Archives

L’attaque ne fut ni discrète ni opérée en douceur : LivingSocial, le site mondial d’offfes de biens et services de proximité s’est fait pirater au cours de ce qui semblerait un raid organisé. Cette sorte de Craigslist du petit commerce avec des images compterait près de 70 millions d’inscrits, et plus de 50 millions d’entre eux seraient potentiellement victimes de ce vol d’identité. Les porte-paroles de l’entreprise déclarent, rapportent nos confrères d’IDG-NS, qu’ont été ainsi dérobés les noms, prénoms, adresse de messagerie, date de naissance et mot de passe chiffré. Le déchiffrement du mot de passe serait « compliqué », mais aucun propos n’explique pourquoi ce serait effectivement compliqué. Un salage aurait-il été appliqué ? Dans l’affirmative, on ne comprend pas pourquoi ce genre ce détail technique n’a pas été révélé.

Le communiqué précise que « Cassidian CyberSecurity a signé un accord en vue de devenir le principal actionnaire de Arkoon Network Security ». Cette annonce fait écho au « coup médiatique » du rachat de l’autre constructeur français d’outils de protection périmétrique NetAsq en octobre dernier, peu de temps avant l’ouverture des Assises de la Sécurité.

Pour Cassidian, entreprise essentiellement orientée « protection des S.I. de grands comptes », l’acquisition de ses deux concurrents qui, eux, visaient l’entrée et le milieu de gamme des outils de protection informatique (UTM et petits appliances) répond à une double nécessité. D’une part couvrir le mieux possible l’ensemble du marché Français puis Européen en jouant sur un effet de gamme le plus généraliste possible (notamment en termes d’administration centralisée allant de l’agence aux grands centres de calcul) et d’autre part truster le marché des administrations et des entreprises travaillant avec l’Etat, puisque cette opération de croissance extérieure faire de Cassidian l’un des principaux vendeurs d’équipements qualifiés par l’Anssi.

Les lois répressives invoquant indirectement la défense du droit d’auteur refont surface sur les bureaux du Parlement Européen, avec l’ouverture des débats sur la proposition Tafta, (Trans-Atlantic Free Trade Agreement), une proposition qui, à nouveau, va tenter d’utiliser le Parlement comme une simple chambre d’enregistrement des décisions de politique commerciale des Etats Unis. La Quadrature du Net est vent debout contre cette tentative et publie immédiatement un communiqué d’alerte.

Dans les faits, un peu comme dans certains « paquets télécoms », de nouveaux trains de dispositions visant à protéger la propriété intellectuelle (donc indirectement le droit d’auteur) sont glissés dans un melting-pot de propositions visant la facilitation des échanges commerciaux USA/Europe en général et les assouplissements administratifs devant les accompagner. Après avoir été barré tant en Europe qu’aux USA, après une tentative de passage en douce (propositions Acta), ces lois prétendument « antipiratage » refont surface. Prétendument, car derrière cette stigmatisation du manque à gagner des vendeurs de produits de loisir provoqué par les échanges P2P, se cachaient une foultitude d’outils juridiques de flicage plus ou moins antidémocratique et demandé depuis longtemps par les faucons les plus conservateurs du parti Républicain US et soutenu par un grand nombre d’Eurodéputés de droite. Notamment, ce qui avait été violemment dénoncé lors de la tentative Acta, le report de certains droits traditionnellement régaliens (enquêtes de police notamment) vers les fournisseurs d’accès, qui, à la fois juge et parties, auraient dû jouer le rôle de boutiquier du net, de flic, de mouchard et d’exécuteurs-coupeurs d’accès. Notons que le seul argument qu’ont soulevé les FAI à l’époque n’était pas d’ordre moral mais purement financier. Qui donc payera pour les équipements d’écoute et de filtrage ?

Le Parlement Européen, dans le cadre de ces négociations, insiste sur l’importance de la « défense de la vie privée », défense qui, en ces temps de restriction budgétaire et de rôle quasi symbolique de défenseurs tels que le groupe 29A, ne peut véritablement rassurer les citoyens de l’Europe toute entière. Les trop rares instances Européennes ou Nationales n’impressionnent quasiment personne pour le moment. En outre, une très nette montée des mouvements conservateurs dans la majorité des pays membres voit d’un assez bon œil l’instauration d’un « paquet propriété intellectuelle » qui justifierait précisément la mise en place d’outils policiers et un renforcement des contrôles des échanges numériques. La psychose des APT, des cyberguerres, de l’espionnite aigue et autres scénarii improbables de l’Otan risque de jouer en faveur de l’adoption de dispositions musclées. Ce n’est pas la diminution des points de retraite de Britney Spears ou de George Lucas qui inquiète tant les nord-Américains et Européens, c’est la psychose liée à l’impossible maîtrise des échanges privés.

