Archives

Le hacker, son milieu naturel, les interactions avec son environnement, ce début de semaine frise avec un sujet de thèse de troisième cycle en psychohacking. Tout commence avec ce énième article sur le thème : « peut-on contre-attaquer un hacker ? », article étant rédigé par le patron de Wisegate, une communauté/réseau social d’administrateur T.I.C.. Certes, on trouve encore quelques partisans de la méthode John Wayne, une main sur la Bible, l’autre sur le fusil. Mais dans l’ensemble, les administrateurs d’Amérique du Nord préfèrent le renforcement de leur périmètre grâce à des campagnes de pentesting sérieuses plutôt que de vouloir jouer les gros bras, au risque d’essuyer un retour de flamme plus violent encore que la première attaque. A la question « faut-il contre-attaquer », 20 % répondent « oui, mais uniquement pour récolter des informations sur l’attaquant et en déduire des manœuvres d’évitement », 30 % pensent que la chose est à éviter en raison de problèmes juridiques (qui ne sont pas toujours prouvés, surtout si le terrain de conflit est situé en dehors des frontières, donc en dehors de la juridiction de la « victime »), et 40 % estiment qu’il faudrait « au moins en discuter ». Mais à la question « votre entreprise a-t-elle établi une politique de sécurité envisageant une contre-attaque », 58% des sondés affirment que la question n’a même jamais été débattue, et 25% déclarent que la politique interne désapprouve toute initiative agressive. Il s’agit donc plus d’une question de discussion et d’analyse que d’un problème technique. Pour l’heure, le RSSI traverse son désert des tartares, attendant un hypothétique ennemi face auquel il ne sait quelle stratégie adopter que celle de la défense passive.

D’ailleurs, c’est quoi, un hacker des temps modernes ? se demandent Brian Merchant de Vice.com et Brian Krebs. Deux regards très semblables sur un groupe de hackers qui a beaucoup fait parler de lui ces derniers mois, la fameuse « Armée Electronique Syrienne». Qui sont-ils, d’où viennent-ils, quels sont leurs moyens ?

Ces spécialistes du détournement de compte Facebook et Twitter possèdent un savoir-faire indéniable en matière de communication. A coup de « petits hacks », ils sont parvenus à tirer à eux un pan de la couverture médiatique et donner corps à l’existence d’un groupe de patriotes nationalistes pro-Bachar El Assad. Bien que l’on soupçonne quelques aides de la part du gouvernement Syrien en place et un très probable encouragement de la part du Hezbollah Libanais, il apparaît, à l’analyse de leurs méthodes, qu’il n’existe pas franchement de mouvement structuré et encadré. Krebs et Merchant se livrent à une sorte de « chasse à l’admin » en tentant de recouper des adresses emails que l’on soupçonne fortement d’appartenir à des membres de l’Armée Electronique, le tout assaisonné de déductions hasardeuses déclenchées par la lecture d’un « like » Facebook et d’erreurs de débutant en matière de politique de mots de passe ou de gestion des noms de domaines. Qui est le supposé hacker « The Pro », répond-il ou non au patronyme de Hatem Deeb ? La question est secondaire. Les chefs présumés de ce groupe de hacker pro-Hassad sont de toute manière hors de portée des juges Etats-Uniens. Ce qui, en revanche, semble bien plus significatif, c’est l’apparente absence d’organisation formelle du mouvement doublé d’un parfum d’amateurisme qui n’est pas franchement caractéristique des organisations djihadistes combattantes.

Tout le contraire de… Edward Snowden lequel, avec le temps, se transforme peu à peu en super-hacker intouchable. Et au bruissement des parapluies qui s’ouvrent, l’on entend çà et là des experts expliquant que rien ne pouvait arrêter cet expert en fuites organisées… son statut, ses connaissances techniques, son génie informatique inné… Nos confrères du Reg dressent un inventaire des raisons qui ont fait que l’affaire Snowden était inévitable. En grandissant le criminel, on minimise les bévues qui ont permis le crime. On ne peut s’empêcher de revenir sur un billet de Bruce Schneier publié le 26 août dernier, billet qui reprend les « back to basic » de la protection des données. Le fait que Snowden ait eu des droits d’admin prouve que la délégation d’administration était peut-être bien mal gérée par la NSA. Cloisonnement des données, certification des niveaux de confiance des opérateurs et intervenants, mise en place de systèmes engageant non pas une mais plusieurs personnes pour débloquer un accès, réduction du nombre d’échelons de hiérarchie et d’ayant-droits… les recettes de Schneier sont simples, évidentes, aussi vieilles que les premières sociétés secrètes.

