Archives

Le quotidien Nippon Mainichi titre « 1,4 milliard de Yen volés en utilisant les DAB installés dans des supérettes Japonaises ». Il aura fallu une organisation quasi militaire pour que ce casse de billetteries automatiques se réalise, impliquant probablement une bonne centaine de mules réparties dans 16 préfectures du pays. Une orchestration qui n’est pas sans rappeler les précédents « fric-frac de la trêve des confiseurs ».

A l’origine de ce cambriolage numérique, la fuite de 1600 identités bancaires des serveurs d’un établissement situé en Afrique du Sud. Peu d’informations filtrent dans la presse. Tout au plus apprend-on que le vol a été opéré dans la journée du 15 mai, et que les enregistrements vidéo des caméras de surveillance font porter les soupçons sur un gang Malaisien.

En 2013, Dejan Ornig , alors étudiant en sécurité informatique, découvre que la mauvaise intégration des mécanismes de chiffrement du réseau radio Tetra utilisé par la police Slovène peut être « exploitée » avec une simple clef USB type RTL-SDR. Une classique « implementation error » ? Que nenni ! Purement et simplement une utilisation du réseau en mode dégradé non chiffré. Tetra est utilisé par beaucoup de services civils (transports en commun notamment) dont le contenu des échanges ne nécessite pas franchement de couche de chiffrement. C’est, en revanche, nettement moins compréhensible pour ce qui concerne les forces de police et l’est encore moins lorsque les travaux du chercheur parvient à établir la preuve que les liaisons UHF de l’armée Slovène et des services d’intervention antiterroristes passent également « en clair » sur les ondes. Interpelé sur ce point par la presse, le haut commandement militaire a rétorqué d’un laconique « les communications Tetra sont chiffrées par défaut ». Encore faut-il s’assurer que la fonction ait été activée.

Fait surprenant, car Ornig avait déjà prévenu les autorités dès les premières semaines suivant sa découverte, ce qui aurait dû au moins déclencher une vérification technique, sinon une enquête administrative. En vain. Deux ans plus tard, le très docte et très sérieux institut Jozef Stefan contacte le chercheur et lui demande de rédiger une communication. Publication qui provoque cette fois une vive réaction du Ministère de l’Intérieur, lequel poursuit Ornig et le condamne à une peine de 15 mois d’emprisonnement avec sursis assortie d’une période de probation de 3 ans. Non pas pour avoir « piraté un réseau de communication d’Etat » mais sous prétexte d’avoir enregistré des conversations.

L’histoire , relatée par un portail d’information Slovène, ne s’arrêtera probablement pas là. Le condamné peut encore faire appel, et la médiatisation de l’affaire à de fortes chances de placer les Ministères de l’Intérieur et des Armées dans une situation encore plus délicate.

En Slovénie, tout comme dans la plupart des pays d’Europe, l’écoute des fréquences autres que celle qualifiées de « citoyennes » est soit interdite, soit soumise à règlementation et autorisation spécifique *. S’il règne une certaine tolérance depuis le début des années 80, il reste que la divulgation du contenu de ces écoutes provoque généralement une réaction assez vive de la part des Etats. Réaction souvent légitime, car elle vise à préserver à la fois le secret et le caractère privé des communications entre personnes. Mais depuis la publication du hack Osmocom et les multiples travaux sur la démodulation des réseaux Tetra toute fréquence située entre 1MHz à 2 GHz peut être écoutée avec des moyens techniques à la fois simple d’utilisation et peu coûteux (entre 8 et 30 euros). Un service de police ou de gendarmerie qui ignorerait ce détail et négligerait d’activer les protocoles de chiffrement nécessaires porterait donc une lourde part de responsabilité.

