Archives

Le Directeur de la Communication de BAE Systems se frotte les mains : le « rapport sur la campagne Snake et sa boîte à outils de cyber-espionnage » (inscription préalable nécessaire) fait grand bruit : Les principaux réseaux informatiques d’Ukraine seraient infectés par un formidable et omniprésent logiciel d’espionnage furtif. Cette transmutation d’une cyber-campagne martiale en techno-campagne marketing rappelle sans coup férir les cris d’orfraie poussés par Symantec durant les opérations Titan Rain, Night Dragon, Aurora, ceux de McAfee dévoilant le cyber-blitz ShadyRAT ou le ton dramatique de Mandiant lors de la publication de son rapport sur les APT, voire la formidable campagne médiatique après la découverte de plusieurs souches du virus Stuxnet dans les bac à sable de plusieurs chasseurs de virus des pays de l’Est.

En quelques heures, le rapport BAE était cité par Le Parisien, le NYT, le Monde, France Info, The Australian, Al Jazzera, le FT… Pas un quotidien n’a su résister à la tentation d’ajouter un peu de « cyber » à la menace de conflit militaire en Crimée.

Beaucoup commettent de joyeux mélanges en comparant ce large déploiement de logiciels d’espionnage (dont les premières souches ont été détectées il y a bientôt 4 ans) et l’attaque éclair ciblée de Stuxnet. Snake appartient pourtant indiscutablement à la catégorie des APT. Son origine Russe soupçonnée rappelle également les premiers bruits de cyber-bottes que l’on avait cru entendre aux premiers jours de l’affrontement qui opposa la Russie et la Géorgie en 2008. Mais tout comme les « éléments paramilitaires » et véhicules sans immatriculation qui parcourent la côte, de Féodosia à Sébastopol, il est impossible d’attribuer formellement une nationalité aux auteurs et aux pilotes de ce drone numérique.

Après la faille « double Goto » d’Apple qui fragilisait l’un de ses principaux mécanismes de chiffrement, c’est au tour de Linux de se découvrir un défaut très proche affectant un outil semblable. La faille existe depuis au moins 2003.

Immatriculé CVE-2014-0092, ce trou GnuTLS porte également sur une erreur de programmation dans la partie chargée de la vérification du certificat. Comme il s’agit là d’un bug touchant une bibliothèque de fonction, toute personne utilisant GnuTLS sur la quasi-totalité des noyaux Linux (et pas mal de ses dérivés) est donc susceptible d’être victime d’une attaque via un certificat forgé dont l’authenticité est invérifiable. Une fois encore, le problème a été causé par une succession d’intructions Goto dont l’invocation avorte la procédure de vérification du certificat X509 émis par le correspondant d’une transaction sécurisée.

Une explication très clairement vulgarisée est donnée par Sean Cassidy sur le blog Existentialize, la version corrigée se trouvant sur Gitorious. Il est cependant conseillé d’effectuer une mise à niveau avec les versions 3.2.12 ou 3.1.22 de GnuTLS.

Si le trou Apple affectait un parc important de téléphones, appareils mobiles et stations de travail dépendant d’une marque bien précise, la faille GnuTLS concerne un « marché » bien plus vaste, comptant plusieurs centaines de noyaux différents. La mise à niveau risque donc de prendre un temps certain, et la fenêtre de vulnérabilité pourrait perdurer durant plusieurs mois comme certains défauts Bind qui ont eu la vie très dure.

Il était attendu, le discours d’ouverture de la RSA Conference prononcé par Art Coviello, Grand Timonier de RSA. Attendu et sans surprise d’ailleurs. Car, que peut dire le patron d’une entreprise Etats-Unienne, qui, de tout temps, a reconnu pratiquer une politique de « productive collaboration » avec les services d’intelligence de son pays. Une conférence qui se déroule dans une atmosphère de crise de confiance, alors que l’entreprise a, coup sur coup, été victime d’une compromission de son système de certificats (mars 2011, le fonds de commerce historique de l’entreprise) puis accusé d’avoir, contre la somme de 10 millions de dollars versé par la NSA, compromis l’outil de chiffrement Bsafe. Le scoop de l’agence Reuter a fortement marqué les esprits. Cette attitude jugée compromettante a entraîné une campagne de boycott de la manifestation. Boycott qui est passé pratiquement inaperçu, puisque la majorité des « grands » de la sécurité et de l’informatique communicante avait stands et orateurs dans l’enceinte du Moscone Center de San Francisco. Les participants aux conférences alternatives (notamment TrustyCon et Security B-Side) faisaient amèrement remarquer que, précisément, une majorité d’entreprises présentes étaient impliquées dans le programme Prism ou voyaient leur nom figurer en bonne place au fil des « Snowden Files ».

