Archives

Les multiples ateliers du Forum International de la Cybersécurité se suivent et, souvent, se ressemblent d’une année sur l’autre. Sécurité des communications mobiles, cybersurveillance et vie privée, cyberdélinquance et lutte transfrontière, gouvernance d’Internet… si les questions ne changent pas, les réponses, parfois, évoluent. Ainsi, les questions portant sur le renforcement des infrastructures critiques attiraient invariablement par le passé des avis prudents, voir une totale indifférence. Tout ça ne relève encore que du mauvais scénario à la sauce Die Hard 4 disait-on alors. La sécurité des processus industriels est assurée par des gens de métier qui ont su penser à ces problèmes dès la conception des architectures…

Depuis, la LPM est passée. L’inventaire des opérateurs d’importance vitale et la liste des sites critiques (classement Seveso par exemple) est en cours de réalisation. Les documents expliquant la méthodologie de classification des infrastructures critiques et le guide des mesures de sécurité détaillées sont disponibles sur le site de l’Anssi. La menace qui pourrait peser sur de tels établissement appartient désormais au domaine du possible, voire, estiment les experts de l’Agence, une « certitude à plus ou moins longue échéances ». En substance, si le risque existe, la probabilité que ce risque soit exploité un jour par un adversaire est aussi probable que n’importe quel autre sinistre informatique. Le « si » (la probabilité de panne) est remplacé par le « quand » (la certitude à plus ou moins longue échéance du sinistre). Il faut avouer que, depuis ces 4 ou 5 dernières années, les preuves d’exploitation Scada et autres intrusions « involontairement mises à jour » ont fait les choux gras des principales conférences sécurité d’Europe, d’Asie et des Amériques. Le « brick and mortar », bien que vouant un culte aux dieux de la sécurité des processus et du périmétrique, n’a pas totalement digéré la composante informatique et Internet qui le fragilise progressivement depuis une petite décennie. Il est temps que l’on en prenne conscience.

FIC, sixième édition, troisième période. Après des débuts confidentiels réunissant quelques enquêteurs Ntech et spécialistes de la sécurité des S.I. dans l’enceinte spartiate d’une caserne, après quatre ans de lente maturation, d’ouverture au monde industriel et politique, le Forum International de la Cybersécurité entame peut-être son âge de raison, celui de la confrontation des idées et de l’opposition des opinions. Oubliées, les visions manichéennes des hordes de Black Hat Russo-Chinois égorgeant nos fils réseau et nos campagnes marketing. Depuis, l’affaire Snowden et l’ombre de la NSA sont passées par là. D’hypothétique, le danger et le risque sont devenus tangibles, la grande peur de l’an 2013 a frappé, les politiques ont réagi en promulguant lois sur lois et conseils avisés et recommandations officielles. Peu étonnant donc de d’entendre, à l’occasion de la séance plénière, Jeremy Zimmermann (la Quadrature du Net), affirmer l’échec de cette cybersécurité, focalisée plus sur les systèmes que sur l’humain. « Il faut replacer le citoyen au centre des politiques de cybersécurité, lui offrir des outils de protection qui ne soient pas biaisés, des outils open-sources pouvant assurer précisément cette sécurité de bout en bout. Face à lui, Patric Pailloux, encore Directeur de l’ANSSI pour quelques heures (il sera nommé Directeur Technique de la DGSE avant que ne s’achève le FIC) et le général Watin-Augouard de la Gendarmerie Nationale, qui représentaient et défendaient une position plus conservatrice, plus organisationnelle, dans la droite ligne du « back to basics » et de la logique de la LPM. Le général insiste sur la nécessaire mutation d’une sécurité capable de mieux anticiper les menaces, attitude d’autant plus nécessaire que ne s’étend l’emprise de l’Internet des objets.

Une logique des conseils fondamentaux contestée par les interventions assassines de David Lacey, (IOActive) : « la cybersécurité ne peut être une suite de recettes normatives, d’applications dogmatiques de contrôles de conformité. La religion de la « compliance » nous fait perdre de vue que la sécurité des S.I. est une mission qui demande énormément de réactivité, d’anticipation » dit en substance Lacey. C’est là la seule recette selon lui pour espérer contrer les attaques polymorphes et l’inventivité constante des cyber-attaquants. Il faudra un électrochoc, un « 11 septembre numérique » pour que les professionnels puissent s’en rendre compte ? S’interroge Lacey. Il faudrait alors que le coup soit très dur, si l’on en jure les réactions apathiques des différents gouvernements d’Europe après les révélations Snowden. Le discours n’est pas nouveau, la cybersécurité se soldera par un échec cuisant tant que ces trois visions ne se combineront pas : approche normative et technique, respect, confiance et protection de l’élément humain, analyse et anticipation des renforcements de défense à géométries variables. Reste l’équation à n inconnues de l’Internet des objets, cette course au raccordement IP à tous prix sous prétexte de développement commercial et d’économie d’échelle. Elle oppose les nécessités d’une diffusion à grande échelle de mécanismes aux configurations souvent figées, produits rapidement pour répondre aux demandes du marché, directement connectés à des serveurs (dont certains d’importance sinon vitale, du moins d’indéniable nécessité). Il y a là ce que les politiques appellent un « défi », les responsables sécurité « de l’inconscience », les opérateurs de services « une hâte injustifiée » et les acteurs du monde des affaires « une opportunité à ne pas manquer ». Cyberdéfense et consumérisme ne signifient pas tout à fait la même chose selon les visions à court ou long terme des différents intéressés.

