février, 2014

Process Explorer : le Sans signale l’existence d’une nouvelle commande d’analyse temps réel par VirusTotal d’un programme en mémoire. Elle est accessible dans le menu déroulant principal de Process Explorer, l’analyseur de processus Windows de Sysinternals

Hackmageddon publie son désormais traditionnel bilan des attaques pour la première quinzaine du mois de janvier. L’une des plus remarquable est celle ayant visé les serveurs d’une centrale nucléaire japonaise et ayant causé la fuite de près de 42 000 emails. Ce cyber-blitz est fortement soupçonné d’avoir été piloté par un Etat-Nation. Du côté des attaques mafieuses et des vols d’identités par quantités industrielles, on peut citer les intrusions des systèmes du World Poker Tour (plus de 175 000 comptes), de Staysure (93 000 identités) ou OpenSuse (un peu moins de 80 000 victimes potentielles). Quelques coups d’éclats, notamment le hack du compte twitter de Microsoft par l’Armée Electronique Syrienne, ont quelque peu défrayé la chronique. La branche publicitaire de Yahoo a également subi les attaques d’intrus qui ont ainsi pu diffuser des vecteurs d’infection sur les pages Web recevant en moyenne plus de 300 000 visiteurs par heure. On estime le nombre de victimes indirectes à plus de 27 000.

Du côté de Sotchi, ou presque, ce remarquable « fuck the E.U. » si élégamment formulé par Victoria Nuland, Secrétaire d’Etat Adjointe des Etats Unis, lors d’une conversation téléphonique avec l’Ambassadeur US en Ukraine Geoffrey Pyatt. La conversation aurait été interceptée par les services d’écoute Russes. La « fuite », orchestrée de main de maître, donne au public l’image d’une Amérique jouant la carte du bipartisme poussé à son extrême, mettant en scène une politique étrangère US jouant aux échecs et discutant de la possibilité d’évincer Vitali Klitschko, qualifié « d’électron libre ingérable », au profit d’Arseniy Yatsenyuk, économiquement plus « réaliste ». L’Otan, bras armé des USA sur le territoire Européen, deviendrait, espère la Secrétaire d’Etat, le seul médiateur acceptable, évinçant du coup les velléités Européennes des partisans de Klitschko et le rôle de la diplomatie des 28.

Cette fuite d’information via Youtube indique surtout que les services de renseignement Russes semblent n’avoir aucun problème pour enregistrer les échanges diplomatiques qui sont, a priori, tenus sur des téléphones sécurisés. Elle montre également à quel point l’espionnage électronique et la guerre numérique peuvent avoir comme poids dans le jeu diplomatique international, et surtout que le Kremlin n’a rien perdu de son adresse pour jouer du billard à trois bandes, misant un adversaire contre l’autre dans le seul but d’avoir le dernier mot.

ABC News, puis Reuter rapportent la diffusion de cette importante note de sécurité : après la chasse aux bouteilles d’eau, aux coupe-ongles, aux gels hydratants, aux biberons de lait, aux couverts métalliques et aux chaussures de sport, il sera nécessaire de traquer les tubes de pâte dentifrice de tout voyageur tentant d’embarquer dans un aéronef, particulièrement depuis que les forces de police Russes redoutent un attentat durant les J.O. de Sotchi. La police est sur les dents, les terroristes peuvent se brosser. Tout cinéphile se souvient de la mémorable réplique de Pierre Richard dans Le grand Blond :« J’avais sorti mes chaussures pour qu’on me les cire et ils me les ont clouées. J’ai été obligé de rentrer à Paris avec une chaussure marron et une chaussure noire. Puis il y avait de la crème dentifrice dans ma pâte à raser et de la pâte à raser dans ma crème dentifrice… Et ça n’étonne personne ». Désormais, ça étonnera les employés au filtrage des aéroports. La semaine prochaine, le point sur les risques que représentent les boîtes de cirage et les porteurs de chaussure noire tentant d’emprunter les vols Aeroflot en direction de Sotchi.

Sotchi encore et toujours avec ce billet du très sérieux « daily » du Sans Institute, qui relate plusieurs attaques informatiques visant des particuliers durant leur séjour en Russie. Hack de machines lors d’une connexion sur un point d’accès d’hôtel, injection d’un malware sur un smartphone à peine passé les portiques de l’aéroport… la psychose des « Commie’s hackers » va bon train. Johannes B. Ullrich du Sans fait toutefois remarquer que le risque de se faire infecter à la terrasse d’un café Moscovite ou sur les banquettes d’un marchand d’eau teintée de Merrillville sont à peu près les mêmes.

Sotchi probablement, avec les vagues d’attaques en phishing et en drive by download qui surfent généralement sur la vague de la renommée. Photos exclusives de tel ou tel champion, prétendues attaques terroristes visant le village Olympique, vidéo en avant-première nécessitant l’ajout d’un plugin spécifique et autres emails frauduleux risquent fort d’encombrer nos boîtes de réception dans les jours à venir.

