27 septembre 2016, RV à l’Intercontinental Paris Avenue Marceau

Software as a Service, Software Defined Security, Big Data, Machine Learning, Deep Learning … :

Indispensables pour rester infaillible aujourd’hui ? Complément obligatoire des méthodes traditionnelles ? Comment les intégrer ? Quelle économie ? 

Risques & Menaces, Conseils et Solutions

Cliquer ici pour : S’inscrire en ligne à la matinée Sécurité

Numérisation de l’entreprise, évolution du Système d’Information, rôle des Dirigeants, DSI, RSSI, départements métier, DRH … c’est toute l’entreprise qui est en pleine mutation. Un SI en perpétuelle évolution et sans frontière physique, qui avec le Cloud voit apparaître de nouveaux services internes et externes, à un rythme soutenu. De nouvelles manières de travailler, l’apparition d’Objets Connectés dans le quotidien professionnel … autant de raisons de faire régulièrement le point sur les vulnérabilités et menaces qui pèsent sur l’entreprise car il est difficile d’imaginer et mettre sur pied une stratégie de protection et de défense sans connaître les risques encourus. Comment savoir si on a été attaqué ? Comment tracer une attaque ? Comment nettoyer son SI ? Comment se protéger ? se défendre ? Notamment en intégrant rapidement les dernières technologies conçues pour se protéger au mieux des menaces en perpétuelle évolution.

Autant de questions et sujets auxquels répondront le 27 septembre matin des experts Sécurité reconnus, Consultants, Avocats, Acteurs, Chercheurs, Responsables sécurité ou DSI. De la théorie à la pratique, des risques et menaces aux conseils ou solutions potentielles : une matinée d’Informations concrètes, de Sensibilisation et de Networking.

Où ?

CNIS Event a choisi un endroit en plein cœur de Paris, à deux pas des champs Elysées et de l’Arc de Triomphe. A deux pas des endroits business les plus stratégiques de Paris (Porte Maillot, Palais des congrès, La Défense…) comme facile d’accès pour ceux de l’extérieur qui viennent tout spécialement assister à la matinée CNIS Event (aéroports Orly et Roissy, accès aisé aux trains grandes lignes via la station de RER Charles de Gaulle-Etoile à proximité, parking).

InterContinental Paris avenue Marceau
64, avenue Marceau,
75008 Paris
Tél : +33 (0)1 44 43 36 36
Pour s’y rendre : métro George V (ligne 1), RER Charles de Gaulle-Etoile (Ligne A),Bus Arrêt Bassano (Ligne 92 Porte de Champerret – gare Montparnasse), parking 75 av. Marceau, Paris 8

Pour qui ?

Les Responsables sécurité, les DSI, les décisionnaires d’une façon générale que ce soit de l’infrastructure ou de l’entreprise en ce qui concerne les PME-PMI, les CIL, les avocats et juristes de l’entreprise, les consultants bien entendu. Tous sont concernés par la question de Sécurité du SI… Il faut connaître et comprendre à qui, à quoi on a à faire pour pouvoir envisager et organiser la protection de son système d’information. Un discours d’expertise et de sensibilisation qui concerne tout le monde.