* En France, Art. 226-3 et 226-15 du code pénal

L’un s’en va, un autre prend sa place. Nos confrères de Bleeping Computer, en arpentant les sites .onion, sont tombés sur une publicité vantant les mérites du ransomware Goliath, lequel serait d’ailleurs une occasion à saisir, à 2100 $ le programme, soit près de 30 % de ristourne par rapport au concurrent renommé qu’est Locky. Bon sang ne saurait mentir, estime l’auteur de l’article Lawrence Abrams, car nombre d’indices rattachent le site annonçant le lancement de ce malware à un autre virus chiffreur qui a fait ses preuves, Jigsaw. Mais, ajoute Abrams avec prudence, d’autres éléments (et notamment une clef de déchiffrement visant le concurrent Locky vendue à des tarifs inimaginables) laissent à penser que Goliath ne serait qu’une tentative d’escroquerie visant les acheteurs de cryptovirus. Le truand est un loup pour le truand

Mais l’aristie du faux auteur de cryptovirus, l’acmé de la cyber-escroquerie, c’est lorsque le malware bloque non plus des fichiers, mais l’ordinateur tout entier tout en prenant l’apparence d’une erreur système (Bsod ou mise à jour Windows ayant mal tourné). Lequel malware ne peut être éliminé que contre payement d’un service de télémaintenance (une rançon) versée à un téléopérateur utilisant force Skype et logiciel de prise de contrôle à distance –Teamviewer et non une cession RDP-, installé miraculeusement par ledit malware.

Le déroulement de l’escroquerie, accompagné d’une impressionnante collection de captures d’écran, est détaillé par Jérôme Segura, de l’équipe Malwarebytes. On peut noter au passage que les « instructions » pas à pas données par ces pseudo-techniciens Microsoft tiennent compte de toutes les situations possibles. Y compris le chapelet d’insultes qui ne varie pas d’un iota lorsque, « baladé » par un usager au courant de ces pratiques, l’escroc se rend compte que son correspondant s’amuse à ses dépens.

Parfois, les histoires de cryptovirus se terminent bien. Sean Sullivan, du Response Team de F-Secure, nous livre une rapide analyse d’une version hackée de Locky, laquelle non seulement annihile les effets destructeurs du ransomware, mais en outre affiche un écran d’avertissement prévenant l’usager qu’il n’est pas très prudent d’ouvrir n’importe quelle pièce attachée. Oh ! combien de RSSI, combien de CSO, qui sont partis nombreux pour des courses à la sensibilisation, dans cette sombre illusion se sont évanouis. Il y a moins de 15 jours, c’était l’équipe d’Avira, en la personne de Sven Carlsen, qui signalait une autre souche de Locky délocké.

Lorsque l’équipe de recherche d’Eset se rend compte que le virus-chiffreur TeslaCrypt est en nette perte de vitesse (tout indique que ses auteurs se retirent du business), ladite équipe tente le tout pour le tout et envoie un laconique « Pourriez-vous publier la clef de chiffrement » ? Et, contre toute attente, ladite clef est publiée, accompagnée d’une courte contrition : « Nous sommes désolés ».

Le récit de cette aventure sur le blog Eset s’achève par l’annonce de publication d’un outil de déchiffrement gratuit répondant au doux nom de Esetteslacryptdecryptor.exe (attention, l’exécutable est en téléchargement direct).

A l’instar des fichiers Snowden, qui ont su populariser l’usage des outils de chiffrement et généraliser la pratique du VPN, les cryptovirus, lentement, évangélisent en faveur d’une politique de sauvegarde sur médium « hors réseau ». Un message qui semble porter auprès du grand-public et des PME. Les grandes entreprises, en revanche, sont paradoxalement plus vulnérables à ce genre d’attaques, en raison de la disparition progressive des sauvegardes sur bande et de l’accroissement des stratégies de stockage « hybride » : supports SSD pour les données vives, disques traditionnels pour les données froides et à longue conservation. Pour l’heure, à quelques établissements hospitaliers près, les victimes sont statistiquement rares, car tout aussi rares sont les cryptovirus véritablement efficaces en termes de propagation sur des ressources partagées distantes. Du moins pour l’instant…

Dans un formidable élan de curiosité scientifique, la municipalité de Paris décide, à l’instar de la ville de Tours, de se doter d’un observatoire des ondes. Une sorte de catalogue des émetteurs, soit « déclarés » par les exploitants (opérateurs notamment), soit recensés par d’autres moyens techniques répartis, un peu comme Airparif évalue les niveaux de pollution de la ville-capitale. Car, rapportent aussi bien nos confrères du Parisien que des Echos, pourraient être pris en comptent les fréquences proches de la voix (tel que le CPL 75 kHz des compteurs Linky) et les antennes relais ou les bornes d’accès Wifi. Le chantier est ambitieux.

