Archives

Le second mardi du mois, jour d’ouverture des Tech’Days Parisiens de Microsoft, a vu la publication d’un lot de correctifs relativement important. C’est le lot de la majorité des mois pairs. 31 trous, 24 d’entre eux exploitables à distance, deux possibilités d’élévation de privilège, deux risques de fuites d’information, deux probabilités d’attaques en dénis de service et un défaut ASLR. Les failles jugées les plus critiques et devant être corrigées de manière urgente portent les immatriculations MS14-010, MS14-011, MS14-005, MS14-007 et MS14-008. L’habituel cumulatif I.E. ( 14-010 élimine à lui tout seul 23 trous de sécurité.

Chez Adobe,un seul correctif, concernant Shockwave, et éliminant deux failles. Cette mise à jour porte aussi bien sur les éditions Windows qu’OS/X.

Olivier Laurelli, plus connu sous le nom de plume Bluetouff, vient d’être condamné en appel pour s’être rendu responsable d’un « accès frauduleux dans un système de traitement automatisé de données », et de « maintien frauduleux et vol de documents ». La première accusation n’a pas été retenue, il eut fallu expliquer pourquoi Google avait pu indexer lesdits fichiers et donc les rendre téléchargeables. Rappelons rapidement qu’en première instance Laurelli avait été relaxé, et que le plaignant avait reconnu que de monstrueuses erreurs d’administration avaient permis de rendre public un nombre important de fichiers destinés à l’intranet de l’organisation en question (l’Agence nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail alias ANSES).

Mais le Ministère Public a fait appel et décidé qu’il y avait eu intention frauduleuse, arguant de l’évidente mauvaise foi d’Olivier Laurelli. L’on pourrait rétorquer que, dans le monde journalistique, l’usage du « index of » dans une requête Google relève non pas de la mauvaise foi mais du réflexe professionnel, compte tenu du joyeux capharnaüm (et le mot est souvent faible) qui règne dans l’organisation des sites internet en général, et des dépôts de documents destinés à la presse en particulier. Différents articles, publiés notamment dans les colonnes de Numérama ou de celles du blog Big Brother du journal Le Monde insistent sur l’apparente ignorance du juge chargé de l’affaire et de l’absence d’expert pouvant l’assister dans sa charge.

L’on se demande alors si le fait effectivement troublant d’utiliser un proxy situé à l’autre bout du monde n’aurait pas confirmé le Ministère Public dans son opinion lui permettant de conclure à l’intention frauduleuse et à la mauvaise foi ? La chose est peu probable compte tenu de l’ignorance déclarée tant du juge que de l’Accusation… le détail est trop subtil alors que, de l’avis même dudit Ministère Public (propos rapportés par nos confrères de Mediapart) : « la moitié des termes que j’ai entendus aujourd’hui, je ne les ai même pas compris ». Quand bien même cet argument aurait été retenu que l’usage de ce proxy était justifié dans le cadre du travail effectué par Olivier Laurelli. Lequel proxy ne servait pas à camoufler une opération de piratage visant un serveur français (le procédé aurait été un peu transparent) mais à isoler l’enquêteur qui travaillait alors sur le régime Syrien. Quand tu dînes avec le diable, prends une grande cuillère.

Coupable alors en raison du volume des documents téléchargés ? (8000 fichiers). Là encore, l’argument est peu probable. Il reviendrait à estimer l’ampleur d’un « volume nécessaire » qu’un journaliste ou blogueur est en droit de récupérer à des fins d’information.

En fait, ce jugement semble montrer à quel point les textes liés à la « protection des S.I. », notamment la LCEN et Loppsi2, ont été aussi peu compris tant par ceux qui les ont rédigé que par ceux qui sont chargés de leur application. Ce sont là des lois tentant de répondre techniquement à des problèmes techniques (qu’est-ce qu’une intrusion via Google, qu’est-ce qu’un vol de fichier indexé par un moteur public qui plus est d’origine étrangère) alors que l’esprit des lois aurait plutôt tendance à conseiller une solution politique pour résoudre tout problème technique. Bluetouff, qui n’est ni un collectionneur de fichier Ukrainien, ni un hacker Pékinois de l’Armée Populaire, sert ici de parafoudre, victime de dispositions destinées à protéger un patrimoine informatique national très fantasmé contre des attaquants encore plus fantasmés qui auraient l’extrême amabilité d’agir à l’intérieur de nos frontières. A l’heure des révélations Snowden et des intrusions perpétrées par des forces alliées et « bienveillamment ignorées » par un Ministère Public qui pourrait parfaitement s’autosaisir de ces affaires d’espionnage, il serait peut-être temps d’abroger ces textes en grande partie inadaptés et de chercher à défendre effectivement les infrastructures numériques intérieures des assauts de personnes un peu plus dangereuses que celles d’un blogueur Parisien.