Et c’est d’ailleurs l’argument que reprend Coviello lui-même. L’industrie de la sécurité est « largely already supporting it » dit-il en substance en parlant de la NSA. Et de déplorer que « lorsque la NSA estompe les limites qui séparent les rôles défensifs des actes offensifs, cela devient un problème ». Il en appelle à une définition claire des métiers de chacun pour effacer toute suspicion, pour se démarquer des actes de cyber-guerre, et de réclamer tant une coopération que des efforts de gouvernance accrus de la part des Etats-Nation et des industriels eux-mêmes. Dirigeants de tous pays, unissez-vous ! Sinon le business de la confiance va y laisser des plumes.

Pendant ce temps, la Silicon Valley voit fleurir de plus en plus d’entreprises se disant« spécialistes de la cyberdéfense proactive à destination des opérateurs d’importance vitale et autres entreprises sensibles ». Le catalogue des dispositifs de surveillance de la NSA publié par le journal Spiegel, la révélation jour après jour de nouveaux dérapages des services des « Five Eyes » ou des « Nine Eyes » envers la population civile montre à quel point une attitude pudibonde serait aussi déplacée qu’un aveu de collaboration. Dure métier que celui de vendeur de sécurité. RSA n’est qu’un acteur parmi tant d’autres entraîné, sinon dans une militarisation, du moins dans une radicalisation des professions de la sécurité des TIC.

En synchronisme avec le déroulement de la RSA Conférence, Safenet, un spécialiste US des mécanismes de chiffrement et fournisseur attitré de l’Administration Fédérale, vient d’ouvrir un site web couleur « anxiété mitigé statistiques ». Il s’agit du Breach Level Index, une sorte de compteur géant qui affiche en pseudo temps-réel l’évolution mensuelle des compromissions de systèmes d’information. C’est, en quelques sortes, un concurrent mieux habillé mais peut-être moins indépendant que le célèbre Dataloss database.

Discrète annonce de Juniper durant la RSA Conference : Argon Secure sera intégré aux passerelles de service SRX Series. Argon Secure est une sorte de « deception toolkit » (un honeypot en d’autres termes) destiné à détecter une activité non conforme et surtout non répertoriée au moment de l’attaque. Cette collection comporte une cinquantaine de leurres embarqués. Cette association IDS/honeypot/équipements de commutation tend à se généraliser auprès de la majorité des grands équipementiers. Le pot de miel, considéré longtemps comme une perte de temps et une usine à générer des logs kilométriques et des faux positifs, devient peu à peu une « commodité ».

Trouver une aiguille dans une botte de foin, analyser les fameux « minority reports » car ce sont précisément ces anomalies imperceptibles dans les flux qui caractérisent une probable activité anormale, une menace, permanente ou soudaine. En d’autres termes, Red Owl est spécialisée dans l’analyse des métadonnées au sein de flux et de stockages très importants (bigdata) générés par une entreprise. De manière sommaire, Reveal (c’est ainsi qu’a été baptisé le produit phare de cette start-up) affiche sur un tableau de bord qui sont les personnages et documents importants, les périodes d’activités, les comportements et les échanges entre individus au sein d’un même réseau. Les traces du logiciel sur l’analyse des contenus et les périodes d’activités sont exploitables en cas de recherche de preuve (analyse forensique), pointe du doigt les conséquences de failles de sécurité ou de conformité (notamment en matière de gestion de droits d’accès) et peuvent servir de base à l’optimisation du management et de l’analyse organisationnelle du S.I.

Mais Red Owl n’était pas la seule jeune pousse remarquable dans la« Sandbox » de la RSA Conf. Sur les dix entreprises présentes, la majorité était constituée de spécialistes de la détection/prévention de menaces. Ainsi White Op, chasseur de BoTnets, qui fournit aux professionnels du e-business (marketing, spammeurs légaux etc.) des moyens d’analyse portant sur l’efficacité de leur trafic IP. Le programme génère également des histogrammes impressionnants destinés aux « clients » ayant sous-traité leur campagne promotionnelle.

Cylance travaille plus ou moins dans le même secteur, celui de l’analyse des flux massifs et la détection d’infimes variations à des fins de détection de malwares. « Notre modèle de fonctionnement ne repose pas, à l’instar de ses concurrents, sur une classification des « bons » et des « mauvais » logiciels ou contenus, mais sur un traitement mathématique et statistique des données en flux ou stockées ». Le catalogue Cylance est déjà riche d’un outil de protection du poste de travail, d’un système de collecte de preuves et d’un outil de défense à réaction instantanée de menaces (APT/ZDE, destiné aux grands SOC d’entreprises). En préparation, un « cordon sanitaire pour site e-commerce », sorte de logiciel de détection chargé de signaler les navigateurs infectés par un cheval de Troie et susceptibles de compromettre un service Web.

