juin, 2017

Selon une analyse de RiskSense , il serait possible que le vecteur de diffusion de Wannacry, issu d’un exploit de la NSA, puisse être porté sous Windows 10

A périodes régulières, les éditeurs d’antivirus crient à l’assassinat et à la position monopolistique, accusant Microsoft d’entraver par tous les moyens le développement de leurs clientèles respectives. La dernière grande vague de protestation remonte au lancement de Vista. Cette fois -ci, c’est au tour de l’éditeur Moscovite Kaspersky de dénoncer les hiatus et blocages de Windows 10, avec un triple dépôt de plainte devant le Bureau de la Fédération de Russie de lutte contre les monopoles, la Commission Européenne et le Bundeskartellamt (BKartA) d’Allemagne.

A l’origine de ces plaintes, deux constats avancés par l’éditeur Russe : l’affichage par le système d’exploitation de messages considérés comme mensongers, annonçant notamment que « Windows 10 est incompatible avec un antivirus provenant d’une tierce partie » et le fait que l’outil de protection de Microsoft est très en dessous des performances moyennes d’outils concurrents.

The Intercept, journal qui des années durant, a instauré comme principe premier le secret de ses sources, aurait, par négligence, grillé l’identité de Reality Winner, correspondante occulte du magazine en ligne. Kit Daniels, de l’équipe Infowar d’Alex Jones, a été l’un des premiers à relater l’histoire.

Début juin, le journal de Glen Greenwald publie un article sur les supposées tentatives de déstabilisation électorales des services Russes visant la campagne présidentielle US. Papier illustré par des reproductions d’un rapport classifié de la NSA. Un scoop qui n’aurait été possible sans le concours de Reality Winner, experte en langues orientales opérant sous contrat des services de renseignements US, et donc accréditée pour accéder à ces fichiers.

Mais, à l’heure de publier ces révélations, lesdits documents n’auraient pas été « expurgés » de manière à masquer l’origine de la source. Car ces « NSA papers », sortis d’une imprimante couleur, contiennent des marqueurs spécifiques et unique pour chaque périphérique d’impression. La chose est connue depuis des années et fait l’objet de nombreuses alertes, de la part de l’EFF notamment. C’est du moins le scénario avancé par nos confrères d’Outre Atlantique. Mais d’autres erreurs auraient été commises, notamment, confirme l’enquête du FBI, des contacts par email directs entre la source et un journaliste de The Intercept, autrement dit de l’ordinateur personnel de Mme Winner vers l’adresse « officielle » du journal. L’erreur est étonnement grossière et cache peut-être d’autres méthodes d’investigation que la police US ne souhaite pas révéler.

La population nord-Américaine est, une fois de plus, divisée sur cette affaire. D’un côté les conservateurs, qui crient à la trahison, de l’autre les démocrates, qui louent l’attitude courage d’une lanceuse d’alertes. Entre les deux, des services de renseignement en constante croissance et recherche de pouvoir qui ne peuvent assurer leur bon fonctionnement sans faire appel à une pléthore de sous-traitants extérieurs, accroissant ainsi la probabilité des fuites d’information. Une NSA qui, accuse notamment le Sénateur de Virginie Mark Warner devant les caméra de USA Today, aurait largement minimisé l’importance de ces manipulations électorales. En déclassifiant plus encore les informations détenues par la « No Such Agency », il serait enfin possible de connaître la vérité, insiste Warner. Le Sénateur affirme ne pas vouloir revenir sur les accusations d’entente entre l’équipe de campagne Trump et le Kremlin, mais qu’il chercherait plutôt à prévenir des manipulations comparables lors des prochaines élections de 2021. Ce coup de pied de l’âne est lancé quelques semaines après le débarquement de James Comey, ancien patron du FBI chargé précisément de l’enquête sur le rôle qu’aurait pu jouer Moscou dans l’élection de l’actuel Président des Etats-Unis

Analyse partielle et partiale, puisqu’effectuée par Trend Micro, un vendeur de sécurité, mais confirmée en grande partie par les quelques piratages grandioses dans le secteur de l’énergie (de Stuxnet au hack des centrales d’Ukraine). Les deux talons d’Achilles des OIV sont les IHM et l’inertie au déploiement de correctifs… du fait des éditeurs mêmes.

La « valse lente du patch après la découverte de bug » est en partie provoquée par les entreprises vendant des systèmes d’automatisation de contrôle de processus industriels. Lesquels ont besoin, en moyenne, de 150 jours pour fournir une rustine. 5 mois de fenêtre de vulnérabilité potentielle, à laquelle s’ajoute probablement la lenteur de déploiement de la part de l’usager. On ne suspend pas la chaîne de production d’un cimentier ou d’un géant de la pétrochimie sans conséquences techniques et financières. Des métriques qui varient tout de même d’un équipementier à l’autre. Parmi les mauvais élèves du patch, l’étude cite ABB (221 jours en moyenne) PTC et General Electric (226 jours), Indusoft (214 jours). Mais chez Trihedral Eng, la moyenne tombe à 23 jours et à 58 jours chez Cogent. A noter que les géants historiques se situent dans une fourchette de 120 à 150 jours : Schneider, Honeywell, Rockwell Automation, Advantech…

Ces 150 jours, font remarquer les statisticiens de Trend Micro, sont à comparer aux 116 jours en moyenne nécessaires à un Microsoft ou à un Adobe pour colmater une faille Windows ou Acrobat. Mais le monde industriel n’a pas à rougir. Cette même moyenne, dans le secteur « business et entreprise », frise les 200 jours (un semestre) chez des fournisseurs tels que HPE ou IBM.

