Archives

Cet hiver, la demande de rançon est à la mode, et il n’existe pratiquement plus un seul recoin du monde Internet et télécom qui ne soit touché. A ce train-là, on peut s’attendre à recevoir des lettres de menace du genre « pAy3 B0cou d’ArGent siN0n J3 tue ton T313viseur, ta m0ntr3 conn3kté é ton N4bazT4g ».

Le premier à s’en inquiéter est, une fois de plus, Brian Krebs qui remarque une très nette augmentation des virus-chiffreurs visant les sites Web. Données et fichiers textes ou images sont irrémédiablement chiffrés et rendus inexploitables tant qu’une rançon conséquente n’aura pas été versée. Le salaire du backup, en quelques sortes. Si l’on ajoute à ces méfaits l’activité presque traditionnelle des attaques visant les stations de travail des particuliers (principalement du fait de CryptoWall) c’est près d’un millier de plaintes pour racket au chiffrement qu’aurait reçu le FBI durant le premier semestre de 2015.

De son côté, Europol estime qu’à l’intérieur des frontières de la Communauté, durant les deux premiers mois durant lesquels est apparu Cryptolocker en 2013, plus de 250 000 infections auraient été subies, le montant des rançons effectivement versées frisant les 24 millions d’Euros. Cette rapide progression n’a pu être freinée que grâce à l’élimination du botnet Gameover Zeus, l’un des principaux vecteurs de diffusion du virus.

359 millions de dollars : cet autre chiffre impressionnant, fournis cette fois par nos confrères de Hacked.com (d’après une étude signée Heimdal Security), représenterait le « chiffre d’affaires » réalisé par Cryptowall 3.0… et la version 4.0 promet d’être bien plus ravageuse nous assure Elliot Maras.

En général, une clef de déchiffrement est obtenue en payement de la rançon. En général, car parfois, explique Lawrence Abrams dans les colonnes de bleepingcomputer, le virus-chiffreur est frappé par un bug qui rend toute récupération impossible. Il est également difficile d’estimer le pourcentage de personnes ayant effectivement reçu une clef de déchiffrement une fois la rançon payée, les victimes ayant tendance à ne pas crier leur mésaventure sur les toits.

Parfois, les maîtres-chanteurs menacent, si la somme due n’est pas versée, de publier l’intégralité des fichiers sur Internet. « Les auteurs du malware ont donc effectué un backup certainement plus récent que le vôtre et se proposent de le mettre à votre disposition si vous ne leur versez pas un seul centime » explique ironiquement Brian Krebs. Mais la plus élémentaires des prudences veut que chacun puisse sauvegarder ses propres données sur un support inattaquable (disques à écriture unique) ou inaccessible depuis le réseau local. Ajoutons que les sauvegardes « dans le cloud » peuvent constituer un certain niveau d’assurance, mais ne sont pas totalement infaillibles si la ressource distante est connectée à l’ordinateur-victime au moment même de l’infection.

L’éditeur d’anti-virus Dr Web tient à peu près ce même langage en analysant le comportement d’un ransomware visant les machines Linux et baptisé fort à propos « Linux.Encoder.1 ». Un chercheur de l’équipe F-Secure estime que le chiffre d’affaires du gang à l’origine de Linux.Encoder frise les 12 000 dollars par mois. Net d’impôt, payé en Bitcoins. Mais même les histoires les plus ténébreuses peuvent s’achever avec un happy-end. Aussi terrible soit-il, Linux.Encoder est lui-même frappé par un défaut qui a permis à l’équipe de Bitdefender d’offrir à tout usager un petit script de déchiffrement en python.

Les stations de travail et serveurs Web, sous Windows ou sous Linux… ce n’est pas tout. Il en va de même pour les téléphones et tablettes sous Android s’émeut Charlie Osborne de ZDNet. L’article ne mentionne pas spécifiquement les ransomwares, mais plutôt les vecteurs d’attaque qui « rootent » les terminaux mobiles, éliminant du coup le filtre imposé par les éditeurs et possesseurs de places de marché « officielles ». Le Sans en profite pour effectivement faire le lien avec les ransomware qui, d’ailleurs, appartiennent plus à la catégorie des applications « bloquantes » que des virus-chiffreurs, précise un article de Security Intelligence. Et le Sans d’achever son article du jour par une série de recommandations.

