juillet, 2017

Le « bug » est corrigé, mais trop tard, explique Zeljka Zorz du HNS. De nombreux utilisateurs de la crypto-monnaie ETH (qui repose sur la chaîne de blocs Ethereum) ont vu leurs fonds littéralement détournés. Ceci en raison d’une faille affectant non pas l’algorithme de chiffrement, mais de Parity, une version particulière du porte-monnaie. Le voleur est parti avec l’équivalent de 30 millions de dollars, hémorragie stoppée par l’intervention d’un groupe de « white hat » qui auraient, à leur tour, mis à l’abri un peu plus de 77 M$ issus de crypto-coffres vulnérables.

C’est la seconde fois en moins d’une semaine qu’Ethereum fait les frais d’une attaque en règle. Cette première fois, le vol (environ 7,5 M$ « seulement ») avait été perpétré par détournement d’un porte-monnaie virtuel suite à la compromission du serveur de CoinDash.

Les chaînes de blocs sont quasiment inviolables. On ne peut pas en dire autant de l’ensemble des outils techniques les entourant. En outre, la mode des crypto-monnaies passionne tellement les investisseurs et les participants aux appels de fonds collaboratifs que beaucoup de mises sur le marché s’opèrent dans une précipitation guère propice à une véritable analyse SSI des infrastructures utilisées.

Dans un chapitre intitulé ( http://www.emcdda.europa.eu/publications/eu-drug-markets/2016/online/drivers/influence-of-internet) (synthèse en Français) « The expanding influence of the internet (EU Drug Markets Report) » , Europol et l’Observatoire Européen des drogues et des toxicomanies estiment que, paradoxalement, l’émergence des nouvelles technologies a considérablement sécurisé le marché des stupéfiants. Rien de très surprenant cependant.

Grâce au « Dark Web », vendeurs et clients sont (presque) certains d’un certain niveau d’anonymat, et surtout d’une totale absence de risques physiques. Pas d’agression possible de la part d’un dealer un peu violent, pas de contestations sur les tarifs pratiqués grâce au sérieux des intermédiaires de payements et autres « mixers » destinés à rendre intraçable le mécanisme des chaînes de blocs, et surtout pas de contestation sur la qualité du produit livré, puisque les places de marché entretiennent le culte de la notation-client. Qu’un produit soit frelaté, et le commerçant perd quelques « étoiles » et au passage encore plus d’acheteurs. En outre, Internet parvient à réaliser ce que les anciennes filières ne pouvaient réellement espérer : un cloisonnement total entre grossistes, détaillants, livreurs, intermédiaires de payement, réseau de blanchiment.

Ces avantages cumulés compensent largement le risque que le vendeur parte avec la caisse de Bitcoins. Publié le jour même de l’annonce du coup de filet Hansa, ce rapport montre à quel point cette « Internet connection » fonctionne bien et rapporte de plus en plus d’argent aux cartels de la drogue et aux réseaux mafieux de revente.

Dans le cadre d’une opération concertée, les polices de Hollande, Allemagne, USA, Lituanie, mais également de Thaïlande, France et Grande Bretagne sont parvenues à fermer deux places de marché fortement impliquées dans le trafic de produits illicites : AlphaBay et Hansa. Le communiqué d’Europol décrit dans les grandes lignes le déroulement de l’opération, tout en précisant avoir infiltré Hansa depuis le 20 juin… Caveat Emptor !

Au plus fort de son activité, AlphaBay pesait, affirme le FBI, 200 000 clients, 40 000 marchands, 250 000 références produits dont le commerce est illégal (principalement des stupéfiants). Mais également près de 100 000 pièces d’identité volées ou falsifiées, panoplies de cambriolage (terminaux d’attaque brute force d’antivol automobile par exemple), outils d’attaque informatique, biens de marques contrefaites, armes à feu etc. Le chiffre d’affaires quotidien oscillait entre 600 et 800 k$, soit près d’un milliard de dollars de transaction (toujours selon le FBI). Gardons à l’esprit qu’en matière de communication, la police est aussi objective que le service de presse d’un vendeur d’antivirus. Le « super-hacker » BX1 accusé d’avoir détourné des millions de dollars n’avait, lors de son arrestation, engrangé guère plus que le montant de quelques mois de RSA. Reste qu’en termes de volume d’affaires, cet eBay du crime avait pris la relève de Sylkroad, avec un peu plus de « security by design »… mais seulement un peu plus.

