août, 2015

L’Identity Theft Resource Center (ITRC) publie son rapport « à mi-parcours » sur les vols d’identités commis durant l’année 2015 aux Etats Unis, statistiques arrêtées au 18 août dernier. Sur 505 cas révélés et ayant fait l’objet de publication dans la presse, il se serait évaporé près de 140 millions d’enregistrements. Les secteurs les moins imperméables sont ceux de l’industrie et du médical (respectivement 39,4% et 34,9% en volume d’identités dérobées). Viennent ensuite les organismes bancaires (9,3%), l’éducation (8,7%) et enfin les institutions gouvernementales (armée, fonction publique…) avec 7,7% des vols. Force est de reconnaître que ces proportions sont fortement influencées par le hack de la chaine hospitalière Anthem (78,8 millions de fiches personnelles subtilisées) et de l’US Office of Personnel Management avec les données de plus de 21 millions de fonctionnaires dans la nature.

En France, il n’existe pas d’équivalent à l’ITRC ou à Datalossdb, parce qu’il n’y a ni fuite de données nominatives, ni failles dans les systèmes de la fonction publique, ni défaut dans l’informatisation de l’Education Nationale ou des armées, et encore moins dans les infrastructures du CAC40. Tout au plus peut-on craindre les dangers extérieurs, espions Chinois, barbouzes Russes et amis sincères de la NSA.

Est-ce pour habituer ses clients à la disparition progressive du « patch Tuesday » et à entrer en état de révolution permanente de la rustine ? Toujours est-il que Microsoft diffuse une nouvelle fois un correctif « out of band ». Le précédent remontait au mois dernier et concernait Adobe Type Manager.

Le risque est critique sur les stations de travail et modéré sur les serveurs, affirme l’éditeur dans son bulletin d’alerte MS15-093. I affecte Internet Explorer des versions 7 à 11. La compromission ne demanderait qu’un simple affichage d’un site Web forgé. Bien qu’aucune mention ne soit faite sur une éventuelle exploitation de la faille dans la nature, quelques éditeurs du domaine de la sécurité (donc Qualys) prétendent que cela ne fait aucun doute.

Le déploiement du correctif est urgent. En guise de mesure palliative, une protection peut être assurée avec la dernière version de Emet.

La liste des abonnés du réseau d’entremise Ashley Madison serait téléchargeable sur plusieurs dépôts et liens P2P. Serait, car sur ce point, les avis sont excessivement partagés. Brian Krebs émet de nombreuses objections, et fait notamment remarquer qu’il est facile de forger un fichier de données provenant de plusieurs hacks de serveurs. Mêmes identifiants, mêmes mots de passe, cette pratique est répandue, et rien ne distingue un fichier nominatif d’un autre, et encore moins sa provenance. A ceci s’ajoute le fait que ledit fichier comporterait « trop » de données, et notamment des identités bancaires qui en théorie ne figurent pas dans les bases d’Ashley Madison en raison des contraintes PCI-DSS.

Ce à quoi Graham Clueley ajoute « ce n’est pas parce que l’on peut lire Barack Obama sur une liste de noms que le Président des Etats-Unis s’est effectivement inscrit ». En France, on appellerait ça une ImadLaouderie et cela n’étonnerait personne. D’autant plus que les révélations sur les jeux de l’amour et du hasard, même via Internet, ne traumatisent pas les peuples latins, habitués même à ces maîtresses qui se visitent en scooter ou qui sortent pas la porte de derrière.

D’autres sont plus catégoriques et prennent ces fichiers pour argent comptant., Wired, l’agence Reuter, Network World, et même Robert Graham qui y va même de son commentaire d’expert. Le dernier paragraphe de son billet explique que les motivations affichées des pirates seraient purement morales (l’épithète est peut-être mal choisi pour désigner une pudibonderie quasi fanatique), mais qu’en réalité, cette action coup-de-poing contre l’entreprise de cyber-marivaudage aurait pour moteur « #1 it’s fun and #2 because they can ».

Manque d’autres hypothèses : « #3 Parce que ça sert les intérêts d’une organisation concurrente », « #4 Parce que même faux, un tel fichier provoque un raz-de-marée médiatique » qui prouve à quel point le parfum de scandale fait vendre bien plus de papier que le détournement de la base SQL d’un intermédiaire bancaire. « #5 Pour camoufler une vengeance ou une attaque personnelle ciblée » qui passera totalement inaperçue dans ce foisonnement de prétendues révélations : chantage ne visant absolument pas l’hébergeur mais un ou plusieurs de ses abonnés, prélude à une attaque en ingénierie sociale plus poussée. « # 6… ad libitum »

Certaines de ces hypothèses ne sont d’ailleurs pas du tout contradictoires avec le fait que les fichiers diffusés soient vrais ou non.