Ce qui fait la grandeur du hacker, ce n’est ni sa « mana » ni son « SkillZ », c’est ce qu’en disent ceux par qui leurs actes ont pu rester impunis. La véritable psychologie du hacker est surtout le reflet de celle de ses victimes.

La sécurité des systèmes d’information est devenue un sujet « mainstream », qui captive les lecteurs de quotidiens grand-public. Oubliés les papiers du 20 Heure sur les ravages supposés de JerusalemB, chaque jour apporte sa ration de cyberespionnite en capsules.

En capsule, le terme est adapté, avec le décollage d’un lanceur Delta IV Heavy de la base militaire de Vandenberg. La capsule « IV Heavy » est équipée d’une coiffe de 5 mètres et peut placer en orbite basse une masse impressionnante d’électronique d’espionnage : 22 tonnes de charge utile. Et c’est très probablement, explique le L.A. Times ce pourquoi cette mission est destinée. A noter que nos confrères de la presse généraliste se répandent en superlatifs sur la puissance de la fusée mais passent sous silence la taille de ce qui est installé au-dessus de nos têtes. Seuls nos confrères d’IDG News Services précisent que le véhicule sera opéré par le National Reconnaissance Office (NRO) et contient des innovative overhead intelligence systems for national security . Fallait-il en raconter plus ?

Il y a une chose, en revanche, qui échappe totalement aux services de renseignement US : c’est l’extraordinaire, l’indomptable, la merveilleuse pugnacité de l’Europe en général et de la France en particulier à créer des commissions d’enquêtes sur les activités des services de renseignement étrangers. Ainsi cette « enquête préliminaire » déclenchée par la FIDH et la LDH et rapportée par l’agence Reuters, France TV Info ou le Fig. Au plus fort de la guerre froide, on se souvient des commissions d’enquête sur le Guépéou et sur les craintes de la Loubianka… ou pas.

Histoire de ne pas demeurer en reste, nos confrères de 01 commettent deux petits articles, l’un sur la légalisation de la surveillance des citoyens en Nouvelle Zélande (un scoop pour qui aurait oublié que cette très antipodique nation fait partie de l’alliance UKUSA pour qui le « citizen snooping » est devenue plus une habitude routinière qu’une exception) et découvre, grâce au Canard Enchaîné, que nos vaillants militaires Français balayent sans compter les ondes électromagnétiques (ont-elles une nationalité ?) en utilisant un texte de loi de 1991. Avant 91, le spectre n’était pas surveillé ? Sans doute, mais les procès pour usurpation d’indicatif, émission illégale etc. relevaient de la cour de sûreté de l’Etat, et on en parlait nettement moins. Et accessoirement, cette écoute était également assurée sur le plan policier par la DST puisque le Sdèke, organisme militaire, était plutôt sensé ne s’intéresser qu’aux émissions effectuées sur territoire étranger.

Identifier, trier, contextualiser et hiérarchiser les vulnérabilités de réseaux, c’est le travail du tout nouveau QRadar Vulnerability Manager. Sur les quelques 15 000 signes que compte le communiqué de lancement, à peine apprend-on l’existence d’un IBM Security Network Protection XGS 5100 qui serait capable d’identifier les attaques à signaux faibles SSL et déployer des patchs virtuels en cas d’absence de correctif publié par l’éditeur.

Mon entreprise est-elle truffée de wanabe Snowden ou de proto-Mannings en puissance ? Lorsque l’ennemi de l’intérieur est à la mode (intérieur de l’Etat ou intérieur d’un ensemble industriel), les vendeurs de solutions de protection chantent à l’unisson. Faut dire que le cas particulier, le storytelling, l’émotion de l’évènement à chaud, ça secoue un peu plus la fibre anxiogène que les froides statistiques. Et comme accessoirement ça fait vendre….

