septembre 1st, 2015

SCADA : Siemens Simatic, une famille qui collectionne les trous

Posté on 01 Sep 2015 at 1:20

Cela fait déjà plus de 5 ans que la gamme d’outils de contrôle de processus Siemens, gamme Simatic, fait l’objet de divulgations et alertes de sécurité dans le landernau de la recherche Scada. Outils et logiciels de supervision associés qui, parfois des années durant, ont exposé leurs usagers (et par conséquent plusieurs Opérateurs d’Importance Vitale) à des risques inconsidérés : mots de passe « en dur et en clair », ou failles affectant toute une gamme d’appareils puisque la dernière alerte publiée par le Cert US et ayant pour origine les travaux de Ilya Karpov de Positive Technologies ne compte pas moins de 9 équipements autorisant une attaque « man in the middle ».

De l’avis des chercheurs Russes ayant inventé ces failles, et conformément aux estimations CVE, l’indice de dangerosité CVSS s’élève à 6.8 sur une échelle de 10.

Ashley Madison, une école de la gestion de crise

Posté on 01 Sep 2015 at 1:11

L’intrusion dans le S.I. des sites de rencontre Ashley Madison semble sortir tout droit d’un opuscule « tout ce que vous avez voulu savoir sur les erreurs à ne pas commettre en matière de gestion de crise ». Mais il est assez peu probable qu’un tel ouvrage soit un jour écrit, pas plus que n’a été écrit un tel guide au lendemain de l’affaire CardSystems. D’ailleurs, qui en a tiré des leçons utiles, qui s’en souvient encore.

Dans un premier temps, il semble que la direction du groupe ait totalement ignoré (ou pris au sérieux) les menaces des pirates. Même si les espoirs de retrouver les coupables alors étaient excessivement faibles, les délais nécessaires aux tractations auraient pu être mises à profit par des enquêteurs.

Vient ensuite la réaction envers les abonnés, lesquels se sont fait proposer une assistance gratuite en cas de risques financiers. Certes, ce geste était la moindre des choses, compte tenu des frais parfois astronomiques que certains établissements demandent pour fournir l’historique d’un compte. C’était déjà avouer, contrairement à ce qui a été affirmé au lendemain de la révélation du hack, que strictement aucune donnée bancaire n’avait pu être subtilisée. Mais surtout, rien, dans les communiqués de l’entreprise, ne laissait transparaître la moindre compassion. Cette froideur vis-à-vis de ses propre clients n’a pas franchement joué en faveur de l’image de marque de l’entreprise Canadienne.

Le troisième stade s’est avéré encore plus catastrophique : aucun contre-feu médiatique intelligent n’a été réellement organisé, donnant l’impression que la Direction toute entière était frappée par la foudre. Pourtant, l’éventail était vaste : victimisation, position volontariste, publication d’une profession de foi… n’importe quoi aurait pu minimiser la condamnation unanime des média nord-américains, généralement très puritains. Il faudra attendre les premières rumeurs de suicide d’un client (rumeurs difficilement fondées d’ailleurs) pour que l’entreprise mette à prix la tête des pirates, promettant une prime d’un demi-million de dollars. Réaction de vengeance, toujours sans le moindre témoignage de sympathie envers les abonnés. Entre temps, les courriels internes de l’entreprise dévoilent certaines pratiques et tendances de la haute direction, et notamment la preuve qu’eux-mêmes se seraient rendus coupables d’intrusion dans les systèmes d’au moins un de leur concurrents. Cet aveu ainsi que quelques indiscrétions sur la vie privée du CEO Noel Biderman, lui vaudront un licenciement à la fin du mois d’août. L’on apprenait la veille que les clients ayant eu la prudence de faire supprimer leurs comptes moyennant 19 $ de frais d’intervention, n’avaient bénéficié de la déléature de leur seul nom et prénom. Toutes les autres données du profil, assez précises pour déterminer l’identité de la personne, demeuraient inscrites dans les bases de données et ont été diffusées sur quelques dizaines de liens Bittorent.

Le difficile métier d’entremetteur implique à la fois une certaine honnêteté (il n’est pas sage de promettre si l’on ne peut tenir une réputation), un niveau de confiance et de discrétion absolus. C’est ce qui faisait la force d’un duc de Richelieu, bêta-testeur expérimenté et conseiller technique de Louis XV. Las, la Direction d’Ashley Madison n’a fait preuve ni de la compétence, ni du jugement, ni l’intelligence de ce grand libertin. Devant tant de manquement, l’entreprise pourrait bien connaître la même fin que CardSystems.

Publicité

MORE_POSTS

Archives

septembre 2015
lun mar mer jeu ven sam dim
« Août   Oct »
 123456
78910111213
14151617181920
21222324252627
282930