août, 2012

Depuis que les barbouzes admettent quasiment officiellement leur implication dans le développement et la diffusion de malwares « pour la bonne cause » (Stuxnet, Flames et variantes asiatiques), il fallait bien que cela inspire un jour ou l’autre d’autres mouvements agissant eux aussi pour une autre « bonne cause », qu’elle soit écologique, anti –impérialiste et autres mots en isme. Fini la gentille attaque en déni de service qui, au gré de quelques dirigeants masqués (ou croyant l’être), noyait sous un déluge de trame qui un dictateur Africain, qui un député Espagnol plus ou moins « hadopiste », qui une chaîne de télévision coupable d’avoir diffusé des propos jugés outrageants.

Tout çà, c’est de l’histoire ancienne depuis que les hacktivistes ont remplacé leurs banderoles, leurs masques d’intégriste religieux et leurs Loic par un virus/troyen baptisé Shamoon, expliquent nos confrères de Computerworld. Un virus qui possède un « double effet kill cool ». Tout comme une double lame de rasoir, il infecte et zombifie dans un premier temps sa machine-cible puis, avant que les services informatiques aient eu le temps de réagir, coupe le système d’exploitation à la racine en effaçant le MBR du disque dur. Le virus efface ainsi pas mal de pistes pouvant permettre à des spécialistes de l’analyse forensique de remonter jusqu’à l’attaquant. On avait presque perdu l’habitude de ces virus destructeurs, pourtant si à la mode il y a environ une décennie, et dont l’un des plus emblématique s’appelait JerusalemB et avait été pondu par les codeurs de l’OLP.

L’usage de ces armes explosives au sens binaire du terme vient d’être revendiquée par un groupe d’hacktivistes visant la compagnie pétrolière Saoudienne Aramco. L’attaque, affirme le texte de revendication publié sur Pastebin, aurait touché 30 000 ordinateurs dont 2000 serveurs. Et de publier la liste du « fingerprinting » des serveurs supposés équiper le réseau d’Aramco, avec leurs IP privées, leur nom Netbios et leur niveau de service pack.

Cette radicalisation par la destruction informatique n’est pour l’heure qu’un cas isolé, et il est bien trop tôt pour commencer à parler de tendance générale. Si de nouvelles attaques du genre venaient à se multiplier, il serait pratiquement impossible de se protéger efficacement : personne n’a jamais pu anticiper une intrusion dont on ne connaît pas déjà les mécanismes, et Shamoon (et ses très probables successeurs) sont encore inconnus par la grande majorité des logiciels antivirus.

Cette radicalisation pourrait également cacher l’activité d’autres groupes d’influence, politique, mafieux, institutionnels, que seul le désir de discrétion contraignait précisément à ne pas employer des moyens extrêmes…

Généralement, les « pros » du phishing ont la prudence de ne jamais jeter leurs filets sur leurs propres rivages, l’extraterritorialité étant une protection juridique plus efficace que les remparts du fort de Brégançon. Cela n’a pas été le cas de ce Niçois qui s’est fait pincer par la brigade de lutte contre la cybercriminalité de Nice, pour avoir directement exploité des données bancaires de quelques-unes de ses 1300 victimes. Ce sont nos confrères de Nice Matin qui relatent l’évènement, et qui précisent que le dol financier graviterait aux environs de 70 000 euros. Une belle somme pour une personne seule et manifestement inexpérimentée.

Plutôt que de s’offrir des voitures de luxe, le cyber-escroc achetait des vélos haut de gamme en fibre de carbone. C’est précisément son penchant pour la joyeuse pédale et ses habitudes chez les revendeurs de régime avec selle que les policiers ont pu lui mettre la main au collet*.

Pour une affaire élucidée, plusieurs milliers d’autres restent impunies. Depuis le mois de juin, le niveau de qualité des emails d’hameçonnage a franchi un bond qualitatif impressionnant, capable de piéger même une personne avertie. En tête des plus belles réalisations du moment, les éternels email Paypal.

*ndlc, Note de la Correctrice : Non, la main au collet, ça ne se passe pas à Nice mais à Monaco (http://fr.wikipedia.org/wiki/La_Main_au_collet). C’est peut-être à côté, mais on ne mélange pas la grâce de Grace et les fichus phiseurs …

La mise en image d’un cycle de conférences est toujours un travail long et ardu. Ce qui explique les presque deux mois de décalage entre le déroulement de la conférence Hack in Paris et la toute récente publication des vidéos desdites conférences.