Cliquer ici pour : S’inscrire en ligne à la matinée Sécurité 

Agenda

• 8H30 – Accueil des participants : petit-déjeuner et Networking
• 9H00 – Panorama des Menaces & Risques relatifs au thème, par Helmi Rais, Directeur AlliaCERT chez Alliacom
• 9H20 – Conseils et guides pratiques, sujet : « Hadoop : peut-on lui confier la sécurité ? Retour terrain de tests d’intrusion » par Thomas DEBIZE, consultant et auditeur sécurité chez Wavestone
• 9H40 – Retour d’expérience & Solution, point de vue de Darktrace avec Jérôme Chapolard
• 10H00 – Conseils et guides pratiques, par Thomas Tranier, Directeur Cert-Lexsi
• 10H20 – PAUSE Networking
• 10H40 – Panel sur «SaaS, SDS, Big Data, ML ou DL … : comment rester protégé avec les dernières technologies Sécurité sans dépasser son budget ? » avec Maître François Coupez, avocat qui abordera la partie juridique, Expérience en entreprise et conseils avec Martine Guignard, RSSI Imprimerie Nationale et 
membre du Clusif, réalité au sein des entreprises avec un DSI, également retour terrain et conseils avec Ely de Travieso, Elu en charge de la Cybersécurité CGPME et Dirigeant PhoneSec, également expert en sécurité et participation d’un consultant en sécurité, Cabinet HSC, associé Deloitte, Animé par Solange Belkhayat-Fuchs, Rédactrice en Chef CNIS Mag 
• 11H25 – La Minute Juridique : les impacts juridiques, nouvelles législations et jurisprudences en sécurité du SI par Maîtres Olivier Itéanu et Garance Mathias. Ils répondront à toutes les questions du public sur le sujet de façon interactive.
• 11H45 – PAUSE Networking avec Tirage au sort de Tablettes et Casques universels de Réalité Virtuelle autour d’une coupe de champagne
• 12H15 – Clôture de la conférence

Le bref rapport publié dans le quotidien du Sans et le compte rendu détaillé du Cert Suisse sont d’accord : l’APT qui a frappé Ruag, entreprise Helvétique travaillant dans le domaine de l’aéronautique et de la défense, était difficilement détectable. Pas de journaux d’évènements pour témoigner de l’intrusion originelle, des mouvements de fichiers excessivement restreints, une diffusion lente et progressive au sein du réseau interne, diffusion elle-même limitée à des cibles très précises, toute cette activité barbouze s’est déroulée en dessous de la ligne de détection des radars. De septembre 2014 à janvier 2016, les cyber-espions ont tenu salon sur le réseau Ruag sans déclencher la moindre alarme. Les moyens d’attaque, explique l’analyse du Cert, sont connus : rootkit de la famille Turla, keyloggers, escalade de privilèges, infections cloisonnées système par système, échanges avec l’extérieur très contrôlés et limités dans le temps. Rien de franchement révolutionnaire d’un point de vue technique, mais un mode opératoire très discret, allant même jusqu’à utiliser les antiques « canaux de communication nommés », alias « named pipes », lors des dialogues entre machines infectées.

Le récent rapport Dbir 2016de Verizon débutait par un sinistre « 89% des brèches de sécurité exploitées sont liées à des activités d’espionnage ou de détournement financier » et continuait avec une métrique à contre-courant : l’accroissement du « temps d’exploitation avant découverte » (time to discover). Située en moyenne aux environs de 300 jours il y a deux ans, elle semblerait augmenter au fur et à mesure que les cyber-espions industriels ou aux ordres des Etats-Nation affinent leurs techniques. Ruag n’est ni un cas exceptionnel, ni un cas isolé.

Présenté comme une riposte à Whatsapp, Google Allo, outil de messagerie instantané sécurisé, est frappé soit d’un « bug », soit d’une « feature » selon que l’on travaille ou non pour la Dontbeevil Company. Suite à un billet de blog signé Thai Duong, expert sécurité chez Google, l’on apprend que le mode de chiffrement de bout en bout intégré dans Allo n’est pas activé par défaut.

Sans cette limitation, expliquent les porte-paroles du Premier Surveillant de l’Internet Mondial, Google Assistant ne pourrait plus fonctionner correctement. Assistant, la version N+1 de Google Now, l’adversaire du Siri d’Apple, a besoin de textes en clair pour analyser les moindres désirs de la population Androïdisée. Mais c’est compter sans Allo qui, à sa manière, rejoue une pièce connue du théâtre de boulevard pour RSSI et CSO intitulée « si je chiffre mes flux, je suis incapable de voir passer virus et fuite d’information ».

Sans surprise, un Twitt assassin émis par Edward Snowden déconseille l’usage de cet outil de communication, en raison du sentiment de fausse sécurité qu’il pourrait procurer. Chris Soghoian (Aclu), émet une hypothèse tout à fait plausible. Selon lui, il s’agit là d’une position purement politique, destinée à éviter tout futur affrontement avec les services de police tant des USA que du reste du monde. Le différend qui a opposé Apple et le FBI au cours de l’affaire de la tuerie de San Bernardino a tempéré les ardeurs des fournisseurs de services et opérateurs.

