis de par le monde sans risquer la moindre écoute d’une NSA US ou d’un « tigre de fer » Chinois.

Bien sûr, ce genre de réseau serait également une aubaine pour les structures mafieuses du « Darknet » commenteraient certains … Mais on peut s’attendre à ce que l’autorité de régulation au sein même de l’enregistrement des noms de domaine .onion soit un peu plus vigilante que ne pourraient l’être les autres autorités à l’heure actuelle. Quoi qu’il en soit, tout un pan de la « grande criminalité d’Etat » allant des écoutes illégales au vol de technologie en passant par toutes les ficelles de la guerre économique orchestrée serait sinon éliminée, du moins fortement atténuée. Echapperaient également à tout contrôle les métadonnées des échanges chiffrés, au grand dam des professionnels du big data que sont les Google, Apple, Yahoo, Microsoft, Facebook…

Le projet d’un domaine .onion chiffré de bout en bout a-t-il le moindre avenir ? Les voies de l’IETF sont impénétrables. Qui aurait dit qu’un jour le tld .sex serait accepté ? Sera-t-il véritablement inviolable ? Certainement pas. Si, côté serveur, on peut espérer une certaine résilience, les possibilités d’attaque des postes clients constituent toujours un risque potentiel d’infection chaque fois qu’ils quittent le cocon du réseau chiffré.

Entre 70 et 90 % des plaintes pour piratage aux USA sur les 5 dernières années ont été émises par des ayant-droits de l’industrie du film pornographique nous apprend le quotidien Metro. Au pays du Reblochon Fermier et des pièces de Marivaux, précise le journal, c’est la société Marc Dorcel, spécialiste du genre, qui décroche le titre de serial-plaignant avec plus de 5 millions de demandes de suppression d’URLs auprès de Google. Rappelons que le budget de l’Hadopi avait été fixé à 6 millions d’Euros pour l’année 2015. Tant d’argent pour si peu de tissu…

Quel outil pour extraire le condensat d’un mot de passe sous Windows 10 ? @evasiv3 dresse une liste et compare les programmes et leur niveau d’efficacité

Le Clusir Aquitaine (@clusiraqui) organise le 23 septembre prochain, la 7ème Conférence Sécurité des SI. Cette rencontre s’effectuera à l’Ensierb-Matmeca (1 Av du Dr Schweitzer, à Talence). E-Santé, e-Commerce, sécurité Scada et obligations des OIV sont au menu. Tous les renseignements sur le site du Clusir