juillet, 2017

Symantec envisagerait de revendre sa branche « certification des sites web », révèle l’agence Reuter . Cette division a fait, courant mars, l’objet de critiques techniques très vives de la part de Google Alphabet.

Après une attaque suivie d’une modification de son serveur de noms, Gandi, hébergeur et autorité d’enregistrement Français a vu les domaines de plus de 700 de ses clients pointer « autre part » que sur leurs serveurs légitimes, et notamment sur des sites destinés à injecter le kit d’exploit Rig, lequel intègre le bot Neutrino.

Par « chance », l’une des victimes était SCRT, société Suisse spécialisée en sécurité informatique (et notamment organisateur de la conférence Insomni’hack). Laquelle a réagi promptement et prévenu les administrateurs de Gandi. Le rapport de la société Genevoise se lit comme un roman de capes et d’épées. Michael Ausding, dans le blog Helvetique Switch (registry du domaine .ch), fournit des informations techniques plus détaillées sur le détournement et l’infection. L’on peut noter au passage que cette attaque effectue un tri préalable des victimes potentielles en fonction de leur nationalité… procédé assez à la mode en ces temps d’attaques ciblées et de cyber-guérilla entre états-nation.

Plus neutre, le rapport de sinistre publié par Gandi dresse une liste assez longue des TLD détournés.

Le Tweet fut bref mais son écho tonitruant « Putin & I discussed forming an impenetrable Cyber Security unit so that election hacking, & many other negative things, will be guarded. Signé, on s’en doute, par Donald Trump dans le courant de la journée du 9 juillet. Dame, collaborer avec les services de renseignements d’une nation sinon ennemie, du moins adversaire, et accessoirement soupçonnée d’avoir barbouzé les dernières élections présidentielles aux USA, cela ne manque pas de sel.

Mais, à peine 12 heures plus tard, le New York Times révèle que le fils de Donald Trump, au plus fort de la campagne présidentielle, non seulement a approché des hommes de loi Russes proches du Kremlin censés lui offrir des documents compromettants visant Hillary Clinton, mais en outre aurait été informé par email que les documents en question provenaient de la Loubianka.

Le landernau des constitutionalistes évoque, dans les colonnes de de Law Newz, des soupçons de Haute Trahison.

Le tweet maladroit a, depuis, a été minimisé, mais la Maison Blanche nage toujours en plein paradoxe. Evoquer une alliance avec une puissance étrangère pour que l’Etat Fédéral puisse se protéger des attaques perpétrées par cette même puissance étrangère, dans le but d’éviter un risque de compromission du processus électoral après avoir ouvertement tenté de faciliter ces mêmes interférences, c’est là un scénario trop ubuesque pour être accepté dans un téléfilm de série B.

Cette affaire, bien que faite de bruits, de rumeurs, de désinformations et de déclarations sensationnalistes sans réels effets immédiats, montre à quel point la sécurité des S.I. est devenue en moins de deux ans, un élément majeur en matière de politique internationale.

Si, il y a quelques années, beaucoup assimilaient hackers et pirates, il est en revanche, de nos jours, bien plus difficile de ne pas les confondre avec des flibustiers. L’activité est strictement la même, mais les motivations morales et la légalité des actions de chacun ne fait plus aucun doute : la nuit, tous les hackers de la NDH sont blancs. Ou kaki.

Pour preuve, la présence très remarquée d’un stand du Ministère des Armées, tenu par des cyber-soldats arborant un t-shirt frappé des mots « Combattant Numérique ». Beaucoup de curiosité de la part des participants, dont la plupart n’avaient jamais entendu parler du Calid. De quoi largement souffler la vedette à l’Anssi, pourtant familière de cette manifestation. Voilà pour les forces régaliennes. Côté flibuste patentée portant lettres de courses, les « combattants civils », chasseurs de bugs indépendants pour la plupart, mais œuvrant dans le cadre contractuel d’une plateforme de « bug bounty ». Et lorsque l’on prononce bug-bounty, on pense à YesWeHack, structure fondée par Korben et Guillaume Vassault-Houlière (aka Free_man), et à leur structure Bounty Factory. Et pour la deuxième année consécutive, Denyall a joué le rôle du commanditaire, rétribuant chacun des chercheurs impliqués dans cette chasse. Chasse dont le résultat servira à renforcer les solutions de sécurité de l’éditeur. Flibustiers également tous ceux qui sont « venus à confesse » auprès de notre confrère Damien Bancal (Zataz) qui, dans des habits presque sacerdotaux, a pu recueillir en une nuit 55 alertes dont 7 « plus que critiques » et servir d’intermédiaire neutre entre l’inventeur de la vulnérabilité et l’entité vulnérable.