L’affaire n’en restera pas là. « C’est décidé, on forme le pourvoi devant la Cour de cassation contre cet arrêt inique » déclarait un message Tweeter émis par Maître Olivier Iteanu dans le courant de la journée du 6 février.

« On n’y pouvait rien, ils étaient vraiment trop subtils et trop forts, c’était imparable ». Les patrons de Target et Neiman Marcus, dont le hack des serveurs a provoqué l’une des plus formidables fuites de données de la décennie, invoquent leur totale impuissance face à des attaques aussi sophistiquées nous apprennent nos confrères de Network World.

Il est de tradition, dans le métier de CxO, d’invoquer l’équivalent de la clause de conscience lorsque les évènement les dépassent. Elle prend alors le nom soit d’attaque sophistiquée, soit d’APT (advanced persistant threat). « De nouvelles règlementations n’auraient rien pu faire devant des adversaires aussi déterminés et compétents » affirment en substance les avocats des deux grandes chaînes de magasins.

Dans le camp opposé, celui des victimes et des accusateurs qui soupçonnent un certain laxisme dans les processus de traitement des données clients, on fait remarquer qu’une telle mésaventure ne serait jamais survenue en Europe. En effet, l’identité bancaire des clients a pu être subtilisée grâce à une attaque « man in the middle » opérée entre le lecteur de cartes de crédit et le système informatique. Sur ce trajet, les données ne sont pas chiffrées. « Si les grandes chaînes de commerce acceptaient d’adopter les cartes à puce, dont les échanges sont chiffrés, de telles attaques n’auraient aucune chance de succès ». Rappelons qu’en France, les cartes à puce sont intégrées aux systèmes de payement électronique depuis 1980.

L’uniforme impressionne toujours, y compris lorsqu’il se limite à un logo apposé sur un message électronique. Généralement, à ce stade, on parle de phishing par intimidation. Lorsque de surcroît ce courriel en profite pour chiffrer un disque dur pour en interdire l’usage tant qu’une amende n’aura pas été versée, cela devient un « police ransomware », un mouvement très tendance, comme on dit dans le milieu de la mode. Le European Cybercrime Centre (EC3) d’Europol lutte depuis quelques années contre ce genre d’escroquerie, et démantèle régulièrement des réseaux dont les cerveaux sont généralement situés dans les pays de l’ex Union Soviétique

A la suite d’une récente série d’arrestations, l’EC3 et la police Hollandaise ont publié un rapport et quelques métriques sur cette forme de cyber-délinquance. Les victimes ayant accepté de payer les « cyberamendes » se compteraient par milliers dans le monde, chiffre en constante augmentation compte tenu de l’évolution technique des ransomwares vers de nouvelles plateformes (terminaux mobiles notamment). En moyenne, 3% des victimes acceptent de payer sans discuter entre 50 et 150 Euros. Soit, pour la seule zone européenne, 800 personnes sur un parc estimé de 25000 machines infectées. 800 « amendes », cela représente près de 70 000 Euros, ce qui représente 40 000 Euros de cash pour les organisateurs de cette cyber-arnaque une fois les intermédiaires bancaires et techniques rétribués.

Les outils de chiffrement utilisés par ces gangs se perfectionnent, et résistent aux conseils techniques diffusés notamment par les services de police (les vrais, cette fois-ci). Les intermédiaires véreux (Ukash, Paysafe) commencent à être concurrencés par un usage plus intensif de Bitcoins.

C’est dans un cadre de publication très gendarmé que les principaux éditeurs (Yahoo, Microsoft, Google, Facebook) ont révélé le nombre de demandes Fisa (Foreign Intelligence Surveillance Act) reçu par leurs services. L’article de l’agence Reuter précise que Microsoft aurait dû répondre à environ 15 à 16000 requêtes, Google 9 à 10 000, Yahoo entre 30 et 31 000…soit une infime partie des usagers des services Internet offerts par ces grands éditeurs. « Et ça, ce n’est que la partie émergée de l’iceberg » explique en substance Sean, sur le blog F-Secure. Car les espions Etats-Uniens imposent un embargo sur tout ce qui concerne les « nouveaux services, produits ou objets » qui auraient pu faire l’objet de demandes Fisa non encore dévoilées. Ledit embargo peut être étendu sur une durée de 2 ans.