Рton t̩l̩phone ne jailbreakeras point, et des virus tu seras prot̩g̩

– tes applications chez Google, Amazon, Apple ou Microsoft toujours ira chercher, et à Cydia le dos tu tourneras…

L’on pourrait presque ajouter « En ton constructeur de téléphone toujours auras confiance, quand bien même tes données il pillera et tes choix d’achat dictera ».

Vient enfin l’une des dernières catégories de racket : la rançon au déni de service. Le très sécurisé et très Helvétique prestataire de services de messagerie ProtonMail en a fait les frais, et résume, au fil de son blog, le film des évènements.

Dans un premier temps, les serveurs de ProtonMail se font submerger par une impressionnante attaque en dénis de service. Ne pouvant faire face, les responsables de ce service, pressés par certains utilisateurs de poids, acceptent de payer la rançon de près de 6000 dollars payables en Bitcoin.

Quelques jours plus tard, l’équipe dirigeante de ProtonMail modifie son billet et affirme fort et clair qu’elle s’est un peu fait forcer la main et regrette d’avoir cédé à la pression. Pourquoi ? Parce qu’une fois la rançon versée, l’attaque a repris de plus belle. « Plus jamais nous ne payerons », tempête le porte-parole de l’entreprise.

Deux failles affectant TrueCrypt ont été colmatées dans VeraCrypt . Le bulletin d’alertes précise que les trous de sécurité portent les immatriculations CVE-2015-7358 et CVE-2015-7359 (deux élévations de privilège, aucune autre précision dans la base CVE)

Tavis Ormandy, dans le cadre du « projet Zero » du Google Security Team, poursuit sa chasse aux failles dans les produits Kaspersky . Sourires crispés et remerciements de la part de l’éditeur d’antivirus

Les plus récentes statistiques du « Departement of Justice » US situent aux environs de 18 millions le nombre de personnes victimes de vol d’identité pour la seule année 2014, soit 7% de la population âgée de plus de 16 ans. Un cinquième de ces victimes auraient fait les frais d’une tentative de détournement bancaire

Le piratage des serveurs de l’OPM revu à la hausse. Outre les 21,5 millions de numéros de sécurité sociale récupérés par les intrus, ce ne serait pas 1,1 mais 5,6 millions d’empreintes digitales de fonctionnaires US qui auraient été également subtilisées.

Il existe pourtant quelques hacko-sceptiques, dont certains parviennent même à décrocher une page dans Scientific American, ainsi David Pogue qui signe « Pourquoi le hack d’une voiture est pratiquement impossible ». Le contenu de l’article peut faire sourire plus d’un spécialiste sécurité. Pourtant, les arguments sont intéressants et méritent d’être examinés.

– Les chercheurs (ndlr Charlie Miller et Chris Valasek) qui ont réalisé ce hack ne pourraient plus le faire aujourd’hui, la faille a été immédiatement comblée par le constructeur

– Ce sont des chercheurs, pas des pirates, disposant d’un savoir et de moyens hors de portée du « vulgum truandus »

– L’affaire a été montée en épingle par des journalistes en mal de sensationnalisme

Ne retrouve-t-on pas, dans ces propos, les mêmes arguments que l’industrie informatique employait il n’y a pas 10 ans ?

– « Dormez en paix, les trous ont été comblés, et d’ailleurs personne ne s’est plaint » était un moyen comme un autre pour que les attentions soient polarisées sur la consolidation d’un logiciel plutôt que sur l’existence probable d’autres défauts… l’avenir a prouvé que la sécurité « by design » est une vue de l’esprit que le patch attire le trou, qui entraîne le patch, qui attire le trou…