C’est le gouvernement Canadien qui semble avoir été le premier à réagir face aux spéculations de cette non-monnaie fiduciaire qu’est le Bitcoin. Face à la spéculation dont est l’objet cette valeur virtuelle, le Ministère des Finance envisage de taxer tout échange nous apprend CBCNews. Et de rappeler que même si le possesseur de cette cybermonnaie n’effectue pas de conversion en dollars Canadiens (ce qui transforme automatiquement sa conversion en revenu déclarable et imposable), la loi précise que même l’échange de Bitcoins contre des services ou objets est également soumis à une taxe, au même titre que le troc ou que tout payement ou avantage en nature.

Le fisc de la majorité des pays occidentaux (France y comprise) dispose de textes équivalents, et la prétendue immunité fiscale dont bénéficierait le Bitcoin ne semble pas franchement émouvoir les percepteurs de quelque nation que ce soit. Ce qui ne fait que confirmer la véracité de l’aphorisme de Benjamin Franklin : en ce monde rien n’est certain, à part la mort et les impôts.

Un communiqué du Ministère Public des Pays Bas officialise l’arrestation en Espagne d’un citoyen Hollandais soupçonné d’avoir conduit l’attaque en déni de service contre les serveurs de Spamhaus. En mars dernier, les spécialistes de la chasse au spam et gestionnaires d’une liste noire des sites à bannir ont essuyé une des plus fortes attaques jamais enregistrée, avec des pics de trafic dépassant les 300 Gbs. De nombreux observateurs soupçonnent fortement ce Hollandais-mystère d’être Sven Kamphuis, porte-parole du mouvement « Stophaus » de défense des entreprises et hébergeurs « injustement blacklistés par Spamhaus et victimes d’un abus de pouvoir ». Kamphuis était également le patron de CB3ROB, fournisseur d’accès qui précisément avait pour principal client un hébergeur « bulletproof », Cyberbunker.com. Cet hébergeur, ainsi nommé pour avoir installé ses machines dans un ancien bunker de l’Otan, était particulièrement apprécié de ses clients vendeurs de fortifiants sexuels et autres offres miraculeuses. Brian Krebs rapporte que, dans sa mégalomanie, Kamphuis signait ses courriers « Prince of Cyberbunker Republic » et estimait le territoire de son entreprise politiquement et juridiquement indépendant du royaume des Pays Bas. Le mandat délivré par la justice de son pays et diffusé dans toute l’Europe via le réseau Eurojust semble avoir mis fin à ces prétentions sécessionnistes.

Cet article du Houston Chronicle est le plus proche équivalent d’un roman d’horreur pour un commercial Microsoft. Il nous apprend que chez Conroe, spécialiste de filtres industriels et de boîtes à graisse, maison de qualité, on utilise encore un IBM 402, une vénérable antiquité à cartes perforées et traitement mécanographique, capable, depuis la fin des années 40, de travailler au rythme infernal de 150 cartes à la minute dans le silence très relatif d’une tabulatrice et de sa perfo modèle 026. La madeleine de Proust prend des allures de kugelhof pavlovien, tandis que le bruit des moteurs d’entraînement fait résonner de sinistres accords aux oreilles de tout commercial Microsoft, Oracle ou SAP. Pensez donc. Un ensemble logiciel-matériel qui fonctionne sans patch ni mise à jour (si ce n’est un peu d’huile de vaseline et des bacs cartonnés) depuis plus de 60 ans, sans le moindre add-on à refourguer, sans même la plus petite nécessité d’y installer un firewall (SNA n’existait pas encore lorsque naquit le 402) ou y ajouter un antivirus. On imagine mal la mafia Pétersbourgeoise ou le haut commandement Pékinois publier une petite annonce « Recherche programmeur-mécanographe, H/F, pour portage Slammer sur carte Fortran. Ecrire à la Loubianka qui transmettra ». Vision dantesque de ce qui pourrait advenir si ce genre d’habitude venait à se répandre : du Windows XP encore opérationnel en 2061, de l’IBM PC 64 k de ram frais comme un gardon à l’horizon 2040, tandis que Raspberry et Arduino égrèneraient à un train de sénateur leurs codes sur les tables de TP des premières années Epitec promo 2073. Les auteurs de malwares, virus, APT, techniques dDoS auraient depuis belle lurette désassemblé l’intégralité du parc logiciel existant (ça en fait, des longues soirées d’hivers derrière IDA Pro, 60 années de fuzzing et de désassemblage) et n’auraient, faute de faille à découvrir, plus écrit le moindre exécutable pervers depuis 10 ans. Les spécialistes de la chasse aux virus n’ayant plus rien à apprendre ou à contrer, de guerre lasse, auraient fini pas mettre la clef sous la porte, faute de nouveaux clients. Enfin, l’antivirus aurait atteint son but : bloquer l’intégralité des attaques passées, présentes et à venir. Le second mardi de chaque mois serait désormais consacré au nettoyage des rouages et à la lubrification des cames, certains préférant utiliser l’huile Kaspersky tandis que d’autres ne jureraient que par la brosse Symantec à nettoyer dans les coins.

