Archives

Si l’on devait résumer en quelques mots la vision que les médias portent sur le rachat de VirusTotal par Google, ce serait par un « bonne nouvelle, Google récupère un acteur de la sécurité pour parfaire la protection de son « market ». VirusTotal est particulièrement apprécié du public pour son outil de scan d’URL ».

Ce sont là deux contre-vérités. En premier lieu, on voit mal comment un antivirus (voire une armée d’antivirus concaténés) pourrait mieux chasser la présence de fonctions natives de certaines appliquettes destinées au marché Android. La géolocalisation, la récupération d’informations personnelles dépendant du terminal, l’émission de ces données à destination d’un service extérieur, tout ça ne définit pas une activité virale, mais d’outils légaux « by design », naturellement destinés au bien du consommateur. Détecter et bloquer de telles fonctions équivaudrait à invalider 80 % des appliquettes actuellement diffusées par Google. VirusTotal n’est doué d’aucune intelligence artificielle capable de distinguer une « bonne » géolocalisation d’une mauvaise, une « bonne » récupération d’historique de navigation d’une mauvaise et ainsi de suite.

… quant au scan d’URL, à part quelques très rares paranoïaques ou chercheurs en sécurité, qui donc l’utilise ? La lourdeur de la procédure cantonne ce genre de service dans la catégorie « gadget à usage exceptionnel ».

Reste un usage de VirusTotal qui semble avoir été occulté par une soudaine amnésie sélective de la part de bon nombre de nos confrères : la vérification systématique des « payload » et vecteurs de diffusion conçus par les auteurs de virus ou de toolkits à malwares eux-mêmes. Ce n’est pourtant pas Google qui a inventé l’accroche « 0/42 VT Score Guaranteed » qui accompagne les documentations publicitaires de BlackHoles et proches cousins. Outil apprécié des filières mafieuses, ce bijou ajouté à la couronne Google a un parfum sulfureux.
VirusTotal, c’est le Janus de la protection, une arme à double tranchant qui peut avoir deux aspects. Le premier, angélique et blanc comme neige, qui affirme que le crible d’un fichier par 42 antivirus différents est une forme d’assurance « ceinture et bretelles » garantissant une absolue innocuité dudit fichier (ce qui est techniquement totalement inexact), le second, diabolique et sombre comme une dette souveraine Hellène, qui offre un label de furtivité et d’invisibilité à tout code d’origine BlackHat. Il y aura donc deux manières de lire, désormais, la phrase « applications Android vérifiée et garantie 0/42 par GoogleVirusTotal ». Assurance de pureté ou de très bonne infection ?… En admettant que Google envisage de rendre ce nouveau service commercial, la firme pourrait bien décrocher ses premiers clients du côté de Saint-Pétersbourg, dans la banlieue de Shenzhen ou dans les faubourgs de Rio …

Cornegidouille, Mère Ubu, que dites-vous de cela ? Moi, Père Ubu, Roi de Pologne et de la Sacem, c’est-à-dire de rien et de nulle part, je suis parvenu à saisir 150 Euros à un quidam… 150 florins qui viendront bien nourrir mon cheval à Phynance.

Mère Ubu

Tu perds la tête, Père Ubu. Tu te crois donc encore en Pologne ? En France, le vol est interdit, et comme nous n’avons plus nos anciens titres et fonctions…

Père Ubu

Madame ma femelle, tu manques de jugement. En quittant la Pologne, j’ai fait tirer par mes palotins, outre mon croc à phynance, mon illustre machine à décerveler. Et je l’ai offerte au bon peuple de France, en lui faisant accroire que c’était de l’art, alors que ce n’était que du cochon. Chaque usage de ma machine à décerveler (nommée dans le Berry et la Champagne, et la Beauce et la Bretagne, « téléchargement ») provoque immédiatement une réaction de mon cheval à Phynance.

Mère Ubu

Hon, je serais étonnée que cela fonctionne. Encore faudrait-il poser un palotin derrière chaque Français pour savoir qui abuse de cette machine à décerveler !