Vent debout en pleine affaire Apple vs FBI, prête à défendre chèrement de son corps la liberté de chiffrer contre les assauts barbares d’un Etat Policier Américain, l’Enisa, l’agence Européenne de sécurité des S.I. revient sur ses positions et ne serait plus tout à fait opposée, selon les circonstances, à l’usage de portes dérobées au sein de certains systèmes de chiffrement des communications ou des contenus. Un retournement de veste tout en subtilité : « This has led to proposals to introduce mandatory backdoors or key escrow to weaken encryption. While this would give investigators lawful access in the event of serious crimes or terrorist threats, it would also increase the attack surface for malicious abuse…”declare le communiqué commun rédigé en collaboration avec les services d’Europol.

L’Enisa renoue donc avec une vision « innocente » d’un monde dans lequel les truands et terroristes observeraient scrupuleusement les lois en vigueur et s’efforceraient d’acheter des outils de chiffrement réputés perclus de moyens de contournement. Et d’argumenter sur l’importance d’un usage « proportionnel » des outils intrusifs d’enquête utilisés par les services de police, en concluant « For the investigation and disruption of crimes, it is important to use all possible and lawfully permitted means to get access to any relevant information, even if the suspect encrypted It”.

Un “ oui mais ” qui, s’il devient effectif, va renouer avec certaines pratiques de la DCSSI * à l’époque et ce, sans particulièrement résoudre les questions de « simple police », qui fragilisera encore plus les systèmes d’information des entreprises Européennes.

*Ancêtre de notre actuelle Anssi, à l’origine de la limitation « 40 bits » des clefs de chiffrement en France et de leur assimilation à une « arme de guerre ».

Les cookies ne plaisent plus ? Les géants de la publicité, Google en tête, se montrent plus discrets et plus intrusifs en remplaçant les classiques « petits gâteaux» par des méthodes de relevé d’empreintes numériques (alias fingerprinting). C’est ce qu’il ressort d’une analyse de l’Université de Princeton, qui a passé au crible le comportement de près d’un million de sites de « premier niveau ». Et l’une des méthodes les plus inattendues est le profilage du couple Navigateur/Carte son de l’ordinateur, lorsqu’interrogé par un simple appel de l’API AudioContext. Une page de démonstration est d’ailleurs disponible sur le site universitaire, tant pour convaincre les incrédules que pour enrichir la base de connaissance des chercheurs. L’analyse repose sur une série de Transformées de Fourier rapides (FFT) et s’apparente à de la détection d’empreintes d’émetteurs radio.

D’autres techniques peuvent fournir de précieuses indications. L’adresse IP du poste, par exemple, en exploitant une autre API, WebRTC (Web Real-Time Communication), plateforme d’échange entre deux navigateurs, ou encore le composant graphique HTML5 Canvas.

Si l’on fait abstraction des considérations techniques détaillées par l’étude de Princeton, il apparaît qu’il devient quasiment impossible d’échapper au flicage des grands opérateurs de services Internet. Il était possible, jusqu’à présent, de limiter, voire d’interdire les cookies, mais il est absolument impensable d’échapper à une méthode de relevé d’empreinte. Quand bien même les requêtes détaillées par l’étude seraient bloquées par un firewall ou des paramètres de sécurité (au détriment de certaines fonctionnalités graphiques ou audio lors de l’ouverture de pages Web), rien n’interdirait aux chasseurs de statistiques de changer de méthode du jour au lendemain. Aujourd’hui la signature d’une carte audio, demain celle de l’horloge temps réel de chaque ordinateur, de chaque téléphone portable, après demain la réponse de tel ou tel composant d’instrumentation… et il y a peu de probabilité qu’un éditeur d’antivirus ou antispyware ose contrecarrer les tentatives d’identification d’un Google, d’un Yahoo ou d’un Amazon.

