mars, 2017

L’Israélien Cybereason offre un outil gratuit de « protection contre les ransomwares ». Très peu de renseignements sur le fonctionnement du programme. Analyse comportementale, affirme l’éditeur, et peut-être surveillance des accès aux API de chiffrement Windows

L’agence Reuters rapporte une décision de la cour de justice de l’Union Européenne stipulant que les personnes privées ne peuvent demander l’effacement des données personnelles incluses dans les registre des Chambres des Commerces chargées de l’enregistrement des entreprises.

A l’origine de cette décision, la plainte d’un entrepreneur Italien, Salvatore Manni. Constatant la mévente d’un complexe immobilier touristique dont il avait la charge, il invoque alors le fait que les clients potentiels se sont désistés après avoir consulté les registres des sociétés qu’il avait précédemment dirigé. Or, la précédente entreprise avait dû déposer le bilan. Cette mésaventure entachant la réputation du vendeur, celui-ci demande alors l’application du « droit à l’oubli ». De refus en refus, l’affaire finit par se plaider au niveau Européen. En vain, puisque Manni est débouté, au motif que les registres des chambres de Commerce ne contiennent que très peu d’informations à caractère personnel. Bonne renommée vaut mieux que ceinture d’avocats.

Bombe médiatique, la série de révélations diffusée par Wikileaks l’est, sans l’ombre d’un doute. Mais une bombe qui n’explose pas nécessairement là où la presse généraliste l’affirme. Des téléviseurs connectés indiscrets ? Des techniques d’évasion contre les antivirus ? Des failles exploitées dans les noyaux embarqués des routeurs et téléphones portables ? Le fait même qu’une agence de renseignement cherche à militariser des exploits ? Tout ça n’a strictement aucun caractère de nouveauté pour qui fréquente de temps en temps les conférences sécurité. D’autant moins qu’aucun des cyber-flingues décrits ne peuvent servir dans des opérations de surveillance de masse. Ce sont là des « spear-malwares », des programmes destinés à cibler une cible unique et précise. Dégâts collatéraux mineurs et peu inquiétants, donc.

Ce qui, en revanche, dérange un peu plus la communauté Infosec, ce sont des détails qui échapperaient un peu plus au grand public. A commencer par la date de publication de ces informations, et les assertions de Wikileaks.

La date de publication tout d’abord, peu de temps après le basculement de la Maison Blanche dans le camp Républicain. Wikileaks, qui, durant toute la campagne électorale, n’a cessé de divulguer des documents à charge contre le parti Démocrate, n’a jamais tenu sa promesse « d’en faire autant pour la partie adverse ». Avec, pour première conséquence, une perte de crédibilité d’autant plus importante que bon nombre des positions émises par Wikileaks étaient reprises en écho par Sputnik, organe de propagande piloté par le Kremlin. Cette nouvelle série de révélations pourrait éventuellement constituer une tentative de reconquête de l’opinion, en replaçant Wikileaks dans son rôle de lanceur d’alerte et d’opposant aux pratiques de basse police. Mais cette collection de « non révélations techniques » d’une fraîcheur douteuse sent trop le renfermé. Trop peu d’informations, datant d’il y a trop longtemps.

Autre fait troublant, la série de documents « fuités » ferait partie d’un ensemble de fichiers qui seraient passés de mains en mains entre différents hackers travaillant pour le compte de l’Agence ( The archive appears to have been circulated among former U.S. government hackers and contractors in an unauthorized manner). Durant plus d’un an ou deux ? Sans que la CIA ne parvienne à l’apprendre ? Voilà qui semble assez improbable. Un codeur s’attarde peu à collectionner des exploits vieux de deux ans pour la plupart, surtout s’il travaille réellement pour le gouvernement et possède les autorisations nécessaires d’accès aux ressources en question. Ce qui pose la question de l’origine de la source d’information. Laquelle source joue sans l’ombre d’un doute aux échecs avec (ou contre) les services de renseignements US. La « fuite CIA » est une pièce que l’on avance semblant dire « un pion peut en cacher un autre ». Mais on est loin du gambit. Un joueur plus averti aurait placé des pièces menaçantes, plus récentes, prouvant à quel point il est capable d’infiltrer les ordinateurs stratégiques des Etats Unis.

