mai 15th, 2018

C’est l’histoire d’un stockage Cloud qui expose 50 Go de données d’un compte appartenant à un spécialiste de la Business Intelligence Cloud et provenant probablement d’une banque de l’Etat de Virginie. Une affaire révélée par Upguard, dont le fond de commerce médiatique repose sur les fuites cloud et qui, depuis, a retiré son article.

Dans le rôle du stockage fuiteux l’omniprésent S3 d’Amazon Web Services. Dans celui du client Amazon, la société Birst, laquelle commercialise un service de « cloud-based business intelligence platform ». Et dans le rôle de la victime… ce n’est pas très clair. Upguard désigne tout d’abord la banque Capital One, et affirme avoir retrouvé les noms de quelques clients et des condensats de mots de passe. En d’autres termes, le sésame nécessaire pour pénétrer dans le système de B.I. de Birst… en admettant que l’on puisse trouver moyen d’accéder au-dit système via le réseau interne reliant la banque et son prestataire de service. Voilà qui est moins évident.

Le magazine en ligne HackRead bondit sur l’information, mais rapidement, le banquier dément.« Les seules données qui ont pu être récupérées appartiennent à Birst, les informations concernant nos clients demeurent inviolées » rapporte Silicon Angle. Exploitation fantasmatique, origine des fichiers discutée, le sensationnalisme initial retombe comme un soufflet.

De l’autre côté de l’Atlantique, nos confrères de ZDNet, dans un article signé notamment par Rayna « maliciarogue » Stamboliyska, narrent la mise à nue très discrète de quelques 700 000 identités de lecteurs de l’Express (60 Go au total), retrouvées par le plus grand des hasards sur une machine abandonnée… mais en ligne, dans une base de données accessible sans mot de passe… mais inutilisée. Les informations sont sauvegardées « au cas où » par un bon samaritain résidant en Floride, lequel prévient illico les responsables du média… en vain semble-t-il, car de multiples attaques et tentatives de chantage au « cryptovirus » se succèdent par la suite. « Données antiques, serveur inutilisé depuis longtemps » réplique la direction du journal, ce que démentent nos confrères, preuves à l’appui. Et puis, antique ou pas, le nom d’un abonné ne s’altère pas dans le temps.

Ces deux histoires sans morale ne sont pas sans enseignement.

Les « experts en sécurité », considérés comme source fiable (tel Upguard) bâtissent leur célébrité sur des effets d’annonce, quitte parfois à exagérer certains faits ou avancer des hypothèses fantaisistes. Les habitués de la chasse aux données exposées jouent sur le flou qui existe entre une ressource accessible et une ressource effectivement piratée. La majorité des médias grand public ne font pas cette différence, et la peur fait vendre du papier, voir accessoirement des contrats et des licences logiciel.

D’autres experts en sécurité (Birst, Deloitte …) commettent des erreurs que l’on pourrait parfois qualifier de débutant. C’est d’ailleurs ce genre d’étourderie que chassent quotidiennement les équipes d’Upguard, dans le but de rédiger un billet dans le plus pur style YACSF (Yet Another Cloud Security Failure).

La vérification de l’information et du niveau d’expertise de la source par les médias relève de l’exploit. En toute logique, l’opinion d’un spécialiste de la SSI ne peut être contredite que par un autre spécialiste aussi compétent dans le domaine d’investigation considéré. Et par habitude corporatiste, il est rare qu’un spécialiste SSI se risque à critiquer un confrère. Quant à l’avis de la « victime », il a de fortes chances d’être biaisé, elle-même cherchant à minimiser les risques vis-à-vis de ses propres clients, qu’ils soient lecteurs d’un magazine ou, à plus forte raison, clients d’un organisme bancaire vendeur de « confiance ».

Enfin, les prestataires de services Cloud fonctionnent encore sur le mode « vos données sont nos données à tous », laissant aux exploitants, sous prétexte de souplesse d’utilisation, la responsabilité de gestion des différentes couches de protection, à commencer par le chiffrement systématique des informations hébergées.

C’est par une annonce publique sur le forum Mozilla/dev/Sec ainsi que par un billet de Blog que DigiCert annonce la répudiation de près de 23000 certificats SSL commercialisés par l’un de ses revendeurs Britanniques, Trustico.

