Il ne fait pas bon être internaute Roumain ces derniers temps. Un natif de la riante contrée du Comte Dracula vient de se faire pincer en train de poser des fausses façades sur des distributeurs de billets dans la région du Sommerset. Le skimmeur (chez lequel on aurait retrouvé plus de 9000 numéros de cartes de crédit) se nomme Leonid Rotaru et totalise près de 25 000 liens à son nom sur une simple requête Google. Toute la Bretagne (grande) est en émoi et vitupère contre ces hordes de Rom (Read Only Money).

Il faut dire que du côté de Bucarest, on n’y demeure pas (en reste, cela va de soi), puisque, très probablement dans le cadre d’une opération de police pan-européenne, le Dicoot ( Directorate for Investigating Organized Crime and Terrorism) a réalisé un sérieux coup de filet et arrêté 16 suspects que l’on soupçonne de tremper précisément dans des affaires de trafic de fausses cartes de crédit et autres détournements de comptes en banque. Nos confrères d’IDG –NS précisent que le montant estimé des pertes friserait les 25 millions de dollars sur l’année écoulée. La filière sur laquelle portait l’enquête ne se contentait que de revendre du numéro de compte à raison de 4 $ par carte de crédit. Soit un chiffre d’affaires de 270 000 dollars pour plus de 68 000 cartes compromises.

Encore une tragédie Roumaine pour faire bonne mesure… une de ces tragédies sans morale, qui prouve à quel point il n’existe pas de « syndicat du cybercrime ». Un hacker, Algérien cette fois, s’est pris d’une soudaine envie de remplacer les pages de garde de Google.ro, de Microsoft.ro, de Yahoo.ro et de Kaspersky.ro par une belle « mire à crochets Philips ». Par le plus grand des hasards, c’est un chercheur de l’équipe Kaspersky qui s’est penché sur le sujet. Le méfait, explique Stefan Tanase, ne fut possible que grâce à une attaque en DNS Poisoning conduite contre les serveurs dns locaux de Google (8.8.8.8 et 8.8.4.4 via Google.ro).

NdlC Note de la Correctrice. On notera que le titre, dont la paternité revient à l’illustre Corneille, constitue la preuve indiscutable que l’OuLiPo date pour le moins du XVIIème siècle.

La barre « antiphishing/anti-XSS » de Netcraft est désormais disponible sous Chrome. Rappelons qu’il s’agit d’un outil gratuit mis à jour en permanence

Microsoft Live perd une « certification » du laboratoire AV-Test. La raison principale de cette éviction : son faible taux de protection contre les Zerodays…

Air atome Anonymous est : sur pastebin, quelques preuves de fuites de serveurs de l’AIEA piratés par des anonymes « Parastoo » en réaction aux activités d’Israël dans le domaine du nucléaire. Quelques emails et chemins d’accès à des fichiers mais on est loin d’un piratage de centrale

13 décembre 2012, Rendez-vous à l’Intercontinental Paris Avenue Marceau

Administrer la sécu du SI : FW NG , IPS NG, gestion des identités, gestion des risques, tablettes, PDAs … Comment ne rien oublier ? Comment optimiser ? Conseils et Solutions

Cliquer ici pour : S’inscrire en ligne aux matinées de CNISevent

La sécurité devient un marché mature et toutes les entreprises ont d’ores et déjà toute une armada de produits et technologies pour se protéger. Les questions qui se posent souvent sont « comment gérer ces différents produits et technologies de façon la plus aisée possible ? Les produits Nouvelles Génération qu’apportent-ils en termes de gestion de sécurité ? » ou encore « Comment optimiser ? Centraliser est-ce possible ? », voire « comment récupérer les informations nécessaires et suffisantes dans mon SI pour prévenir les prochaines attaques ou fuites de données, internes comme externes ? ». Autant d’interrogations qui vont de comment administrer la sécurité à comment l’optimiser grâce à l’administration, des interrogations auxquelles de nombreux experts viendront répondre le jeudi 13 décembre prochain.
Des experts, de tous bords, associations dans le domaine de la sécurité, cabinets de conseil ou acteurs du domaine viendront donner des conseils et répondre aux questions. Des avocats de différents cabinets juridiques seront également là pour conseiller les personnes présentes sur le plan juridique. Le débat se tiendra aussi autour d’une table ronde qui sera encore un moyen mis à disposition des personnes présentes (patrons, DSI, RSSI, personnel IT ou non mais concernés par la sécurité) pour les informer et répondre à leurs questions

Où ?