La Cnil vient de rendre public son bilan d’activité 2012. Bilan marqué par une certaine continuité dans son recours très modéré aux moyens répressifs (43 mises en demeure, 9 avertissements, 4 sanctions financières… et 2 relaxes) malgré un accroissement notable des plaintes (plus de 6000 sur l’année écoulée) en augmentation de 5% l’an et 3682 demandes de droit d’accès indirect soit +75% par rapport à 2011. Un bilan qui s’accompagne d’un constat de semi-échec lorsque les plaintes visent des organismes étrangers, et qui doivent passer par l’autorité de Cnil nationale. Bilan également mitigé pour ce qui concerne l’augmentation exponentielle des systèmes de flicage par caméra et autres moyens de contrôle, chiffre à comparer aux « 300 plaintes reçues en 2012 qui ont pour objet la vidéosurveillance au travail » : 8946 déclarations relatives à des systèmes de vidéosurveillance (+49,3%), 795 autorisations de systèmes biométriques (+6,8%), 5483 déclarations relatives à des dispositifs de géolocalisation (+ 22,3%). Pour être plus qu’une chambre d’enregistrement, la Cnil souhaite jouer un rôle majeur à l’échelon Européen, et plus particulièrement dans le cadre du groupe 29A. Rappelons que l’un des principaux regrets d’Alex Türk, ex-président de la Cnil et qui a présidé durant 2 ans aux destinées du groupe de travail Européen, portait précisément sur l’absence totale de budget pouvant garantir un minimum d’autonomie.

Sur le plan de la politique intérieure, la Cnil a tout de même additionné quelques actions positives, notamment en renforçant ses audits et sa surveillance autour des Gafa (Google, Amazon, Facebook et Apple). Le mot Google est répertorié 30 fois au fil du rapport (notamment lorsque sont mentionnés les audits de sa politique de confidentialité), Apple 2 fois et Facebook 15 fois (dont deux fois pour signaler la présence d’un compte au nom de la Cnil).

Schmidt, tête pensante de Google, l’une des plus formidables usines à collecter de la donnée privée, et qui lui-même niait il n’y a pas si longtemps l’importance de la préservation de la vie privée, part en guerre contre les drones privés dans le secteur civil, nous apprend un article de la BBC. Il faut dire que, depuis quelques années, divers hackerspaces, tant aux USA qu’en France, s’intéressent à la question. Une concurrence qui a de quoi inquiéter le patron de la flottille de GoogleCars qui constitue l’un des plus importants vecteurs de collecte d’informations photographiques géolocalisées … Les arguments de Schmidt en faveur de sa croisade sont aussi peu sérieux qu’anxiogènes : emploi de drones dans les querelles de voisinage (le patron de Google passe pudiquement sur les milices de Neighbors Watch qui sévissent aux Etats-Unis depuis des décennies) et, pire encore, risque de favoriser les moyens exploitables par des terroristes… comme si une interdiction légale pouvait encore intimider un poseur de bombe, comme si la reconnaissance photographique de Google Street ne constituait pas déjà un formidable outil de repérage. Les drones privés sont utilisés depuis des années dans le domaine civil. Notamment par des archéologues, pour qui la photogrammétrie et la mise en évidence des disparités végétales constituent des indices de recherche d’une grande importance. Les agriculteurs s’en servent de plus en plus pour détecter la présence de maladies cryptogamiques à l’aide de photographies infrarouges, les géomètres en font un usage de plus en plus fréquent, sans parler des cinéastes pour qui l’heure de film aérien à l’aide de drones coûte entre 50 à 150 fois moins cher que son équivalent sur avion piloté ou sur hélicoptère. Et l’on ne parle pas des usages que l’on peut attendre des drones par les ONG dans des zones difficiles d’accès …

HD Moore publie un billet amusant sur une « vulnérabilité par omission » relativement courante : la présence sur Internet de serveurs de ports série , en majorité de fabrication Digi.