Le projet relève à la fois de la performance technologique et de l’habileté politique. Car qui dit vouloir recenser « tout ce qui émet » risque d’être accusé de flicage visant chaque usager du réseau GSM, chaque porteur de cardiofréquencemètre sauce Applewatch ou Fitbit. En outre, en situant dans les limites basses les niveaux d’énergie des fameux Linky d’EDF, on ne comprendrait pas pour quelle raison un tel observatoire ne prendrait pas en compte des sources radiofréquences considérablement plus puissantes : téléphones mobiles, combinés portables, oreillettes Bluetooth, télécommandes de rideaux et volets, centrales domotiques, clefs de voitures, badges de portes de garage, liaisons montantes et descendantes des satellites de télécommunication et de télédiffusion ou réseaux furtifs à étalement de spectre noyés dans le « plancher de bruit »… sans oublier quelques millions de fours à microondes, de petits talky-walky familiaux, de dispositifs de télémessage et de télémétrie et autres « lampes à économie d’énergie » qui ne passeraient pas les premiers tests de certification CEM. L’objectivité et le sérieux d’un tel observatoire sont à ce prix, et l’on peut douter que les politiques à l’origine de cette initiative aient parfaitement compris qu’ils ouvraient-là une boîte de Pandore.

Pour que l’information diffusée par cet observatoire soit véritablement impartial, il faudrait également qu’il comptabilise des sources de rayonnement à très haute puissance : émetteurs TV, radio et… rayonnements solaire et cosmique, sources de la vie sur terre, après tout la plus mortelle des maladies. Et en cas de taux d’exposition jugé supérieur à la normale ? Ni soleil, ni coupe du monde de football, certains élus EELV pourraient bien y laisser leur maroquin.

L’objectivité et la rigueur scientifique exigeraient également que soient prises en compte les infrastructures radio appartenant à des services régaliens –Renseignements, Opérateurs d’Importance Vitale, police, forces armées pour n’en mentionner que quelques-uns. Peut-on sérieusement imaginer voir publiés les algorithmes caractérisant les formes d’ondes des armées, l’étendue des spectres utilisés par la DGSE, la géolocalisation des émetteurs et les puissances mises en œuvre de la Royale à l’Armée de terre, des sous-marins aux émetteurs travaillant à plusieurs centaines de TeraHertz des « services tita » ?.

Certes, la sécurité tant des couches de transport d’information que les normes de santé publique, exige des contrôles relevant non pas de commissions municipales, mais d’organismes nationaux spécialisés et compétents (et notamment l’ANFR dont c’est l’une des missions). C’est là le seul moyen d’éviter la création de comités «fourre-tout radioélectrique et électromagnétique ». Sans une telle prudence, ces observatoires ne risquent hélas que de provoquer deux effets pervers. Premièrement entretenir une psychose des ondes (confortée par la tautologie « on » les surveille, c’est qu’elles sont nocives), en second lieu écarter du débat des questions bien plus fondamentales en termes de libertés publiques et de fuites d’information. Il y a plus de potentialités d’atteinte à la vie privée dans une infrastructure Linky (car jamais un algorithme de chiffrement n’est résistant à l’échelle d’une génération) ou dans une cartographie des « téléviseurs intelligents » et autres téléphones mobiles qu’il ne peut se prouver des risques de santé publique liés à la couche de transport. Malheureusement la peur des ondes, qui relèverait plus d’une croyance, cache une réalité scientifiquement prouvée, celle du peu de protection dont est victime le contenu transporté par ces mêmes ondes ou transmis par les hordes de gadgets de l’Internet des Objets.