CNIS Event a choisi un endroit en plein cœur de Paris, à deux pas des champs Elysées et de l’Arc de Triomphe. A deux pas des endroits business les plus stratégiques de Paris (Porte Maillot, Palais des congrès, La Défense…) comme facile d’accès pour ceux de l’extérieur qui viennent tout spécialement assister à la matinée CNIS Event (aéroports Orly et Roissy, accès aisé aux trains grandes lignes via la station de RER Charles de Gaulle-Etoile à proximité, parking).
InterContinental Paris avenue Marceau
64, avenue Marceau,
75008 Paris
Tél : +33 (0)1 44 43 36 36
Pour s’y rendre : métro George V (ligne 1), RER Charles de Gaulle-Etoile (Ligne A),Bus Arrêt Bassano (Ligne 92 Porte de Champerret – gare Montparnasse), parking 75 avenue Marceau, Paris 8

Pour qui ?

Les Responsables sécurité, les DSI, les décisionnaires d’une façon générale que ce soit de l’infrastructure ou de l’entreprise en ce qui concerne les PME-PMI, les CIL (Correspondant Informatique & Liberté), les avocats et juristes de l’entreprise, les consultants également. Tous sont concernés par et confrontés à l’administration de la sécurité. Il faut connaître et comprendre à qui, à quoi on a à faire pour pouvoir envisager et organiser la protection de son système d’information. Un discours d’expertise et de sensibilisation qui concerne tout le monde.

Cliquer ici pour :

S’inscrire en ligne aux matinées de CNISevent

Agenda

• 8H30 – Accueil des participants : petit-déjeuner et Networking
• 9H00 –Quoi administrer ? Les risques d’une mauvaise administration de la sécurité, tour d’horizon par Hervé Schauer, Clusif,
• 9H20 –  Expert terrain, point de vue d’un acteur du secteur,
• 9H40 – Conseils, guide et expertise, par Gérome Billois, Directeur Sécurité chez Solucom,
• 10H00 – Expert terrain, point de vue de Yann Leborgne, Sorucefire,
• 10H20 – Minute Juridique : les impacts juridiques sur les entreprises du manque de maîtrise de la sécurité d’un SI, avec Maîtres Olivier Itéanu et Garance Mathias répondent à toutes vos questions,
• 10H40 – PAUSE Networking
• 11H00 – Marché, Tendance et Evolutions de la gestion des identités, par un expert d’Atheos/RIAM,
• 11H20 – Témoignage d’un RSSI,
• 11H40 – Panel sur « Administrer la sécurité du SI : Comment ne rien oublier ? Comment centraliser ? Conseils et Solutions» avec un avocat, un consultant qui donnera quelques conseils sur la question de l’administration des SI, Gérard Gaudin, Président du Club R2GS qui donnera son retour terrain et des conseils en la matière et Meydéric Leborgne, Directeur technique RIM qui parlera plateforme d’administration centralisée pour PDAs/tablettes. Animé par un analyste IT, Bertrand Garé.
• 12H 25– Tirage au sort de Noël, Champagne & Clôture de la dernière conférence 2012

Parfois, la lecture des quotidiens donne lieu à d’étranges télescopages. Dans les colonnes de 20 minutes, notre consœur Anabelle Laurent titre Facebook dit avoir «appris» du faux bug du 24 septembre . Et revient sur les modifications des droits d’accès plus ou moins malheureuses que les administrateurs du réseau social avaient cru devoir prendre. «Nous avons pris conscience que l’usager ne pense pas tout à fait comme nous et ne nous comprend pas toujours » dit en substance le directeur des affaires publiques de Facebook en Europe. Et de promettre de s’amender à l’avenir.
Et comme en répond à ce chant des sirènes, nos petits copains de Network World et du HNS titrent respectivement « Facebook to revoke users’ right to vote on policy changes » et « Facebook wants to eliminate user voting on privacy changes ». Cette fois, le vice president of communications, public policy, and marketing déclare peu ou prou « nous avons bien aimé écouter vos avis jusqu’à présent, mais franchement, le mécanisme de consultation que nous avons mis en place devenait ingérable en terme de volume et n’apportait que peu de qualité quant au contenu des commentaires ». En d’autres mots, « merci, on vous promet de penser à vous lorsque nous changerons nos politiques concernant l’usage du réseau et la préservation des données privées.» Et d’annoncer l’intention de mettre fin au système consultation par vote auprès des membres de la communauté Facebook. Une réponse à la « Français, je vous ai compris », une réponse à la « cause toujours, tu m’intéresses ».

En juillet dernier, un scoop du Telegramme breton révélait que le palais de l’Elysée avait été victime d’une intrusion. Comment ? Durant combien de temps ? Avec quelles conséquences ? Silence radio de la part de l’Anssi en général et de son patron Patrick Pailloux en particulier, qui tenait tête aux incessantes questions des journalistes conférence de presse après conférence de presse. Son courage stoïque fut héroïque… mais vain.