A l’origine de ce coup de filet, une série de bévues et manquement élémentaires de la part du principal administrateur et créateur d’AlphaBay, Alexandre Cazes, alias Alpha02, citoyen Canadien francophone. Au nombre de ces erreurs, l’utilisation d’une adresse de messagerie aisément traçable,pimp_alex_91@hotmail.com. Une adresse que l’on retrouve un peu de partout, notamment sur un forum du serveur « Comment ça marche » et, nous apprend notre éminent confrère Jean-Marc Manach, sur d’anciennes pages du très distingué et très intellectuel blog Skyrock… le wanabee spécialiste de la neige de culture (sachets) conservait le même compte de messagerie depuis au moins 2008. De la part d’un Über-hacker du SombreOuèbe, on aurait pu s’attendre à mieux. Surtout après l’arrestation de Ross Ulbricht, fin 2013, tombé lui aussi pour avoir conservé une adresse email aisément traçable.

Le 5 juillet, la police Thaïlandaise interpelle Cazes et saisit son matériel informatique, le surprenant encore connecté sur les pages d’administration de son site. Sont également découverts une foultitude de documents permettant d’établir l’étendue de sa fortune personnelle et l’activité de son site, ainsi que des documents reliant le suspect avec une société-écran servant à blanchir certaines rentrées d’argent. Au total, une fortune de près de 35 millions de dollars. La plainte pour « forfaiture » enregistrée par l’Administration Californienne fait état de nombreuses voitures de sport, de biens immobiliers, d’une multitude de comptes en banques et d’un avoir en crypto-monnaies relativement impressionnant. Cazes ne profitera jamais de ses richesses et sera retrouvé pendu 8 jours plus tard, dans les douches de sa prison Thaïlandaise.

Erreurs élémentaires en matière de SSI, train de vie relativement voyant, on se demande comment une telle entreprise mafieuse a pu prospérer sans que les polices n’interviennent plus tôt. Toujours est-il qu’une fois le cerveau sous les barreaux, les multiples complices sont tour à tour au moins identifiés, sinon démasqués. Coadministrateurs, modérateurs et chargés de clientèle, Directeur des relations publiques et… responsables de la chasse aux contrefaçons de site. Cette pyramide de responsabilités n’a rien à voir avec le quasi-artisanat d’Ulrich avec Sylk Road explique avec une précision toute chirurgicale un article de Catalin Cimpanu dans les colonnes de Bleeping Computer. Et c’est d’ailleurs là la marque d’une évolution dans l’organisation du web mafieux. Les relations de confiance entre truands parviennent malgré tout à s’établir, chose surprenante dans ce milieu naturellement si suspicieux et qui a poussé bon nombre d’administrateurs à travailler seuls. Et par conséquent commettre des erreurs par manque de compétence, manque de temps, manque de délégation de responsabilité. Ce qui a fait tomber Alpha Bay, ce n’est pas la trahison d’un des comparses, mais les mauvaises pratiques de leur chef.

L’affaire ne s’arrête pas là. En fermant les serveurs d’Alpha Bay, la police sait qu’elle crée un appel d’air important. Ce site n’est pas le seul en activité. Les concurrents s’appellent Hansa (un rappel de la puissante Ligue Hanséatique des marchands Allemands), mais également Wall St Market, Traderoute, Zion Market… qu’une place importante disparaisse, et les clients se rabattent sur des portails de moindre envergure. Au moment où Cazes est interpelé, cela fait déjà deux semaines que le « numéro deux » des places de marché mafieuses a été mis sur écoute. Encore deux semaines de patience, et la police Hollandaise se constitue un fichier sérieux de clients et de vendeurs, tentant peu à peu de coller une identité véritable derrière ces pseudonymes et ces règlements en crypto-monnaies.

