juin 2nd, 2017

Analyse partielle et partiale, puisqu’effectuée par Trend Micro, un vendeur de sécurité, mais confirmée en grande partie par les quelques piratages grandioses dans le secteur de l’énergie (de Stuxnet au hack des centrales d’Ukraine). Les deux talons d’Achilles des OIV sont les IHM et l’inertie au déploiement de correctifs… du fait des éditeurs mêmes.

La « valse lente du patch après la découverte de bug » est en partie provoquée par les entreprises vendant des systèmes d’automatisation de contrôle de processus industriels. Lesquels ont besoin, en moyenne, de 150 jours pour fournir une rustine. 5 mois de fenêtre de vulnérabilité potentielle, à laquelle s’ajoute probablement la lenteur de déploiement de la part de l’usager. On ne suspend pas la chaîne de production d’un cimentier ou d’un géant de la pétrochimie sans conséquences techniques et financières. Des métriques qui varient tout de même d’un équipementier à l’autre. Parmi les mauvais élèves du patch, l’étude cite ABB (221 jours en moyenne) PTC et General Electric (226 jours), Indusoft (214 jours). Mais chez Trihedral Eng, la moyenne tombe à 23 jours et à 58 jours chez Cogent. A noter que les géants historiques se situent dans une fourchette de 120 à 150 jours : Schneider, Honeywell, Rockwell Automation, Advantech…

Ces 150 jours, font remarquer les statisticiens de Trend Micro, sont à comparer aux 116 jours en moyenne nécessaires à un Microsoft ou à un Adobe pour colmater une faille Windows ou Acrobat. Mais le monde industriel n’a pas à rougir. Cette même moyenne, dans le secteur « business et entreprise », frise les 200 jours (un semestre) chez des fournisseurs tels que HPE ou IBM.

Les vulnérabilités liées aux IHM, quant à elles, sont de nature essentiellement technique : corruption mémoire (20% des vulnérabilités identifiées), mauvaise gestion des identifiants tels que mots de passe « en dur » ou non chiffrés (19%), défaut d’authentification, parfois même configurations par défaut critiques (12%), on retrouve là des vieux classiques de la sécurité de premier niveau. Ces erreurs de conception relèvent de la tare génétique. Des années durant, le monde de l’automatisme a reposé sur des systèmes informatiques spécifiques, souvent des mini-ordinateurs, avec des périphériques tout autant spécifiques sinon uniques et conçus sur mesure, et surtout non-interconnectés, ou reliés par des bus sériels aux protocoles exotiques. Depuis, Tcp/ip est passé par là, et un BoF autrefois passé inaperçu peut aujourd’hui faire l’objet d’une attaque distante.

Participatif, pas pour les « t00lZ ». Le coup de publicité était audacieux, mais il a fait long feu. Le financement participatif de l’achat des « fuites NSA Shadow Brokers » organisé par xOrz a été annulé « pour des raisons légales » (dito)

Fuzzing au vol de voiture : le FBI, rapporte BleepingComputer vient d’inculper un gang de motards accusés d’avoir volé 150 Jeep Wrangler en exploitant un piratage de la base de données du constructeur et reproduisant systématiquement un hack du RFID d’antidémarrage

L’anti-cyber-antisèche absolue : le gouvernement Ethiopien, nous assure le quotidien Le Guardian , aurait coupé l’accès à Internet pendant la durée des examens équivalents au baccalauréat. Est-ce que ça pourrait marcher pour la Next Gen Wannacry ?

Free Mobile rembourse symboliquement 12 euros à chaque abonné ayant eu à souffrir de mauvais services 3G de 2012 à 2015. Ce qui donne une idée assez précise du prix que représente la QoS pour un opérateur : 25 centimes d’euros par mois

Amazon, témoigne CNN s’engage à rembourser 70 millions de dollars aux parents dont les enfants auraient acheté sans compter des « apps » à leur insu. Une faille dans les processus d’authentification qui coûte cher

Moins de deux semaines après le lancement d’un Mooc de formation de premier niveau à la sécurité des S.I., l’Anssi annonce un dispositif « national » limité pour l’instant à la région Nord, et destiné à tous, Opérateurs d’Importance Vitale non compris.