Je hacke, tu ackes, mon héritier hacke aussi

Du petit CTF réunissant une petite centaine de geeks dans les cales surchauffées d’une péniche en bord de Seine a la mégalomaniaque manifestation attirant près de 2500 personnes dans un hôtel du parc Eurodisney, le contenu de la NDH a également évolué.

L’âge des hackers tout d’abord. Majoritairement post-ado il y a 15 ans, ils ont les tempes grisonnantes pour certains… « ou pas », puisque les plus passionnés et expansifs se situaient, cette année encore, dans la tranche des 8-16 ans. Montages électroniques, fabrication de badges lumineux, crochetage de serrures, initiation au chiffrement avec le code César, découverte de la programmation et même premiers pas en chimie, la NDH kids a une fois de plus connu un formidable succès.
Bravo à Manon, Guillaume, Phil qui ont montré fièrement à leurs parents que souder un circuit intégré et crocheter une serrure n’était pas réservé aux « grands ».

Aire de jeux également pour les plus âgés et les plus résistants à la fatigue, dans le cadre d’ateliers pluridisciplinaires : comment durcir une station de travail sous Windows, effectuer une mesure dans les domaines temps/fréquence, analyser, décortiquer un malware Android (démonstration magistrale signée Axelle « Cryptax » Apvrille), se lancer dans le lockpicking encore et encore, s’abîmer dans la robotique pratique par le groupe DTRE ou se passionner pour la fabrication de drone. Et enfin, et surtout, une très médiatique démonstration d’analyse et de hack de l’informatique embarquée dans une « voiture intelligente » (Tesla en l’occurrence), atelier orchestré par Gaël « Ratzilla » Musquet. Une preuve par le hack pratique à ranger à côté des hacks similaires tels que ceux de Charlie Miller et Chris Valasek sur certaines Jeep, de Flavio Garcia, de la société Kasper & Oswald sur les systèmes d’antidémarrage des principaux constructeurs automobiles Européens, dont Volkswagen. Le message est toujours le même : il ne peut exister de sécurité par l’obscurantisme ou le camouflage technique. Seule une véritable ouverture, un échange non biaisé à propos des techniques adoptées par les équipementiers peuvent déboucher sur des efforts effectifs en matière de sécurité automobile du XXIème siècle.

Le contenu des présentations a également largement évolué durant ces années. Des quelques travaux très « proches du binaire » et systémo-centriques linuxiennes, la NDH s’est ouverte à tous les types de recherches liées de près et parfois de loin avec la sécurité des systèmes d’information. Une fois de plus, la palme de la conférence la plus « hype » a été remportée par Renaud « nono2357 » Lifchitz. Lequel présentait un nouveau programme de « crack bounty sha256» reposant sur la chaîne de block Ethereum. Le tout avec une complexité digne de la chaine de reproduction de la douve du mouton. Dans un premier temps, il est nécessaire de posséder un petit kit de développement fpga, composant programmable conceptuellement proche de la logique câblée, et dont la rapidité des cycles d’exécution renvoie la plus véloce des GPU dans la catégorie des chéloniens. Reste ensuite à entamer l’apprentissage du langage de description matériel propre à ce genre de composant (vhdl et proches parents), apprentissage qui conduira peu à peu à l’écriture d’un algorithme de cassage de clef. Il ne reste plus qu’à mettre cette puissance de calcul au service de la communauté.

C’est sur l’air des lampions, avec comme toutes paroles un vengeur « Russian go home » que la presse US, Bloomberg en tête, laisse entendre que l’éditeur Kaspersky serait coupable d’une trop intime relation avec les services de renseignements de son propre pays. Ce à quoi l’éditeur fait remarquer que la lutte contre la délinquance informatique et la sécurité opérationnelle implique une collaboration active avec les services de police… tous les services de police, y compris hors Russie.

Mais ces croustillants soupçons de barbouzerie font le bonheur de la presse grand public US. Même l’étendard de la presse féminine, Vanity Fair, y va d’un article vengeur, rappelant les origines étatiques de l’école de mathématiques dont est issu le fondateur de l’entreprise. Un Vanity Fair qui oublie de préciser qu’à l’époque anté-perestroïka, lorsqu’Eugène Kasperky était en âge d’user ses fonds de culotte sur les bancs d’une Université, le système éducatif supérieur moscovite était systématiquement lié aux services de renseignements.