Ajoutons qu’en matière d’intrusion, l’on assiste à une forme de systématisation des pratiques en quatre phases sauce Anonymous : hack des serveurs, récupération des fichiers sensibles, revendications ou menaces de chantage, publication sur Pastebin et/ou sur les réseaux BitTorrent. Au sein des DSI, on ne dira plus « j’ai été hacké », mais « j’ai été Pastebindé », comme au XVIIIème siècle, un personnage de la cour faisait l’objet de libelles, brocards et pamphlets lorsqu’il fréquentait un peu trop certaine maison du Parc au Cerfs de Versailles. Déjà, à cette époque, l’argument de la moralité cachait bien des revendications politiques ou des enjeux personnels.

Le service de stockage dans le nuage Wuala va fermer, annonce LaCie. Wuala est une interprétation commerciale d’un réseau de stockage réparti, idée née dans les Universités de San Francisco Stanford et Berkeley et qui s’appelait OceanStore.

Chaque utilisateur de ce système de stockage « dans le cloud » était à la fois usager et fournisseur de ressources, et bénéficiait d’un espace de sauvegarde distant proportionnel à la taille du stockage mis par lui-même à disposition de la communauté, moyenné du temps de disponibilité effectif. La gratuité était donc toute relative, puisqu’il fallait prendre en compte à la fois la consommation électrique et l’amortissement des ressources disques « offertes » au réseau. Parallèlement à cette architecture, la structure Wuala disposait de ses propres datacenters. Les clients se sentant peu la fibre participative pouvaient toujours opter pour une approche payante plus traditionnelle. C’est d’ailleurs la transition du modèle gratuit « incitatif » vers un modèle payant plus orienté business, TPE-PME que LaCie espérait voir se développer.

Mais la concurrence sur le marché du stockage Cloud est devenue telle que LaCie, qui a supporté le projet pratiquement depuis sa naissance, a dû jeter l’éponge. Ajoutons à cela que, depuis son rachat par Seagate certaines orientations stratégiques de LaCie ont été sérieusement revues et corrigées car ne correspondant pas nécessairement aux visions de la maison mère.

Pour ce qui concerne Wuala, les souscriptions au service ont été bloquées, l’ajout de nouvelles données ne sera plus possible au 30 septembre prochain, la récupération des informations stockées devra être effectuée au plus tard le 15 novembre de cette année et les abonnements en cours seront remboursés au prorata des temps de services non-assumés.

De manière plus générale, cette histoire soulève une fois de plus la question de la sécurité et de la pérennité des services Cloud en cas de dépôt de bilan ou restructuration stratégique. Wuala est un des exemples les moins traumatisants qui soit, puisque les clients disposent d’un délai de pratiquement trois mois, et que des facilités de migration vers des services analogues concurrents (Tresorit, Securesafe) sont également proposées. Ce n’est hélas pas toujours le cas.

La cinquième colonne, c’est le réseau social explique le blog de l’US Air Force . Cette opération de sensibilisation a pour leitmotiv « Loose Tweets, destroy fleet » et tente de juguler les risques de fuite d’information militaire sur les réseaux sociaux.

Le hack du réseau informatique de l’IRS (fisc US), qui initialement était à l’origine d’un vol d’identité de 114 000 identités, s’élèverait en fait à plus de 300 000 comptes.

Pourquoi les militaires de l’US Navy ont-ils toujours les plus beaux jouets ? Flimmer est un drone qui vole… qui amerrit et qui nage sous l’eau, grâce à un aileron déformable imitant le mouvement des nageoires. A voir sur YouTube .

Vol d’un condensat NTLM au-dessus d’une toile d’araignée, c’est possible grâce à NTLMHTTP , encore un petit outil sur Github qui surveille les connexions « ntlm over http ». Un satellite du L0pht

Defcon : NetRipper (sur Github) est un outil « post exploitation » d’analyse intelligent du trafic réseau, un sniffer qui détecte et met en évidence les échanges douteux d’une machine compromise

En ces temps ou les « bugs téléphoniques du siècle » se succèdent au rythme d’une série B télévisée, Lobotomy est un outil de détection de vulnérabilités sous Android , en téléchargement sur Github