mars, 2014

Le Directeur de la Communication de BAE Systems se frotte les mains : le « rapport sur la campagne Snake et sa boîte à outils de cyber-espionnage » (inscription préalable nécessaire) fait grand bruit : Les principaux réseaux informatiques d’Ukraine seraient infectés par un formidable et omniprésent logiciel d’espionnage furtif. Cette transmutation d’une cyber-campagne martiale en techno-campagne marketing rappelle sans coup férir les cris d’orfraie poussés par Symantec durant les opérations Titan Rain, Night Dragon, Aurora, ceux de McAfee dévoilant le cyber-blitz ShadyRAT ou le ton dramatique de Mandiant lors de la publication de son rapport sur les APT, voire la formidable campagne médiatique après la découverte de plusieurs souches du virus Stuxnet dans les bac à sable de plusieurs chasseurs de virus des pays de l’Est.

En quelques heures, le rapport BAE était cité par Le Parisien, le NYT, le Monde, France Info, The Australian, Al Jazzera, le FT… Pas un quotidien n’a su résister à la tentation d’ajouter un peu de « cyber » à la menace de conflit militaire en Crimée.

Beaucoup commettent de joyeux mélanges en comparant ce large déploiement de logiciels d’espionnage (dont les premières souches ont été détectées il y a bientôt 4 ans) et l’attaque éclair ciblée de Stuxnet. Snake appartient pourtant indiscutablement à la catégorie des APT. Son origine Russe soupçonnée rappelle également les premiers bruits de cyber-bottes que l’on avait cru entendre aux premiers jours de l’affrontement qui opposa la Russie et la Géorgie en 2008. Mais tout comme les « éléments paramilitaires » et véhicules sans immatriculation qui parcourent la côte, de Féodosia à Sébastopol, il est impossible d’attribuer formellement une nationalité aux auteurs et aux pilotes de ce drone numérique.

Après la faille « double Goto » d’Apple qui fragilisait l’un de ses principaux mécanismes de chiffrement, c’est au tour de Linux de se découvrir un défaut très proche affectant un outil semblable. La faille existe depuis au moins 2003.

Immatriculé CVE-2014-0092, ce trou GnuTLS porte également sur une erreur de programmation dans la partie chargée de la vérification du certificat. Comme il s’agit là d’un bug touchant une bibliothèque de fonction, toute personne utilisant GnuTLS sur la quasi-totalité des noyaux Linux (et pas mal de ses dérivés) est donc susceptible d’être victime d’une attaque via un certificat forgé dont l’authenticité est invérifiable. Une fois encore, le problème a été causé par une succession d’intructions Goto dont l’invocation avorte la procédure de vérification du certificat X509 émis par le correspondant d’une transaction sécurisée.

Une explication très clairement vulgarisée est donnée par Sean Cassidy sur le blog Existentialize, la version corrigée se trouvant sur Gitorious. Il est cependant conseillé d’effectuer une mise à niveau avec les versions 3.2.12 ou 3.1.22 de GnuTLS.

Si le trou Apple affectait un parc important de téléphones, appareils mobiles et stations de travail dépendant d’une marque bien précise, la faille GnuTLS concerne un « marché » bien plus vaste, comptant plusieurs centaines de noyaux différents. La mise à niveau risque donc de prendre un temps certain, et la fenêtre de vulnérabilité pourrait perdurer durant plusieurs mois comme certains défauts Bind qui ont eu la vie très dure.

Il était attendu, le discours d’ouverture de la RSA Conference prononcé par Art Coviello, Grand Timonier de RSA. Attendu et sans surprise d’ailleurs. Car, que peut dire le patron d’une entreprise Etats-Unienne, qui, de tout temps, a reconnu pratiquer une politique de « productive collaboration » avec les services d’intelligence de son pays. Une conférence qui se déroule dans une atmosphère de crise de confiance, alors que l’entreprise a, coup sur coup, été victime d’une compromission de son système de certificats (mars 2011, le fonds de commerce historique de l’entreprise) puis accusé d’avoir, contre la somme de 10 millions de dollars versé par la NSA, compromis l’outil de chiffrement Bsafe. Le scoop de l’agence Reuter a fortement marqué les esprits. Cette attitude jugée compromettante a entraîné une campagne de boycott de la manifestation. Boycott qui est passé pratiquement inaperçu, puisque la majorité des « grands » de la sécurité et de l’informatique communicante avait stands et orateurs dans l’enceinte du Moscone Center de San Francisco. Les participants aux conférences alternatives (notamment TrustyCon et Security B-Side) faisaient amèrement remarquer que, précisément, une majorité d’entreprises présentes étaient impliquées dans le programme Prism ou voyaient leur nom figurer en bonne place au fil des « Snowden Files ».

Et c’est d’ailleurs l’argument que reprend Coviello lui-même. L’industrie de la sécurité est « largely already supporting it » dit-il en substance en parlant de la NSA. Et de déplorer que « lorsque la NSA estompe les limites qui séparent les rôles défensifs des actes offensifs, cela devient un problème ». Il en appelle à une définition claire des métiers de chacun pour effacer toute suspicion, pour se démarquer des actes de cyber-guerre, et de réclamer tant une coopération que des efforts de gouvernance accrus de la part des Etats-Nation et des industriels eux-mêmes. Dirigeants de tous pays, unissez-vous ! Sinon le business de la confiance va y laisser des plumes.

