septembre 11th, 2017

Une mauvaise politique de déploiement de correctifs, plusieurs manquements en matière de sécurité périmétrique et de détection d’intrusion, une gestion de crise digne de figurer au « Guinness des records », l’affaire Equifax risque bien de faire les grands titres de la presse pendant au moins deux semaines, avant de retomber dans un oubli médiatique total. Seuls quelques avocats et juges chargés des « class actions » prévisibles s’en souviendront.

Equifax,l’un des trois plus gros organismes US de crédit et de services de gestion financière (RH, salaires…), a laissé fuiter près de 143 millions d’identités, 210 000 numéros de cartes de crédit et un peu moins de 200 000 dossiers clients comportant nombre d’informations personnelles. Une paille, un rien comparé à l’hémorragie Yahoo. Mais Yahoo n’est pas une banque et son business n’est pas la « vente de confiance ».

Il importe peu de savoir « comment » les données ont pu fuir. Il est même très probable que personne ne parvienne à le découvrir. En revanche, expliquer Brian Krebs, journaliste et victime directe de ce sinistre, ce qui succède aux fuites n’est qu’une série de sur-accidents.

A commencer par la vente d’actions par trois membres du conseil d’administration d’Equifax (dont le CFO) peu de temps après la découverte de l’intrusion mais bien avant la révélation publique de l’affaire. Des dirigeants qui, cela va sans dire, n’étaient au courant de rien à ce moment précis.

Suit alors une série de bourdes difficilement explicables. Le premier bulletin public diffusé sur le site Web principal de l’entreprise rassure la clientèle en affirmant qu’aucune information importante n’a pu sortir des serveurs. L’alerte des clients par SMS, en revanche évoque sous conditionnel cette éventualité. Qui donc coordonne alors la communication de crise chez ces spécialistes de l’agio ? Edelman, société de relation presse (très présente en France notamment). Pas de cellule spécialisée interne donc, et l’on s’interroge sur cette décision visant à externaliser à des non-spécialistes l’aspect le plus délicat d’une situation d’urgence. La question est manifestement traitée par-dessus la jambe par une direction qui paraît jouer la carte du « too big to fail ».

Il faudra attendre le 9 septembre pour apprendre la nomination de Mandiant, filiale de FireEye, au titre de cabinet d’audit et d’expertise. Fondée par Kevin Mandia, cette entreprise de sécurité s’y connaît en matière d’intrusion et de fuite d’informations, puisque ses propres serveurs firent les frais des assauts des « Anonymous » il y a quelques années. Spécialiste des APT et du cyber-péril jaune, Mandiant sait tout, mais ne publie rien, jamais. Ou alors seulement aux autorités Fédérales. Par le plus grand des hasards, ces mêmes Anonymous distillaient encore sur Pastebin des fichiers « internes » fin juillet de cette année. Entre « troués », il faut se serrer les coudes.

Alors que des dizaines de geeks impétueux s’attaquaient aux machines à voter durant toute la durée de la DefconXXV, c’est une fuite d’un tout autre genre (mais trouvant son origine précisément chez un fournisseur desdites machines) qui défraye les chroniques de l’Illinois. 1,8 million de données personnelles étaient accessibles sur un service Cloud Amazon mal configuré : une fois n’est pas coutume, ce n’est pas l’urne électronique qui était en cause, mais le « backoffice » du système électoral, explique Chris Vickery au fil de ses gazouillis sociaux. La presse locale ne pouvait trouver sujet plus croustillant. Nulle information n’aurait été divulguée de manière publique, le patron de la cellule de recherche d’Upguard ayant prévenu à temps le spécialiste du vote presse-bouton.

Il faut dire que Vickery s’est taillé une certaine réputation dans le domaine de la recherche du SGBD bancale et du dépôt Cloud poreux. Rob Pegoraro, de Yahoo Finance, dresse l’impressionnant palmarès de ce chercheur : 13 millions d’identifiants accessibles sur un service Kromtech, 6 millions de profils dégoulinants des banques de données Verizon , 87 millions de données personnelles provenant des registres de vote Mexicains. De quoi occuper les manchettes des journaux et réaliser de la publicité à pas trop chère pour le compte d’Upguard.

Pourtant, ce stakhanovisme de l’analyse des données Shodan et autres opérations de Google hacking peut inspirer des moins doués, avec les conséquences désastreuses que l’on devine. Ainsi cette fuite très hypothétique que prétend avoir découvert l’équipe de Direct Defense en analysant les services d’une autre entreprise du secteur InfoSec, Carbon Black. De manière très schématique, le service d’analyse virale « à la demande » de Carbon Black Response, qui utilise VirusTotal de Google, risquerait de dévoiler le contenu des données soumises à analyse. Accès indiscret réservé uniquement au personnel ayant un droit de regard sur les mécanismes internes de l’application et aux transactions entre C.B. Response et VirusTotal… agents Fédéraux, employés des entreprises, prestataires de services etc. Rien n’est en revanche exploitable depuis le réseau public.