Car nos confrères de l’Express sont pourtant parvenus à découvrir une « gorge profonde » et révèlent comment le gouvernement le plus high-tech de de la Vème République s’est fait intruser par une stupide opération de phishing lancée depuis un réseau social grand public, Facebook en l’occurrence. Une fois les mots de passe récupérés, les intrus auraient parsemé ce qui semblerait être une variante de Flame, laissant ainsi planer de sérieux soupçons sur l’origine US de l’attaque. Fermez le ban, rebootez les firewall.
Bien entendu, le cyber-espionnage étant par définition et par construction une activité ou le « plausible deniability » est un art de vivre, le gouvernement US, en la personne du porte-parole de l’Ambassade des Etats-Unis, a nié avec vigueur, avançant comme argument que la France est un allié. Comme si en matière de renseignement ce genre de considération pouvait jouer. Le précédent Président de notre République ne taquinait-il pas le Premier Britannique en lui expliquant qu’il pouvait être sage de mieux chiffrer ses emails ? En matière de barbouzerie, les amitiés ne sont que provisoires.

Paradoxal également le fait que cette mésaventure frappe une équipe qui, lorsqu’elle a pris possession des lieux, prétendait dépoussiérer les usages et mettre un peu de « high tech » dans les rouages de l’Etat. Une geekitude mal digérée qui avait, à l’époque, fait réagir les services de sécurité de la Présidence en déconseillant fortement la profusion de téléphones Blackberry dans les poches des Ministres et la multiplication des connexions Internet. A trop vouloir jouer branché, on finit par se faire p(r)endre.

Mais la véritable morale de cette histoire, c’est que la République possède un véhicule très rare et très complexe : la communication de crise à deux vitesses. En position « route », elle accepte de communiquer à propos des hacks de Bercy ou émet quelques notes désolées sur l’intrusion d’Areva. Net progrès par rapport aux années de plomb des années précédentes. A moins qu’il ne s’agisse d’une prise de conscience du fait que le silence n’arrange pas les choses. En position « tout terrain/Elysée », en revanche, la loi du silence, l’insupportable « raison d’Etat » prévaut. Une omerta (terme d’actualité) qui ne s’explique pas, puisque ce que demande le public, ce qu’exigent les citoyens, ce n’est pas de connaître le détail de ce qui a été volé, mais d’être informé des dysfonctionnements et des mesures de remédiation qui en ont été tirées.

Il est tout à fait secondaire de savoir si oui ou non l’attaque provient des USA. La preuve par « la présence d’une probable mutation de Flame » n’en est pas une. Même les virus se font « reverser ». Le raisonnement inverse est également vrai : en se servant d’un outil connu, donc trop identifiant pour être utilisable de manière discrète, les espions d’Outre Atlantique se disculpent : une telle erreur, une telle signature constituerait une erreur de débutant totalement improbable. Ainsi disculpés, ces modestes agents Fédéraux peuvent donc utiliser leurs vieux techno-chassepots. Bref, la « signature » d’un virus est aussi significative qu’une adresse IP aux yeux du monde (exception faite de l’Hadopi).

Des « avis défavorables » émis par différents Etats (principalement l’Australie, mais également la France, la Grande Bretagne, le Mali ou l’Allemagne) ont été communiqués et publiés par l’Icann, ou plus exactement par le GAC, conseillers de l’Icann pour tout ce qui concerne les questions de droit international.

A l’origine de cette grogne, la volonté de l’Icann de varier les noms des « top level domain » et sortir du carcan des .Com, .Net ou .Org. Carcan, il est à noter au passage, qui a été encouragé par bien des instances chargées de la gestion des TlD nationaux. Comme cela a notamment été longtemps le cas en France, les domaine nationaux (.fr) étaient vendus à des prix tellement dissuasifs qu’ils ont renforcé la prédominance des .com et napalmisé toute idée d’un internet national.

Ainsi donc sont nés les gTlD, ou noms de domaine de nouvelle génération. Immédiatement, les idées les plus folles ont germé dans les esprits féconds de la gente marketing du monde entier. Et l’on vit fleurir du « .pizza » et du « .Porn » comme bouton de rose et d’acné lorsque vient le printemps, accompagnés de tout ce que le monde pouvait compter comme marque déposée au Nasdaq et au Stock Exchange. Verra-t-on du .microsoft et du .cocacola côtoyer du .target ou .sanzot ? Constatant que, derrière ce déchainement d’idées toutes aussi mercantilistes les unes que les autres, se cachaient quelques belles occasions d’escroqueries, l’Icann a sagement reculé la date de mise en œuvre de ces gTlD.

