mai 9th, 2016

Parfois, les spécialistes sécurité prennent des vacances, harassés qu’ils sont entre deux CanSec ou Defcon, de Miami Beach à Vegas, en passant par les Philippines ou Shanghai.
Parfois, ces mêmes spécialistes ont besoin de liquide dans la monnaie du pays, et utilisent pour ce faire les services des distributeurs automatiques de billet, ou DAB (ATM dans la langue de Franck Abagnale).
Parfois, il leur arrive de découvrir des skimmers sur ces DAB. C’est le cas de Matt South qui est parvenu à effectuer le « reverse » matériel d’un système d’enregistrement de code PIN (https://trustfoundry.net/reverse-engineering-a-discovered-atm-skimmer/). Techniquement parlant, le hack mérite à peine le qualificatif de bidouille, le cœur de l’équipement se trouvant sans grande difficulté sur Ebay, vendu pour une quarantaine d’euros (http://www.ebay.com/sch/i.html?_from=R40&_trksid=p2050601.m570.l1313.TR12.TRC2.A0.H0.Xspy+camera.TRS0&_nkw=spy+camera&_sacat=0). Par quel moyen technique les voleurs d’identité bancaire parvenaient-ils à récupérer les données propres à la carte de crédit ? South ne le saura jamais. Un coupleur sur la sortie Ethernet ou téléphone de l’appareil ? Un hack direct sur le réseau sur lequel est connecté le DAB ? Il est des moments où il ne fait pas bon traîner dans les terres des mafias indonésiennes.

Cette histoire n’est pas sans rappeler d’autres séjours touristiques, celui de Brian Krebs fin août dernier par exemple. L’ancien journaliste du Washington Post, en villégiature à Cancun, inventoriait une foultitude de distributeurs améliorés avec un transmetteur Bluetooth plutôt indiscret (http://krebsonsecurity.com/2015/09/tracking-a-bluetooth-skimmer-gang-in-mexico/), et dévoilait une carambouille orchestrée par d’obscures sociétés privées possédant un parc de distributeurs (http://krebsonsecurity.com/2015/09/whos-behind-bluetooth-skimming-in-mexico/).
L’on pourrait ainsi dresser une sorte de guide des bonnes pratiques du touriste en mal de liquide :

– Assener systématiquement quelques claques énergiques sur les différents éléments externes du distributeur, histoire de vérifier toute absence de pièces rapportées, collées ou substituées

– Effectuer un balayage large bande sur la totalité des bandes ISM (de 6 MHz à 244 GHz, en surveillant tout particulièrement les segments 430 MHz, 2,4 GHz et 5,8 GHz. Les esprits chafouins qui feraient remarquer que l’on peut difficilement se promener avec un analyseur Anritsu lorsque l’on se promène en short et chemisette d’été ne devront pas se plaindre en cas de vol d’identité

– Effectuer un audit sur les antécédents et statuts de l’entreprise possédant le parc de distributeurs. La base Edgar de la SEC, voire une recherche par l’intermédiaire du réseau quasi-public qu’est le système interbancaire Swift peut aider.

– Accessoirement masquer la main qui tapote le code PIN au moment de la saisie

Il va sans dire que de telles précautions sont totalement inutiles sur l’ensemble du territoire Français …

Une étude portant sur l’ensemble des failles déclarées ayant occasionné une fuite d’information révèle que, dans 22% des cas, la cause initiale est le vol d’un couple identifiant/mot de passe. Ladite étude a été réalisée par Centrify et financée par le Cloud Security Alliance.

Rien de franchement nouveau sous le soleil. Les intrusions se suivent et les causes demeurent les mêmes. La progressive évolution de l’informatique interne d’entreprise vers des délocalisations « Cloud » laisse donc prévoir un accroissement quasi certain de ce genre de sinistres… il est logique que le CSA s’en inquiète.

Les victimes de ces fuites de données représentent 17% de l’ensemble des responsables NTIC interrogés lors de cette étude. 57% estiment n’avoir subi aucune intrusion ayant occasionné de telles conséquences (rappelons au passage qu’il faut toujours en moyenne plus de 300 jours pour que de tels problèmes soient découverts) et 26%, plus prudents, prétendent « ne pas savoir ».

Ce qui surprend le plus les experts ayant conduit l’étude, c’est que le taux d’équipement de protection et le type d’outils utilisés (firewall, SSO, token, authentification à facteurs multiples, outils de management de flotte d’appareils mobiles etc.) ne varie pas d’une entreprise à l’autre, qu’elle ait été victime ou non. Les « protégés » le seraient donc tout simplement parce qu’ils ne seraient pas encore victimes… ou ignorent l’avoir été.