Les éditeurs ajoutent que ce ne sont là que le résultat d’une comptabilité portant sur les demandes officielles, et rien ne permet d’estimer l’ampleur des récupérations d’informations et écoutes réalisées grâce à des procédés plus discrets à l’insu des prestataires de services. Les « plombiers » du net savent être discrets, leur catalogue de jamesbonderies pullule de gadgets facilitant ces écoutes, légales ou illégales.

Ce trou Flash porte l’immatriculation CVE-2014-0497, se pare d’une pourpre cardinalice dénotant une probable (mais non divulguée) exploitation dans la nature, et touche les trois plateformes : Windows, Linux, OS/X. Mise à jour urgente recommandée. Microsoft publie derechef une alerte. Le fait qu’Adobe rompe avec la tradition du « mardi des rutines » prouve à quel point le déploiement de cette nouvelle version est urgent et nécessaire.

Un scoop de CBC News, tiré lui-même d’une révélation Snowden : les autorités spécialisées dans les écoutes électroniques (Communications Security Establishment Canada CSEC) espionnent les voyageurs utilisant les bornes WiFi mises à disposition du public dans les aéroports du pays. A l’instar de notre DGSE, le rôle du CSEC porterait essentiellement sur les réseaux situés en dehors du territoire Canadien. Cette « diversification des activités » pourrait donc être considérée comme illégale. A moins que n’aient été surveillés que les points d’accès situés en zone internationale…

Sans surprise, cette collecte portant sur les métadonnées des communications, serait dictée par le souci de défendre le pays et ses citoyens. Toujours selon nos confrères de CBC, ce système d’interception constituerait une sorte de « galop d’essais » dans le cadre du co-développement NSA/CSEC d’un outil de récolte d’informations encore plus tentaculaire. « Aucune conversation n’a été écoutée, aucun citoyen Canadien ou ressortissant étranger n’a été « tracé » » affirment les autorités. Est-il nécessaire de tracer un individu alors que l’analyse a posteriori des métadonnées qu’il laisse à l’occasion de chaque connexion réseau fournit bien plus encore aux services de police qu’un simple trajet ? Sites visités, ssid (et donc emplacement) des derniers points d’accès enregistrés, habitudes de trafic, profilage par examen comportemental ne sont que quelques aspects de ce sport moderne qu’est le « metadata porn » que décrit le document tiré des archives Snowden.

Jean-Jacques Quisquater, Professeur de cryptographie à l’Université Catholique de Louvain, a été victime d’une attaque informatique via une opération de phishing véhiculée par une fausse invitation LinkedIn. L’affaire, nous apprend De Standaard (article archivé par Cryptome ) a été découverte dans le cadre de l’enquête portant sur un tout autre piratage, celui de Belgacom dévoilé en septembre dernier par nos confrères du magazine Allemand Der Spiegel. Rappelons que c’est également grâce à des liens forgés (LinkedIn/spoofing de pages d’Intranet) qu’a été rendue possible l’attaque « man in the middle » lancée contre l’opérateur. La méthode rappelle également le hack de l’Elysée. Le hack porte la marque de la NSA, services de renseignements US, et du GCHQ (service Britannique, donc appartenant à un Etat membre de la C.E.) affirme De Standaard. Rappelons qu’une partie du code du virus d’attaque Stuxnet avait également bénéficié d’informations (certificats) dérobées dans deux départements de l’Université de Taipeh, montrant à quel point les réseaux de recherche sont une cible privilégiée des barbouzes d’Outre Atlantique. Les journalistes du Spiegel avaient également fait le rapprochement entre le hack Belgacom et celui de la compagnie pétrolière Brésilienne Petrobras en raison d’une similitude certaine dans les techniques d’attaque MIM

Il aura fallu attendre deux semaines pour que le hack d’un serveur d’Orange soit rendu public. Hack qui, aux dires de l’opérateur, aurait porté sur un peu moins d’un million de comptes (800 000 plus exactement). Une paille après l’affaire Target, mais peut-on établir un « hit parade du piratage » dans lequel les centaines de milliers d’identités perdues seraient comparées aux millions de comptes évaporés par un autre ?