Initialement, c’est le revendeur lui-même qui demande à DigiCert, en début du mois de février, la révocation de plus de 50 000 certificats provenant de l’ancienne infrastructure C.A. de Symantec. Or, les PKI de Symantec, tout comme celles de Tawte, RapidSSL, Verisign et Geotrust, ont été rachetées par DigiCert courant 2017. La demande est légitime et s’adresse bien aux bonnes personnes.

Mais est-elle justifiée ? s’interroge l’Autorité. Car en général, une demande de répudiation relève de la responsabilité de son possesseur (ou du C.A. pour des raisons techniques), et non d’un intermédiaire. Les administrateurs de DigiCert exigent des explications et des preuves, ce à quoi la société Britannique répond en expédiant, par email, quelques 23000 clefs privées, lesquelles ne sont a priori jamais détenues par un intermédiaire. Fut-il de confiance. Le courrier électronique n’étant pas particulièrement répertorié au nombre des procédures de transmissions sécurisées et la possession des clefs privées prouvant la vulnérabilité de la chaîne de confiance, les 23000 certificats en question font l’objet d’une procédure d’immolation immédiate. Ce qui place au passage quelques administrateurs de serveur Web https dans un certain embarras.

Si l’on en croit les responsables de Trustico, il n’y a jamais eu compromission de leurs propres serveurs, la révocation n’étant justifiée que par le manque de confiance envers l’infrastructure Symantec qui avait, par le passé, connu quelques problèmes de sécurité. Ce que n’explique pas en revanche ces mêmes responsables, c’est la manière avec laquelle ils sont entrés en possession des clefs privées.

Le bilan annuel 2017 de la Commission chargée de la protection des données en Irlande fait état d’une augmentation des plaintes de 79% et d’un accroissement de 26% des cas de compromission de données personnelles.

Sophistication du ransomware Thanatos . Selon Bleeping Computer , il chiffre chaque fichier avec une clef différente… mais oublie de stocker ladite clef. Déchiffrement impossible hors brute-force des fichiers un à un.

Xi Jinping plus fort que le FBI : Apple, rapporte Guizmodo , a accepté de stocker les clefs de chiffrement iCloud sur le territoire Chinois, donnant ainsi aux autorités le pouvoir d’intensifier la surveillance de son Internet.

Le « Rapport global 2018 sur les menaces » de Crowdstrike laisse entendre que les techniques et stratégies adoptées par les « cyber-combattants » des Etats-Nation s’apparentent de plus en plus avec celles adoptées et mises au point par les délinquants numériques (ransomwares par exemple citent les rédacteurs du rapport), tandis que du côté obscur, les attaquants utilisent des vecteurs plus ciblés, plus sophistiqués que par le passé, et dignes des cyber-armes qu’utilisent les services régaliens des différents pays.

Il faut dire que les fuites de certains outils utilisés par les barbouzes des agences US à trois lettres ont grandement contribué à cette évolution. A vouloir jouer avec des outils de truands, on finit par leur ressembler, à force d’accroître l’usage risqué desdits outils, on s’expose également au risque de les voir se retourner contre leurs auteurs.

La situation ne semble pas franchement s’améliorer à court terme, si l’on se réfère aux propos du patron de la NSA, Mike Rogers (rapportés notamment par le Register ), lequel patron semble presque regretter que la Maison Blanche n’ait pas autorisé ses services spéciaux pour lancer une contre-attaque visant la Russie, en réponse aux tentatives d’interférence de Moscou durant la campagne électorale présidentielle. Tempête sous un crâne d’amiral. D’une part, le désir de riposter, ce qui pourrait s’apparenter au pire à un acte de guerre, au mieux à une provocation pouvant entraîner une escalade de la cyber-violence. D’autre part, la nécessité, le devoir d’obéir à l’exécutif, et de passer pour un faible vis-à-vis de l’adversaire, torture insoutenable pour un militaire.