– Le moto « Les chercheurs ne sont pas des pirates et leurs travaux sont à des lieux des capacités intellectuelles des malfaiteurs » rejoint, par exemple, les assurances d’absolue sécurité des premiers réseaux « sans fil », trop complexes à écouter, nécessitant des moyens trop importants… or, il n’y a jamais de moyens trop importants, plutôt des cibles dont les espérances de gain justifient précisément l’importance des moyens. « Donnez-moi un levier bancaire, et je soulèverais n’importe quel protocole de sécurité », est le principe fondamental du cyber-Archimède contemporain. D’ailleurs, les constructeurs automobiles l’ont bien compris, eux. Voir le précédent Volkswagen qui menaçait de poursuites Flavio Garcia s’il publiait quoi que ce soit sur les failles de l’antidémarrage Megamos. Ajoutons au passage que, le jeu des sous-traitants et des pressions sur les prix aidant, ces constructeurs utilisent les accessoires d’un nombre de plus en plus restreint d’équipementiers. Mondialisation et dumping sont les deux mamelles du fuzzing. Or, le fuzzing est l’arme favorite des blackhats, qui y voient un moyen de rentabiliser le plus possible l’exploitation d’une faille en l’étendant à tous les objets semblables. Ce que David Pogue (et tant d’autres) oublie, c’est l’évolution de la cyberdélinquance qui, du « script kiddy », est devenue d’obédience mafieuse, puis, lentement, s’est étendue aux pratiques courantes de la guerre économique industrielle (petits hacks et espionnages entre amis) puis aux Etats-Nation. Ne perdons pas de vue que l’automobile et son réseau routier associé, c’est aussi une infrastructure Scada.

– « La presse, caisse de résonance du sensationnalisme » est l’un des arguments populistes les plus en vogue, car il ne nécessite que peu d’explication. Une simple affirmation ne constituant pas vraiment une preuve… Le journaliste bouc émissaire est également un élément de diversion, un report de culpabilité sur un acteur tiers qui n’est pas en rapport direct avec le problème.

Mais l’argument le plus contradictoire qu’avance Pogue est certainement : « lorsque j’entends ce genre de propos, j’ai envie de dire à ces reporters « pirate-moi ça » en leur présentant ma vieille Honda modèle 2009, dépourvue de la moindre liaison cellulaire ». Outre le fait que ce n’est pas au journaliste d’avancer la preuve de ce qu’il rapporte, mais au chercheur qui en fait l’annonce, cet argument montre à quel point le problème de fond échappe à l’auteur, du moins dans la première partie de son article. Miller ne condamne pas l’attitude des professionnels de l’industrie automobile, mais alerte sur l’emprise croissante de l’Internet des Objets, et sur les erreurs d’intégration parfaitement prévisibles à venir. Car le germe est dans l’œuf, tout comme le germe du botnet est dans Internet et celui du buffer overflow est dans le noyau ou l’application.

L’article de David Pogue ne doit surtout pas faire l’objet de rejet ou de condamnation ex abrupto. Il est intéressant car il reflète l’incrédulité générale, et notamment la confiance aveugle qu’une majeure partie de la société de consommation ressent spontanément envers les vendeurs censés veiller à leur bien-être.

Beaucoup de bruits, tweets et articles autours du « hack de la montre Fitbit, le retour » avec, dans le rôle principal, Axelle Apvrille qui avait déjà donné sur le sujet une passionnante conférence lors de la dernière « Hack in Paris ». Cette fois, c’est à l’occasion de HackLU, la manifestation infosec Luxembourgeoise, que la chercheuse Française remet le couvert, et démontre comment utiliser ladite montre sportive pour qu’elle serve de relais à un malware et puisse injecter un code (troyen par exemple) sur l’ordinateur personnel servant à synchroniser les données du bracelet.

Le Register détaille l’attaque, et Bruce Schneier, qui ne s’étonne pourtant pas souvent, lâche un « This is impressive » qui en dit long.

Les chercheurs en sécurité pourraient bien passer pour de dangereux épandeurs de poil à gratter en chantonnant « l’IoT est aussi sécurisé qu’un spectacle du cirque… dans la fosse aux lions. Seulement voilà, les vendeurs ne montrent que le cirque dans son ensemble, et oublient de mentionner la raison pour laquelle le prix de la place est si peu cher ». Dans son édition d’Octobre, Spectrum, la très sérieuse revue de l’IEEE publie un article intitulé « Voiture connectées, des chercheurs prouvent que les automobiles peuvent être tracées ». Jonathan Petit, de Security Innovation, en collaboration avec des Universitaires de Twente (Hollande) et Ulm (Allemagne) s’amuse à fliquer les transmissions sur 5,9 GHz (haut de bande WiFi 5 GHz), lesquelles transmissions ne sont même pas chiffrées, affirme l’auteur de l’article. Une aubaine pour les collecteurs de données et amoureux du big data appliqué à l’automobiliste.