Au nombre des données dérobées, les noms, prénoms, adresse email, adresse postale numéro de téléphone fixe et mobile… et numéros de RIB partiels. Assez pour forger une formidable opération de phishing avec de véritables morceaux d’authentification forte dedans. « Les mots de passe de ces comptes n’ont pas été saisis » affirme un porte-parole du groupe. Voilà une excuse relativement peu rassurante, surtout venant de la part d’un acteur majeur dans le monde de la SSI. Plus de 80 % des mots de passe utilisés sur Internet sont « uniques et communs », le nombre d’enquêtes sur le sujet le prouve quasiment chaque semaine. Et quand bien même ceux stockés par Orange n’auraient pas été dérobés que le risque n’en serait pas moins grand. Plus préoccupant encore, ce conseil distillé par la lettre d’avertissement expédiée aux usagers-victimes : « aucune action de votre part n’est requise ». Hormis, peut-être, celle consistant par mesure de précaution élémentaire, de changer rapidement tous les mots de passes de tous les services Internet utilisant cette adresse email en guise d’identifiant.

Les grandes entreprises Françaises ont encore beaucoup de chemin à parcourir en matière de communication de crise avant que de savoir avouer de manière objective la faillibilité de leurs propres systèmes d’information. Abandonner les « seulement », les comparaisons statistiques hors de propos, les circonvolutions de langage, les précisions inutiles sur les choses qui « n’ont pas été volées », autant de dires ne visant qu’à minimiser la gravité des faits… et qui surtout ne provoquent qu’un effet contraire. Le hack est-il si important que l’opérateur historique puisse souhaiter en masquer l’importance ? Les exemples ne manquent pourtant pas (http://datalossdb.org/) qui montrent à quel point cette attitude ne joue pas en faveur d’un renforcement de la confiance accordée.

D’un point de vue professionnel, la mésaventure d’Orange pourrait provoquer quelques conséquences positives. A commencer par faire prendre conscience aux politiques qu’il serait peut-être temps de revenir sur des encadrements législatifs inadaptés, votés peut-être parfois plus par clientélisme que dans le but réel de protéger le tissu industriel national. De LCEN en Loppsi, de flicage intérieur (la majorité des piratages est piloté en dehors de nos frontières) en contraintes légales, la liberté d’action cyber-défensive a été restreinte peu à peu au point de pouvoir envoyer devant les Assises une société de services chargée d’un audit SSI mal défini. Les contrats de tests de pénétration, par exemple, deviennent de plus en plus complexes et limités, devenant par conséquence de moins en moins réalistes en comparaison de ce qui se passe dans la « vraie vie du monde de l’intrusion ». Aux yeux de ces lois, la sécurité informatique n’est pas un processus adaptatif, mais une série de recettes précises et définies.

Les documents Snowden et les publications de dossiers soumis au Freedom of Information Act se suivent et se ressemblent. Le dernier « buzz » en date porte sur la possibilité que pourraient avoir les agents de la No Such Agency de récolter les données glanées par les appliquettes de smartphones. Après les virus et les spywares Chinois cachés dans les chasses aux trésors, les avalanches de sucreries hypercaloriques et autre jeux de catapultage aviaires, voici que l’on pourrait également y voir l’ombre des barbouzes Américaines ou Britanniques, s’émeut James Ball du Guardian. Car les perfides espions d’Albion ou les redoutables tontons flingueurs de Washington pourraient piocher de passionnantes données dans les flux de géo-positionnement GPS, les connexions aux réseaux sociaux et autres métadonnées semées par les joueurs mobiles. Car, la chose est bien connue, même les terroristes jouent à « oiseaux en colère » ou à « coup de foudre au pays des bonbons ».

Un tantinet plus sérieux, Cryptome profite du FoIA pour nous offrir un développement en Powerpoint ++ pondu par des développeurs d’espionnite made in NSA. Cette présentation n’apprend quasiment rien aux gens du métier, mais montre à quel point, depuis plus de 4 ans, les méthodes d’exploitation des données extractibles des smartphones passionnent les hommes de l’ombre. Le petit dessin humoristique situé sur la toute dernière diapositive résume de manière parfaite les 15 autres planches. Une sorte d’agent-fée-ange touche de sa baguette magique une pile de feuilles entassées sur un bureau, lequel est orné d’une pancarte sur laquelle est inscrit « leave your traffic here » (vous êtes prié de laisser vos échanges ici).