Brian Krebs publie à ce sujet une interview de Petra Haandrikman, patronne de l’unité de lutte contre la criminalité NTIC de la police Hollandaise. De mandat international en intrusion à distance des serveurs, la cyber-policière raconte comment les « réfugiés d’AlphaBay » ont fait l’objet d’une filature numérique et d’une analyse de leurs moindres mouvements. Haandrikman lance le même avertissement que celui émis par le chef de la division cybercrime du FBI : « Il n’y a plus d’anonymat sur le Dark Web »

Argument resassé durant la campagne du Président Donald Trump, la constitution d’un haut-commandement du corps de cyber-défense est sur le point de se réaliser. Et, détail d’importance, ce cyber-commandement serait totalement indépendant de la NSA, révèle la chaine PBS.

Le rôle de la NSA dans ce secteur, rapporte la journaliste Lolita Baldor, est de s’investir dans l’espionnage et l’écoute massive des médias numériques : Internet, communications téléphoniques, électromagnétiques et flux de métadonnées de provenances diverses.

La mission de l’armée, quant à elle, est radicalement différente. Un cyber-corps est appelé à se projeter sur des terrains extérieurs, protéger la nation -rôle bien plus actif que la simple activité de renseignement-, voir de riposter en vertu du mantra resassé depuis plus de 10 ans par les trois corps d’armée « The best defense is a good offense ». Or, seuls les militaires, contrairement à la NSA, peuvent être mandatés par le Sénat pour conduire une offensive, numérique ou traditionnelle. Jusqu’à présent, le cyber-commandement, fondé par l’Administration Obama, était embryonnaire, et dépendant du Commandement Stratégique du Pentagone.

En émancipant ce commandement de la « No Such Agency », la Maison Blanche libère donc les militaires de toute tutelle civile et de tous risques de conflits d’intérêts ou de pressions politiques dans la mise en œuvre des missions respectives de ces deux institutions régaliennes.

Reste, fait remarquer Baldor, que la NSA possède une puissance de calcul et d’interception gigantesque et que, pour l’heure, la cyber-armée US ne possède rien, si ce n’est que quelques 6000 cerveaux. Se posera alors, du moins dans un premier temps, la question de la mise à disposition de ces moyens techniques par la NSA, disposition soumise à un contrôle de facto. Côté budget, le Cyber-Command devrait se voir attribuer une enveloppe de 647 millions de $, soit près des trois-quarts du budget général de l’Armée Française tel qu’actuellement établi.

Les malwares suivent des modes, ou plus exactement des tendances techniques. Ce mois de juillet semble placé sous le signe « banquier ascendant multiplateforme » si l’on en juge par les multiples billets publiés dans la sphère sécurité.

Renato Marinho, de Mophus labs, décrit avec une certaine admiration l’audace d’une campagne de phishing bancaire Brésilienne propagée par SMS. Activation d’un lien externe, demande de données à caractère personnel et de numéros d’authentification, le SMS de phishing ne recule devant rien. Il va jusqu’à inciter la victime à photographier et envoyer une carte regroupant une série de numéro servant à la fois de second facteur d’authentification et de « one time pad ». Ce précieux viatique en poche, les escrocs à l’origine de l’attaque peuvent déclencher autant d’opérations frauduleuses qu’il n’existe de numéros encore actifs sur ladite carte.

Encore une attaque bancaire sortant de l’ordinaire, et décrite cette fois par Païvi Tynninen de F-Secure. Attaque d’autant plus intéressante qu’elle cible très précisément des organismes bancaires soit Autrichiens, soit Suisses. Le vecteur de diffusion utilise un très classique courriel de phishing, assez succinct et rédigé en Allemand : « Votre facture N° xxxx datant du xxxx ». Ce qui distingue cette attaque des autres du même genre, c’est que la charge utile est cette fois cachée non plus dans un seul, mais dans deux fichiers. L’un au format Excel ciblant les utilisateurs de systèmes Windows, l’autre au format directement exécutable Mach-O pour systèmes Mac OSX.