Le contenu publié interroge également. Aucune identité révélée (les précédentes divulgations de Wikileaks prenaient moins de pincettes lorsqu’il s’agissait de violer la correspondance privée de personnalités politiques) et surtout aucun code véritablement actif, ni charge utile, ni dropper, ni programme de contournement. « Il seront, peut-être, publiés plus tard ». L’on peut arguer du fait que l’ouverture des vannes à spywares estampillés CIA aurait les conséquences dramatiques que l’on peut imaginer, et qu’une institution telle que Wikileaks se sentait responsable de la sécurité des usagers. Mais une ou deux preuves concrètes n’auraient pas été de trop. D’ailleurs, si Wikileaks possède cette panoplie d’armes numériques, pour quelle raison cette organisation n’a-t-elle pas déjà entamé une campagne d’information à destination des éditeurs et équipementiers mentionnés dans les quelques 8700 documents ? Là est la véritable responsabilité. Et puis, compte tenu du nombre de victimes potentielles et de la publicité faite autour de ces révélations, les éditeurs auraient profité de l’aubaine pour clamer bien haut leur volonté de corriger et renforcer leurs productions « grâce à Wikileaks ». A commencer par les éditeurs d’antivirus, toujours prompts à sortir des torrents de communiqués de presse. Pourquoi manquer à ce point une occasion de jouer les cyber-garants des libertés et de la sécurité ?

Du côté de la communauté des chercheurs en sécurité, la révélation de l’existence d’une cyber-armada d’exploits battant pavillon CIA soulève un cas de conscience. Alors que commencent à se développer de plus en plus les initiatives « bug bounty », que les éditeurs et chasseurs de failles parviennent à trouver un terrain d’entente, voilà que ressurgit le spectre de la militarisation des failles exploitables, la certitude de l’existence d’un marché occulte du « PoC à barbouzes ». A tel point que certaines voix plaident pour un retour au « full disclosure », ou militantisme de la transparence immédiate et totale, présenté comme la seule parade possible.

Zero Day pour Apache Struts 2, à corriger d’urgence ! prévient Nick Biasini sur le blob du Response Team de Cisco-Talos . Le trou de sécurité serait activement exploité. Struts est un environnement de création d’applications Web

Coup de pub ou véritable cri d’alerte ? Wikileaks publie environ 8700 documents révélant l’existence d’outils, de développements en cours durant les années 2014-2015, de liste de systèmes d’exploitations et applications « ciblées » pour y implanter chevaux de Troie et spywares… mais aucun code, aucun nom, aucune adresse IP ne sont contenus dans cette montagne de fichiers. Le travail de vérification et de recoupement des sources est donc difficile, voire impossible.

Si ce déluge de pages html ne contient pas de véritable révélation technique tangible, il confirme pourtant bien des choses que les professionnels de la sécurité savaient de manière intuitive ou logique.

Oui, la CIA peut « contourner » (et non casser) les principaux outils de messagerie instantanée chiffrés, en profitant des failles de sécurité des systèmes hôtes (IOS, Windows, Android, Linux… )

Oui, les développeurs et reversers qui travaillent pour le compte de la CIA s’intéressent de très près à l’Internet des Objets et cherchent à exploiter les failles (nombreuses) des systèmes embarqués. Et Non, tous les téléviseurs ne sont pas « rootés » avec Weeping Angel… tout au plus un modèle particulier du constructeur Samsung, avec une série de firmware très précis, a fait l’objet de tentatives de développement d’espioniciel pouvant laisser espérer une écoute des conversations tenues dans la pièce où est installé l’appareil. Cela fait beaucoup trop de « si » pour transformer un PoC en arme générique facile à déployer.

Oui, cet intérêt porté aux objets connectés s’étend au secteur automobile. La prise de contrôle à distance d’une pédale d’accélération et d’une direction assistée coûte moins cher et se montre plus discret qu’une arme à feu.

Oui encore, il apparaît clairement qu’il existe un arsenal de procédés de camouflage de code et d’exploits proprement rangés, visant par exemple les noyaux embarqués des téléphones mobiles, les systèmes d’exploitation station et serveurs les plus vendus, à commencer par Windows, et que bon nombre de ces exploits ne sont pas nécessairement « made in CIA ». Car…
…Oui, Il existe une sorte de marché de la vulnérabilité exploitable sur lequel la NSA, la CIA, le CGHQ Britannique font leurs emplettes et s’échangent parfois les fruits les plus intéressants. Certaines de ces failles, suggère le document, doivent être classifiées afin que l’éditeur ou le constructeur, tenu dans l’ignorance de ce défaut, ne cherche pas à le corriger. Et si de surcroît la faille affecte un appareil ou un logiciel largement diffusé à l’étranger, ce n’en sera que mieux et facilitera la surveillance d’acteurs politiques, du monde de la presse ou de l’industrie. Parfois même, d’anciens spywares publics, tels que les productions de l’entreprise Italienne Hacking Team , peuvent servir de source d’inspiration.