Plus exactement,Jonathan Petit s’est penché sur les dialogues des protocoles V2V et V2I, dont le rôle est de prévenir le conducteurs des risques immédiats : feux passant au rouge ou panneau stop, véhicule arrivant en sens inverse, virage serré, route en travaux, hauteur limitée, ralentissement ou bouchons, passages protégés… ces signaux sont émis soit par d’autres véhicules et donc implique que toutes les automobiles soient équipées d’un système « Vehicule to vehicule » pour être efficace, soit par l’infrastructure routière. Et ces signaux agissant pour le bien commun et n’ayant rien de franchement secret, il n’a pas été jugé utile de les chiffrer jusqu’à présent.

Sauf que ce manquement s’avère relativement indiscret et pourrait être employé à des fins bien moins protectrices par des services de police d’Etat ou privées, des collecteurs de données professionnels et bien entendu les compagnies d’assurance et industriels du secteur automobile. La liberté de collecter, c’est simple comme un sniffer.

L’histoire pourrait bien ne pas s’arrêter là. V2I (voiture à infrastructure) n’en est encore qu’au stade du projet et rares sont les constructeurs, tel General Motors, à avoir annoncé une véritable intégration des composant V2x dans leurs modèles. Mais les « MoU » publiés autour de V2I mentionnent la possibilité d’actionner les feux d’avertissement et les freins d’une automobile en cas de vitesse trop élevée et de proximité d’un feu tricolore passé au rouge. Que le protocole soit chiffré ou non, il y a fort à parier que ce genre de possibilité puisse faire l’effet d’un spoofing aux effets pour le moins percutant.

Numergy vient d’être placé en procédure de sauvegarde, sorte de tutelle financière destinée aux entreprises en difficulté. Destinés à protéger les données et nécessaires de par la régulation française, les deux « vecteurs technologiques » Cloudwatt et Numergy issus du projet Andromède imaginé par le gouvernement Fillon d’alors et financé par le « grand emprunt », n’ont pas eu le succès attendu. Depuis, Cloudwatt a changé de Président, tenté avec forces publicités télévisées de concurrencer Dropbox, et vu partir sa marraine, la Caisse des Dépôt donc l’Etat, au profit de son désormais unique parrain, Orange. Reprise pour un montant non divulgué…

La mise en « procédure de sauvegarde » de Numergy, l’alter ego de Cloudwatt, est une fois de plus la preuve que les mirifiques espoirs de croissance (l’on parlait à l’époque d’un marché de plus de 400 millions d’Euros) sont loin, très loin d’être au rendez-vous. Et aujourd’hui, l’Etat souhaite se désengager de cette aventure alors que les deux actionnaires privés originels, Bull et SFR, se sont fait absorber respectivement par Atos et Numéricable. Le fiscal 2014 de Numergy plafonnait à 6 millions d’Euro de chiffre d’affaires, et 2 pour Cloudwatt.

Bull, Orange, SFR : avec de telles institutions rompues au subtiles techniques d’aspiration des aides d’Etat, une telle histoire pouvait-elle se conclure autrement ?
Le poids politique de ses dirigeants, la « politisation » des enjeux, l’idée d’un « cloud-souverain-mais-qui-ne-concernerait-pas-l’administration-ou-les-très-grandes-entreprises », le principe même d’une participation de l’Etat saupoudrée sur différents acteurs et non concentrée sur un axe unique, prédisposaient les enfants d’Andromède à ce « manque » d’avenir. Bâtir un consortium Européen et non pas une paire de PME nationales, aurait-elle pu être une solution plus adaptée ?

