Archives

Après les données récoltées sur les disques durs vendus sur les sites d’enchère, Avast se penche sur le cas des informations personnelles contenues dans les téléphones portables d’occasion. Bilan : 40 000 données, photos, emails, messages à caractère personnel pour à peine 20 terminaux achetés.

Encore 390 000 identités volées, titre Brian Krebs dans un article faisant le point sur les conséquences d’une vulnérabilité affectant les serveurs des contributions directes US (IRS). On dénombre au total, plus de 724 000 victimes potentielles.

3 mois d’existence et déjà 1 million de certificats distribués gratuitement claironne l’EFF. En lançant Let’s Encrypt, première autorité de certification gratuite, automatique et Open Source, l’EFF (Electronic Frontier Foundation) était certaine de « faire un tabac » et se tailler une part du marché du certificats, chasse gardée des Comodo, Verisign, RSA et consorts.

Comme un seul certificat peut être utilisé par plusieurs sites Web, l’EFF estime que l’opération « Let’s Encrypt » a converti au dogme https plus de 2,5 millions de fqdn.

… il revient avec une inlassable constance, ce Mardi des Rustines. Chez Microsoft tout d’abord, avec 39 trous, 13 rustines, les plus écarlates et critiques étant, pour ne pas déroger à la règle, le traditionnel cumulatif Internet Explorer (13 CVE, tous qualifiés de critique) et son successeur Edge (11 CVE, dont 1 seul non-critique). Le tableau dressé par le Sans. Viennent ensuite, par ordre de criticité, MS16-027 dans Windows Media Player, MS16-026 qui affecte OpenType fonts et MS16-028 qui concerne le nouveau lecteur de fichiers pdf intégré à Windows 8 et suivants.

Adobe, pour sa part, ne déclare ce mois-ci que 3 CVE corrigés touchant à la fois les plateformes Apple et Microsoft et concernant plusieurs versions d’Acrobat et de son « reader ».

L’équipe de développement du projet Open Source Transmission, logiciel d’échange P2P sous OSX et Linux, demande à toute personne ayant téléchargé la version 2.9 entre le 4 et le 5 mars, de mettre à jour leur programme avec l’édition 2.92. Un correctif qui élimine un virus chiffreur (ransomware), un risque jusqu’à présent quasiment inconnu dans le microcosme Apple. L’équipe de sécurité de Palo Alto précise qu’il n’y a eu qu’un seul autre malware de ce genre auparavant, Filecoder, découvert par le Response Team Kaspersky en 2014. Outre une analyse technique de la compromission, les chercheurs de Palo Alto expliquent dans le détail comment supprimer « à la main » cet hôte indésirable. De son côté, Apple a révoqué le certificat utilisé par cette infection.

San Francisco, RSA Conference : Adi Shamir, le digne “S” de RSA et Pape du chiffrement, s’est rangé, devant un parterre de centaines de professionnels de la sécurité, du côté du FBI dans l’affrontement qui l’oppose à Apple. « Cela n’a rien à voir avec l’installation d’une trappe dans des millions de téléphone » estime-t-il. «Dans ce cas précis, il est clair que ces personnes sont coupables. Elles sont décédées. Leurs droits constitutionnels ne sont pas en jeu. Il s’agit là d’un « crime majeur » qui a entraîné la mort de 14 personnes. Le téléphone est intact… tout ceci plaide en faveur du FBI ».

Un avis qui tranche très nettement avec la majorité des participants à cette manifestation. Car les professionnels de la sécurité, rarement enclins à un angélisme béat et qui se méfient des attitudes manichéennes et simplistes, ont très bien compris qu’il s’agit là d’un précédent d’une importance capitale. Surtout dans un pays où la nature jurisprudentielle de la justice tient un rôle aussi important. Tout laisse prévoir un lent glissement sémantique dans la qualification d’actes délictueux, du terrorisme (non prouvé dans le cas de la tuerie de San Bernardino) à l’ensemble des « crimes de sang », puis des crimes de sang au actes ayant indirectement pouvant entraîner la mort (c’est le cas de la totalité des jugement liés au trafic de stupéfiant par exemple, mais également de la conduite sous l’emprise de l’alcool… ou le fait de traverser en dehors des clous).