Certains points continueront, sans le moindre doute, à tirailler les différents partis. La défense de l’Open Source si chère à Jeremy Zimmermann, par exemple, qui s’oppose à la signature du récent accord-cadre entre Microsoft et l’armée Française (surtout à la lumière du programme Prism de la NSA). Mais le ver du doute est dans le fruit. A la question-sondage « la cybersécurité est-elle un échec ?», la grande majorité des personnes assistant au FIC ont répondu « oui ». Une assistance composée de gendarmes, de policiers, de responsables de collectivités locales et d’entreprise, bref, un public que l’on peut difficilement accuser de défaitisme et d’esprit frondeur.

TJX, Dupont et Monster.com, trois grands « hacks » qui ont tous au moins un point commun : une informatique centralisée sur ce que l’on appelait autrefois des « gros ordinateurs » (par opposition aux « Minis »). Antony Barjon, de Lexsi, revient sur la solidité supposée et la vulnérabilité cachée des mainframes, toujours très largement utilisés dans les milieux de la grande distribution, des banques et assurances, des entreprises de transport aérien pour ne citer que les secteurs les plus « ibéhemmisés ». Un monde qui bénéficie de certains atouts, notamment une sécurité des accès élevée au niveau d’une religion, des langages et outils quasiment inconnus des jeunes générations de hackers noirs, des protocoles cryptiques et souvent inconnus du grand public. Un monde de faiblesses aussi (comment s’appelle un firewall SNA ?), qui n’intéresse plus les « bac +5 » qui entrent dans la carrière, et qui a vu, au fil du temps, son superbe isolationnisme menacé et perverti par les « webisations » de certains de ses contenus. Que l’on parle d’émulation, de revamping ou de mashup, les interpénétrations de systèmes hétérogènes se multiplient et, avec eux, les failles de sécurité (liées à la proximité de noyaux fonctionnant sur microordinateurs et à leur raccordement aux réseaux publics). Pour Antony Barjon, cette fragilisation peut être compensée par un renforcement des réflexes de sécurité. La recette est simple et connue : sensibilisation, chiffrement, journalisation et audit. Audit qui devra parfois plonger au niveau de racines profondément enfouies dans des terreaux technologiques dinosauriens : vieux jcl aux appels chamaniques, outils de communication antédiluviens découverts au détour d’une vague filiale étrangère… Peut-être une raison pour rappeler sous les drapeaux d’anciens directeurs informatiques et chefs de projets éliminés sans beaucoup de délicatesse lors des premiers déferlements de la vague microinformatique.

Deux universitaires d’Ann Harbor , MM Robert Axelrod et Rumen Iliev, se sont livrés à un petit exercice mathématique permettant de dresser un tableau des probabilités d’utilisation des cyber-armes déployées par les Etats-Nations. Une sorte de profilage des usages reposant sur l’histoire connue de Stuxnet, des APT supposées Chinoises et des outils d’espionnage retrouvés notamment sur les réseaux d’AramCo. Plusieurs facteurs ont été pris en compte, tels que la furtivité du code, sa « persistance » ou discrétion une fois installé, sa valeur intrinsèque (elle-même découlant de sa furtivité et discrétion), les enjeux présents et futurs, les facteurs de déclenchement desdits enjeux et le « taux de réduction », terme désignant la diminution avec le temps des gains espérés.

Certains éléments, tels que le gain et la furtivité, dépendent énormément d’éléments extérieurs (état de la recherche en matière de menaces, vigilance et équipements de surveillance de la « cible »…) . Et c’est en fonction de ces pondérations que les conditions d’utilisation optimales peuvent être extrapolées. Un vecteur très furtif aura tout intérêt à être utilisé le plus tôt possible, dès les premières phases de l’attaque, tandis qu’un code particulièrement discret peut voir son usage repoussé pour être disponible à un moment plus critique de l’opération. Une sorte d’atout en réserve en quelques sortes.
Stuxnet, par exemple, appartenait à la famille des techno-missiles furtifs mais peu persistants, tout le contraire de la « charge utile » utilisée durant l’attaque Aramco. Les différences tactiques et stratégiques entre les cyber-armes et l’arsenal militaire classique s’atténuent chaque jour un peu plus.