Une troisième voie tactique consisterait à employer des supplétifs, des mercenaires numériques, avec la fameuse formule « si vous ou l’un de vos agents étiez capturé ou tué, le Département d’État nierait avoir eu connaissance de vos agissements. Bonne chance Mr Phelps ». C’est d’ailleurs un sport que pratiquent avec adresse tant le Kremlin que Pékin. En cas d’attaque reprochée, tirez à boulet (rouge bien entendu) sur quelques « gangsters social-traîtres révisionnistes et nihilistes qui seront impitoyablement pourchassés ». Personne n’est dupe, mais l’attribution d’une APT relevant plus du probable que de la certitude, les apparences sont sauves et la voie diplomatique intacte.

Il n’existe que deux certitudes en ce monde, dit-on : la mort et les impôts. Avec un Bitcoin à plus de 9000 USD (après un coup de fièvre à 17 000 $), et à la lumière des différentes escroqueries qui ont émaillé le petit monde des monnaies virtuelles, il était logique que les administrations fiscales des différents pays commencent à fouiner dans les portefeuilles des mineurs. Et pour s’éviter du travail, lesdites administrations bousculent un peu les responsables de plateformes d’échange. Ainsi, l’IRS (USA), après une partie de bras de fer juridique, a convaincu Coinbase de lui communiquer les détails des 13 000 clients possédant plus de 20 000 équivalents dollars. Coinbase a dû prévenir ses usagers en tentant de faire bonne figure.

Un percepteur peut en cacher un autre. Pour preuve, cet article du Guardian intitulé « Les patrons de l’économie Européenne veulent règlementer le Bitcoin si les risques ne sont pas maitrisés ». Cette décision de la Banque Centrale Européenne aurait des conséquences comparables à ce qui se passe de l’autre côté de l’Atlantique. Dans le but avoué de contrôler les inflations spéculatives et surtout de lutter contre les circuits de blanchiment d’argent ou les réseaux de financement du terrorisme, les administrations fiscales des 28 auraient la possibilité d’exiger l’identité des clients des plateformes d’échange situées en Europe. Et le Guardian de reprendre l’expression d’Agustín Carstens, patron de la Banque des Règlements Internationaux : « Le Bitcoin est un mélange de bulle économique et de chaîne de Ponzi, et sa demande énergétique en matière de calcul de chaîne de blocs est un désastre écologique ».

Le MineFi, pour sa part, nommait récemment un « monsieur Bitcoin » en la personne de l’ancien gouverneur de la Banque de France Jean-Pierre Landau. Lui aussi semble éprouver une certaine défiance envers les crypto-monnaies. Il déclarait, avant même de se voir confier cette mission, que « les cryptomonnaies étaient la tulipe des temps modernes ».

Quant à la DGfip, elle rappelait, mi-janvier, que s’il n’y avait peut-être pas d’imposition sur la plus-value des monnaies virtuelles (puisqu’il ne s’agit pas d’un bien mobilier), leur possession était soumise aux 17,2% de CSG ainsi qu’à l’impôt sur le revenu… avec des taux d’imposition pouvant atteindre 45% pour les tranches les plus élevées. Les centres de recette peuvent également jouer les prolongations, classant le « happy taxpayer » soit sous le statut de particulier soumis aux « bénéfices non-commerciaux », soit sous celui des bénéfices industriels et commerciaux en fonction de la fréquence et du volume des mouvements. L’imposition de la plus-value est encore entourée d’un flou administratif, mais il est utile de se rappeler que le ministre des Comptes publics, Gérald Darmanin, avait demandé, courant décembre dernier à l’Administration Fiscale d’appliquer cette taxe. La règlementation en matière d’imposition est probablement plus complexe qu’un calcul de blockchain.

Si les inspecteurs des contributions sont capables de tracer « certaines » transactions, on peut émettre des doutes quant à leur capacité à retrouver un contrevenant réellement impliqué dans des activités illégales. Les portefeuilles sont souvent hors de portée juridique et la traçabilité quasiment impossible si les transactions ont été filtrées par des « mixers ».

« Un abominable fouillis »,c’est ainsi que Lawrence Abrams de Bleeping Computer, qualifie le ransomware Anabelle, lequel tient plus du PoC que d’une véritable attaque. Mais un Poc façon couteau Suisse, avec une foultitude d’exploits.