Defense Net appartient à la nouvelle génération des entreprises spécialisées dans la « défense musclée ». On ne parle pas de contre-attaque, mais de résistance/résilience aux attaques en déni de service distribuées. L’entreprise propose même une infrastructure de secours qui fonctionnera en cas d’écroulement des premières lignes de défense (si celle-ci a été déployée auparavant). Les attaques en déni de service sont en constante augmentation, visant essentiellement d’ailleurs les infrastructures… de communication, et notamment les opérateurs télécom.

Light Cyber pratique la religion de la « détection prédictive d’intrusion ». La jeune entreprise commercialise notamment des appliances situées à proximité des équipements de réseau (LAN) qui détectent les postes client compromis et engage une procédure de remédiation. Les détails de l’attaque sont remontés vers un logiciel de traitement qui fournit à son tour une image globale de la santé du réseau et son éventuel état de compromission. Un service Cloud, de son côté, émet les mies à jours des appliances Light Cyber (des « analyses, pas des signatures ! Insistent les concepteurs du système)

Egalement présentes, Skycure, un nouveau venu dans le monde de la protection Byod, et surtout Co3 systems, un spécialiste de l’automatisation de réponse sur incident qui a récemment nommé Bruce Schneier au poste de CTO, peu de temps après son départ fracassant de BT.

L’opération de « croissance externe » qui a placé Sourcefire dans le giron de Cisco était observée avec attention par la communauté Snort. En général, ce genre de transaction se traduit par une absorption de la propriété intellectuelle, une récupération partielle du parc client. Les échanges permanents entre Sourcefire et la communauté Snort allait-elle disparaître avec ce mariage ?

Manifestement, Martin Roesch, père de Snort, est encore bien vivant et toujours autant attaché à la communauté Open Source qui a contribué à son succès. Les annonces émises à l’occasion de la RSA Conf 2014 le prouvent. En premier lieu, Snort (la version « libre » du Firewall) intègrera le préprocesseur OpenAppID. Cette fonction de Sourcefire est un élément important des firewall de nouvelle génération, puisqu’il prend en charge la détection, l’identification et le « reporting » d’activité des applications (ce que l’on nomme généralement par l’analyse et la remédiation de niveau 7). Avec cette « mise dans le domaine public », la communauté des développeurs Snort va pouvoir travailler à la constitution d’une panoplie de sondes et détecteurs d’applications, tout comme cette même communauté avait, jusqu’à présent, donné naissance à des quantités impressionnantes de « signatures » Snort que pouvaient exploiter les usagers tant de la version open source Snort que de l’édition commerciale Sourcefire. Outre cet enrichissement de la base « code libre », Sourcefire donne accès à une base de près de 1000 détecteurs OpenAppID déjà développés. Jusqu’à présent donc, la fusion Cisco-Sourcefire n’a pas coupé le lien entre les Ham-ateurs et les professionnels du NGFW. L’annonce officielle de l’intégration d’OpenAppID dans Snort 2.9.7.0 Alpha fait l’objet d’un billet en date du 27 février sur le blog Snort.

Le volet commercial de l’opération, lui aussi, se porte comme un charme, puisque tout le catalogue «sécurité des contenus » de Cisco va progressivement inclure la technologie Advanced Malware Protection de Sourcefire. Les différents boîtiers de sécurité dédiés (services de messagerie, Web, accès Cloud) ne fonctionneront dont plus nécessairement en « silos », mais pourront alimenter par un monitoring permanent les plateformes de supervision grâce à AMP, et ainsi fournir les métriques et éléments d’analyse avant, pendant et surtout après sinistre et/ou menace. Cela ne veut pas dire pour autant que du jour au lendemain tous les clients Cisco seront des clients Cisco/Sourcefire. Ils ne le seront que potentiellement, AMP étant disponible sous forme de licence optionnelle.

Apple vient de corriger son noyau iOS qui était affecté par une erreur de programmation (CVE-2014-1266). Cette faille concernait la gestion des communications chiffrées SSL qui devenait susceptibles d’être interceptées et modifiées par un attaquant situé sur le même réseau que celui utilisé par la machine-victime. Le problème concerne les liaisons établies avec le navigateur Safari. Chrome et Firefox ne sont pas concernés et peuvent donc être employés en toute tranquillité. La vulnérabilité serait postérieure à octobre 2013, dixit Stefan Esser.