Pour le vendeur d’anti-virus, cette tempête médiatique risque d’avoir des conséquences économiques lourdes, surtout si ses logiciels sont frappés d’interdiction auprès des administrations Fédérales. L’hypothèse est sérieuse, le sujet ayant déjà été évoqué courant mai devant une commission sénatoriale, rappelle l’agence Reuters. Ce à quoi l’éditeur Russe avait proposé de soumettre son code source à un audit.

Nul n’est besoin d’être expert en politique internationale pour se rendre compte que Kaspersky n’est qu’un prétexte dans l’affrontement diplomatique qui oppose les deux grandes puissances. Et ce n’est ni la première, ni la dernière fois que les relations, supposées ou non, de Kaspersky avec la Loubianka font les grands titres de la presse. Cependant, les preuves tangibles de ces relations sont nettement moins solides que celles concernant Donald Trump Junior fricotant avec des avocats proches du Kremlin. De là à imaginer que toute cette histoire ne soit qu’un contre-feu…

Déploieront, déploieront pas ? La crainte de la régression sera-t-elle plus forte que la peur de l’attaque virale ? c’est là une question purement rhétorique, car aucun outil statistique public ne pourrait fournir ce genre d’information. Toujours est-il que, sur le lot de rustines diffusées par Microsoft en ce début de période estivale, l’on trouve tout de même 19 correctifs « critiques » sur 54 . Parmi ceux-ci, 7 bouchons considérés comme importants par Renato Marinho qui, ce mois-ci, s’est chargé de la rédaction du quotidien du Sans. Un quotidien totalement déboussolé qui ne peut plus dresser une liste claire des alertes méritant un « patch now » depuis que Microsoft a décidé d’abandonner sa classification « MS-017-xxx ». Les chercheurs et les curieux doivent désormais se lancer dans une chasse au numéro CVE et farfouiller dans un imbroglio de « security update », de « monthly rollup », de « security only » et autre « IE cumulative ». Chaque faille étant détaillée par produit, le tableau des bulletins s’étale désormais sur 3 pages et compte 248 entrées. Bienvenu dans un monde de noyade de l’information sous un déluge de détails.

Dans le lot, Microsoft corrige un défaut dans l’outil de recherche Windows lié à SMB, ainsi qu’un risque de « repli » du mécanisme d’authentification Kerberos vers l’ancien NTLM. Aucun des deux problèmes n’est lié aux exploitations récemment rencontrées « dans la nature », tel que Wannacry.

Côté Adobe, 3 alertes CVE (donc une critique) sont éliminées de Flash Player.

Faut-il tuer le soldat ex/not/Petya, 14 millions de hit Google au garrot, soit le plus gros prorata d’articles de presse alarmistes par machine infectée jamais atteint ? Un impact quantitatif excessivement faible (aux environs de 20 000 victimes selon les éditeurs d’antivirus, généralement prompts à noircir le tableau). Ce n’est même pas la moitié de la population des Causses, l’un des lieux les plus désertiques de France. Chiffre à comparer également aux quelques 400 millions de noyaux W10 que Microsoft affirme avoir vendu depuis son lancement. Le tout se déroulant en pleine crise de schizophrénie du côté des spécialistes de la SSI, la moitié d’entre eux conspuant les énormités publiées par la presse en général, la seconde moitié (bien souvent appartenant à la même entreprise ou organisation) s’empressant de rédiger communiqués de presse sur messages twitter pour hurler au loup plus fort que le concurrent. Même les organismes officiels ( l’Anssi, Europol, l’Enisa ) y vont de leur avertissement. L’Otan déclare également les Patries en Danger et réclame une « réponse concertée ». Encore faudrait-il déterminer dans quelle direction orienter les cybercanons, chargés avec quel type de cyber-obus et de quelle manière endosser les cyber-gilets pare-virus. Une fois de plus, l’effet Stuxnet frappe fort et la profession perd quelques points dans l’estime et le niveau de confiance des victimes réelles ou potentielles. Qui croire ? A force de refuser toute communication par crainte de trahison des propos techniques (lesquels sont inévitables ), les chercheurs en sécurité, les vrais, délèguent par défaut ce pouvoir aux « vendeurs »… après tout, il est toujours plus facile et rassurant de condamner le messager que celui qui pousse le cri d’alarme. Simple question de realpolitik économique.