Le quotidien Nippon Mainichi titre « 1,4 milliard de Yen volés en utilisant les DAB installés dans des supérettes Japonaises ». Il aura fallu une organisation quasi militaire pour que ce casse de billetteries automatiques se réalise, impliquant probablement une bonne centaine de mules réparties dans 16 préfectures du pays. Une orchestration qui n’est pas sans rappeler les précédents « fric-frac de la trêve des confiseurs ».

A l’origine de ce cambriolage numérique, la fuite de 1600 identités bancaires des serveurs d’un établissement situé en Afrique du Sud. Peu d’informations filtrent dans la presse. Tout au plus apprend-on que le vol a été opéré dans la journée du 15 mai, et que les enregistrements vidéo des caméras de surveillance font porter les soupçons sur un gang Malaisien.

En 2013, Dejan Ornig , alors étudiant en sécurité informatique, découvre que la mauvaise intégration des mécanismes de chiffrement du réseau radio Tetra utilisé par la police Slovène peut être « exploitée » avec une simple clef USB type RTL-SDR. Une classique « implementation error » ? Que nenni ! Purement et simplement une utilisation du réseau en mode dégradé non chiffré. Tetra est utilisé par beaucoup de services civils (transports en commun notamment) dont le contenu des échanges ne nécessite pas franchement de couche de chiffrement. C’est, en revanche, nettement moins compréhensible pour ce qui concerne les forces de police et l’est encore moins lorsque les travaux du chercheur parvient à établir la preuve que les liaisons UHF de l’armée Slovène et des services d’intervention antiterroristes passent également « en clair » sur les ondes. Interpelé sur ce point par la presse, le haut commandement militaire a rétorqué d’un laconique « les communications Tetra sont chiffrées par défaut ». Encore faut-il s’assurer que la fonction ait été activée.

Fait surprenant, car Ornig avait déjà prévenu les autorités dès les premières semaines suivant sa découverte, ce qui aurait dû au moins déclencher une vérification technique, sinon une enquête administrative. En vain. Deux ans plus tard, le très docte et très sérieux institut Jozef Stefan contacte le chercheur et lui demande de rédiger une communication. Publication qui provoque cette fois une vive réaction du Ministère de l’Intérieur, lequel poursuit Ornig et le condamne à une peine de 15 mois d’emprisonnement avec sursis assortie d’une période de probation de 3 ans. Non pas pour avoir « piraté un réseau de communication d’Etat » mais sous prétexte d’avoir enregistré des conversations.

L’histoire , relatée par un portail d’information Slovène, ne s’arrêtera probablement pas là. Le condamné peut encore faire appel, et la médiatisation de l’affaire à de fortes chances de placer les Ministères de l’Intérieur et des Armées dans une situation encore plus délicate.

En Slovénie, tout comme dans la plupart des pays d’Europe, l’écoute des fréquences autres que celle qualifiées de « citoyennes » est soit interdite, soit soumise à règlementation et autorisation spécifique *. S’il règne une certaine tolérance depuis le début des années 80, il reste que la divulgation du contenu de ces écoutes provoque généralement une réaction assez vive de la part des Etats. Réaction souvent légitime, car elle vise à préserver à la fois le secret et le caractère privé des communications entre personnes. Mais depuis la publication du hack Osmocom et les multiples travaux sur la démodulation des réseaux Tetra toute fréquence située entre 1MHz à 2 GHz peut être écoutée avec des moyens techniques à la fois simple d’utilisation et peu coûteux (entre 8 et 30 euros). Un service de police ou de gendarmerie qui ignorerait ce détail et négligerait d’activer les protocoles de chiffrement nécessaires porterait donc une lourde part de responsabilité.