Cette querelle d’experts provoque diverses réactions auprès des confrères et néanmoins concurrents de Carbon Black, certains rappelant que ce genre de pratique est assez courant et que bon nombre d’entreprises vont jusqu’à expédier non pas de simples condensats à VirusTotal, mais des exécutables en entier.

Brian Krebs renchérit et publie un article assez mordant condamnant… non pas cette guéguerre stérile entre professionnels de la sécurité, mais nos confrères de Guizmodo qui ont joué les caisses de résonance en faveur de Direct Defense, sans contre-enquête manifestement auprès de l’entreprise concurrente visée. D’un point de vue déontologique, l’ancien journaliste du Washington Post qu’est Krebs a entièrement raison. Il est cependant évident que le « manque de sérieux » et le « sensationnalisme » de toute cette affaire a pour origine, une fois de plus, un professionnel de la sécurité des S.I. .

La sécurité logicielle rapporte moins qu’autrefois, la faute aux « gratuits » de renom. Pourquoi ne pas tenter de vendre la même chose, mais livré dans du silicium ? Avec le Core, Norton réinvente l’idée d’Appliance/UTM, mais à destination du grand public cette fois. Un grand public plutôt aisé, puisque l’appareil en question est vendu près de 300 dollars et, passé la première année d’utilisation, 120 $ de service et mise à jour par tranche de 12 mois.

Hybride d’antivirus, de routeur Gigabit 3 ports plus Wan et Wifi, de gestionnaire de politique de sécurité (notamment contrôle de la politique de mots de passe), de contrôle parental (qui classe les informations sur l’avortement au même niveau que les sites pornographiques), le Core prétend même pouvoir filtrer les « objets de l’Internet » pour lesquels aucune norme de transmission ou de supervision n’existe.

Lier un contrat à une base matérielle pour en justifier le prix est une tactique courante dans le domaine des équipements ludiques (serveurs de contenus vidéo par exemple). En revanche, les tentatives dans le domaine informatique sont très rarement couronnées de succès si l’on en juge par les nombreux flops des offres de services NAS+cloud… Surtout en des temps de cloudification à outrance et de SaaS débridé destiné au marché SoHo. Norton, seul contre Sophos, F-Secure, Microsoft (sans oublier une frange de l’offre Symantec, la « maison mère »), le combat semble assez inégal.

Les plus beaux bugs sont des bugs de conception architecturale ou protocolaire (par définition impossibles à corriger sans devoir remettre à plat tout un projet). Parmi ceux-ci règne une aristocratie du défaut de conception : la faille de sécurité provoquée par un mécanisme de sécurité, sorte de « crème à la crème » de l’instabilité binaire.

C’est, tend à prouver un groupe de chercheurs Canadiano-Nippo-Italiens, ce qui frappe la quasi-totalité des automobiles commercialisées depuis plus de 17 ans et qui possèdent toutes une prise de diagnostic elle-même branchée sur un bus CAN (Controller Area Network) chargé de relier capteurs et actuateurs à l’ordinateur de bord.

Cette étude est le fruit d’un travail commun réunissant Polytechnique Milan et deux éditeurs, Linklayer lab et Trend Micro. De manière lapidaire, les chercheurs se sont rendus compte que des messages d’erreur mal formatés et envoyés de manière répétitive par les capteurs d’une voiture, sont considérés comme une preuve de mauvais fonctionnement et déclenchent, dans certains cas, un ordre d’isolation du périphérique « malade ». Isolation qui correspond à un blocage pur et simple de la fonction. Problème bénin s’il s’agit d’un témoin d’ampoule, légèrement plus préoccupant si l’erreur provient d’un élément de freinage ou de direction.

De là à imaginer les scénarii d’injection d’attaque en déni de service, il n’y a que l’épaisseur d’un tournevis et d’un fer à souder : N’importe où sur le bus, par le truchement d’un « faux périphérique » branché soit sur le port OBD (On Board Diagnostic), soit sur le bus de manière directe (un microcontrôleur possédant un firmware spécifique), soit sur le bus mais pouvant être contrôlé à distance. Les options sont nombreuses et le vecteur d’attaque « multiplateforme » par définition.

Dans tous les cas, une telle compromission nécessite un « accès direct à la console » à quatre roues ou au réseau… Ce genre d’intrusion s’appelle généralement « révision des 5000 » et personne ne vient vérifier les certifications des mécanos chargés de l’intervention. Parfois même, le port OBD se situe non pas dans l’habitacle mais sous le capot moteur, dont le système de fermeture est loin d’égaler la porte d’un coffre-fort. Ce qui permet à certains de nos confrères de titrer « Un bug létal qui affecte l’industrie automobile toute entière ». Probablement un oxymore au troisième degré.

Comment atténuer un tel risque ? en repensant le protocole de gestion d’erreur, donc en considérant la quasi-totalité des véhicules en services comme une génération sacrifiée. En supprimant éventuellement certaines fonctions d’isolation/blocage des périphériques « sensibles » comme cela était le cas sur les anciens bus VAN, plus lents mais considérablement plus souples. En attendant l’avènement d’un futur OBD3, les possesseurs de 2CV, Jeep Willis et fardiers de Cugnot vont faire figure d’experts en matière de sécurité automobile.