mai 18th, 2009

En bref, quelques pratiques cybermafieuses à la mode. Sur le blog de Dancho Danchev, l’on découvre ce qui se cache derrière ces jeunes, séduisantes et pulpeuses jeunes femmes slaves qui cherchent désespérément un époux par email –si possible occidental et riche-. Ce qui parait être une véritable agence matrimoniale Russe camoufle parfois une formidable machine à escroquer, conçue pour que chaque visite, chaque échange de courrier se transforme en une succession de payement de services et de petits cadeaux généralement dispendieux. En jouant sur la corde de la séduction et des « présents librement octroyés » par le prétendant, ces aigrefins se mettent à l’abri de pratiquement toute poursuite judiciaire. Le véritable amour n’étant pas une denrée commerciale, rien n’oblige effectivement la prétendue demoiselle de retourner une preuve d’affection garantie sur facture et proportionnelle aux témoignages de ses prétendants transis. L’envergure de ces professionnels de l’exploitation de la misère affective de certains est d’autant plus insoupçonnée qu’il est rare que les victimes portent plainte. Un célibataire Canadien décrit par le menu le fonctionnement de ce piège essentiellement orchestré par la prétendue agence matrimoniale –et la complicité au moins partielle de la séduisante slave-.

Sur le blog de F-Secure, l’on revient sur l’homme qui a arrêté Cha0, le célèbre « carder » dont la production de fausses façades de DAB touchait à la perfection. Une interview à lire, donc, dans les colonnes de nos confrères de C-Net, ainsi qu’une belle brochette de captures d’écran du forum underground DarkMarket, lieu de réunion de tous les mafieux et plateforme d’échange des trafics les plus divers. Un pot-pourri des techniques les plus remarquables de l’année 2008 a été tourné par l’équipe, qui commence précisément par l’arrestation de Cha0. La plus intéressante des méthodes est à admirer à partir du « Time Code » 6,44 de cette même séquence vidéo : le cybertruand pénètre nuitamment dans les locaux d’une banque Suédoise, délaisse les coffres et les caisses de l’établissement, et demeure caché durant plus d’une demi-heure sous l’un des bureaux de l’agence, avant de fuir en entendant les pas du veilleur de nuit. Il apparaîtra bien plus tard que ce « coup raté » était en fait couronné de succès. Le casseur avait largement eu le temps d’installer un keylogger, une webcam et un routeur WiFi, qui lui ont permis d’accéder à distance aux systèmes bancaires, après avoir pu vérifier que plus personne ne se trouvait dans les locaux ainsi piégés.

Mauvaise semaine pour la Défense Nationale Britannique. Le premier mai dernier, le MI6 a avoué avoir du abandonner une opération d’infiltration entrant dans le cadre de la lutte anti-drogue, peu de temps après qu’une des « espionnes de Sa Majesté » ait perdu son sac à main lors d’une correspondance en Colombie. Le sac en question contenait une clef USB renfermant une liste des agents en opération, qui ont dû immédiatement être réaffectés, nous apprennent nos confrères de SC. L’on avait déjà l’habitude de retrouver des données du MI6 sur des appareils photo mis en vente sur eBay, voir de lire les détails des opérations du MI5 à la télévision. Pour couronner le tout, voilà qu’une étude conduite par British Telecom et l’Université de Glamorgan révèle que 34 % des disques durs que l’on peut acheter sur eBay et autres sites d’enchères en ligne contiennent des données privées et des informations sensibles. Cela, on le savait déjà. Mais ce qui est plus inquiétant, c’est qu’au nombre de ces données, l’on puisse retrouver, nous apprend la BBC Online, des informations techniques sur le système d’arme Thaad de missiles antimissiles.