* En France, Art. 226-3 et 226-15 du code pénal

L’un s’en va, un autre prend sa place. Nos confrères de Bleeping Computer, en arpentant les sites .onion, sont tombés sur une publicité vantant les mérites du ransomware Goliath, lequel serait d’ailleurs une occasion à saisir, à 2100 $ le programme, soit près de 30 % de ristourne par rapport au concurrent renommé qu’est Locky. Bon sang ne saurait mentir, estime l’auteur de l’article Lawrence Abrams, car nombre d’indices rattachent le site annonçant le lancement de ce malware à un autre virus chiffreur qui a fait ses preuves, Jigsaw. Mais, ajoute Abrams avec prudence, d’autres éléments (et notamment une clef de déchiffrement visant le concurrent Locky vendue à des tarifs inimaginables) laissent à penser que Goliath ne serait qu’une tentative d’escroquerie visant les acheteurs de cryptovirus. Le truand est un loup pour le truand

Mais l’aristie du faux auteur de cryptovirus, l’acmé de la cyber-escroquerie, c’est lorsque le malware bloque non plus des fichiers, mais l’ordinateur tout entier tout en prenant l’apparence d’une erreur système (Bsod ou mise à jour Windows ayant mal tourné). Lequel malware ne peut être éliminé que contre payement d’un service de télémaintenance (une rançon) versée à un téléopérateur utilisant force Skype et logiciel de prise de contrôle à distance –Teamviewer et non une cession RDP-, installé miraculeusement par ledit malware.

Le déroulement de l’escroquerie, accompagné d’une impressionnante collection de captures d’écran, est détaillé par Jérôme Segura, de l’équipe Malwarebytes. On peut noter au passage que les « instructions » pas à pas données par ces pseudo-techniciens Microsoft tiennent compte de toutes les situations possibles. Y compris le chapelet d’insultes qui ne varie pas d’un iota lorsque, « baladé » par un usager au courant de ces pratiques, l’escroc se rend compte que son correspondant s’amuse à ses dépens.

Parfois, les histoires de cryptovirus se terminent bien. Sean Sullivan, du Response Team de F-Secure, nous livre une rapide analyse d’une version hackée de Locky, laquelle non seulement annihile les effets destructeurs du ransomware, mais en outre affiche un écran d’avertissement prévenant l’usager qu’il n’est pas très prudent d’ouvrir n’importe quelle pièce attachée. Oh ! combien de RSSI, combien de CSO, qui sont partis nombreux pour des courses à la sensibilisation, dans cette sombre illusion se sont évanouis. Il y a moins de 15 jours, c’était l’équipe d’Avira, en la personne de Sven Carlsen, qui signalait une autre souche de Locky délocké.

Lorsque l’équipe de recherche d’Eset se rend compte que le virus-chiffreur TeslaCrypt est en nette perte de vitesse (tout indique que ses auteurs se retirent du business), ladite équipe tente le tout pour le tout et envoie un laconique « Pourriez-vous publier la clef de chiffrement » ? Et, contre toute attente, ladite clef est publiée, accompagnée d’une courte contrition : « Nous sommes désolés ».

Le récit de cette aventure sur le blog Eset s’achève par l’annonce de publication d’un outil de déchiffrement gratuit répondant au doux nom de Esetteslacryptdecryptor.exe (attention, l’exécutable est en téléchargement direct).

A l’instar des fichiers Snowden, qui ont su populariser l’usage des outils de chiffrement et généraliser la pratique du VPN, les cryptovirus, lentement, évangélisent en faveur d’une politique de sauvegarde sur médium « hors réseau ». Un message qui semble porter auprès du grand-public et des PME. Les grandes entreprises, en revanche, sont paradoxalement plus vulnérables à ce genre d’attaques, en raison de la disparition progressive des sauvegardes sur bande et de l’accroissement des stratégies de stockage « hybride » : supports SSD pour les données vives, disques traditionnels pour les données froides et à longue conservation. Pour l’heure, à quelques établissements hospitaliers près, les victimes sont statistiquement rares, car tout aussi rares sont les cryptovirus véritablement efficaces en termes de propagation sur des ressources partagées distantes. Du moins pour l’instant…

Dans un formidable élan de curiosité scientifique, la municipalité de Paris décide, à l’instar de la ville de Tours, de se doter d’un observatoire des ondes. Une sorte de catalogue des émetteurs, soit « déclarés » par les exploitants (opérateurs notamment), soit recensés par d’autres moyens techniques répartis, un peu comme Airparif évalue les niveaux de pollution de la ville-capitale. Car, rapportent aussi bien nos confrères du Parisien que des Echos, pourraient être pris en comptent les fréquences proches de la voix (tel que le CPL 75 kHz des compteurs Linky) et les antennes relais ou les bornes d’accès Wifi. Le chantier est ambitieux.