Suivez l’argent * si vous voulez comprendre le succès des virus-chiffreurs, explique Andy Patel de F-Secure. Jamais, jusqu’à présent, un cyberchantage n’a autant amassé d’argent, aussi facilement. A se demander pour quelle raison il existe encore des acharnés de l’attaque en déni de service ou des menaces de publication d’inscription à tel ou tel site internet pour adultes.

Le marché annuel dépasserait les 100 millions d’Euros et ne saurais que croître si l’on considère les efforts d’inventivité des escrocs du chiffrement. Chiffre que semble confirmer une étude de la Cyber Threat Alliance (CTA), laquelle situait au-delà de 300 M$ les revenus engrangés par la seule filière Cryptowall durant ces trois dernières années. Les traditionnelles cibles anglophones (USA, UK, Australie …) ne suffisent plus, et l’on voit apparaître de nouvelles formes de courriels diffuseurs de Cryptolocker ou codes de la même espèce s’adressant à des consommateurs Suédois (ndlr et même Français).

Mais les améliorations les plus importantes sont constatées dans le suivi de clientèle. Les truands de la filière PadCrypt ont misé sur l’ergonomie de leur interface, et font tout pour aider leur victime à utiliser TOR et poussent l’attention jusqu’à assurer une « hotline » via une messagerie instantanée.

D’autres,qui savent combien la crypto-monnaie semble cryptique à la majorité des usagers, préfèrent des moyens de payement plus pratiques : carte Apple Itunes ou bon-cadeaux Amazon, lesquels sont immédiatement revendus sur eBay histoire de blanchir l’argent perçu.

D’autres encore jouent la carte de la pression psychologique, et menacent d’effacer définitivement des fichiers pris au hasard si l’usager tarde à payer. Ou a contrario affirment reverser une partie de l’argent perçu à des œuvres caritatives (sic).

Certains spécialistes es-sécurité (étrangers à F-Secure) ont même été témoins de pratiques dignes des grands sites de vente en ligne. Les pirates-chiffreurs expédient un module de déchiffrement « de test » fonctionnant sur un petit nombre de fichiers, échantillon destiné à prouver à la victime qu’elle peut payer en étant certaine que les données kidnappées seront bel et bien libérées. « Parole d’homme » disait-on dans le mitan des romans de Simonin.

Cette créativité marketing s’étend, on peut s’en douter, aux méthodes de développement et de contre-mesure. Les nouvelles versions de Locky chiffrent contre vent et marée, malgré l’interdiction d’écriture de certaines branches de la base de registre de Windows qui avaient le pouvoir de bloquer les anciennes versions. Et lorsque sont apparus des scripts tels que CryptoBlocker (lequel verrouille tous les droits d’un « utilisateur » qui écrirait le moindre fichier portant l’extension « .locky »), les codeurs mafieux ont immédiatement répliqué en utilisant des suffixes aléatoires. Cette adaptation en quasi-temps réel fait également partie du service après-vente garanti par les développeurs des Cryptowall ou Cryptolocker. Lesquels se considèrent avant tout comme des éditeurs de logiciels (ils n’utilisent jamais eux-mêmes leurs propres productions) et reconnaissent à leurs clients le droit d’exiger une obligation de résultats.