Chez Dell, on associe les employés frustrés et les cyber-activistes (pour peu, on écopait des terroristes). Attention, prévient le Enterprise Brand and Executive Threat Surveillance team, ces infidèles sont capables de conduire des attaques encore plus sophistiquées qu’un déni de service ! Tremblez patrons, fuyez DirCom. Si les conseils de prudence distillés tout au long de l’article sont bels et bons (cloisonnement du réseau et des services IP, listes de bannissement IP, proxy et autres outils anti-DdoS etc.), il peut également être intéressant de se demander s’il n’existe pas une raison qui légitimerait ces attaques … L’humain n’est pas une ressource, une ressource, ça ne réagit pas sous la pression. Un type de question ou de remarque malheureusement absentes dans ce papier de Dell Secureworks.

Certes, certains employés sont réellement indélicats. La preuve, explique Brian Krebs, celui-ci qui fit écrouler le réseau de son ex-employeur, la société Concepta (œuvrant dans le domaine de la sécurité des S.I.). Par le plus grand des hasards, Kevin Courtois, cet amoureux du Syn ACK, avait monté son propre cabinet de conseils en protection contre… les attaques en déni de service.

L’affaire prend une tournure radicalement différente lorsque les attaques affectent non plus seulement Concepta, mais également le fournisseur d’accès de Concepta, l’opérateur Xittel. La presse s’en émeut, la police enquête, mais Xittel espère des résultats plus rapides, et engage un expert, Robert Masse. Lequel parvient sous couverture à obtenir des aveux du prestataire de services DdoS. Courtois est arrêté, Krebs narre par le menu la foultitude d’erreurs par excès de confiance commises par le pirate : quelques « like » sur Facebook de l’intéressé à l’attention d’un spécialiste des attaques DdoS, une intrusion consciencieuse de l’ordinateur de son ex-patron et quelques gaffes techniques dignes d’un débutant.

Il y a à peu près une semaine, ce sont 4 ingénieurs I.T. de la banque Goldman Sachs qui ont été relevés de leurs fonctions. Non pas pour avoir hacké les machines de leur employeur, mais pour avoir déployé une mise à jour plus que malheureuse ayant semé la perturbation sur les outils destinés aux traders. Les indications erronées ont à leur tour provoqué des échanges d’actions à pertes, et bien, précise l’agence Reuters, que plus de 80 % des ordres passés aient pu être annulés, Goldman Sachs a tout de même essuyé quelques pertes. La faute aux employés du service informatique, mais en aucun cas aux outils de « fast trading » et au système spéculatif dans son ensemble …

D’ailleurs, cette histoire prouve à quel point le monde de la finance sait que le crime ne profite jamais aux petites gens, mais aux cadres supérieurs et aux patrons. Ceux qui ont coûté le plus cher au système sont des Kerviel, des Adoboli, des Rusnak… encouragés en ce sens par quelques tonitruands « non-dits » les poussant à des pratiques très profitables. La science du storytelling est une arme à double tranchant.

Parfois, le système dérape sans même qu’il y ait le moindre échange de valeur boursière. Le juge d’instruction de Manhattan a inculpé cette semaine trois personnes coupables d’avoir volé des bouts de programmes issus de logiciels de trading automatisé employés par l’entreprise Flow Traders US LLC. Les portions de code étaient tout simplement exfiltrées à grands renforts d’échanges mails, nous apprend le WSJ. Tout le paradoxe de ce forfait est qu’il ne vole pas directement les richesses de l’entreprise, mais une partie de l’outil qui permet de fabriquer des richesses elles-mêmes créées sans que l’entreprise ne dispose du moindre outil de production ou du plus petit stock de marchandise. Des employés qui agissent à l’encontre d’une entreprise qui remplace l’humain par des robots, ça ne rappelle rien à personne ? Des entreprises qui se sont depuis toutes faites (ou presque) écraser par des concurrents asiatiques …

Sur l’air de Carmen, nos confrères de Die Zeit remettent sur le métier les suspicions portant sur le bon usage du TPM 2.0 dans Windows 8. Une première campagne, lancée peu de temps avant le lancement de Vista accusait déjà Microsoft d’utiliser la première version de la plateforme de confiance et les mécanismes d’authentification des exécutables comme une sorte de filtre à logiciels non approuvés par Microsoft d’une part, et un moyen de verrouiller les plateformes pour qu’aucun autre noyau ne puisse être installé sur les bases matérielles tépéhémisées d’autre part. Crainte paranoïaque de journaliste ? De source bien informée, affirment nos confrères, puisque l’alerte proviendrait du BSI, cousin germain* de l’Anssi. C’est ce même BSI qui avait été, il y fort longtemps à l’origine de conseils de prudence quant à l’usage de certains antivirus et autres outils de défragmentation de disques durs.