Le projet relève à la fois de la performance technologique et de l’habileté politique. Car qui dit vouloir recenser « tout ce qui émet » risque d’être accusé de flicage visant chaque usager du réseau GSM, chaque porteur de cardiofréquencemètre sauce Applewatch ou Fitbit. En outre, en situant dans les limites basses les niveaux d’énergie des fameux Linky d’EDF, on ne comprendrait pas pour quelle raison un tel observatoire ne prendrait pas en compte des sources radiofréquences considérablement plus puissantes : téléphones mobiles, combinés portables, oreillettes Bluetooth, télécommandes de rideaux et volets, centrales domotiques, clefs de voitures, badges de portes de garage, liaisons montantes et descendantes des satellites de télécommunication et de télédiffusion ou réseaux furtifs à étalement de spectre noyés dans le « plancher de bruit »… sans oublier quelques millions de fours à microondes, de petits talky-walky familiaux, de dispositifs de télémessage et de télémétrie et autres « lampes à économie d’énergie » qui ne passeraient pas les premiers tests de certification CEM. L’objectivité et le sérieux d’un tel observatoire sont à ce prix, et l’on peut douter que les politiques à l’origine de cette initiative aient parfaitement compris qu’ils ouvraient-là une boîte de Pandore.

Pour que l’information diffusée par cet observatoire soit véritablement impartial, il faudrait également qu’il comptabilise des sources de rayonnement à très haute puissance : émetteurs TV, radio et… rayonnements solaire et cosmique, sources de la vie sur terre, après tout la plus mortelle des maladies. Et en cas de taux d’exposition jugé supérieur à la normale ? Ni soleil, ni coupe du monde de football, certains élus EELV pourraient bien y laisser leur maroquin.

L’objectivité et la rigueur scientifique exigeraient également que soient prises en compte les infrastructures radio appartenant à des services régaliens –Renseignements, Opérateurs d’Importance Vitale, police, forces armées pour n’en mentionner que quelques-uns. Peut-on sérieusement imaginer voir publiés les algorithmes caractérisant les formes d’ondes des armées, l’étendue des spectres utilisés par la DGSE, la géolocalisation des émetteurs et les puissances mises en œuvre de la Royale à l’Armée de terre, des sous-marins aux émetteurs travaillant à plusieurs centaines de TeraHertz des « services tita » ?.

Certes, la sécurité tant des couches de transport d’information que les normes de santé publique, exige des contrôles relevant non pas de commissions municipales, mais d’organismes nationaux spécialisés et compétents (et notamment l’ANFR dont c’est l’une des missions). C’est là le seul moyen d’éviter la création de comités «fourre-tout radioélectrique et électromagnétique ». Sans une telle prudence, ces observatoires ne risquent hélas que de provoquer deux effets pervers. Premièrement entretenir une psychose des ondes (confortée par la tautologie « on » les surveille, c’est qu’elles sont nocives), en second lieu écarter du débat des questions bien plus fondamentales en termes de libertés publiques et de fuites d’information. Il y a plus de potentialités d’atteinte à la vie privée dans une infrastructure Linky (car jamais un algorithme de chiffrement n’est résistant à l’échelle d’une génération) ou dans une cartographie des « téléviseurs intelligents » et autres téléphones mobiles qu’il ne peut se prouver des risques de santé publique liés à la couche de transport. Malheureusement la peur des ondes, qui relèverait plus d’une croyance, cache une réalité scientifiquement prouvée, celle du peu de protection dont est victime le contenu transporté par ces mêmes ondes ou transmis par les hordes de gadgets de l’Internet des Objets.