Père Ubu

C’est inutile, j’accuse sans preuve autre qu’un ouï-dire émis par un sous-palotin que je paye fort cher sur la cassette personnelle des Français eux-mêmes, qui payent avec gaieté car je leur explique que c’est pour le bien de mes généraux nécessiteux. J’arrive ainsi à leur soutirer 12 millions de Drachmes par an. Soit, depuis 3 ans, un peu moins de 30 millions de Rixdales.

Herdampot (qui entre côté Jardin)

Père Ubu, Ils finiront par s’en rendre compte ! Vous allez finir comme en Pologne ! Ecoutez la foule en colère, qui finira par vous enfoncer des petits bouts de bois dans les oneilles et vous coupera les cheveux. Et mère Ubu sera obligée à nouveau de quitter le pays, en y laissant votre croc à phynance.

Père Ubu

De par ma chandelle verte, ce serait surprenant ! Nous faisons œuvre pédagogique de sensibilisation. Je leur apprends le droit chemin, la logique de la physique, de la métaphysique, de la pataphysique et autres physiques bien plus abstruses, à commencer par celle qui consiste à appeler Création Artistique tout ce qui se peut écrire sur un disque polycarbonate, un Winchester, une tablette, une machine à Grand ou Petit Comput dès lors qu’il est portable… ou assimilé, et même les routes et autoroutes du savoir, car déjà mes fidèles généraux touchent une dime extraordinaire sur leur commerce et leur usage. Ce qui les rend gras et gros et dociles, eux qui mordraient s’ils n’étaient pas nourris par ces prébendes. J’éduque donc. J’instruis. Je pédagogise.

Herdampot (à mère Ubu)

Ma foi, il nous aura surtout appris qu’il est possible de voler en France comme en Pologne, de mettre l’argent de l’Etat au service d’un quarteron de commerçants, de rouler carrosse et habiter château sans que qui que ce soit ne trouve à redire, et, lorsque de vagues soupçons planent sur Père Ubu, il fait nommer l’un de ses propres anciens Palotin à la retraite à la tête d’une commission d’enquête. Il aura également écarté de leur fonction le rôle des juges et de la Police Républicaine pour imposer le pouvoir de ses Palotins, et parvenu à convaincre l’Etat que la proportionnalité des peines était une habitude passéiste. On condamne pour deux grains de blé, et l’on se garde bien de pourchasser ceux qui volent par sacs entiers.

Père Ubu

Merdre, vas-tu te taire ? N’as-tu point appris comment j’ai éliminé le roi Vancelas et gagné le trône de Pologne en donnant des caisses d’or à ceux qui savaient bien courir ? Je fais pareil ici. Je promets l’ordre et la phynance (sans rien tenir bien entendu) et entretiens en attendant la santé de ma Gidouille. Mais cela faisait longtemps que le Roi de France me demandait de hauts faits d’arme. J’ai donc levé l’impôt sur un manant pris au hasard. D’ailleurs, le prévenu n’était pas personnellement coupable, mais cela est-il important ? Comme je le promettais lorsque j’étais roi*, je vais d’abord réformer la justice, après quoi je procéderais aux phynances. Les juges ne seront plus payés, ils bénéficieront uniquement des dimes qu’ils imposeront… et des biens des condamnés à mort. Comme ça, le rebondi de leur boyasse sera d’autant plus important qu’ils seront sourds aux vieux principes. Mais j’interdis, sous peine de décervelage et d’arrachage des oneilles, de lever impôt sur les admirateurs les plus fervents de l’Art tel que défini par Moi-même et forts téléchargeurs, sans qui ne ne saurait continuer à justifier mon gouvernement vis-à-vis de la populace. Et lorsque qu’à force d’actions palotines mes généraux auront la boudouille rebondie à force de dime sur les goualantes, j’entendrais mes maréchaux, qui, eux, veulent que je réédite mon exploit non plus sur tout ce qui entre par les oneilles, mais sur tout ce qui entre par les yeux et qui s’est écrit.

Ils sortent en chantant

« Ne me chicane

Dans le Dodo »

Un Palotin vient éteindre les bougies de la scène, côté cour, verse une pièce de 2 Rixdales pour les droits du chant Tatane.

* NdlC Note de la Correctrice : Acte III Scène 2.