Lequel BSI émet une sorte de droit de réponse très diplomatique, expliquant qu’à l’instar des antivirus, les TPM constituaient un système capable de se prémunir contre bien des logiciels malveillants, mais que la nouvelle version pourrait devenir une arme à double tranchant pouvant se retourner contre son utilisateur dans le cas éventuel d’une erreur ou d’un bug situé soit dans la couche matérielle, soit dans la couche logicielle. Bug, qui, dans certains cas, pourrait devenir bloquant. Il n’est pas non plus inimaginable de voir en ces systèmes un moyen de sabotage à distance… l’usager doit garder cette possibilité en mémoire, surtout s’il dépend de l’Administration Fédérale. Et le BSI de préciser que l’idéal serait alors d’associer le TPM à un mécanisme opt-in qui permettrait à l’utilisateur, en fonction de son niveau de compétence et de ses exigences matérielles et logicielles, d’autoriser ou d’invalider l’action de la plateforme TPM.

En d’autres termes, la dénégation prudente du BSI, lue entre les lignes, pourrait revenir à dire « ce n’est pas au BSI de recommander un bannissement de Windows 8 au sein des rouages de l’Administration Fédérale, mais il y a là une sérieuse possibilité de cheval de Troie, à bon entendeur, salut. Mais nous restons en contact avec les éditeurs et OEM pour trouver une solution acceptable ». Si ça n’est pas à un coup de semonce, ça y ressemble beaucoup …

*Ndlc Note de la Correctrice : consternant… Ah que cet auteur est prévisible lorsqu’il flirte avec l’Almanach Vermot

Un scanner IP de plus, mais un scanner capable, affirment ses concepteurs, de balayer la totalité d’IPv4 en trois quarts d’heure, pour peu que l’on possède un accès Gigabit. Inutile de rappeler que l’usage, la détention, la promotion de tels outils est réprimée par la loi Française (probablement la seule au monde à faire preuve d’une telle « ouverture ») si l’on n’est pas soi-même professionnel du monde de la sécurité.

La publication universitaire traitant de l’outil tient dans un document de 15 pages. Zmap lui-même peut être téléchargé sur Github (les auteurs poussant d’ailleurs la simplicité jusqu’à indiquer comment installer libpcap… on frise la tentative de débauche de script kiddies).

Rappelons tout de même à nos quelques lecteurs qu’un scanner IP sert essentiellement à inventorier un réseau d’entreprise, effectuer une chasse aux appareils indésirables, détecter les numéros de version et failles probables d’un réseau.

Zmap a reçu les honneurs d’un article dans le quotidien du Sans ainsi qu’un papier de fond dans les colonnes du Washington Post, au fil duquel on apprend que le protocole HTTPS a progressé de 23% sur l’année, que l’Internet tout entier sommeille de 18 à 22 H ou que 16% des postes connectés au réseau des réseaux sont encore vulnérables à une attaque UPnP.

Le flop de Windows 8 /Surface aura eu raison de « l’Autre » patron historique de Microsoft. Steve Ballmer quittera la direction de l’entreprise dans les 12 prochains mois, après y avoir émargé durant plus de 33 ans. Sa fortune personnelle est estimée à plus de 15 milliards de dollars, il demeure l’un des principaux actionnaires de la Windows Company. Il laisse également aux autres actionnaires un trésor de guerre de 77 milliards de dollars, jalousement conservés et réinvestis par l’entreprise.

L’Autre, et non pas Le timonier de Microsoft. Gestionnaire volontaire,il cachait, sous un sourire jovial une rigueur pouvant aller jusqu’à la brutalité, « <i> dans notre pays, nous avons des lois contre des gens comme vous </i>» lança-t-il un jour à un journaliste un peu trop curieux … Adulé des « commerciaux », craint des techniciens, son règne fut marqué par la perte de personnalités marquantes comme de successeurs potentiels, le départ notamment de Jim Allchin ou Ray Ozzie.