Parfois, les spécialistes sécurité prennent des vacances, harassés qu’ils sont entre deux CanSec ou Defcon, de Miami Beach à Vegas, en passant par les Philippines ou Shanghai.
Parfois, ces mêmes spécialistes ont besoin de liquide dans la monnaie du pays, et utilisent pour ce faire les services des distributeurs automatiques de billet, ou DAB (ATM dans la langue de Franck Abagnale).
Parfois, il leur arrive de découvrir des skimmers sur ces DAB. C’est le cas de Matt South qui est parvenu à effectuer le « reverse » matériel d’un système d’enregistrement de code PIN (https://trustfoundry.net/reverse-engineering-a-discovered-atm-skimmer/). Techniquement parlant, le hack mérite à peine le qualificatif de bidouille, le cœur de l’équipement se trouvant sans grande difficulté sur Ebay, vendu pour une quarantaine d’euros (http://www.ebay.com/sch/i.html?_from=R40&_trksid=p2050601.m570.l1313.TR12.TRC2.A0.H0.Xspy+camera.TRS0&_nkw=spy+camera&_sacat=0). Par quel moyen technique les voleurs d’identité bancaire parvenaient-ils à récupérer les données propres à la carte de crédit ? South ne le saura jamais. Un coupleur sur la sortie Ethernet ou téléphone de l’appareil ? Un hack direct sur le réseau sur lequel est connecté le DAB ? Il est des moments où il ne fait pas bon traîner dans les terres des mafias indonésiennes.

Cette histoire n’est pas sans rappeler d’autres séjours touristiques, celui de Brian Krebs fin août dernier par exemple. L’ancien journaliste du Washington Post, en villégiature à Cancun, inventoriait une foultitude de distributeurs améliorés avec un transmetteur Bluetooth plutôt indiscret (http://krebsonsecurity.com/2015/09/tracking-a-bluetooth-skimmer-gang-in-mexico/), et dévoilait une carambouille orchestrée par d’obscures sociétés privées possédant un parc de distributeurs (http://krebsonsecurity.com/2015/09/whos-behind-bluetooth-skimming-in-mexico/).
L’on pourrait ainsi dresser une sorte de guide des bonnes pratiques du touriste en mal de liquide :

– Assener systématiquement quelques claques énergiques sur les différents éléments externes du distributeur, histoire de vérifier toute absence de pièces rapportées, collées ou substituées

– Effectuer un balayage large bande sur la totalité des bandes ISM (de 6 MHz à 244 GHz, en surveillant tout particulièrement les segments 430 MHz, 2,4 GHz et 5,8 GHz. Les esprits chafouins qui feraient remarquer que l’on peut difficilement se promener avec un analyseur Anritsu lorsque l’on se promène en short et chemisette d’été ne devront pas se plaindre en cas de vol d’identité

– Effectuer un audit sur les antécédents et statuts de l’entreprise possédant le parc de distributeurs. La base Edgar de la SEC, voire une recherche par l’intermédiaire du réseau quasi-public qu’est le système interbancaire Swift peut aider.

– Accessoirement masquer la main qui tapote le code PIN au moment de la saisie

Il va sans dire que de telles précautions sont totalement inutiles sur l’ensemble du territoire Français …

Une étude portant sur l’ensemble des failles déclarées ayant occasionné une fuite d’information révèle que, dans 22% des cas, la cause initiale est le vol d’un couple identifiant/mot de passe. Ladite étude a été réalisée par Centrify et financée par le Cloud Security Alliance.

Rien de franchement nouveau sous le soleil. Les intrusions se suivent et les causes demeurent les mêmes. La progressive évolution de l’informatique interne d’entreprise vers des délocalisations « Cloud » laisse donc prévoir un accroissement quasi certain de ce genre de sinistres… il est logique que le CSA s’en inquiète.

Les victimes de ces fuites de données représentent 17% de l’ensemble des responsables NTIC interrogés lors de cette étude. 57% estiment n’avoir subi aucune intrusion ayant occasionné de telles conséquences (rappelons au passage qu’il faut toujours en moyenne plus de 300 jours pour que de tels problèmes soient découverts) et 26%, plus prudents, prétendent « ne pas savoir ».

Ce qui surprend le plus les experts ayant conduit l’étude, c’est que le taux d’équipement de protection et le type d’outils utilisés (firewall, SSO, token, authentification à facteurs multiples, outils de management de flotte d’appareils mobiles etc.) ne varie pas d’une entreprise à l’autre, qu’elle ait été victime ou non. Les « protégés » le seraient donc tout simplement parce qu’ils ne seraient pas encore victimes… ou ignorent l’avoir été.