Déjà, l’an passé, presque jour pour jour, une intrusion dans l’un des intranets d’Areva avait défrayé la chronique. Enfin… le bruit médiatique relevait plus des hiatus de la gestion de crise que du hack lui-même, hack dont personne n’a plus entendu parler par la suite.

Cette année, la révélation d’une tentative d’attaque vient du blog d’un spécialiste de l’analyse malwarophile, Snorre Fagerland travaillant pour le compte de l’éditeur d’antivirus Norman. Il s’agit, une fois de plus, d’une attaque très ciblée, tentant d’injecter un troyen dérivé de Dark Comet, un outil discret d’administration à distance conçu d’ailleurs par un développeur Français, Jean-Pierre Lesueur. Histoire de corser un peu le côté mystérieux de l’affaire, l’outil était accompagné d’un fichier iTunes, d’un lot de 9 photographies montrant deux hommes affalés dans un canapé, et un courrier interne purement administratif et manifestement détourné de la messagerie d’Areva La Hague. Si cette histoire est publiée ces jours-ci, son déroulement s’est étalé entre la seconde et la troisième semaine du mois de juin 2012.

Mais là où l’affaire prend un tournant inattendu, c’est lorsque Snorre Fagerland se rend compte que le troyen ne peut pas se déclencher, qu’il est paramétré sur l’adresse de bouclage IP, et que, photographies y comprises, son poids dépasse les 30 Mo. Pourquoi lancer un virus qui ne fonctionne pas ? Fagerland émet deux hypothèses : soit il s’agit là d’un tir d’essai, destiné à vérifier la vulnérabilité d’un point d’entrée (les photos n’étant alors qu’une charge fictive), soit les auteurs du virus ont commis bévues sur bévues, et les photos, tout comme le fichier iTunes, auraient bel et bien été stockés sur l’ordinateur de l’attaquant. Mais sans cellule de communication de crise dans les rangs des fabricants d’espionniciels, il y a peu de chance que l’on obtienne un jour le fin mot de l’histoire …

Ces péripéties atomiques ne doivent pas pour autant associer le travail de Jean-Pierre Lesueur à celui d’un auteur de virus. Son projet Dark Comet a été occulté depuis la fin juin, et son outil de récupération d’informations Browser Forensic Tools V2 se montre très persuasif lorsqu’il s’agit de faire parler un navigateur Internet Explorer, Chrome, FireFox ou Opera.

C’est la fête pour Android, en ce début septembre. En premier lieu, l’adoption du système par un nombre toujours croissant d’intégrateurs est telle que l’on compte (chiffres communiqués par Google) 1,3 million d’activation de noyaux par jour. Android vient de passer le cap des 500 millions de systèmes diffusés dans le monde, systèmes majoritairement installés sur des smartphones. 2,1% (70 000 par jour) de ces systèmes sont intégrés à des tablettes. A ce rythme, le cap des 600 millions de systèmes pourrait être atteint avant la fin de l’année. Les lendemains de fêtes de fin d’année seront l’occasion pour les pronostiqueurs professionnels de voir comment se comportent les trois noyaux concurrents, puisque d’ici là, Windows RT sera commercialisé.

Mais ce qui passionne le plus le landernau de la sécurité, c’est précisément l’insécurité intrinsèque d’Android. Deux études tendent à dire que les lendemains vont chanter pour les vendeurs de logiciels de défense périmétrique adaptés aux noyaux Google. La première est publiée par Dell/Secureworks, la seconde a été conduite par SearchSecurity auprès de 500 entreprises « byodisées ». Les conclusions sont plus ou moins les mêmes : faiblesses endémiques des applications et des plateformes, grande mobilité des usagers et donc connexion de leurs appareils sur plusieurs ordinateurs (créant ainsi une sorte de réseau virtuel indéfini mais pas franchement sécurisé), carences des politiques de sécurité qui, même si elles sont mises sur pied, ne sont pas régulièrement remises à jour… les motifs d’inquiétude ne manquent pas, et les outils de gestion de flotte mobile (MDM) ne peuvent avoir réponse à tout.