Avec Internet, la criminalité suit un véritable « business model », passe de l’artisanat à une structure de réseaux comparable à l’économie libérale. Un constat que dresse Cécile Augeaud, Chef du Service d’Information de Renseignement et d’Analyse Stratégique sur la Criminalité Organisée (Sirasco, Ministère de l’Intérieur). Les groupes spécialisés des cités, explique-t-elle, se décloisonnent radicalement, et ce que l’on pourrait appeler les « flux de business » ouverts sur l’extérieur s’organisent et se développent notamment avec l’aide des nouvelles technologies. Les groupes spécialisés dans le trafic des stupéfiants, par exemple, collaborent de plus en plus avec d’autres filières mafieuses spécialisées notamment dans le blanchiment d’argent. Sans ce genre d’alliance, pas de progression du volume d’affaire. Un développement du business qui entraîne à son tour une diversification. C’est ainsi que l’on a pu voir se développer une tendance à la pénétration de certains corps de métier pouvant avoir accès à des biens ou des identités : opérateurs de téléphonie, bagagistes… on a même vu les « banques » des triades Chinoises accorder des « prêts » ou à d’autres mafias ou faciliter le blanchiment de leurs revenus.

L’adaptation de la lutte contre cette délinquance ne peut dépendre des seuls efforts des services de police. Elle ne peut pas s’opérer sans le secours du secteur privé, explique Peter Fifka, de la Digital Crime Unit de Microsoft. Une participation active du secteur privé, celui-là même qui est à l’origine des nouvelles technologies de l’information et de la communication, c’est également le vœu exprimé lors de l’allocution de Bernard Cazeneuve, Ministre de l’Intérieur, qui va même jusqu’à estimer qu’ « il est fini le temps où l’Etat seul pouvait assurer sa sécurité ».

Il y a pourtant une certaine contradiction dans ces différentes demandes, objecte Jürgen Storbeck, premier directeur d’Europol. « D’un côté, nous appelons tous à une meilleure collaboration des polices sur un plan international, afin que les organisations criminelles ne puissent bénéficier des « niches législatives » qui les mettent à l’abri de poursuites transfrontières. De l’autre, nous demandons aux industriels des TIC de fournir tous les efforts possibles pour aider les polices du monde entier à ne pas perdre pied dans cette course à la cyber-technologie criminelle. C’est oublier le troisième panneau du triptyque, celui des lois locales portant sur la préservation des libertés individuelles. Ainsi, en Allemagne, il est absolument impensable qu’une entreprise des TIC puisse collaborer activement dans le cadre d’une enquête en cours. Qu’elle soit consultée à périodes régulières, oui. Qu’elle puisse donner son avis, des conseils techniques, voire contribuer aux efforts de développement de manière générale et dégagé de tout contexte lié à une instruction, oui encore. Mais les organisations de défense des libertés n’acceptent pas la moindre implication directe d’une entreprise dans les affaires régaliennes ».

L’attitude de l’Allemagne n’est pas, fait remarquer Jean Pierre Maulny (Iris France), partagée par tous les pays d’Europe. Chargé d’orchestrer une consultation sur le sujet auprès de plusieurs Thinktanks (au total 8 pays d’Europe), il constate que les préoccupations varient énormément en fonction des géographies. La Pologne, par exemple, voit dans le « cyber » un risque d’attaque orchestré par des Etats-Nation, particulièrement la Russie. Cette sorte de « complexe de la cyber-guerre Estonienne » semble logique pour un ex-satellite de l’URSS. Les pays du sud, Italie notamment, sont plus polarisés par les problèmes posés par les filières d’immigration. Et parler des libertés individuelles n’est pas franchement un souci de premier ordre en Grande Bretagne. Si le crime se décloisonne, l’Europe politique, quant à elle, reste fortement égotiste et fuit toute idée de véritable concertation idéologique.

Freak, Logjam, le Magic Hash, Illusory TLS … WhiteHat Security dresse le “top 10” des techniques d’attaque apparues au fil de l’année 2015. Des approches à la fois très techniques et très simples à exploiter

Palo Alto Networks a mis le doigt sur ce qui semble être la première infection IOS frappant des machines non « rootées » (ou « jailbreakées » selon la phraséologie Appelienne). L’infection, baptisée AceDeceiver, exploite un défaut du mécanisme DRM.