Indispensable complément à cet arsenal, les vecteurs d’attaque et d’espionnage que développe la CIA intègrent des méthodes d’évasion ou de camouflage ciblant la majorité des antivirus et firewall.

Mais tout ça reste très en deçà du niveau des révélations Snowden, lesquelles s’attachaient moins aux détails des outils employés qu’aux grandes lignes stratégiques de la NSA, à ses capacités d’infiltration des opérateurs télécom, à ses accords secrets passés avec les Gafa notamment. Wikileaks n’offre, pour l’heure, qu’un instantané des moyens mis en œuvre par les services de renseignements extérieurs des USA. Des moyens intéressants, mais qui ne permettent pas de mesurer l’activité réelle de la CIA, pas plus que l’étude du canon Gribeauval ne peut expliquer l’ensemble des campagnes Napoléoniennes.

La bonne nouvelle, c’est que le sensationnalisme qui a entouré cette publication sauvage va pousser les Samsung, Apple, Microsoft, Google et quelques autres à « pousser » quelques correctifs et auditer leurs systèmes embarqués avec un peu plus d’attention.

L’actualité autour d’Uber ressemble à une partie de Mille Bornes, dans laquelle chaque joueur abat ses « bottes » et ses « coups fourrés ». Un pneu crevé pour la publication de la vidéo d’un Travis Kalanick plein de morgue et de mépris. Limitation de vitesse face aux conditions de travail draconiennes qui lient l’employeur à ses « employés-patrons». Panne d’Essence avec les différents légaux et techniques d’un Google qui accuse Uber de vol de technologie. L’image de marque de l’entreprise dégringole un peu plus chaque jour.

Mais c’est le New York Times qui vient d’abattre la carte « Accident », en révélant l’existence de Greyball, une « app » chargée de profiler chaque client d’Uber et annuler la course si celui-ci appartient au mieux à une entreprise concurrente, au pire à un organisme de police ou de contrôle fiscal.

Dans un pays où la petite entreprise ne connaît pas la Cnil, tout au plus les communiqués rageurs de l’EFF ou de l’Epic, cette initiative « visant à renforcer la sécurité des chauffeurs » indigne les médias et scandalise la police. Pour quelle raison ? Qu’est-ce qui différencie le profilage perpétuel d’un Google ou d’une NSA de celui d’un Uber ? Peut-être simplement le fait que l’un est en grande partie virtuel et l’autre débouche sur un acte concret. Mais c’est également une question sociétale

En Europe, la définition platonicienne de la République pourrait se résumer en une phrase lapidaire : « seule structure habilitée à employer des moyens que condamne son corpus législatif ». Tuer, agresser son voisin, kidnapper, racketter, dicter un comportement de manière coercitive est un délit lorsque pratiqué par un particulier, et un droit régalien pour un Etat-Nation, que l’on appelle justice, armée, police et finance.

Outre Atlantique, cet attachement aux droits régaliens est un peu plus distendu, mâtiné d’esprit libertarien, cherchant à chaque instant de s’affranchir de tout carcan étatique ou de toute inféodation à l’assentiment populaire. Ce qu’Alexis de Tocqueville désignait par le « refus d’une dictature de la multitude ». Sans ce rêve libertarien et libéral, point de startup, de rêve Américain, de plans audacieux et de fortunes rapides. Moins de protection sociale de l’individu, d’unité des textes de loi sur l’ensemble du territoire, d’égalité devant l’impôt, d’équité devant la justice et de respect scrupuleux de la vie privée.