C’est donc un Adi Shamir isolé qui tente de défendre le point de vue « anti-crypto », situation oh combien paradoxale compte tenu de son rôle dans le développement des outils de chiffrement modernes. Car l’ensemble de l’industriel, la totalité des organismes de défense des droits civiques, et même certaines associations professionnelles du droit inondent jour après jour la « Central District Court » de Californie de témoignage en « Amicus Curiae». AirBnB, Atlassian, CloudFlare, eBay, Github, Kickstarter, LinkedIn, Mapbox, Meetup, Reedit, Twitter dans un groupe compact, mais également une association de juristes, sans surprise l’Epic (Electronic Privacy Information Center), liste à laquelle on doit ajouter Amazon, Cisco, Dropbox, Evernote, Facebook, Google, Microsoft, Nest, Pinterest, Snapchat, Whatsapp, Yahoo (document contenant également une Amicus Curiae allant dans le sens opposé et supportée par des associations de policiers), sans oublier Intel la Computer & Communications Industry Association ou la BSA/Software Alliance. Ajoutons (et la liste est loin d’êre achevée), les associations de défense citoyennes Access Now, Wickr Foundation, l’ACLU et l’EFF.

Jamais, au cours des 30 dernières années, depuis le tout début du réseau Internet, jamais il ne s’est constitué une telle « union sacrée » luttant pour la défense d’une idée. Les motivations qui dictent l’attitude d’une EFF, ou d’une ACLU sont, de toute évidence, radicalement différentes de celles d’un Microsoft ou d’un Google, les uns militant dans le sens de la défense des usagers, les autres combattants pour la préservation de leur business model. La Cour de Californie est parvenue à faire ce que des années de cohabitation n’ont jamais pu réaliser : une internationale du monde numérique dans un pays libéral et viscéralement capitaliste.

San Francisco, RSA Conference : Le mémoire de maîtrise de Nils Rodday, professeur à l’Université de Twente (Pays Bas), a fait grand bruit dans les salons de la RSA Conference. Il aurait pu s’intituler « Comment je suis parvenu à détourner les drones de la police Hollandaise avec un téléphone et un ordinateur ». L’étude est longue et détaillée, souvent répétitive, mais il ressort que, même lorsque l’acheteur est une institution régalienne, les fournisseurs d’équipement traitent la sécurité avec une certaine légèreté… voir une totale inconscience.

Les drones, explique Rodday, utilisent des protocoles de transmission radio standardisés : WiFi, Zigbee et ses variations Xbee, Bluetooth et Bluetooth Low Energy, sans oublier le GPS, indispensable à tout objet en mouvement dans un espace tridimensionnel. A cela s’ajoutent quelques accessoires périphériques, notamment des applications de pilotage et de collecte de données généralement distribuées sous la forme d’APK. Or, tous ces protocoles ont déjà fait l’objet de campagnes de chasse à la vulnérabilité. Attaques en Evil Twin, GPS Spoofing, BlueSnarfing, récupération de clefs et de secrets à l’aide d’outils facilement accessibles (Aircrack ng)… Les intégrateurs en ont-ils tenu compte ? La réponse est donnée par l’étude. On peut y lire des mots tels que WEP (sic !), des expressions du genre « clef de chiffrement par défaut commune à tous les équipements commercialisés : 2012201212 » ou des phrases comme « le protocole de chiffrement, pourtant intégré aux échanges Xbee, a été désactivé dans le but d’accélérer la vitesse des échanges entre pilote et véhicule ».

Le mémoire de Nils Rodday, s’il ne dévoile pas de secrets ou d’astuces franchement révolutionnaires, présente au moins le mérite de passer en revue un large éventail d’exploits et de techniques « antidrones », certaines purement physiques (filet volant, attaque par collision), d’autres, en grande majorité, relevant du hack radio, du désassemblage d’APK et du hack physique d’un microcontrôleur à grand renfort de Jtag. C’est là un cas d’école typique de l’application « for fun and profit » des radios logicielles (SDR) dans le cadre de recherches offensives.

L’ University of New Haven Cyber Forensics Research and Education Group (UNHcFREG) publie une énième étude sur la solidité des mots de passe. Ou plus exactement sur l’application de politiques de mots de passe dans le domaine bancaire. Et il apparaît qu’Outre Atlantique, la sécurité du compte client n’est pas franchement digne d’intérêt. Nombre de sites Web destinés aux opérations de consultation/opération (virements notamment). Sur 17 banques visées par l’étude, 6 n’appliquent aucune politique sérieuse de mot de passe. Le panachage de chiffres dans le sésame n’est pas autorisé, et le mélange majuscules/minuscules n’est pas pris en compte. Et les mauvais élèves portent des noms célèbres… certains d’entre eux ayant été fortement compromis dans le scandale des prêts hypothécaires : Chase Bank (50 millions de clients), Citibank (200 millions), Wells Fargo (70 millions), Capital One (50 millions) pour ne citer que les plus connus.