Sotchi toujours, avec cette alerte de l’US-Cert relayée par Network World , et qui rappelle les règles essentielles de sécurité. Au plus fort des révélations Snowden, la diplomatie US semble chercher désespérément une porte de sortie ou un moyen de focaliser l’attention du public sur d’autres boucs émissaires.

Le second mardi du mois, jour d’ouverture des Tech’Days Parisiens de Microsoft, a vu la publication d’un lot de correctifs relativement important. C’est le lot de la majorité des mois pairs. 31 trous, 24 d’entre eux exploitables à distance, deux possibilités d’élévation de privilège, deux risques de fuites d’information, deux probabilités d’attaques en dénis de service et un défaut ASLR. Les failles jugées les plus critiques et devant être corrigées de manière urgente portent les immatriculations MS14-010, MS14-011, MS14-005, MS14-007 et MS14-008. L’habituel cumulatif I.E. ( 14-010 élimine à lui tout seul 23 trous de sécurité.

Chez Adobe,un seul correctif, concernant Shockwave, et éliminant deux failles. Cette mise à jour porte aussi bien sur les éditions Windows qu’OS/X.

Olivier Laurelli, plus connu sous le nom de plume Bluetouff, vient d’être condamné en appel pour s’être rendu responsable d’un « accès frauduleux dans un système de traitement automatisé de données », et de « maintien frauduleux et vol de documents ». La première accusation n’a pas été retenue, il eut fallu expliquer pourquoi Google avait pu indexer lesdits fichiers et donc les rendre téléchargeables. Rappelons rapidement qu’en première instance Laurelli avait été relaxé, et que le plaignant avait reconnu que de monstrueuses erreurs d’administration avaient permis de rendre public un nombre important de fichiers destinés à l’intranet de l’organisation en question (l’Agence nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail alias ANSES).

Mais le Ministère Public a fait appel et décidé qu’il y avait eu intention frauduleuse, arguant de l’évidente mauvaise foi d’Olivier Laurelli. L’on pourrait rétorquer que, dans le monde journalistique, l’usage du « index of » dans une requête Google relève non pas de la mauvaise foi mais du réflexe professionnel, compte tenu du joyeux capharnaüm (et le mot est souvent faible) qui règne dans l’organisation des sites internet en général, et des dépôts de documents destinés à la presse en particulier. Différents articles, publiés notamment dans les colonnes de Numérama ou de celles du blog Big Brother du journal Le Monde insistent sur l’apparente ignorance du juge chargé de l’affaire et de l’absence d’expert pouvant l’assister dans sa charge.

L’on se demande alors si le fait effectivement troublant d’utiliser un proxy situé à l’autre bout du monde n’aurait pas confirmé le Ministère Public dans son opinion lui permettant de conclure à l’intention frauduleuse et à la mauvaise foi ? La chose est peu probable compte tenu de l’ignorance déclarée tant du juge que de l’Accusation… le détail est trop subtil alors que, de l’avis même dudit Ministère Public (propos rapportés par nos confrères de Mediapart) : « la moitié des termes que j’ai entendus aujourd’hui, je ne les ai même pas compris ». Quand bien même cet argument aurait été retenu que l’usage de ce proxy était justifié dans le cadre du travail effectué par Olivier Laurelli. Lequel proxy ne servait pas à camoufler une opération de piratage visant un serveur français (le procédé aurait été un peu transparent) mais à isoler l’enquêteur qui travaillait alors sur le régime Syrien. Quand tu dînes avec le diable, prends une grande cuillère.

Coupable alors en raison du volume des documents téléchargés ? (8000 fichiers). Là encore, l’argument est peu probable. Il reviendrait à estimer l’ampleur d’un « volume nécessaire » qu’un journaliste ou blogueur est en droit de récupérer à des fins d’information.

En fait, ce jugement semble montrer à quel point les textes liés à la « protection des S.I. », notamment la LCEN et Loppsi2, ont été aussi peu compris tant par ceux qui les ont rédigé que par ceux qui sont chargés de leur application. Ce sont là des lois tentant de répondre techniquement à des problèmes techniques (qu’est-ce qu’une intrusion via Google, qu’est-ce qu’un vol de fichier indexé par un moteur public qui plus est d’origine étrangère) alors que l’esprit des lois aurait plutôt tendance à conseiller une solution politique pour résoudre tout problème technique. Bluetouff, qui n’est ni un collectionneur de fichier Ukrainien, ni un hacker Pékinois de l’Armée Populaire, sert ici de parafoudre, victime de dispositions destinées à protéger un patrimoine informatique national très fantasmé contre des attaquants encore plus fantasmés qui auraient l’extrême amabilité d’agir à l’intérieur de nos frontières. A l’heure des révélations Snowden et des intrusions perpétrées par des forces alliées et « bienveillamment ignorées » par un Ministère Public qui pourrait parfaitement s’autosaisir de ces affaires d’espionnage, il serait peut-être temps d’abroger ces textes en grande partie inadaptés et de chercher à défendre effectivement les infrastructures numériques intérieures des assauts de personnes un peu plus dangereuses que celles d’un blogueur Parisien.