Les vulnérabilités liées aux IHM, quant à elles, sont de nature essentiellement technique : corruption mémoire (20% des vulnérabilités identifiées), mauvaise gestion des identifiants tels que mots de passe « en dur » ou non chiffrés (19%), défaut d’authentification, parfois même configurations par défaut critiques (12%), on retrouve là des vieux classiques de la sécurité de premier niveau. Ces erreurs de conception relèvent de la tare génétique. Des années durant, le monde de l’automatisme a reposé sur des systèmes informatiques spécifiques, souvent des mini-ordinateurs, avec des périphériques tout autant spécifiques sinon uniques et conçus sur mesure, et surtout non-interconnectés, ou reliés par des bus sériels aux protocoles exotiques. Depuis, Tcp/ip est passé par là, et un BoF autrefois passé inaperçu peut aujourd’hui faire l’objet d’une attaque distante.

Participatif, pas pour les « t00lZ ». Le coup de publicité était audacieux, mais il a fait long feu. Le financement participatif de l’achat des « fuites NSA Shadow Brokers » organisé par xOrz a été annulé « pour des raisons légales » (dito)

Fuzzing au vol de voiture : le FBI, rapporte BleepingComputer vient d’inculper un gang de motards accusés d’avoir volé 150 Jeep Wrangler en exploitant un piratage de la base de données du constructeur et reproduisant systématiquement un hack du RFID d’antidémarrage

L’anti-cyber-antisèche absolue : le gouvernement Ethiopien, nous assure le quotidien Le Guardian , aurait coupé l’accès à Internet pendant la durée des examens équivalents au baccalauréat. Est-ce que ça pourrait marcher pour la Next Gen Wannacry ?

Free Mobile rembourse symboliquement 12 euros à chaque abonné ayant eu à souffrir de mauvais services 3G de 2012 à 2015. Ce qui donne une idée assez précise du prix que représente la QoS pour un opérateur : 25 centimes d’euros par mois

Amazon, témoigne CNN s’engage à rembourser 70 millions de dollars aux parents dont les enfants auraient acheté sans compter des « apps » à leur insu. Une faille dans les processus d’authentification qui coûte cher

Moins de deux semaines après le lancement d’un Mooc de formation de premier niveau à la sécurité des S.I., l’Anssi annonce un dispositif « national » limité pour l’instant à la région Nord, et destiné à tous, Opérateurs d’Importance Vitale non compris.

Administrations, collectivités territoriales, établissements scolaires, associations de quartier, TPE et professions libérales, particuliers et ratons-laveurs, tout le monde est concerné. En bref, une plateforme d’urgence destinée au citoyen, presque 20 ans après celles fondées par le Gouvernement d’Allemagne Fédérale, 15 ans après les initiatives de Grande Bretagne, pour ne citer que les plus importantes.

Une plateforme Web est mise à disposition des victimes et des prestataires pouvant aider à combattre les fléaux numériques. C’est une initiative commerciale, puisque, précise le communiqué, il s’agit surtout de « la mise en relation des victimes via une plate-forme numérique avec des prestataires de proximité susceptibles de restaurer leurs systèmes ».

Dans un second temps, l’Anssi s’engagera dans une « campagne de prévention et de sensibilisation à la sécurité du numérique ». Une mission à qui l’on souhaite de réussir là où des décennies d’acharnement thérapeutique dans les secteurs de l’industrie se sont soldées par de cuisants échecs et de phénoménales pertes d’argent.

Enfin, la « création d’un observatoire du risque numérique permettant de l’anticiper ». Un observatoire qui observe donc, mais de véritable Cert grand public, point.

Comment, dans ce cas, espérer protéger une population avide de réseaux sociaux aux clauses de confidentialité élastiques, assoiffés de téléchargements sauvages, gourmands d’Internet des Objets lesquels sont aussi diserts sur la vie privée de leur propriétaire qu’un moinillon de San Millán de la Cogolla en charmante conversation avec Tomás de Torquemada ?

L’usager (nous tous, y compris et surtout les non-spécialistes) devra, semble-t-il, attendre encore longtemps avant de bénéficier d’un service d’information d’Etat accessible gratuitement sur simple abonnement, anonyme et impartial. Un service qui offrirait de véritables mesures de remédiation ou de mitigation des dangers après attaque, toutes plateformes confondues, tous profils d’utilisateurs compris.

On pourrait imaginer que toute formation ou sensibilisation, si formation il doit y avoir, relèverait plutôt de la responsabilité et de la compétence de l’Education Nationale. Une formation dégagée de tout financement provenant d’organismes privés (prestataires, compagnies d’assurance), assurée sur le long terme et non seulement à l’occasion d’une opération publicitaire … L’InfoSec gagnerait à commencer dès l’école primaire, car c’est souvent par les plus aventureux et les plus téméraires que le risque d’infection peut se déclarer … et c’est surtout par ces aventureux et téméraires que le message numérique et son jargon passent le mieux.