Qu’en est-il aujourd’hui ? L’Etat affirme n’avoir dépensé que la moitié de l’enveloppe « cloud souverain », soit près de 75 millions d’Euros et envisage d’utiliser la somme restante pour d’autres projets de développement. Les deux entités Cloudwatt et Numergy sont aujourd’hui diluées dans l’actif de leurs principaux actionnaires. Et l’on ne parle toujours pas de solutions alternatives comme par exemple un Cloud Européen afin de tenter de contrer, tant sur le point de vue financier que marché ou synergie d’acteurs, les grands gagnants du Cloud à savoir Google, Amazon, Microsoft, Adobe etc. L’Europe ne semble pas encore prête, pénalisée par un temps de réaction bien trop long (qui se compte souvent en années), une latitude de mouvement financière pour ce genre de projet stratégique quasi inexistante, sans compter un poids politique et un rôle de fédérateur visant à réunir des acteurs Français, Allemands, Italiens, Hollandais et Espagnols non encore suffisants pour faire la balance.

Ntp, le protocole destiné à distribuer un signal horaire à l’ensemble des ordinateurs d’un réseau, est susceptible de se faire attaquer, explique l’alerte de sécurité Talos. Ars Technica développe la question et se répand en explications techniques passionnantes, d’autant plus passionnantes que bien des protocoles de sécurité (à commencer par ceux utilisés par les réseaux de distributeurs automatiques de billet et autres procédés de chiffrement utilisant TLS) ont besoin d’une référence temporelle précise qui ne puisse « remonter » dans le temps.

A l’heure actuelle (sic), un unique récepteur GPS (8 dollars sur eBay) peut alimenter un serveur ntpd local, qui, à son tour, pourra distribuer une heure précise à toutes les machines d’un même réseau. Certes, il ne présentera pas les caractéristiques de résilience, de robustesse et d’autonomie d’un équipement professionnel, mais il sera bien moins facilement attaquable qu’une requête ntp.

Le BSI (Bundesamt für Sicherheit in der Informationstechnik), l’agence fédérale allemande chargée de la sécurité des TIC, envisage très fortement de tester, à fins de qualification, tous les routeurs haut-débit utilisés outre-Rhin. Cette profession de foi de plus de 55 pages de descriptions de tests techniques est justifiée très clairement dès les premiers paragraphes : en Allemagne, le haut débit représente 99,8% des accès Internet, et ce, depuis 2013, soit 28,4 millions de points de connexion. Cet accès passe nécessairement par un routeur, lequel présente un risque non négligeable en cas de vulnérabilité : ce serait la porte ouverte à un formidable botnet. S’ajoute également à cette crainte la « Objectinternetisation » de la famille, de ses téléviseurs connectés, de ses NAS en fonctionnement permanent, de ses ordinateurs multiples et mobiles, de plus en plus souvent reliés par des réseaux sans fil, en attendant que les cafetières, bouilloires, congélateurs, montres « gym tonic » et pèse-personne ne viennent s’y ajouter.

Le nombre de modèles de routeurs à tester ne constitue pas franchement un problème insurmontable, puisque le marché est plus ou moins dépendant de celui d’une poigné d’opérateurs. Raison de plus pour que l’analyse soit poussée dans ses plus extrêmes retranchements : solidité du firewall, protection des protocoles DNS et DHCP, étanchéité des vpn locaux et externes, durcissement de tout ce qui touche aux réseaux sans-fil (WPS, filtrage MAC), conformité aux dernières règles de sécurité IPv6, confinement des protocoles « délicats » (Upnp par exemple), résistance aux attaques classiques genre Heartbleed ou CSRF…

Le BSI a, de tous temps, déployé des efforts considérables pour protéger les installations connectées quelle que soit la taille et l’importance stratégique de l’usager, de la grande entreprise à la TPE ou au particulier. A tel point que les premières versions de firewall « open source » reposant sur Bastille Linux faisaient déjà l’objet de campagnes il y a plus de 10 ans. Aujourd’hui, le support du firewall et la sécurité (numérique) des foyers devront être assurés par ces passerelles ADSL.
En France, l’Anssi tente aujourd’hui de sensibiliser également le secteur Grand Public mais avec une infrastructure encore plus adaptée au support des entreprises du CAC40 et des Administrations, historiquement les premiers objectifs de l’Agence. Cela devrait évoluer dans le bon sens si l’on considère les dernières annonces de la stratégie Cybersécuirté française annoncée vendredi dernier.