Depuis que les barbouzes admettent quasiment officiellement leur implication dans le développement et la diffusion de malwares « pour la bonne cause » (Stuxnet, Flames et variantes asiatiques), il fallait bien que cela inspire un jour ou l’autre d’autres mouvements agissant eux aussi pour une autre « bonne cause », qu’elle soit écologique, anti –impérialiste et autres mots en isme. Fini la gentille attaque en déni de service qui, au gré de quelques dirigeants masqués (ou croyant l’être), noyait sous un déluge de trame qui un dictateur Africain, qui un député Espagnol plus ou moins « hadopiste », qui une chaîne de télévision coupable d’avoir diffusé des propos jugés outrageants.

Tout çà, c’est de l’histoire ancienne depuis que les hacktivistes ont remplacé leurs banderoles, leurs masques d’intégriste religieux et leurs Loic par un virus/troyen baptisé Shamoon, expliquent nos confrères de Computerworld. Un virus qui possède un « double effet kill cool ». Tout comme une double lame de rasoir, il infecte et zombifie dans un premier temps sa machine-cible puis, avant que les services informatiques aient eu le temps de réagir, coupe le système d’exploitation à la racine en effaçant le MBR du disque dur. Le virus efface ainsi pas mal de pistes pouvant permettre à des spécialistes de l’analyse forensique de remonter jusqu’à l’attaquant. On avait presque perdu l’habitude de ces virus destructeurs, pourtant si à la mode il y a environ une décennie, et dont l’un des plus emblématique s’appelait JerusalemB et avait été pondu par les codeurs de l’OLP.

L’usage de ces armes explosives au sens binaire du terme vient d’être revendiquée par un groupe d’hacktivistes visant la compagnie pétrolière Saoudienne Aramco. L’attaque, affirme le texte de revendication publié sur Pastebin, aurait touché 30 000 ordinateurs dont 2000 serveurs. Et de publier la liste du « fingerprinting » des serveurs supposés équiper le réseau d’Aramco, avec leurs IP privées, leur nom Netbios et leur niveau de service pack.

Cette radicalisation par la destruction informatique n’est pour l’heure qu’un cas isolé, et il est bien trop tôt pour commencer à parler de tendance générale. Si de nouvelles attaques du genre venaient à se multiplier, il serait pratiquement impossible de se protéger efficacement : personne n’a jamais pu anticiper une intrusion dont on ne connaît pas déjà les mécanismes, et Shamoon (et ses très probables successeurs) sont encore inconnus par la grande majorité des logiciels antivirus.

Cette radicalisation pourrait également cacher l’activité d’autres groupes d’influence, politique, mafieux, institutionnels, que seul le désir de discrétion contraignait précisément à ne pas employer des moyens extrêmes…

Généralement, les « pros » du phishing ont la prudence de ne jamais jeter leurs filets sur leurs propres rivages, l’extraterritorialité étant une protection juridique plus efficace que les remparts du fort de Brégançon. Cela n’a pas été le cas de ce Niçois qui s’est fait pincer par la brigade de lutte contre la cybercriminalité de Nice, pour avoir directement exploité des données bancaires de quelques-unes de ses 1300 victimes. Ce sont nos confrères de Nice Matin qui relatent l’évènement, et qui précisent que le dol financier graviterait aux environs de 70 000 euros. Une belle somme pour une personne seule et manifestement inexpérimentée.

Plutôt que de s’offrir des voitures de luxe, le cyber-escroc achetait des vélos haut de gamme en fibre de carbone. C’est précisément son penchant pour la joyeuse pédale et ses habitudes chez les revendeurs de régime avec selle que les policiers ont pu lui mettre la main au collet*.

Pour une affaire élucidée, plusieurs milliers d’autres restent impunies. Depuis le mois de juin, le niveau de qualité des emails d’hameçonnage a franchi un bond qualitatif impressionnant, capable de piéger même une personne avertie. En tête des plus belles réalisations du moment, les éternels email Paypal.

*ndlc, Note de la Correctrice : Non, la main au collet, ça ne se passe pas à Nice mais à Monaco (http://fr.wikipedia.org/wiki/La_Main_au_collet). C’est peut-être à côté, mais on ne mélange pas la grâce de Grace et les fichus phiseurs …

La mise en image d’un cycle de conférences est toujours un travail long et ardu. Ce qui explique les presque deux mois de décalage entre le déroulement de la conférence Hack in Paris et la toute récente publication des vidéos desdites conférences.