Un dernier piratage bancaire sous OSX pour la route ? Celui que décrit Ofer Caspi sur le blog de Checkpoint est assez inhabituel, puisque ses auteurs ont fait les choses dans les règles en achetant un certificat à Apple. Et c’est donc sous l’habit très respectable d’une application « signée » (diffusée une fois de plus via une campagne de phishing) que s’installe le malware. Lequel malware s’empresse de désactiver dans un premier temps les mises à jour de sécurité au nez et à la barbe de Gatekeeper, et détourne les communications avec les différents sites d’Apple. De cette manière, les risques de détection par des canaux de communication externes sont quasiment réduits à néant.

A partir de ce moment-là, le véritable travail du virus peut commencer. Il ouvre un proxy et un accès Tor, puis intercepte et détourne tous les échanges effectués avec une liste d’organismes bancaires exclusivement Suisses… on ne prête qu’aux riches. Lorsque la victime tente d’accéder à son compte bancaire en ligne, elle est détournée vers un pseudo serveur chargé de récupérer ses identifiants. Chose surprenante, c’est à ce stade de l’attaque que le malware en profite pour installer le client de messagerie instantanée chiffré.

Traditionnellement, les stimulateurs cardiaques font plutôt la manchette des journaux après un hack magistral effectué devant 5000 spectateurs, à l’occasion d’une DefCon ou d’une conférence de presse savamment orchestrée.

Mais pour le juge du comté de Butler, Ohio, cet appareil peut également constituer une preuve technique recevable pouvant être versée au dossier. Chris Matyszczyk, de C-Net, explique comment Ross Compton, soupçonné de fraude à l’assurance, est rapidement passé du statut de victime à suspect après une rapide analyse des rythmes cardiaques enregistrés par son stimulateur. Crompton aurait été réveillé par l’incendie de sa maison, et juste eu le temps d’empaqueter quelques affaires, briser une vitre, sortir de la maison pour enfin trouver refuge dans son automobile. Ce que contredit le relevé des battements de son cœur estime un cardiologue consulté à l’occasion. Les enquêteurs, estimant que la version des faits diverge avec la réalité « physiologique » du présumé coupable… et versent cet électrocardiogramme au dossier.

C’est, semble-t-il, la première fois que le contenu numérique d’un équipement médical est considéré comme une preuve recevable par un tribunal. Tribunal Etats-Unien certes, dans un contexte juridique très éloigné du droit Français et du sacro-saint « secret médical ». Mais de tels précédents jurisprudentiels sont souvent des cas capables d’influencer le législateur.

Deux analyses, un outil en ces lendemains d’attaques « du siècle »NotPetya/Wannacry. Analyse de Bitdefender, tout d’abord, qui se penche sur les mécanismes de NotPetya en fonction de la présence -ou non- de l’antivirus Kaspersky. L’article est simple, abordable, plus destiné à un lectorat d’usagers « power user » qu’à des professionnels de la sécurité. Utilisable donc en support pédagogique de sensibilisation.