Lorsque résonneront les flonflons du bal des pompiers de l’an prochain, XP aura définitivement vécu. En reportant au 14 juillet 2014 la date limite de la protection antivirale Windows XP (moteur de détection antimalware et signatures), Microsoft fait pousser un (petit) soupir de soulagement à près de30% du parc Français, tant grand public que professionnel. La date limite d’abandon de support de XP n’a pas changé et reste fixée au 8 avril de cette année. Initialement, cette date marquait l’abandon de tous les services de support possibles, antimalware y compris.

Nul n’est besoin d’être expert es-microsoftologie pour deviner que ce léger changement de cap est dicté par l’importance du nombre de licences « Windows 2001 » encore actives. XP fut le premier noyau station « unifié » destiné à la fois aux marchés professionnel et grand public. Il a succédé à Windows 2000 et au catastrophique Windows Me.

Il est rare qu’un patch Tuesday parvienne à combiner, dans un seul exploit « in the wild », un double trou concernant deux éditeurs différents. Trustwave décrit par le menu le mélange carburant-comburant (Microsoft/Adobe, CVE-2013-3346/CVE-2013-5065 ) camouflé sous la forme d’un fichier pdf. Exploit dans la nature, rustine MS14-002 obligatoire. MS14-001 est également jugé critique, avec un index d’exploitation élevé, 4 CVE colmatés. Deux autres rustines considérées comme « importantes » corrigent un défaut noyau et un bug Microsoft Dynamics AX.

Chez Adobe, deux bouchons, l’un stabilisant Acrobat (un CVE) et l’autre Flash (deux CVE).

Chez Oracle, ce mardi des rutines correspondait à la publication de la traditionnelle (et toujours conséquente) CPU trimestrielle : 34 trous java, sur un total de 144 correctifs portant sur 47 produits différents.

Dave Lewis se livre à une comptabilité peu ordinaire. Il recense, semaine après semaine, les orateurs et chargés d’ateliers qui ont décommandé leur participation à la RSA Conference. Il semblerait que les propositions de la NSA visant à «légèrement modifier » un mécanisme de chiffrement ne soit pas du goût de certains ténors du monde de la sécurité. Mikko Hypönnen, Chris Soghoian, Jeffrey Carr, Chris Palmer ont déclaré « je ne peux pas, j’ai piscine »*. L’un des plus virulents imprécateurs n’est autre que Robert Graham, d’Errata Security, qui a rédigé un brûlot intitulé « pourquoi nous nous devons de boycotter RSA ». La conférence se déroulera du 24 au 28 février dans les vastes salons du Moscone Center de San Francisco. Les participants en mal d’orateurs connus pourront se rabattre sur Security B-Sides qui se déroule traditionnellement aux mêmes jours. Entrée gratuite, bières parfois payantes.

NdlC Note de la Correctrice : expression courante dans le milieu français de la sécurité, particulièrement ceux travaillant dans le 20ème arrondissement

Histoire de débuter l’année avec quelques palpitations cardiaques, plongeons-nous dans la lecture d’une récente étude conduite par IOactive, et portant sur l’analyse des appliquettes mobiles du monde bancaire. Les résultats sont à la hauteur de ce que l’on peut attendre de n’importe quelle autre appliquette pour téléphone intelligent (et usager un peu moins) : 40 % d’entre elles se moquent du tiers comme du quart de l’authenticité du certificat SSL envoyé par le serveur. 50 % sont vulnérables à une attaque XSS, 50% sont vulnérables à une attaque javascript, 40 % conservent des données sensibles dans leur journaux d’évènements, 30 % conservent des codes d’accès inscrits « en dur » dans leurs fichiers. Quasiment aucune d’entre elles ne vérifie si le noyau est fiable, et elles s’installent sans broncher sur un téléphone « jailbreaké ».

De quoi nous faire adorer Candy Crush et Angry Bird.

Google rachète Nest Lab pour 3,2 milliards de dollars. Cette entreprise est spécialisée dans la fabrication de thermostats et détecteurs de fumée intelligents et « connectés ».

Lorsque la rédaction de Reflets.info ronge un os, il est très difficile de le lui faire oublier ou de lui demander de l’enterrer. Antoine Champagne s’intéresse à la renaissance de cette entreprise à qui le régime de quelques dictateurs du moyen Orient doit beaucoup : Amesys. Un marchand d’armes de surveillance qui change (presque) de nom, qui change (presque) de patron, qui change (réellement) de nationalité puisque son siège se trouve désormais à Dubaï, pays non signataire des accords visant à contingenter le commerce des armes physiques ou numériques.