Profitons donc de l’arrivée de ces vidéos pour écouter ou réécouter Amol Sarwate dans son exercice de vulgarisation « qu’est-ce qu’une attaque Scada » (et pourquoi les industriels utilisent-ils des protocoles vieux de 30 ans ?), Nicolas Grégoire et ses attaques XML (il reprendra cette présentation peu ou prou Outre Atlantique), Georgia Weidman qui, à genoux derrière son pupitre, expliquait pourquoi et comment le modèle Android était (et est toujours) pratiquement indéfendable, ou encore Ange Albertini qui nous a entrainé dans la sécurité « par obscurantisme, manque de documentation et respect de règles parfois approximative» des winPE . A revoir également le discours de Fernando Gont sur la consolidation d’IP v6 (redite de Hackito mais avec une meilleure prise de vue) et, dans un registre moins technique, plus humain, l’intervention de Jayson Street sur le fameux complexe de la sensibilisation de l’utilisateur. Street donne des conseils pratiques, cite des cas de figure vécus qui montrent à quel point le travail du RSSI est difficile, voire impossible. Son « équation de la sécurité » et son constat d’impossible dialogue entre les réactions « a priori » des hommes sécurité et « a posteriori » des hommes du management montre à quel point la dialectique est une science exacte que doivent maîtriser les CSO et consorts.

Certes orienté et un brin partial, mais qui, assurent ses rédacteurs, ne repose que sur les métriques de ses outils de détection le rapport semestriel 2012 de F-Secure vient d’être mis à disposition en téléchargement gratuit. Pas de grands changements ni de renversement de tendance. Plutôt une « optimisation des ressources » du côté obscur de la force, avec un usage de plus en plus intensif des « exploit kits » de développement de malwares, et une forme de « microsoftisation » de l’offre, de concentration monopolistique autour de quelques outils. Concentration qui explique la brusque montée en puissance de BlackHole notamment. La recherche d’exploit, explique le rapport F-Secure, est devenu une seconde nature chez les délinquants du net. Les cyber-pirates lancent des attaques très classiques genre « drive by download », souvent en se reposant sur des astuces d’intox et de social engineering et en utilisant la caisse de résonance offerte par les réseaux sociaux. Dès que l’attaque a réussi, une investigation de la machine cible est alors effectuée pour y découvrir des failles et les exploiter.

La seule véritable nouveauté en cette première moitié 2012 a été l’étonnant succès du troyen Flashback qui exploitait un défaut Java et permettait de zombifier des machines sous Mac OS/X. Léger accroissement également d’une variante des scareware (faux antivirus) qui utilisent de nouveaux canaux de diffusion, notamment les SEO (Search Engine Optimization).

Sur le plan de la croissance, aucune surprise : c’est bien la plateforme Android qui constitue la cible privilégiée des auteurs de malwares de flicage et de vol d’information : 65% de croissance durant le second trimestre de l’année.

Sur celui de la longévité, c’est encore et toujours Conficker qui détient la palme. Ce Jeanne Calment de la cybervirologie représente encore 13 % des infections à ce jour, et s’avère relativement persistant dans des pays comme le Brésil, la Malaisie, la Chine, la Roumanie… et très bizarrement la Belgique.

Sans surprise, le rapport F-Secure décerne une mention spéciale à un virus plus médiatique que véritablement répandu : Flame, le virus-espion largué par la NSA et le Mossad contre les infrastructures de certains pays du Golf Arabo-Persique, Iran en tête. Mention spéciale également pour DNS Changer, ce pollueur de mécanismes de routage qui détournait d’honnêtes surfers vers des sites Web généralement peu recommandables. Début juillet, le FBI prenait la décision de tuer les « annuaires DNS de substitution » mis en service dans l’urgence pour contrer le malware DNS Changer et occulter les «annuaires pourris ». Un arrêt d’activité qui a plongé dans le noir les internautes et entreprises encore infectés par le malware et qui, sans le savoir, fonctionnaient grâce à la béquille d’un service de police US.