Début mai, c’étaient les professionnels de la santé de Virginie qui tombaient, victimes d’un chantage aux données chiffrées. La pratique commence à avoir un certain succès, à tel point que les logiciels « ransomware » se multiplient. Dancho Danchev signale sur son blog la mise sur le marché, pour à peine 15 dollars, d’un programme d’extorsion automatique. Le malware affiche, dès la mise sous tension de l’ordinateur-victime, un numéro de téléphone à appeler qui délivrera un SMS contenant le « code de déblocage » salvateur. Bien entendu, ce numéro d’appel est surtaxé. Les principaux responsables de cet état de fait sont les opérateurs télécoms, inventeurs de ces mille et un procédés qui tentent de transformer Internet en une sorte de monstrueux Minitel à paliers de facturation multiples et à échelle mondiale. Certains chasseurs de virus, tel l’Avert, commencent à considérer ouvertement les outils de facturation par SMS comme des vecteurs de fraude.

Ce même Avert signale d’ailleurs cette semaine l’émergence d’une nouvelle génération de virus « codeur-rançonneur » qui combine à la fois la perfidie d’un virus de chiffrement et la traîtrise d’un scareware –ces faux antivirus qui prétendent chasser d’illusoires infections contre achat d’une licence. Tout en lançant une fausse détection virale, FakeAlerteCO chiffre les fichiers –applications comprises- situées sur le disque victime. La « licence » du programme de protection coûte 80 dollars « à vie ». Un vocabulaire qui rappelle étrangement les mauvais films policiers, le milieu du racket et de la prostitution.

Petit par le nombre, colossal par son importance, étonnant par son incohérence : le bulletin d’alerte MS09-017 que vient de publier Microsoft n’est pas qu’un vague correctif rectifiant un défaut de PowerPoint, mais un « cumulatif » critique. 14 trous de sécurité se cachent derrière ce bulletin, ce qui dénote un certain esprit collectionneur. Le Sans affiche un « Patch NOW ! » pour l’ensemble des failles et précise que l’alerte CVE-2009-0556 est exploitée depuis le 2 avril dernier. A noter (second point soulevé dans la « Foire Aux Questions » dudit bulletin) que les mises à jours destinées aux éditions Macintosh Microsoft Office 2004 pour Mac, Microsoft Office 2008 pour Mac, Open XML File Format Converter pour Mac, Microsoft Works 8.5, Microsoft Works 9.0 sont toujours en cours de développement. Serrons les dents et prions pour que le Dieu des Virus soit en train de prendre des vacances …

Dans un communiqué ménageant la chèvre et le chou, la commission des votes électroniques d’Irlande tourne le dos au vote électronique en précisant que les machines à voter elles-mêmes sont, sous réserve de « some minor security and usability enhancements » (sic) tout à fait utilisables. Ce qui pèche, en revanche, ce sont les logiciels de gestion/administration des élections. Quand à l’économie invoquée de ce côté-ci de la mer du Nord, on la trouve très relative au pays des limericks et de la bière Stout « It is clear from consideration of the Report of the Commission on Electronic Voting that significant additional costs would arise to advance electronic voting in Ireland » …

Légende urbaine numéro 1 : 80% des attaques contre les S.I. proviennent de l’intérieur. Quelle est la provenance de ce chiffre ? s’interroge Richard Bejtlich. La réponse, nous apprend le Docteur Eugene Schultz, grand pourfendeur d’idées reçues, trouve son origine dans une étude statistique effectuée par le FBI il y a plus de 17 ans. Bien avant l’ère des Botnets tentaculaires, du déploiement des réseaux DSL dans le monde entier, des attaques Web massives et de l’exploitation véritablement « commerciale » des malwares. Ce qui ne veut pas dire que l’ennemi intérieur n’existe pas. Toutes proportions gardées, il existe bel et bien mais le nombre de « traîtres à l’entreprise » sont traces par rapport aux hordes de cyber-malfrats qui errent sur la Toile.

Ces cyber-criminels sont à la délinquance en col blanc ce que l’agriculture extensive est à la production de céréales : le rendement à l’hectare ne vaut pas celui d’une petite exploitation. Si le professionnels du virus « password stealer » ou du zombificateur-polluposteur gagne de l’argent par effet de masse, l’ennemi interne frappe peu, peu souvent, mais les dégâts qu’il provoque sont sans commune mesure. Le retour sur investissement –ou le rendement per capita- est en faveur de l’ennemi intérieur, mais, en termes d’analyse de risques, la probabilité de sa présence est nettement plus faible que toutes les autres menaces « externes ».