L’Autre, et non pas Le timonier de Microsoft, jamais il ne parviendra à faire preuve d’autant de charisme que son prédécesseur. William Henry Gates III parlait à ses développeurs et partenaires avec un langage bien à lui, avec des mots « d’homme du sérail », conservant, dans ses complets mal coupés et ses impossibles paires de lunettes, un vernis geekesque. Gates savait juger un homme très rapidement, et s’entourait de talents qui profiteraient tôt ou tard à l’entreprise, quand bien même ce talent ne correspondait pas au profil d’informaticiens performants en complet-cravate. « Bill » parti, le temps des gourous et des divas s’achève, celui du « trait de génie » également. Certes, la logique d’entreprise et les impératifs de gestion d’une multinationale étaient déjà très éloignés du monde des krosofties des tous débuts. Mais les apparences étaient encore sauves.

On ne peut s’empêcher de penser à l’autre départ d’un autre « gestionnaire-qui-n’était-pas-le-gourou-technique », Steve Jobs d’Apple, qui a longtemps joué le rôle de l’Autre comparé à Wozniak. Un Jobs qui a su ne pas sombrer dans la jovialité exubérante, entretenant son image de marque et faisant de celle de l’entreprise un objet de culte réservé à une « élite de consommateurs ».

Ballmer a marqué la fin des « fuites organisées » et du teasing Windowsien, remplaçant la politique des petites phrases et des confidences savamment distillées par d’interminables campagnes « Beta Marketing ». Il y perdra beaucoup d’audience grand public, mais y gagnera également beaucoup sur le créneau de l’informatique d’entreprise : la famille Windows Server détient aujourd’hui une position quasi monopolistique- ainsi que sur le marché du Cloud Computing grâce au développement d’Azure.

Il laisse une entreprise avec une image de marque sérieusement écornée sur le créneau de la grande consommation, battue en brèche par Apple et surtout Google sur les fronts de la téléphonie mobile et des tablettes. Ballmer aura-t-il l’audace, même pour une courte période de transition, de demander à Gates de revenir à la barre, pour rendre à « krosoft » l’élan d’inventivité et la part de rêve qui a disparu avec lui ? La recette a bien marché pour Apple, mais elle a coûté cher à certains amours-propres.

Depuis le 9 de ce mois,le fournisseur de service mail Lavabit n’affiche plus qu’une seule page sur son site Web : l’annonce de la fermeture (temporaire ou définitive) de ses serveurs de messagerie, sous prétexte que l’entreprise ne peut plus assurer à ses clients la moindre confidentialité de ses correspondances depuis le début du scandale Prism. Une attitude, de la part d’une entreprise US, qui tranche très nettement avec le mutisme des Hotmail Microsoft, Gmail Google et autres prestataires tant de messagerie que de services Cloud.

Ladar Levison, le patron de Lavabit, fait de nouveau parler de lui dans une interview accordée à NBC, en déclarant « Je pourrais être arrêté pour cet acte ». La fermeture de son service peut être en effet considérée comme une obstruction au travail de la justice et des agents engagés contre la lutte antiterroriste. Lutte d’autant plus acharnée depuis que Edward Snowden aurait utilisé un compte Lavabit pour organiser une rencontre avec quelques journalistes dans l’aéroport de Moscou.

Pour Levison, il s’agit là d’un cas de conscience. Donner accès aux contenus de ses serveurs le rendrait « complice de crime contre le peuple américain », dans l’autre, il deviendrait hors la loi en refusant de se soumettre à une disposition gouvernementale justifiée par des motifs de sécurité nationale. Ethique contre civisme ou respect de la loi et de l’ordre, la décision n’est pas facile à prendre. Levison (et ses employés) sont sur le point d’être tous au chômage. On est très loin d’une simple question rhétorique.