Plutôt que de tenter de décortiquer Wannacry ou NotPetya, Elad Erez, directeur de la branche innovation chez Imperva, préfère aborder le sujet sous l’angle statistique, et ne s’intéresser qu’aux machines potentiellement vulnérables à EternalBlue, l’exploit made in NSA. En fournissant tout d’abord un scanner capable de détecter sur un réseau local les machines répondant présentes à une requête SMBv1 tout en précisant si elles sont « compatibles NSA » ou non. En dressant ensuite une série de tableaux statistiques tirés des scans effectués sur le réseau public durant les deux premières semaines de juillet. Et le tableau n’est pas très optimiste. Sur 23000 tests portant sur 8 millions d’adresses IP, 60 000 « hosts » seraient détectés vulnérables sur 537 000 machines « répondantes » au balayage IP. Et sur ce demi-million d’ordinateurs, 50 % possèdent une couche SMBv1. Détail étonnant, c’est en France que l’on trouve la plus grande proportion de réseaux Microsoft première génération détectés (13300), loin devant la Russie (11500) ou l’Ukraine (6500). La proportion de machines réellement vulnérables est considérablement plus faible. Erez avoue n’avoir trouvé que deux hôtes vulnérables sur le territoire Français. Dans l’ensemble, il est rare de compter plus d’une seule machine par pays directement exploitable par EternalBlue, ceci dans le cadre toutefois limité du scan réalisé, et sans préjuger de ce qu’il serait possible d’inventorier côté réseau local. Car un ordinateur portable infecté branché en deçà des défenses périmétriques d’une entreprise peut provoquer des dégâts importants, alors même que cette même entreprise ne témoignerait d’aucune signature SMB côté Wan.

Mi-trou de sécurité, mi-caisse de résonance, l’exposition publique de quelques 14 millions d’enregistrements provenant des bases de données de Verizon fait les grands titres de la presse anglo-saxonne.

A l’origine de cette divulgation,un billet de Chris Vickery, d’Upguard, un expert en sécurité dont le fonds de commerce médiatique repose beaucoup sur la détection des erreurs de paramétrage et d’usage d’Amazon Web Services. Car c’est sur un serveur AWS, paradoxalement détenu par une autre entreprise de sécurité, l’Israélien Nice, qu’a été découvert cet empilement de fichiers. Noms, prénoms, code pin d’identification téléphonique délivré par l’opérateur… Vickery en profite au passage pour tailler un costume sur mesure à Nice, en rappelant que l’entreprise est également une sorte de « mini-Amesys » qui vend à qui veut bien des solutions-de-surveillance-des-citoyens-pédo-terroristo-trafiquants de drogue.

Verizon,pour sa part, minimise l’importance de l’affaire en précisant qu’une grande part des données n’étaient que des condensats non directement exploitables (l’article de Vickery laisse planer un doute sur la proportion de données réellement chiffrées) et que, jusqu’à présent, personne d’autre que les chercheurs d’Upguard n’ont eu accès à ce dépôt. Ce que conteste Wickery en précisant« nul ne sait combien de personnes ont pu fouiller dans ces fichiers avant que nous nous en apercevions ».

The Verge, CNN, ZDNet, Engadget, Cnbc, Threatpost, FoxNews, L.A.Times… chacun y va de son article plus ou moins alarmiste reflétant la « découverte » d’Upguard. Alarmisme parfaitement orchestré par un professionnel de la sécurité qui s’empressera un jour de dénoncer le traitement anxiogène de l’information par « un certain type de presse ». Pas de doute, le business de la sécurité des S.I. ne change pas une formule qui gagne : 80 % d’exagération, 20 % d’indignation.

13 organisations de défense, dont Amnesty International, Reporters sans Frontière, Statewatch et Privacy International ont publié une « lettre ouverte aux Institutions et pays-membres de l’Union Européenne à propos de l’exportation d’équipements de surveillance ». Et d’invoquer les écoutes massives en Macédoine, usages abusifs au Mexique, Bahreïn, Emirats Arabes Unis, souvent à l’aide d’équipements conçus et vendus par des entreprises Européennes, protégées par une cécité complice des pays-membres de la CE. On se souvient, rappelle la Lettre ouverte, comment l’Egypte notamment a pu acheter de véritables infrastructures de surveillance massive à des entreprises Françaises, Britanniques, Italiennes, sans que la moindre règlementation, sans que le moindre contrôle n’ait été effectué.

Il faut, demandent les 13 ONG, que soit définie une règlementation Européenne pour que cesse le trafic de ces outils « vendus comme des stylos » mais conduisant souvent aux salles de torture ou aux pelotons d’exécution.

100 euros pour une machine Enigma : Richard Chirgwin du Reg raconte l’incroyable bonne affaire qu’un professeur de cryptographie a réalisé sur un marché au puce de Bucarest