Pendant ce temps, la Silicon Valley voit fleurir de plus en plus d’entreprises se disant« spécialistes de la cyberdéfense proactive à destination des opérateurs d’importance vitale et autres entreprises sensibles ». Le catalogue des dispositifs de surveillance de la NSA publié par le journal Spiegel, la révélation jour après jour de nouveaux dérapages des services des « Five Eyes » ou des « Nine Eyes » envers la population civile montre à quel point une attitude pudibonde serait aussi déplacée qu’un aveu de collaboration. Dure métier que celui de vendeur de sécurité. RSA n’est qu’un acteur parmi tant d’autres entraîné, sinon dans une militarisation, du moins dans une radicalisation des professions de la sécurité des TIC.

En synchronisme avec le déroulement de la RSA Conférence, Safenet, un spécialiste US des mécanismes de chiffrement et fournisseur attitré de l’Administration Fédérale, vient d’ouvrir un site web couleur « anxiété mitigé statistiques ». Il s’agit du Breach Level Index, une sorte de compteur géant qui affiche en pseudo temps-réel l’évolution mensuelle des compromissions de systèmes d’information. C’est, en quelques sortes, un concurrent mieux habillé mais peut-être moins indépendant que le célèbre Dataloss database.

Discrète annonce de Juniper durant la RSA Conference : Argon Secure sera intégré aux passerelles de service SRX Series. Argon Secure est une sorte de « deception toolkit » (un honeypot en d’autres termes) destiné à détecter une activité non conforme et surtout non répertoriée au moment de l’attaque. Cette collection comporte une cinquantaine de leurres embarqués. Cette association IDS/honeypot/équipements de commutation tend à se généraliser auprès de la majorité des grands équipementiers. Le pot de miel, considéré longtemps comme une perte de temps et une usine à générer des logs kilométriques et des faux positifs, devient peu à peu une « commodité ».

Trouver une aiguille dans une botte de foin, analyser les fameux « minority reports » car ce sont précisément ces anomalies imperceptibles dans les flux qui caractérisent une probable activité anormale, une menace, permanente ou soudaine. En d’autres termes, Red Owl est spécialisée dans l’analyse des métadonnées au sein de flux et de stockages très importants (bigdata) générés par une entreprise. De manière sommaire, Reveal (c’est ainsi qu’a été baptisé le produit phare de cette start-up) affiche sur un tableau de bord qui sont les personnages et documents importants, les périodes d’activités, les comportements et les échanges entre individus au sein d’un même réseau. Les traces du logiciel sur l’analyse des contenus et les périodes d’activités sont exploitables en cas de recherche de preuve (analyse forensique), pointe du doigt les conséquences de failles de sécurité ou de conformité (notamment en matière de gestion de droits d’accès) et peuvent servir de base à l’optimisation du management et de l’analyse organisationnelle du S.I.

Mais Red Owl n’était pas la seule jeune pousse remarquable dans la« Sandbox » de la RSA Conf. Sur les dix entreprises présentes, la majorité était constituée de spécialistes de la détection/prévention de menaces. Ainsi White Op, chasseur de BoTnets, qui fournit aux professionnels du e-business (marketing, spammeurs légaux etc.) des moyens d’analyse portant sur l’efficacité de leur trafic IP. Le programme génère également des histogrammes impressionnants destinés aux « clients » ayant sous-traité leur campagne promotionnelle.

Cylance travaille plus ou moins dans le même secteur, celui de l’analyse des flux massifs et la détection d’infimes variations à des fins de détection de malwares. « Notre modèle de fonctionnement ne repose pas, à l’instar de ses concurrents, sur une classification des « bons » et des « mauvais » logiciels ou contenus, mais sur un traitement mathématique et statistique des données en flux ou stockées ». Le catalogue Cylance est déjà riche d’un outil de protection du poste de travail, d’un système de collecte de preuves et d’un outil de défense à réaction instantanée de menaces (APT/ZDE, destiné aux grands SOC d’entreprises). En préparation, un « cordon sanitaire pour site e-commerce », sorte de logiciel de détection chargé de signaler les navigateurs infectés par un cheval de Troie et susceptibles de compromettre un service Web.

Defense Net appartient à la nouvelle génération des entreprises spécialisées dans la « défense musclée ». On ne parle pas de contre-attaque, mais de résistance/résilience aux attaques en déni de service distribuées. L’entreprise propose même une infrastructure de secours qui fonctionnera en cas d’écroulement des premières lignes de défense (si celle-ci a été déployée auparavant). Les attaques en déni de service sont en constante augmentation, visant essentiellement d’ailleurs les infrastructures… de communication, et notamment les opérateurs télécom.

Light Cyber pratique la religion de la « détection prédictive d’intrusion ». La jeune entreprise commercialise notamment des appliances situées à proximité des équipements de réseau (LAN) qui détectent les postes client compromis et engage une procédure de remédiation. Les détails de l’attaque sont remontés vers un logiciel de traitement qui fournit à son tour une image globale de la santé du réseau et son éventuel état de compromission. Un service Cloud, de son côté, émet les mies à jours des appliances Light Cyber (des « analyses, pas des signatures ! Insistent les concepteurs du système)

Egalement présentes, Skycure, un nouveau venu dans le monde de la protection Byod, et surtout Co3 systems, un spécialiste de l’automatisation de réponse sur incident qui a récemment nommé Bruce Schneier au poste de CTO, peu de temps après son départ fracassant de BT.