Il est intéressant de noter que cette coupure (cette intervention de pompier devrait-on dire) a été très mal perçue par une partie des usagers d’internet. Mécontentement d’ailleurs reflété par un sondage effectué par F-Secure et mentionné dans son rapport. Un mécontentement qui dénote l’état de dépendance (d’assistanat disent certains) dans lequel vivent beaucoup d’utilisateurs du Net, qui pourtant pourraient se libérer de cette tutelle en désinfectant leur matériel.

Après des années de dialectique ampoulée durant lesquelles les caméras de flicage se transformaient en protecteurs musclés et les intrus informatiques ne « parvenaient à ne rien dérober », voilà que nos confrères du Parisien apprennent que des plans de l’Elysée, du Ministère de l’Intérieur et de la Préfecture de Police de Paris ont été dérobés. Plans contenus sur des clefs USB et disques durs qui auraient été kidnappés avec d’autres documents et appareils appartenant à un entrepreneur de BTP travaillant pour l’Administration.

Certains de nos confrères s’émeuvent du fait que ces plans n’auraient pas étés cryptés ce qui est totalement inexact. Toute personne ayant tenté de retrouver son chemin dans les dédales des couloirs du Quai des Orfèvres sait fort bien que l’organisation de ces lieux est hautement cryptique. Ou alors notre éminent confrère voulait-il parler de chiffrement des données ? Et de préciser que lesdits plans « sont très précis puisque l’emplacement de chaque pièce y est représenté »… ce qui, pour des plans, semble être une fonction a priori fondamentale.

Selon la coloration politique des quotidiens relatant l’affaire, l’importance du larcin oscille entre la petite délinquance et la Haute Trahison. Nos confrères de Libé rapportent les propos de la Préfecture qui précise « les documents (volés) ne relèvent pas de la catégorie des documents classifiés et les informations qu’ils contiennent ne mettent pas en péril la sécurité des sites concernés », tandis qu’au Figaro, l’éclairage change légèrement « Ces documents hautement confidentiels entraient dans le cadre d’un plan de vidéoprotection de la ville de Paris, selon le quotidien. Sensibles puisqu’ils représentaient l’emplacement de chacune des pièces de ces bâtiments, les fichiers n’étaient pas cryptés pour autant ». Crypté, vidéoprotection, hautement confidentiel… la novlangue anxiogène a encore la vie dure dans certains titres.

Dans les faits, la « Présidence Normale » semble donc renouer avec une tradition de « transparence normale » faisant état de « bévues normales », comme cela se pratique depuis des années dans d’autres démocraties d’Europe, notamment en Allemagne et en Grande Bretagne. Le scoop, contrairement à ce que prétendent nos confrères, n’est pas que les plans de trois administrations (dont la première de France) soient tombés entre les mains de petits voleurs à la tire. Non. Le scoop, c’est que l’on en parle enfin dans les journaux. Et ça, c’est un signe notable d’évolution de la démocratie et de la liberté de la presse.

Après le mythe de l’Administration qui ne saurait être victime de la moindre fuite, il serait peut-être bon que d’autres fables trépassent. Notamment celles de l’inviolabilité des données bancaires en France (seules les banques étrangères ont perdu des clefs USB à ce jour) ou du caractère inexpugnable des infrastructures Scada Nationale. En 40 ans d’informatique industrielle, une seule intrusion au sein de l’intranet Areva, c’est peut-être la preuve que les lois statistiques nous mentent. Ou pas.

De son petit nom CVE-2012-1535 , cette faille Flash a un peu fait parler d’elle, chez Adobe. Multiplateforme (Mac, Window, Linux), ce défaut est qualifié de critique car très probablement exploitable sous Windows, explique le « priority rating » de l’éditeur.

Outre cet accident Flash, Adobe lance une nouvelle version de ses « Reader » sur toutes les plateformes. Les éditions Windows et Macintosh se voient ainsi protégées des risques liés à 19 CVE dont certains sont exploitables.

Attention, un bouchon peut en cacher un autre. Toujours chez Adobe, à l’occasion de ce grand nettoyage d’été, l’on offre une édition revue et corrigée de Shockwave Player pour Mac et Windows. Cinq trous sont éliminés au passage.

Chez Microsoft, août a été l’occasion de publier le célèbre « cumulatif Internet Explorer ». Au total, 9 correctifs, 27 CVE dont un trou Office activement exploité. Ces bouchons nécessitent un redémarrage de la machine.