Une situation qui n’aurait que très peu d’importance si ces différences sociétales étaient confinées. Ce qui est loin d’être le cas, puisque les Google, Uber, Microsoft exportent et imposent leur modèle de fonctionnement en Europe. Si Greyball est de l’histoire ancienne et n’a a priori pas concerné le marché du vieux continent, tout le reste, de la paupérisation des pseudo-employés aux méthodes de management d’une brutalité extrême a bel et bien été imposé en nos contrées. Jusqu’à quel point ? Que les développeurs d’Uber se rassurent. Dans le monde des produits et services, il y a toujours moyen de se lancer dans une formidable opération de retrofit marketing pour donner une nouvelle vie à Greyball. Un abonnement « baluchonnage et monte-en-l’air » facturé 25 % des gains journaliers, une édition « spéciale Ministre délégué chargé du Budget » en langue Helvétique (non, pas le Romanche, le patois Banquier), voir un « custom design » ne nécessitant que très peu de modification, pour conducteurs de go-fast ou commerçants de végétaux biologiques, Place de la Boule à Nanterre.

614 M$ en cash, c’est ce qu’apportera CA Technologies dans la corbeille de mariage, si les autorités financières US acceptent cette union avec Veracode. L’acquisition sera a priori totalement finalisée au premier trimestre 2018.

Cette opération de croissance externe apporte à CA un catalogue bien fourni en matière de « secure DevOps », autrement dit procédures et outils de sécurisation des applications, et plus particulièrement des développements Web, temple du « quick and dirty ». C’est également la formation d’un nouveau couple entre non pas deux entreprises, mais entre un géant de la sécurité informatique pour grandes entreprises et un homme, Chris Wysopal, aka Weld Pond, l’un des auteurs de L0phtcrack, timonier de L0pht Heavy Industries. LHI est absorbé par @Stake, un vivier d’analystes et reversers parmi lesquels on peut citer Katie Moussouris, Window Snyder (qui fonda Matasano, fut Chief Security Officer de Mozilla) ou le très explosif Dan Geer, parti avec pertes et fracas de @Stake pour avoir osé critiquer Microsoft. Lorsqu’en 2014 @Stake est reprise par Symantec, Wysopal quitte cette société pour bâtir Veracode… deux ans d’existence, 500 employés, plus d’un demi-milliard de dollars en valeur, la mariée est aussi jeune que riche. Wysopal ne figure pas au nombre des personnes citées dans le communiqué de presse.

« Sécurité numérique au passage des frontières à l’attention des journalistes». Le titre de ce billet de Robert Graham, Errata Security, ne peut que retenir l’attention des gratte-papiers de CNIS. Avec d’autant plus d’intensité que cet article est révélateur de l’état schizophrénique de bien des spécialistes de la sécurité de l’information et de leur décalage patent entre les nécessités métier et leur logique systématique.

A l’origine, un rapport très généraliste du Commitee to Protect Jounalists (CPJ), lequel distille régulièrement des règles de bon sens à l’attention de la gente rédactrice. Conseils portant parfois sur les différentes techniques de cyber-protection, ou dossiers complets sur les techno-réflexes à acquérir en matière de bonnes pratiques numériques.

Et le fondateur d’Errata Security d’analyser un à un ces conseils donnés via une infographie (retirée depuis), pour y ajouter son grain de sel et donner un éclairage plus radical en matière de sécurité de l’information. Tout y passe : politique de mots de passe renforcée, authentification multi-facteur, chiffrement systématique des disques, utilisation de logiciels d’échange chiffrés (Signal, Whatsapp… avec de véritables morceaux de closed source dedans)… en bref, une « hard security » d’entreprise au service des globe-trotters.

Seulement voilà. Graham est un citoyen US, qui ne semble jamais s’être retrouvé entre deux armoires à glace de l’Immigration Service, expliquant qu’entre fournir la clef de déchiffrement d’un disque ou un séjour tous frais payés dans un établissement d’Etat il n’y avait pas d’autre choix offerts à l’intéressé. Jamais, non plus, le défenseur du mot de passe inviolable, de Signal ou de GPG n’a envisagé que la possession ou l’émission d’un contenu chiffré était, dans bien des pays (USA y compris) le catalyseur d’une mise sur écoute systématique ou le déclencheur d’une perquisition musclée, en vertu du principe du « celui qui n’a rien à se reprocher n’a rien à cacher ». La liste des clients de la très respectable entreprise Française Amesys pourrait d’ailleurs suffire pour dresser la liste des pays en question, prouvant ainsi qu’il n’est pire bâillon que celui qui revêt les oripeaux d’une démocratie en lutte contre le terrorisme.