En volume, le danger vient bien de l’extérieur, et la tendance se confirme d’années en années.

En 1999, les cyber-effractions étaient à 57% de provenance extérieure, à 51% provoquée dans le périmètre du SI.

En 2003,le CSI/FBI affine quelque peu sa terminologie et le sens de ses questions. L’enquête distingue désormais les assauts Internet, Intérieurs et par ligne téléphonique (RAS). Le résultat est sans appel : les « points d’attaque les plus fréquents » sont à 78% Internet, 30% les systèmes internes, 18% les RAS. Dans le détail, les intrusions Web externes représentaient 53 % des cas, les actions internes plafonnaient à 18%, et plus du quart des personnes interrogées déclaraient ignorer l’origine de l’attaque. Pour ce qui concerne les seuls sinistres internes, 80% ont été qualifiés de « attaque ou mauvaise utilisation » -catégorie très générique- mais seulement 36% de cette proportion était clairement qualifiée de véritable pénétration.

Sur le plan financier, là encore, les vols d’informations propriétaires ont été estimés (sur un échantillonnage de personnes majoritairement nord-américaines) à près de 70 millions de dollars, montant à comparer aux 2,8 M$ imputables aux « pénétrations dans les systèmes » et surtout aux quelques 406 000 dollars –seulement- dus aux « accès non autorisés effectués par des personnes appartenant aux services ».

Bejtlich, un vieux routier de la sécurité des SI de l’Administration Fédérale, consultant travaillant très souvent pour le compte de l’armée US, n’est pas réputé pour tenir des propos « politiquement corrects ». Ce billet, jetant ouvertement la mode des DLP aux orties, milite en faveur d’une politique de sécurité intelligente et réfléchie. Les « passades » de l’industrie pour le couple A.V./Firewall, puis en faveur des IPS et successivement des DLP, des UTM et autres remèdes miracles à trois lettres ne sont que d’incessantes tentatives d’oublier le problème plus général qu’est l’analyse de risques (la vraie) et la compréhension du système d’informations et de son périmètre. Crier « au loup » ou « à l’outil universel » cache trop souvent une vision parcellaire, incomplète du problème.

Sacrément provocatrice, l’étude d’Airtight Nework. L’entreprise (spécialisée dans la sécurité des infrastructures sans fil) s’est conduite à un petit jeu de wardriving dans différentes villes aux environs des grandes « places financières ». Ont ainsi été espionnés l’espace WiFi des quartiers des affaires de New York, Chicago, Boston, Wilmington,DE, Philadelphia, San Francisco et Londres. Le résultat est sans trop de surprise. Après 5 minutes de balayage, 3632 points d’accès et 547 clients ont été détectés. 57 % des réseaux étaient soit ouverts, soit protégés par une clef WEP, relativement facile à casser. Sur ces A.P. vulnérables, 39% appartenaient à des entreprises, 61 % dépendaient des secteurs Soho ou familial, 27 % des routeurs –hors hot-spots et clients- fonctionnaient avec un SSID masqué (ndlr : ce qui ne sert strictement à rien, sinon à donner un sentiment de fausse sécurité). A ces chiffres, l’on doit ajouter 13 % de terminaux mobiles WiFi paramétrés en mode ad-hoc –le smartphone est une bien belle invention-.

Si l’on excepte quelques grands hack historiques, telle l’affaire TJX, il est rarissime que les points d’accès WiFi fassent l’objet d’une attaque en règle d’envergure. Compte-tenu de leur relative localisation géographique, ils sont en revanche plus visés par des attaques ciblées, réduites dans le temps et dans l’espace, généralement insoupçonnées des administrateurs de réseaux eux-même. Ce qui rend toute statistique de sinistralité quasiment impossible à dresser.