Initialement destinés à piloter des batteries de modems ou de télécopieurs, voire de distribuer des signaux vers des terminaux passifs connectés à une machine Unix, Prologue ou Pick (qui se souvient encore de con et de tty ?), ces concentrateurs de ports série sont depuis quelques années associés à des passerelles IP donnant à l’administrateur le droit de contrôler à distance ces extensions. Extensions qui, par ailleurs, sont toujours utilisées dans le monde de l’automatisme, là où règne en maîtresse absolue la boucle V24 et les couples TxD/RxD. Au total, un scan rapide nous apprend, explique HD Moore, que l’on peut ainsi accéder à plus de 144 000 « serveurs série », dont plus de 95 000 via des fournisseurs d’accès mobiles. Un parc exploitable qui connaît rarement la supervision d’un IDS ou d’un firewall, lorsque ce n’est pas la totale absence du moindre mot de passe. Vannes de contrôle d’alimentation en eau d’une grande ville Française, systèmes de commande de serrures centralisées etc.

Pour faciliter le travail d’exhumation de ces ports indiscrets, Moore a développé un module Metasploit, qui ira dénicher les cartes Digi cachées dans un réseau… et au-delà. Les hack des vieilles technos désespérantes sont les hacks les plus beaux.

Encore un rapport statistique, encore une étude sur les APT et leur origine Chinoise supposée. Mais cette analyse, réalisée par FireEye, ( téléchargement gratuit, inscription inquisitrice obligatoire) apporte un éclairage relativement différent comparé aux récents travaux de Verizon et Mandiant. Les enquêteurs partent du principe qu’effectivement, une très vaste majorité des outils d’espionnage et d’exfiltration de donnée (89%) sont d’origine Chinoise, reposant d’ailleurs bien souvent sur un moteur unique, Gh0st RAT. Un Botnet dont les machines qui, comme tous les outils du même métal, doivent nécessairement communiquer avec leur C&C, leur centre de commande et de récupération d’information, ne serait-ce que pour y trouver des mises à jour ou y envoyer le fruit de leurs pillages de données. Et c’est précisément cette fonction « téléphone maison », pour un volume de plus de 12 millions d’appels, que l’équipe de FireEye a tracé.

Et contrairement aux idées reçues, les Bot ne téléphonent pas en Chine. Bien au contraire, ils auraient tendance à chercher un C&C dans le pays de résidence de la machine compromise. Un zombie US appelle un centre de commande US. Principale raison de ce refus d’une plateforme offshore : la volonté de ne pas attirer l’attention des outils de surveillance. Un ordinateur qui appelle le Kazakhstan, c’est forcément suspect. Mais un envoi de fichier ver La Garenne Bezon, pourquoi y voir du mal ? La première conséquence de cette « relocalisation » des appels de machines compromise est un accroissement du nombre de pays hébergeurs de C&C. 184 pays recensés à la fin 2012.

Et lorsque les données quittent manifestement les frontières du pays, c’est pour voyager non pas en Chine, mais en direction du Japon ou de la Corée du Sud, havre de paix pour les C&C en mal d’hébergement. Pourquoi la Corée ? Probablement, expliquent les ingénieurs de FireEye, en raison de la qualité exceptionnelle de l’infrastructure Internet en ce pays. Le sérieux du réseau Coréen inspire confiance aux espions de l’Empire du milieu.

Du coup, les USA, cible privilégiée des espions Chinois, se trouvent pratiquement en tête du classement des pays hébergeurs de C&C, puisque 44% des appels de zombies convergent vers ce pays. Comparativement, les machines expatriant leurs données ne comptent plus que pour 24 % des rappels, mais ces rappels s’effectuent en priorité dans une région d’Asie ou l’influence Chinoise est très importante : Corée du Sud, Japon, Inde, Hong Kong. En deuxième place viennent les pays qui échappent juridiquement aux polices des pays occidentaux Russie, Pologne, Roumanie, Ukraine, Kazakhstan et… Lettonie, pays de la zone CE. Ce n’est donc plus une seule maison à laquelle téléphone le bot moyen, mais à une multitude de « légations officielles du réseau pirate Chinois ».