Et à raison semble-t-il, si l’on en juge par les réclamations des différents pays. « pas de .roma sans l’approbation des édiles de la capitale » vitupèrent les italiens. « Le gTlD .sarl risque de prêter à confusion et son attribution ne peut être possible qu’à partir du moment où chaque demandeur serait en mesure de fournir les pièces justificatives de la société en question » tempêtent Messieurs les Ronds de Cuir. « Les gTlD .health frisent l’exercice illégal de la médecine » « Le nom Swiss n’appartient pas à la compagnie aérienne homonyme mais relève de l’image de marque d’un pays tout entier »… et ainsi de suite.

La nature des réclamations est un problème vieux comme Internet : celui qui propose le nom de domaine peut-il, doit-il en être le gestionnaire de facto ? Et de manière plus extensive, la généralisation des noms de domaine, outre les problèmes certains que tout cela va poser en termes d’homonymie, de droit des marques ou de dépôt de nom, ouvre une sérieuse voie d’eau dans le navire des autorités d’enregistrement en général. Il y a là une question de partage de pouvoir (donc de partage d’argent) avec certaines instances régulatrices qui estiment avoir un droit de regard légitime.

Prenons l’exemple du .sarl . Les registrars Français et Luxembourgeois sont-ils prêts à partager leur gâteau avec les chambres de commerce ou le Ministère de l’Industrie ? Ou peut-on imaginer l’Icann élargir les règles définissant une autorité d’enregistrement afin que n’importe quelle organisation gouvernementale ou associative puisse délivrer des noms de domaine ? Dans les deux cas, la réponse est négative. Non seulement le business est trop lucratif pour qu’il soit partagé, mais en outre il ne nécessite pour l’heure d’aucun effort et d’aucune règle bien définie en matière de politique de sécurité. Pourquoi en ajouter ? Certes, il existe des registrars scrupuleux et attentifs. Mais ils sont encore trop minoritaires, preuve en est, le nombre de « Creditlyonnais.truc » et autres « Banquemachin.com » qui se déposent chaque jour et viennent gonfler les portefeuilles des cyber-mafiosi. Ceci sans évoquer les batailles rangées auxquelles se livrent des foultitudes d’entreprises, les unes pour cybersquatting, les autres pour usurpation… lorsque l’on se souvient de l’affaire Milka, qui a opposé une petite couturière lyonnaise et le géant de l’agroalimentaire alors que le conflit ne portait que sur le nom de domaine, on frémit à l’idée que les gTlD engendreront en combats homériques.
La question se pose surtout autour des « noms génériques » qui ont fait l’objet d’un dépôt : .Hotel soulève la ire des vendeurs de nuitées industriels ou de luxe, Amazon ne devrait pas avoir le droit de se réclamer seul et unique gestionnaire du nom d’un des plus grands fleuves du monde, et il ne peut être accordé à Loréal le monopole exclusif du domaine « beauty ». Saluons au passage le courage inconscient de la United TLD Holdco Ltd qui a déposé comme un seul homme les domaines Navy, Army et Airforce. Et ce n’est pas le Gouvernement Fédéral US ni la société de production de Donald Bellisario qui en a pris ombrage, mais le gouvernement Indien.

Fort heureusement, il n’y a pas que de vains ergotages au sein de ces multiples contestations. Parfois les choses deviennent sérieuses. Ainsi le Royaume Uni s’oppose de manière véhémente à ce que le TlD « Rugby » soit supprimé, car le prétendant à son dépôt ne peut être considéré comme un digne porte-drapeau des véritables amoureux de ce brutal sport de gentlemen. Heureux retour aux choses fondamentales qui font le quotidien de L’homo-canapus-televisiensis. On peut déplorer, en revanche, que personne n’ait eu l’audace de déposer les TlD .phishing, .scam et .scareware.

Diffusé par Brian Krebs sur Youtube, une séquence vidéo signée par un membre Egyptien du forum Darkode cybercrime. Ladite vidéo montre comment, et ce quel que soit le navigateur utilisé détourner un compte de messagerie Yahoo en incitant la victime à cliquer sur un lien légèrement empoisonné. Un classique de l’attaque XSS. « C’est un exploit qui va chercher dans les 1000 à 1500 $ » affirme l’inventeur (effectivement dans les prix si son exploit est fonctionnel) « je le brade à 700$ si je trouve un acheteur sérieux, car je ne souhaite pas que cette faille soit colmatée de sitôt ». Les pirates parlent aux pirates.

Cette publicité, supprimant l’effet de surprise de cette attaque, a très probablement fait revoir les tarifs à la baisse. Peut-être qu’une proposition au ZDI aurait été un peu plus gratifiante, tant pour l’ego que pour le portefeuille de l’inventeur …

Une utilisatrice de Pirate Bay âgée de 9 ans provoque une descente de la police scandinave et la mise sous séquestre de son ordinateur « Winnie l’ourson » nous apprend BGR.com