Les premières armes d’un journaliste traversant une frontière sont essentiellement la dénégation plausible et un ordinateur non chiffré et « décommissionné » entre chaque déplacement. Et accessoirement la connaissance de quelques techniques stéganographiques, de moyens de communication discrets, et d’une attitude numériquement « normale », consistant à consulter sa messagerie ou expédier des articles anodins à périodes régulières. Un journaliste qui se promène avec les éditions complètes du petit Kali-Linux illustré est aussi repérable par les barbouzes de tous poils qu’une première communiante dans une bacchanale de César (Jules).

En revanche, l’abus de chiffrement (si possible d’origine étrangère et le plus récent possible) est une garantie de protection des sources, y compris et surtout dans le pays d’origine de l’enquêteur. Tout comme l’emploi de canaux de communication chiffrés et autres boucliers numériques : Tor, Wire, GPG, services proxy hébergés, Proton Mail et serveurs de domaines/messagerie situés « hors juridiction » locale, téléphones le moins « smart » possible et abonnements « à la carte », machines virtuelles d’isolation, firewall configurés en mode parano, réseau local de travail confiné, duplicatas de données éparpillés géographiquement… mais pas dans le cloud ; la panoplie est vaste et nécessite souvent de solides connaissances tant en informatique qu’en droit international, accompagnée d’une certaine lucidité sur la capacité de nuisance des opérateurs télécom locaux. La sécurité et le journalisme sont deux corps chimiques instables qui ne peuvent être soumis à une norme ISO 27xxx, et qui demande une constante adaptation au milieu.

Nos confrères d’Ars Technica relatent l’abandon des charges retenues à l’encontre d’un consommateur avéré de contenus pédopornographiques… faute de preuves techniques, le FBI ne souhaitant pas révéler la nature de ses outils de collecte d’information.

A l’origine de l’affaire, Playpen, un site d’hébergement caché, localisé puis perquisitionné par les services de police et de renseignement intérieur des Etats Unis. Services qui décident de garder le serveur en ligne afin de repérer les consommateurs et fournisseurs de contenus illégaux. A partir de ce moment, chaque visiteur fréquentant le site via l’Onion Router est infecté, le « virus légal » utilisant ensuite un canal de transmission conventionnel pour renvoyer aux policier diverses indications sur les suspects : adresse MAC, nom de la machine, nom d’utilisateur et autres signatures.

Le Lawfare blog décrit dans les grandes lignes comment s’organise cette collecte… et explique la stratégie de défense adoptée par les avocats de Jay Michaud, l’un des présumés coupables. « Sans les détails du code du programme d’enquête réseau du FBI, impossible d’assurer la défense de notre client » expliquent en substance la défense. Code que les Fédéraux n’ont pas l’intention de rendre public. Ce qui marque un coup d’arrêt des poursuites et mises en examen pour, estiment les rédacteurs de Lawfare, près de 35 autres présumés coupables, 17 fournisseurs de contenus et 26 enfants victimes.

Ce difficile cas de conscience est comparable à celui soulevé par les travaux d’Alan Turing durant la dernière guerre mondiale. Des centaines de combattants et civils sont morts, des villes ont été bombardées, des navires coulés pour que jamais les services de l’Abwehr ou de la Kriegsmarine ne puissent soupçonner que leurs moyens de communication étaient écoutés et déchiffrés. Secret d’ailleurs qui fût maintenu bien après la fin de la guerre froide, toujours pour des raisons d’Etat et de secret entourant l’arsenal des services d’espionnage.

Melissa serait-elle parvenue à inspirer les Ministres de Sa Gracieuse Majesté ? Sans l’ombre d’un doute, révèle un article de Softpedia relayant la publication d’un rapport du Parlement sur l’état de la cyber-sécurité dans ce Royaume Uni près-Brexit. Au nombre des recommandations, celle de refuser systématiquement l’octroi d’un « bonus » à tout dirigeant dont l’entreprise aurait été victime d’un vol massif d’identités. Et de rappeler le très discutable triplement de prime de résultat votée en faveur du CEO par le Conseil d’Administration de l’opérateur Talktalk peu de temps après le monumental pillage de ses listes d’abonnés.

Toucher les dirigeants au portefeuille, envoyer les grands patrons au Pénal, c’est ce qu’ont promis les lois Sarbanes-Oxley, Bâle II et similaires, sans pour autant avoir pu émouvoir jusqu’à présent le moindre des champions de la fuite massive d’identités.