Administrations, collectivités territoriales, établissements scolaires, associations de quartier, TPE et professions libérales, particuliers et ratons-laveurs, tout le monde est concerné. En bref, une plateforme d’urgence destinée au citoyen, presque 20 ans après celles fondées par le Gouvernement d’Allemagne Fédérale, 15 ans après les initiatives de Grande Bretagne, pour ne citer que les plus importantes.

Une plateforme Web est mise à disposition des victimes et des prestataires pouvant aider à combattre les fléaux numériques. C’est une initiative commerciale, puisque, précise le communiqué, il s’agit surtout de « la mise en relation des victimes via une plate-forme numérique avec des prestataires de proximité susceptibles de restaurer leurs systèmes ».

Dans un second temps, l’Anssi s’engagera dans une « campagne de prévention et de sensibilisation à la sécurité du numérique ». Une mission à qui l’on souhaite de réussir là où des décennies d’acharnement thérapeutique dans les secteurs de l’industrie se sont soldées par de cuisants échecs et de phénoménales pertes d’argent.

Enfin, la « création d’un observatoire du risque numérique permettant de l’anticiper ». Un observatoire qui observe donc, mais de véritable Cert grand public, point.

Comment, dans ce cas, espérer protéger une population avide de réseaux sociaux aux clauses de confidentialité élastiques, assoiffés de téléchargements sauvages, gourmands d’Internet des Objets lesquels sont aussi diserts sur la vie privée de leur propriétaire qu’un moinillon de San Millán de la Cogolla en charmante conversation avec Tomás de Torquemada ?

L’usager (nous tous, y compris et surtout les non-spécialistes) devra, semble-t-il, attendre encore longtemps avant de bénéficier d’un service d’information d’Etat accessible gratuitement sur simple abonnement, anonyme et impartial. Un service qui offrirait de véritables mesures de remédiation ou de mitigation des dangers après attaque, toutes plateformes confondues, tous profils d’utilisateurs compris.

On pourrait imaginer que toute formation ou sensibilisation, si formation il doit y avoir, relèverait plutôt de la responsabilité et de la compétence de l’Education Nationale. Une formation dégagée de tout financement provenant d’organismes privés (prestataires, compagnies d’assurance), assurée sur le long terme et non seulement à l’occasion d’une opération publicitaire … L’InfoSec gagnerait à commencer dès l’école primaire, car c’est souvent par les plus aventureux et les plus téméraires que le risque d’infection peut se déclarer … et c’est surtout par ces aventureux et téméraires que le message numérique et son jargon passent le mieux.

Shadow Brokers est ce groupe tristement connu pour avoir divulgué les informations techniques des fichiers de la NSA ayant permis la naissance du cryptovirus Wannacry. Un groupe qui ne semble pas en rester là puisqu’après avoir vidé leur compte en Bitcoin (source Mikko Hypponen, F-Secure) ils envisageraient la mise en vente d’un nouveau lot d’informations. La surmédiatisation de Wannacry ne peut que jouer en faveur d’une augmentation des mises à prix.

Seules les modalités de vente restent à définir. Les boutiquiers du binaire malsain cherchant à rentabiliser leur fond de commerce, les acheteurs ayant tendance quant à eux à exiger l’exclusivité de l’exploit. Mais quelques empêcheurs de pirater en rond (un binôme de chercheurs en sécurité) ont décidé de contrecarrer leurs plans et envisagé de se porter acquéreurs des exploits. Pour réunir les fonds, le tandem a imaginé une opération de financement participatif . Dans l’hypothèse où leur mise à prix serait retenue, le contenu des fichiers revendus seraient alors communiqués aux multiples participants, éditeurs de logiciels et responsables sécurité. Un crowdfunding de l’exploit, qui mettrait policiers et truands sur un même pied d’égalité, à partir du moment où tout le monde paye.

Le seul risque pour Shadow Brokers serait que la NSA désamorce cette bombe à retardement et informe les éditeurs respectifs des failles à combler. Mais cette probabilité est assez faible.