Avec Internet, la criminalité suit un véritable « business model », passe de l’artisanat à une structure de réseaux comparable à l’économie libérale. Un constat que dresse Cécile Augeaud, Chef du Service d’Information de Renseignement et d’Analyse Stratégique sur la Criminalité Organisée (Sirasco, Ministère de l’Intérieur). Les groupes spécialisés des cités, explique-t-elle, se décloisonnent radicalement, et ce que l’on pourrait appeler les « flux de business » ouverts sur l’extérieur s’organisent et se développent notamment avec l’aide des nouvelles technologies. Les groupes spécialisés dans le trafic des stupéfiants, par exemple, collaborent de plus en plus avec d’autres filières mafieuses spécialisées notamment dans le blanchiment d’argent. Sans ce genre d’alliance, pas de progression du volume d’affaire. Un développement du business qui entraîne à son tour une diversification. C’est ainsi que l’on a pu voir se développer une tendance à la pénétration de certains corps de métier pouvant avoir accès à des biens ou des identités : opérateurs de téléphonie, bagagistes… on a même vu les « banques » des triades Chinoises accorder des « prêts » ou à d’autres mafias ou faciliter le blanchiment de leurs revenus.

L’adaptation de la lutte contre cette délinquance ne peut dépendre des seuls efforts des services de police. Elle ne peut pas s’opérer sans le secours du secteur privé, explique Peter Fifka, de la Digital Crime Unit de Microsoft. Une participation active du secteur privé, celui-là même qui est à l’origine des nouvelles technologies de l’information et de la communication, c’est également le vœu exprimé lors de l’allocution de Bernard Cazeneuve, Ministre de l’Intérieur, qui va même jusqu’à estimer qu’ « il est fini le temps où l’Etat seul pouvait assurer sa sécurité ».

Il y a pourtant une certaine contradiction dans ces différentes demandes, objecte Jürgen Storbeck, premier directeur d’Europol. « D’un côté, nous appelons tous à une meilleure collaboration des polices sur un plan international, afin que les organisations criminelles ne puissent bénéficier des « niches législatives » qui les mettent à l’abri de poursuites transfrontières. De l’autre, nous demandons aux industriels des TIC de fournir tous les efforts possibles pour aider les polices du monde entier à ne pas perdre pied dans cette course à la cyber-technologie criminelle. C’est oublier le troisième panneau du triptyque, celui des lois locales portant sur la préservation des libertés individuelles. Ainsi, en Allemagne, il est absolument impensable qu’une entreprise des TIC puisse collaborer activement dans le cadre d’une enquête en cours. Qu’elle soit consultée à périodes régulières, oui. Qu’elle puisse donner son avis, des conseils techniques, voire contribuer aux efforts de développement de manière générale et dégagé de tout contexte lié à une instruction, oui encore. Mais les organisations de défense des libertés n’acceptent pas la moindre implication directe d’une entreprise dans les affaires régaliennes ».

L’attitude de l’Allemagne n’est pas, fait remarquer Jean Pierre Maulny (Iris France), partagée par tous les pays d’Europe. Chargé d’orchestrer une consultation sur le sujet auprès de plusieurs Thinktanks (au total 8 pays d’Europe), il constate que les préoccupations varient énormément en fonction des géographies. La Pologne, par exemple, voit dans le « cyber » un risque d’attaque orchestré par des Etats-Nation, particulièrement la Russie. Cette sorte de « complexe de la cyber-guerre Estonienne » semble logique pour un ex-satellite de l’URSS. Les pays du sud, Italie notamment, sont plus polarisés par les problèmes posés par les filières d’immigration. Et parler des libertés individuelles n’est pas franchement un souci de premier ordre en Grande Bretagne. Si le crime se décloisonne, l’Europe politique, quant à elle, reste fortement égotiste et fuit toute idée de véritable concertation idéologique.

Freak, Logjam, le Magic Hash, Illusory TLS … WhiteHat Security dresse le “top 10” des techniques d’attaque apparues au fil de l’année 2015. Des approches à la fois très techniques et très simples à exploiter