L’affaire n’en restera pas là. « C’est décidé, on forme le pourvoi devant la Cour de cassation contre cet arrêt inique » déclarait un message Tweeter émis par Maître Olivier Iteanu dans le courant de la journée du 6 février.

« On n’y pouvait rien, ils étaient vraiment trop subtils et trop forts, c’était imparable ». Les patrons de Target et Neiman Marcus, dont le hack des serveurs a provoqué l’une des plus formidables fuites de données de la décennie, invoquent leur totale impuissance face à des attaques aussi sophistiquées nous apprennent nos confrères de Network World.

Il est de tradition, dans le métier de CxO, d’invoquer l’équivalent de la clause de conscience lorsque les évènement les dépassent. Elle prend alors le nom soit d’attaque sophistiquée, soit d’APT (advanced persistant threat). « De nouvelles règlementations n’auraient rien pu faire devant des adversaires aussi déterminés et compétents » affirment en substance les avocats des deux grandes chaînes de magasins.

Dans le camp opposé, celui des victimes et des accusateurs qui soupçonnent un certain laxisme dans les processus de traitement des données clients, on fait remarquer qu’une telle mésaventure ne serait jamais survenue en Europe. En effet, l’identité bancaire des clients a pu être subtilisée grâce à une attaque « man in the middle » opérée entre le lecteur de cartes de crédit et le système informatique. Sur ce trajet, les données ne sont pas chiffrées. « Si les grandes chaînes de commerce acceptaient d’adopter les cartes à puce, dont les échanges sont chiffrés, de telles attaques n’auraient aucune chance de succès ». Rappelons qu’en France, les cartes à puce sont intégrées aux systèmes de payement électronique depuis 1980.

L’uniforme impressionne toujours, y compris lorsqu’il se limite à un logo apposé sur un message électronique. Généralement, à ce stade, on parle de phishing par intimidation. Lorsque de surcroît ce courriel en profite pour chiffrer un disque dur pour en interdire l’usage tant qu’une amende n’aura pas été versée, cela devient un « police ransomware », un mouvement très tendance, comme on dit dans le milieu de la mode. Le European Cybercrime Centre (EC3) d’Europol lutte depuis quelques années contre ce genre d’escroquerie, et démantèle régulièrement des réseaux dont les cerveaux sont généralement situés dans les pays de l’ex Union Soviétique

A la suite d’une récente série d’arrestations, l’EC3 et la police Hollandaise ont publié un rapport et quelques métriques sur cette forme de cyber-délinquance. Les victimes ayant accepté de payer les « cyberamendes » se compteraient par milliers dans le monde, chiffre en constante augmentation compte tenu de l’évolution technique des ransomwares vers de nouvelles plateformes (terminaux mobiles notamment). En moyenne, 3% des victimes acceptent de payer sans discuter entre 50 et 150 Euros. Soit, pour la seule zone européenne, 800 personnes sur un parc estimé de 25000 machines infectées. 800 « amendes », cela représente près de 70 000 Euros, ce qui représente 40 000 Euros de cash pour les organisateurs de cette cyber-arnaque une fois les intermédiaires bancaires et techniques rétribués.

Les outils de chiffrement utilisés par ces gangs se perfectionnent, et résistent aux conseils techniques diffusés notamment par les services de police (les vrais, cette fois-ci). Les intermédiaires véreux (Ukash, Paysafe) commencent à être concurrencés par un usage plus intensif de Bitcoins.

C’est dans un cadre de publication très gendarmé que les principaux éditeurs (Yahoo, Microsoft, Google, Facebook) ont révélé le nombre de demandes Fisa (Foreign Intelligence Surveillance Act) reçu par leurs services. L’article de l’agence Reuter précise que Microsoft aurait dû répondre à environ 15 à 16000 requêtes, Google 9 à 10 000, Yahoo entre 30 et 31 000…soit une infime partie des usagers des services Internet offerts par ces grands éditeurs. « Et ça, ce n’est que la partie émergée de l’iceberg » explique en substance Sean, sur le blog F-Secure. Car les espions Etats-Uniens imposent un embargo sur tout ce qui concerne les « nouveaux services, produits ou objets » qui auraient pu faire l’objet de demandes Fisa non encore dévoilées. Ledit embargo peut être étendu sur une durée de 2 ans.

Les éditeurs ajoutent que ce ne sont là que le résultat d’une comptabilité portant sur les demandes officielles, et rien ne permet d’estimer l’ampleur des récupérations d’informations et écoutes réalisées grâce à des procédés plus discrets à l’insu des prestataires de services. Les « plombiers » du net savent être discrets, leur catalogue de jamesbonderies pullule de gadgets facilitant ces écoutes, légales ou illégales.

Ce trou Flash porte l’immatriculation CVE-2014-0497, se pare d’une pourpre cardinalice dénotant une probable (mais non divulguée) exploitation dans la nature, et touche les trois plateformes : Windows, Linux, OS/X. Mise à jour urgente recommandée. Microsoft publie derechef une alerte. Le fait qu’Adobe rompe avec la tradition du « mardi des rutines » prouve à quel point le déploiement de cette nouvelle version est urgent et nécessaire.