Que doit-on retenir de Petya++ ?

– Qu’il est possible de l’appeler par n’importe quel nom si l’on en juge par les efforts des responsables marketing du secteur de la défense périmétrique. Hélas, contrairement à Heartbleed et autres attaques médiatiques du même calibre, ce virus n’est pas accompagné d’un joli logo.

– Qu’il permet enfin, après le vent du boulet médiatique Wannacry, de justifier auprès des Directions Générales de moyens humains et budgétaires jusqu’à présent gelés, voire dans certains cas, en net repli. Et peut-être de toucher la corde sensible des usagers jusqu’alors hermétiques aux campagnes de sensibilisation.

– Qu’il soulève une fois de plus la question de la complexité des déploiements de correctifs, tests de régression ou gestion des procédures de remédiation automatique (NAC et assimilés) capables de bloquer une infection « interne » déclenchée par un ordinateur mobile ou… un port 445 laissé ouvert.

– Que oui, sans l’ombre d’un doute, une attaque du calibre de Wannacry est généralement suivie d’une réplique telle que überPetya. Une réplique qui ne se contente pas d’être une simple mutation du code originel. Le fait que Petya_Wrap intègre une interprétation de EternalBlue, exploit de la NSA sur une faille SMB v1, et qu’il soit apparenté à la classe des ransomwares ne doit pas cacher que les auteurs de malware aiment perfectionner leurs œuvres en multipliant les vecteurs de propagation. Cette fois, outre la faille SMB « made in NSA », était ajouté PsExec (très officiel outil de prise de contrôle à distance de Microsoft) et LsaDump, outil originellement intégré à Mimikatz, chargé du dump de la SAM (base de données des comptes d’un système Microsoft). Et très franchement, le grand public se moque de ces subtilités. Seuls les artilleurs savent ce que contiennent leur charge utile.

Ce genre d’évolution, ou plus exactement de variations sur un thème, est un « même » dans le monde de l’édition de virus. On ne compte plus les variantes, échos, répliques ou retrofits de Stuxnet par exemple. Certes, la composition du cocktail varie fortement, la complexité des mécanismes d’évasion et de virtualisation évolue, les erreurs de jeunesse grossières sont éliminées. Mais NotPetya est indiscutablement un descendant ou une inspiration de WannaCry, quand bien même dans le détail technique, il en serait très éloigné.

– Qu’il existe de fortes présomptions que l’agression ait été pilotée par un Etat-Nation, en raison de la concentration des frappes dans la cybérie Ukrainienne, ainsi que l’affirme l’éditeur d’antivirus Eset (juge et partie, faut-il le rappeler). Les éventuels indices nationaux cachés dans le code sont, quant à eux, bien plus sujets à caution mais, en revanche, cette vague virale est concomitante à une intensification des accrochages (très peu virtuels ceux-là) entre la Russie et l’Ukraine. Les officiers supérieurs du renseignement Ukrainien sont frappés d’une épidémie fatale, et les hasards ou coïncidences, dans ce genre de situation, sont hautement improbables. Il va sans dire que la seule évocation de cette hypothèse dans les milieux « autorisés » soulève en général un tollé de protestations. « Impossibilité technique de l’attribution », « complexité des moyens pouvant servir à remonter l’origine de l’agression », « délires paranoïaques de gratte-papiers en mal de sensationnalisme »… Et c’est bien là le second syndrome schizophrénique du monde de la recherche SSI. Il est de bon ton d’admettre officiellement que certains chercheurs travaillent ouvertement dans le business de la faille militarisée, mais plus difficile de reconnaître que, parfois, ces mêmes entreprises dérapent (Amesys, Hacking Team) ou fassent l’objet d’une polémique (Vupen). Voir que leurs propres clients, considérés comme irréprochables, puissent à leur tour se faire pirater et leur arsenal vendu à l’encan, puis utilisé ensuite par d’autres techno-barbouzes, sous d’autres étendards. Hélas, plus le temps passe, plus les exemples prouvant le contraire se multiplient, moins les professionnels parviennent à accepter cette responsabilité partagée.

– Qu’aucune grande entreprise ou administration n’a eu, bien entendu, à souffrir de dommages collatéraux ni a été frappée par Petya 2.0, toute question aux services de communication extérieure desdites entreprise se soldant par une réponse formulée dans la plus pure des langues de bois. On en arrive à se demander si vraiment ce virus a existé.