A peine rendue publique, la décision de Levison en a entraîné une autre, celle de l’occultation de GrokLaw, un site d’informations légales et juridiques situé entre le blog et le serveur d’archives. On y trouve notamment tout l’historique du procès SCO/IBM/Novell/RedHat, Microsoft vs la Commission Européenne…

Sans messagerie, il est impossible d’assurer le fonctionnement de Groklaw. Là est le hic. Et « if we knew what he (Ladar Levison, ndlr) knew, we’d stop too » est-il écrit en première page du site. Le « Grok » de Groklaw vient d’un verbe inventé par Robert Heinlein, dans le roman « En terre étrangère ». Il signifie boire, absorber, comprendre dans toute sa plénitude. Une compréhension qui n’est possible que lorsque toutes les conditions d’accès à l’information et à la préservation de l’anonymat des sources sont garanties.

Cela faisait longtemps que l’on n’avait entendu parler d’une régression aussi intéressante : une vulnérabilité relativement confidentielle (autrement dit non exploitée « dans la nature ») a fait l’objet d’un colmatage lors du précédent patch Tuesday du 13 août dernier. La rustine en question rectifiait une instabilité dans un rouage plutôt critique des infrastructures serveur : les Active Directory Federation Services. Jusque-là, tout va bien… ou presque, puisque certains blocages ont commencé à se produire après application du remède, allant parfois, affirme Graham Clueley, jusqu’à bloquer le service d’authentification inter-annuaires. Redmond a donc dû « repousser » un correctif en date du 19 août, passé pratiquement inaperçu.

Cet incident ne concerne que les entreprises travaillant avec une fédération d’annuaires hétérogènes ne dépendant pas nécessairement d’un même domaine ou forêt. Ces entreprises de taille respectable possèdent en général une équipe de sécurité qui effectue systématiquement des tests de non-régression avant tout déploiement de correctif, surtout si celui-ci concerne une pièce maîtresse telle que les Active Directories. Cette habitude remonte à l’époque des « service pack maudits » qui étaient, à la haute époque NT 3.5/NT4.0, capables de ravager une armée de PDB/BDC aussi sûrement qu’une charge de uhlans déferlants sur Somosierra.

Sur l’air de « on regrette, on a peut-être exagéré », McAfee, en la personne de son CTO Mike Fey revient sur l’estimation des « pertes occasionnées par le cybercrime », lesquelles était estimées par le vendeur d’antivirus à près de un trillion de dollars . Un trillion anglo-saxon (échelle courte) correspond à mille milliards de dollars, soit l’équivalent d’un de nos billions. Ouvrons ici une parenthèse pour rappeler que le trillion non-anglo-saxon (échelle longue) correspondant à un milliard de milliard, ce qui n’a pas franchement embarrassé certains de nos confrères qui ont repris à l’époque l’information avec son erreur de traduction. Les grands massacres ne comptent pas les morts avec une précision inférieure à 3 ou 6 zéros. Dans tous les cas, le chiffre est difficile à avaler, et montre à quel point les boutiquiers de la sécurité adorent surfer sur les vagues anxiogènes.

L’estimation des pertes suite à un sinistre informatique connaît généralement deux méthodes de calcul : en premier lieu, celle des compagnies d’assurance, qui repose peu ou prou sur les pertes directes lorsque celles-ci sont prouvées, factures à l’appui. La seconde méthode consiste à additionner tout ce qui tombe sous la main du Directeur Financier. A commencer par les coûts de renforcement des outils de défense périmétrique et de détection d’intrusion, investissement en général constamment reporté par ce même Directeur Financier sous prétexte de rentabilité impossible à prouver. L’estimation du hack du New York Times par Adrian Lamo est un des exemples les plus criants de cette façon de voir les choses.

S’ajoutent à ce coût du laxisme par procrastination économique diverses dépenses connexes, notamment celles incluant les pertes conséquentes probables. Par exemple, le vol d’une identité bancaire peut à son tour induire une perte par vol pour le possesseur du compte. Se confondent alors les notions de risque et de sinistre, rares étant les médias capables de distinguer, dans cet embrouillamini comptable, le montant exact des pertes.

On ne peut que remercier Mike Fey pour sa franchise. Il reste à espérer que cet aveu soit transformé en une véritable politique de transparence et d’exactitude. Les « cybercrime annual report » publiés à grand frais par les multiples commerçants du monde de la sécurité n’en deviendront que plus crédibles… peut-être.