Ces vulnérabilités, combinées aux mauvaises pratiques de choix de mots de passe (qwerty, password, prénom du conjoint, nom de l’équipe de football etc.) font de près de 350 millions de citoyens US des victimes rêvées pour des serial-voleurs d’identités bancaires.
En France, cela va sans dire, rien de cela n’existerait …

San Francisco, RSA Conference : La mode est aux plateformes de gestion SSI, le « prix de l’innovation 2016 » attribué cette année à Phantom (un middleware SSI dans le cloud) en est un indice certain. C’est également l’un des axes de développement de ServiceNow, qui était plutôt cantonné jusqu’à présent dans la fourniture de services liés à la gouvernance d’entreprise et à l’optimisation des services. Ce n’est donc pas un « pure player » sécurité. Son « Security operation » est une plateforme cloud destinée à faciliter le travail des équipes IT confrontées aux incidents de sécurité et aux problèmes de gestion des vulnérabilités. Ce sont donc deux nouveaux services cloud distincts qui ont été présentés lors du salon de San Francisco : Security Incident Response et Vulnerability Response, qui, affirme le porte-parole de ServiceNow, « définit, structure et automatise les réponses à incident afin de diminuer le plus possible les fenêtres de vulnérabilités ». « Le but de notre plateforme est de formaliser et d’accélérer le workflow qui va de la détection de l’incident lui-même, à la remédiation, en combinant d’une part la partie « outils » vendus par les tierces parties spécialisées dans le domaine de la sécurité des systèmes d’information, et d’autre part, les bases de connaissances telles que la National Vulnerability Database US » (base CVE, CCE, CPE, CVSS, XCCDF, OVAL).

Ce discours managérial peut paraître très flou aux équipes sécurité qui sont quotidiennement confrontées à des problèmes plus techniques que structurels. Pourtant, le genre de discours tenu par des entreprises telles que ServiceNow est mieux compris par les CxO que la vision parfois trop « binaire » de la sécurité opérationnelle.

San Francisco, RSA Conference. Comme chaque année, Verizon publie son inévitable « Data Breach Digest », lequel n’apprendra strictement rien aux RSSI et chercheurs du sérail, mais qui aidera ceux-ci à faire comprendre les dangers numériques. Langage clair, absence totale de termes techniques, illustrations colorées, résumés simples mais non simplistes, ce sont là de bons vecteurs de sensibilisation.

Le « digest » de cette année passe en revue les grands classiques des risques NTIC : l’arnaque à l’ordre de virement émis par un faux patron, les cryptovirus, la trahison de « l’insider » (Verizon revient mollement minimiser celui qui, il n’y a pas si longtemps, représentait pour lui la pire des engeances), les trous de sécurité provoqués par les équipements personnels, les routeurs Wifi intrus, les compromissions par réseaux sociaux, tous les risques, ou presque, y sont décrits, parfois même les plus fantasmés.

L’un d’eux, cependant, sort du lot : le piratage par des pirates. Des vrais, ceux qui sévissent dans le détroit de Malacca, la passe de Formose et les côtes de Somalie. Malgré leur peu de compétences techniques, plus habitués à manier le fusil-mitrailleur que le clavier, les pirates s’attaquent en général aux CMS des sites Web des transporteurs. Attaques de faible niveau, simplifiées par le fait que rarement la communication de la nature du fret est chiffrée ou protégée. Cet inventaire (le Bill of Lading, ou « connaissement maritime») est accessible sur les applications métier des compagnies maritimes. Elles étaient autrefois même émises par radio, sans le moindre chiffrement, à l’aide de protocoles simples (sitor/telex etc.). Désormais, elles facilitent la vie des flibustiers en leur indiquant rapidement le contenu des chargements, et ainsi les butins les plus intéressants. Appelons-ça de l’optimisation des ressources tactiques. Après abordage, les bandits des mers recherchent le container qui les intéresse, effectuent le transbordement puis quittent le bâtiment sans autre forme de procès. Et c’est cette précision quasi chirurgicale qui a mis la puce à l’oreille des enquêteurs. Un tel niveau de renseignement ne pouvait que provenir d’une fuite de la chaîne d’information. Et les « communicants » de Verizon de conclure « le CMS une fois mis à niveau et les protections périmétriques renforcées, toute attaque est devenue impossible ». Reste à savoir si la fermeture progressive des moyens de renseignements n’ira pas renforcé des pratiques plus traditionnelles et plus agressives.