Profitons donc de l’arrivée de ces vidéos pour écouter ou réécouter Amol Sarwate dans son exercice de vulgarisation « qu’est-ce qu’une attaque Scada » (et pourquoi les industriels utilisent-ils des protocoles vieux de 30 ans ?), Nicolas Grégoire et ses attaques XML (il reprendra cette présentation peu ou prou Outre Atlantique), Georgia Weidman qui, à genoux derrière son pupitre, expliquait pourquoi et comment le modèle Android était (et est toujours) pratiquement indéfendable, ou encore Ange Albertini qui nous a entrainé dans la sécurité « par obscurantisme, manque de documentation et respect de règles parfois approximative» des winPE . A revoir également le discours de Fernando Gont sur la consolidation d’IP v6 (redite de Hackito mais avec une meilleure prise de vue) et, dans un registre moins technique, plus humain, l’intervention de Jayson Street sur le fameux complexe de la sensibilisation de l’utilisateur. Street donne des conseils pratiques, cite des cas de figure vécus qui montrent à quel point le travail du RSSI est difficile, voire impossible. Son « équation de la sécurité » et son constat d’impossible dialogue entre les réactions « a priori » des hommes sécurité et « a posteriori » des hommes du management montre à quel point la dialectique est une science exacte que doivent maîtriser les CSO et consorts.

Certes orienté et un brin partial, mais qui, assurent ses rédacteurs, ne repose que sur les métriques de ses outils de détection le rapport semestriel 2012 de F-Secure vient d’être mis à disposition en téléchargement gratuit. Pas de grands changements ni de renversement de tendance. Plutôt une « optimisation des ressources » du côté obscur de la force, avec un usage de plus en plus intensif des « exploit kits » de développement de malwares, et une forme de « microsoftisation » de l’offre, de concentration monopolistique autour de quelques outils. Concentration qui explique la brusque montée en puissance de BlackHole notamment. La recherche d’exploit, explique le rapport F-Secure, est devenu une seconde nature chez les délinquants du net. Les cyber-pirates lancent des attaques très classiques genre « drive by download », souvent en se reposant sur des astuces d’intox et de social engineering et en utilisant la caisse de résonance offerte par les réseaux sociaux. Dès que l’attaque a réussi, une investigation de la machine cible est alors effectuée pour y découvrir des failles et les exploiter.

La seule véritable nouveauté en cette première moitié 2012 a été l’étonnant succès du troyen Flashback qui exploitait un défaut Java et permettait de zombifier des machines sous Mac OS/X. Léger accroissement également d’une variante des scareware (faux antivirus) qui utilisent de nouveaux canaux de diffusion, notamment les SEO (Search Engine Optimization).

Sur le plan de la croissance, aucune surprise : c’est bien la plateforme Android qui constitue la cible privilégiée des auteurs de malwares de flicage et de vol d’information : 65% de croissance durant le second trimestre de l’année.

Sur celui de la longévité, c’est encore et toujours Conficker qui détient la palme. Ce Jeanne Calment de la cybervirologie représente encore 13 % des infections à ce jour, et s’avère relativement persistant dans des pays comme le Brésil, la Malaisie, la Chine, la Roumanie… et très bizarrement la Belgique.

Sans surprise, le rapport F-Secure décerne une mention spéciale à un virus plus médiatique que véritablement répandu : Flame, le virus-espion largué par la NSA et le Mossad contre les infrastructures de certains pays du Golf Arabo-Persique, Iran en tête. Mention spéciale également pour DNS Changer, ce pollueur de mécanismes de routage qui détournait d’honnêtes surfers vers des sites Web généralement peu recommandables. Début juillet, le FBI prenait la décision de tuer les « annuaires DNS de substitution » mis en service dans l’urgence pour contrer le malware DNS Changer et occulter les «annuaires pourris ». Un arrêt d’activité qui a plongé dans le noir les internautes et entreprises encore infectés par le malware et qui, sans le savoir, fonctionnaient grâce à la béquille d’un service de police US.

