octobre, 2015

Encore 29 fichiers Snowden divulgués par The Intercept et hébergés sur Cryptome. Cette fois, il s’agit des activités du CGHQ, service de renseignement Britannique. Un article de Ryan Gallagher analyse ces fichiers (principalement des « Powerpoint » de la NSA), lesquels racontent de quelle manière les barbouzes du Royaume Uni ont mis en place un réseau de surveillance généralisé des sujets de Sa Gracieuse Majesté. Tout a commencé par une cartographie des radios « en ligne » écoutées par les internautes, et a dérivé sur les habitudes de consultation de sites, les requêtes Google les plus « douteuses », les réseaux de correspondants mails et messageries instantanées.

Bien sûr, cette pêche au chalut ne visait pas seulement les Britanniques, mais également des ressortissants de plus de 185 pays, dont la France dans une proportion non négligeable. Une fois les habitudes d’écoute établies, les personnes surveillées ont vu également leurs autres services IP cartographiés : Skype, mailing lists, réseaux sociaux, serveurs de médias tels Youtube ou Flickr, que les contenus consultés aient un vague rapport avec des sites de propagande islamiste ou non. Cette formidable collecte sans la moindre sélectivité porte le nom de code « Black Hole », trou noir, un formidable réservoir capable de recevoir près de 30 à 50 milliards d’enregistrements de métadonnées par jour.

Grâce à ce monceau d’informations, le CGHQ est en mesure de faire disparaître toute trace d’anonymat qui pourrait subsister autour d’un numéro IP. Un système de traitement, « Mutant Broth », établie des relations entre cette adresse et les alias mail ainsi que les habitudes d’usage d’Internet, associations en grande partie facilitées par l’analyse des cookies recueillis et liés à cette adresse IP.

Comme cela ne semblait pas suffire aux espions du Royaume, le CGHQ a alors mis en place un outil de profilage ajoutant à toutes ces données les métadonnées des téléphones fixes et mobiles, numéros appelés, localisation géographique de l’appelant, SMS et MMS, le tout agrémenté de détails portant sur l’usage des moteurs de recherche et le contenu des forums consultés. Cette extension de flicage téléphonique porte le nom de code Social Antropoid. Après un tel traitement, tout numéro IP se voit mis à nu : déplacements, habitudes, opinions politiques, croyances religieuses, relations sociales et amicales sont notés et mis en fiche « … et même préférences sexuelles » précise Ryan Gallagher.

Une grande partie des dorsales de communication européennes transitant par la Grande Bretagne, tout cet arsenal d’écoute s’est également intéressé à ce qui y passait. Et notamment les liens sortant de Penmarch, Lannion, Plérin, Saint Valérie en Caux… la cartographie de la NSA dresse la liste des canaux de communication compromis par ce membre des « five eyes ».

Scott Erven et Mark Collao sont des specialistes du fuzzing à grande échelle dans un domaine plutôt sensible : les équipements médicaux. L’un est d’ailleurs un spécialiste sécurité de ce secteur, l’autre un chercheur pratiquant les tests de pénétration de longue date. Et leur toute récente communication effectuée à l’occasion de Derbycon 2015 renvoie les travaux de Jay Radcliffe, de Kevin Fu ou de Billy Rios au rang d’anecdotes de salles de garde. 21 appareils d’anesthésie, 488 équipements de cardiologie, 133 systèmes d’injection, 31 stimulateurs cardiaques, 97 IRM, 323 appareils d’imagerie médicale… sont vulnérables soit à un type d’attaque, soit propices à des fuites d’information ce qui, dans le domaine médical, peut avoir de lourdes conséquences. Pis encore, bon nombre de ces équipements sont répertoriés par Shodan, le moteur de recherche des IoT, dévoilant ainsi des équipements soit directement attaquables, soit coupables d’indiscrétions.

Les failles de sécurité que révèlent les deux chercheurs n’ont hélas aucun caractère franchement novateur. Accès SSH distants, failles de consoles Web, mots de passe par défaut, vulnérabilité à des attaques que l’on croyait maîtrisées depuis longtemps tel que la faille exploitée par le vers Conficker… « Et ce n’est pas là un risque virtuel, insistent Erven et Collao. Nous avons constaté que certains équipements subissaient régulièrement des attaques brute-force, ou avaient fait l’objet de hack directs couronnés de succès ».

A l’aube des toutes premières annonces d’intention, il y a deux ans, aucun développeur n’aurait parié sur un « Windows IoT » utilisant une plateforme qui n’aurait pas été signée Intel. Mais peu à peu le vent a tourné, et c’est désormais chose officialisée, la plateforme de prédilection pour « Windows 10 Core » est le Raspberry Pi 2 (architecture ARM) et la MinnowBoard (base Intel Atom). Les Britanniques pavoisent, LadyAda reconditionne pour 75 dollars de bouts de fils et de planche à clou pour les bidouilleurs allergiques au fer à souder, et plus personne ne parle des cartes Galileo.

Cette première phase risque d’être passionnante à suivre sur le plan des pratiques sécurité. Les quelques projets en cours de développement sur Windows IoT n’ont, jusqu’à présent, rien à envier à ce qui se pratique déjà dans « l’internet des objets » vendus sur le marché : open bar à toutes formes d’intrusions, détournement ou blocage de fonctionnement. Mais le phénomène de mode l’emporte souvent sur la raison …

Selon Brian Krebs, le business mafieux de la « ré-expédition de biens achetés en ligne » repose sur près de 1,6 million de cartes de crédit volées et porte sur un volume d’affaires de plus de 1,8 milliard de dollars. Depuis que les vendeurs en ligne renâclent à livrer l’Europe de l’Est, les gangs mafieux spécialisés dans le trafic de bien achetés avec des identités bancaires dérobées utilisent les services de « mules » habitant dans des pays réputés plus « civilisés ». Lesquelles mules jouent le rôle d’intermédiaires chargés de la réexpédition des objets achetés.

Les mules, généralement des citoyens US en quête de travail à domicile, sont appâtés par des promesses de commissions élevées. Commissions versées en fin de mois, mais qui n’arrivent jamais. Les bandes mafieuses d’Europe de l’Est sont, avec de tels procédés, contraintes de renouveler leur parc de mules tous les 30 jours.

Tout comme dans le domaine des botnets, le cheptel de mules est détenu et entretenu par des spécialistes de ce genre de réseau, qui louent ensuite un service à d’autres truands spécialisés dans l’achat de biens avant revente au marché noir à l’aide d’identités bancaires volées. Des truands qui, en général, font appel à d’autres prestataires de services spécialisés précisément dans le vol d’identités bancaires. Cette taylorisation du travail mafieux cloisonne les organisations entre elles et limite les risques de grands coups de filet policiers.