La faille a fait l’effet d’une bombe dans les communautés de la sécurité et de la programmation. Non pas en raison de l’existence même de cette faille (il en est souvent d’encore plus critiques) mais de par sa nature. Matthieu Suiche l’explique très clairement : le bug est provoqué par une double instruction « Goto », ce qui crée, avec la seconde occurrence, un branchement inconditionnel dans une procédure pourtant censée vérifier un bon fonctionnement. Parvenu à ce point, le programme oublie simplement de continuer sa vérification. La bévue est d’ailleurs tellement énorme que le chercheur Français se demande s’il s’agit bien d’une erreur humaine. La majorité des compilateurs tirent un signal d’alarme s’ils rencontrent un tel branchement inconditionnel à moins que les options de compilation correctes n’aient pas été validées explique en substance Suiche. Or, dans une entreprise de l’importance et du sérieux d’Apple, on peut douter que de telles bonnes pratiques aient pu être négligées à ce point. Surtout dans le contexte actuel de la crise Prism.

Pour Steve Bellovin, voir la main de la NSA derrière le Goto Fail Bug frise peut-être la paranoïa ou l’amour du roman noir. Ce n’est là qu’un gros bug, la preuve d’une certaine légèreté de la part d’Apple en matière de bonnes pratiques de programmation et de contrôle-qualité du code. Bellovin, avare de billets de blogs durant ces quatre dernières années, a pourtant pondu deux articles sur le sujet. L’un technique, l’autre spéculativo-politico-stratégique. Il y a tellement peu d’intelligence derrière cette faille qu’il serait vain d’imaginer celle (d’intelligence) d’un service d’Etat, explique-t-il en substance. Si la majorité des arguments de ce Grand Maître de la Sécurité Informatique est frappée au coin du bon sens, l’argument principal demeure cependant un peu faible. L’argument du « trop gros pour être crédible » ( this is too visible and too clumsy) est précisément un principe élevé à la hauteur d’une religion chez les auteurs de malwares et les spécialistes des escroqueries en tous genres. Et puis, toute « visible » et toute « clumsy » qu’est cette faille Goto, elle a su survivre à l’insu de tous durant une période relativement longue. On a connu des cousins de Stuxnet bien moins vivaces.

Toutes aussi claires (et en Français) les explications de MM Nicolas Kerschenbaum, Miguel Enes et Fabien Jobin du Cert Lexsi, avec un superbe organigramme en prime. Ajoutons que Stephan Esser propose un correctif non officiel pour OSX.

Côté programmeurs, rarement une telle erreur n’aura soulevé autant de commentaires et ressuscité cette vieille querelle à propos de l’usage immodéré de l’instruction Goto. Laquelle fait ressurgir le spectre des codes spaghetti des branchements sauvages en Basic. Mais, dans ce cas précis, l’usage du Goto et les erreurs qu’il provoque n’ont rien à voir avec les principes de la programmation structurée. Return.

Microsoft profite de la RSA Conference pour lancer la préversion technique d’Emet 5.0 , l’ Enhanced Mitigation Experience Toolkit. Cette annonce survient la même semaine que celle faite par Jared DeMott (Bromium), et intitulé Bypassing Emet 4.1. Certaines traductions sont parfois totalement inutiles.

Si Emet renforce (et force) l’usage de mécanisme de protection tels qu’ASLR ou DEP, il est vulnérable à une forme de contournement baptisée return oriented programming (ROP), laquelle s’affranchit des interdictions de DEP et d’ASLR. Un PoC a d’ailleurs été écrit par l’équipe de Bromium en utilisant une faille I.E. (CVE-2012-4969) pouvant désactiver la totalité des 12 mécanismes de protection qu’Emet est censé déclencher.

Ces travaux ont fait l’objet d’une communication à l’occasion de la conférence B-Side SF, sorte d’anti-RSA Conference gratuite et ouverte à tous, manifestation qui se déroule traditionnellement à deux pas du Moscone Center.

Fabien Perigaud et Cedric Pernet se sont lancés dans l’écriture d’un roman cyber-policier, avec ses intrigues, ses rebondissements, ses improbables indices et l’inévitable « petite erreur » commise par le malfaiteur qui permettra aux héros de l’histoire de remporter une indiscutable victoire contre les forces du mal. Fermez le ban.

L’intrigue débute sur les plages pas tout à fait désertes d’un disque dur de province, à 400 kilomètres de la ville-capitale. L’innocente machine a succombé aux charmes d’un vil ransomware nommé BitCrypt, spécialiste de la prise de données en otage et de la demande de rançon en Bitcoins. Le suspense est à son comble lorsque le malware s’empare de tous les fichiers utilisateur et les modifie en utilisant un mécanisme AES, avec salage, clef de 1024 bits (en apparence) et tout ce qu’il faut pour rendre ces informations inaccessibles. La suite (et l’heureux dénouement) sont à découvrir sur le site de Cassidian/Airbus Defense and Space. Vivement la parution de l’épisode S01E02.