Il est intéressant de noter que cette coupure (cette intervention de pompier devrait-on dire) a été très mal perçue par une partie des usagers d’internet. Mécontentement d’ailleurs reflété par un sondage effectué par F-Secure et mentionné dans son rapport. Un mécontentement qui dénote l’état de dépendance (d’assistanat disent certains) dans lequel vivent beaucoup d’utilisateurs du Net, qui pourtant pourraient se libérer de cette tutelle en désinfectant leur matériel.

Après des années de dialectique ampoulée durant lesquelles les caméras de flicage se transformaient en protecteurs musclés et les intrus informatiques ne « parvenaient à ne rien dérober », voilà que nos confrères du Parisien apprennent que des plans de l’Elysée, du Ministère de l’Intérieur et de la Préfecture de Police de Paris ont été dérobés. Plans contenus sur des clefs USB et disques durs qui auraient été kidnappés avec d’autres documents et appareils appartenant à un entrepreneur de BTP travaillant pour l’Administration.

Certains de nos confrères s’émeuvent du fait que ces plans n’auraient pas étés cryptés ce qui est totalement inexact. Toute personne ayant tenté de retrouver son chemin dans les dédales des couloirs du Quai des Orfèvres sait fort bien que l’organisation de ces lieux est hautement cryptique. Ou alors notre éminent confrère voulait-il parler de chiffrement des données ? Et de préciser que lesdits plans « sont très précis puisque l’emplacement de chaque pièce y est représenté »… ce qui, pour des plans, semble être une fonction a priori fondamentale.

Selon la coloration politique des quotidiens relatant l’affaire, l’importance du larcin oscille entre la petite délinquance et la Haute Trahison. Nos confrères de Libé rapportent les propos de la Préfecture qui précise « les documents (volés) ne relèvent pas de la catégorie des documents classifiés et les informations qu’ils contiennent ne mettent pas en péril la sécurité des sites concernés », tandis qu’au Figaro, l’éclairage change légèrement « Ces documents hautement confidentiels entraient dans le cadre d’un plan de vidéoprotection de la ville de Paris, selon le quotidien. Sensibles puisqu’ils représentaient l’emplacement de chacune des pièces de ces bâtiments, les fichiers n’étaient pas cryptés pour autant ». Crypté, vidéoprotection, hautement confidentiel… la novlangue anxiogène a encore la vie dure dans certains titres.

Dans les faits, la « Présidence Normale » semble donc renouer avec une tradition de « transparence normale » faisant état de « bévues normales », comme cela se pratique depuis des années dans d’autres démocraties d’Europe, notamment en Allemagne et en Grande Bretagne. Le scoop, contrairement à ce que prétendent nos confrères, n’est pas que les plans de trois administrations (dont la première de France) soient tombés entre les mains de petits voleurs à la tire. Non. Le scoop, c’est que l’on en parle enfin dans les journaux. Et ça, c’est un signe notable d’évolution de la démocratie et de la liberté de la presse.

Après le mythe de l’Administration qui ne saurait être victime de la moindre fuite, il serait peut-être bon que d’autres fables trépassent. Notamment celles de l’inviolabilité des données bancaires en France (seules les banques étrangères ont perdu des clefs USB à ce jour) ou du caractère inexpugnable des infrastructures Scada Nationale. En 40 ans d’informatique industrielle, une seule intrusion au sein de l’intranet Areva, c’est peut-être la preuve que les lois statistiques nous mentent. Ou pas.

De son petit nom CVE-2012-1535 , cette faille Flash a un peu fait parler d’elle, chez Adobe. Multiplateforme (Mac, Window, Linux), ce défaut est qualifié de critique car très probablement exploitable sous Windows, explique le « priority rating » de l’éditeur.

Outre cet accident Flash, Adobe lance une nouvelle version de ses « Reader » sur toutes les plateformes. Les éditions Windows et Macintosh se voient ainsi protégées des risques liés à 19 CVE dont certains sont exploitables.

Attention, un bouchon peut en cacher un autre. Toujours chez Adobe, à l’occasion de ce grand nettoyage d’été, l’on offre une édition revue et corrigée de Shockwave Player pour Mac et Windows. Cinq trous sont éliminés au passage.

Chez Microsoft, août a été l’occasion de publier le célèbre « cumulatif Internet Explorer ». Au total, 9 correctifs, 27 CVE dont un trou Office activement exploité. Ces bouchons nécessitent un redémarrage de la machine.