Archives

Peut-on inventer un successeur au mécanisme des certificats ? Depuis que les premiers malwares ont utilisé des certificats volés (Stuxnet fut probablement l’un des premiers, sinon le premier) rares sont les vecteurs d’attaques qui ne possèdent pas leur propre « patte blanche » estampillée officiellement par une autorité de certification authentique, constate le laboratoire de recherche de McAfee. On ne comptait que moins de 3 millions de binaires au premier trimestre 2013, et l’on atteint 19 millions de vecteurs d’infection au second trimestre de cette année, soit une multiplication par 6 de cette pratique en moins de 2 ans et demie. Quelle que soit la rapidité avec laquelle les éditeurs diffusent les répudiations, il en passe toujours un certain nombre entre les mailles des filets de défense périmétrique. A ce rythme, le mot certificat n’aura strictement plus aucune signification et le métier de C.A. devra opérer une sérieuse reconversion.

Traditionnellement, l’équipe sécurité de Dell (émanation du respectable Lurhq) nous abreuve d’analyses très techniques et très fouillées sur telle ou telle édition d’un bootkit Chinois ou d’un super-XSS vicieux. Pas ce mois-ci, ce qui ne signifie pas que l’article soit dénué d’intérêt.

Dave Jones est le très volubile et très enthousiaste animateur d’EEVBlog, un podcast vidéo diffusé sur Youtube que tout électronicien qui se respecte consulte à périodes régulières. Et parmi ses émissions les plus écoutées, celles dénonçant les escroqueries techniques : multimètres Chinois qui explosent bien en deçà des tensions maximales de sécurité, sondes d’oscilloscopes frelatées, faux composants démarqués… les « technologies » sont souvent une aubaine pour les faisants qui exploitent la peur, l’incertitude et le doute, notamment dans le domaine des « zondes qui tuent », des économies quotidiennes, du flicage supposé, de la santé en général.

Récemment, Jones est tombé à bras raccourcis (preuves techniques à l’appui) sur un appareil nommé « Batteriser » soi-disant capable d’accroître la longévité (donc a priori la capacité) d’une pile alcaline de plus de 800%. Ce défi aux lois de la physique (on est au-delà de la découverte du mouvement perpétuel) ne semble pas avoir « mis en alerte » plusieurs de nos confrères journalistes, y compris au sein de la rédaction de PC-World, lesquels ont fidèlement reproduit le communiqué de presse vantant les mérites d’un tel appareil. Sans effectuer la moindre mesure, sans surtout se poser de question ou faire le rapprochement entre cette annonce fracassante et la promesse d’une levée de fonds participative sur l’un des principaux sites de crowfunding … De toute évidence, l’auteur du « booster de piles miracles » avait préparé le terrain par un tir d’artillerie médiatique avant de lancer son assaut contre les économies de quelques milliers de pigeons. Avant de partir avec la caisse …

Dave Jones enfourche donc son Youtube de bataille et part en croisade contre ces exploiteurs de la crédulité humaine en passe de mener à bien l’une des plus grandes escroqueries du genre. La riposte ne se fait pas attendre. Puisque qu’il est quasiment impossible de faire taire l’imprécateur en lançant une attaque en déni de service contre Youtube, il est toujours envisageable de submerger les podcasts de l’auteur par des remarques négatives et autres « dislike », cette forme de dictature participative qui tient à la fois de la loi de Lynch et du DdoO (déni distribué d’opinion). Une telle augmentation des commentaires négatifs provoque un impact direct sur les revenus d’EEVBlog (revenus liés à la publicité notamment). Tu menaces mes rentrées d’argent, je m’attaque aux tiennes, on est dans le droit fil des pratiques mafieuses : intimidation et racket.

Les commentaires négatifs émanant principalement du Vietnam, Dell se demande alors s’il s’agit d’une attaque indirecte utilisant des proxy situés dans ce pays, ou si ce flot de commentaires n’est autre que le résultat d’une offre de service émanant d’un prestataire Vietnamien spécialisé dans ce type de contre-feu. Cela a-t-il la moindre importance ?

L’une des principales failles de sécurité qui affecte Internet est précisément sa capacité à imposer, parfois par la violence, souvent en exploitant l’ignorance, une forme de pensée unique, particulièrement lorsque des intérêts financiers sont en jeu. Car rien ne vient techniquement distinguer un véritable consensus démocratique (la vox populi) d’une calomnie ou d’une doxa techniquement orchestrée par un bot herder ou quelques robots. Et contre ce genre d’attaque, il n’existe aucun autre firewall que celui du bon sens et de l’éducation. Nul bout de ferraille vendu 2,5 dollars ne peut élever une tension résiduelle sans perte de conversion, nulle puissance ne peut s’accroître sans apport extérieur d’énergie, le principe Lavoisier est immuable. Hormis en marketing, seule science capable de transformer du vent en or.

« Il faut lire l’article de Peter Swire » martèle Bruce Schneier sur son blog. Professeur de droit à Georgia-Tech et conseiller du Président, Peter Swire a signé un article intitulé « The declining half-life of secrets and the future of Signals Intelligence ». Le secret, estime Swire, est une denrée de plus en plus périssable, rien n’est moins certain que sa date maximale de conservation. Autrefois, il suffisait d’un décret pour qu’une affaire soit occultée par une corporation d’archivistes consciencieux qui, génération après génération, se transmettaient un trésor de choses inavouables durant 50 ou 100 ans. « Ça, c’était avant Snowden », continue notre sociologue de l’obsolescence de l’information. Longtemps, la récolte de données issues des réseaux de communication (SigInt) était entravée par le morcellement des opérateurs, des frontières, des passerelles. Lorsque l’ex URSS espionnait les communications de l’occident, elle ne pouvait agir que dans le faible espace frontalier proche des ramifications de ses réseaux téléphoniques. C’était l’époque des monopoles opérateurs et des relations privilégiées entre ces opérateurs et les services de renseignement de leurs pays respectifs. La fuite de données glanées était peu probable, voire impossible.

Ce n’est plus du tout le cas de nos jours. La nature même des réseaux de transport véhicule cette information (ou son accès) en une multitude d’endroits différents. Le temps de conservation d’un secret se réduit proportionnellement au nombre de personnes pouvant y avoir accès… et ce nombre s’accroît de manière exponentielle. Le fait de révéler que le Chancelier de la République Fédérale d’Allemagne d’il y a 30 ans était sous écoute n’a pas du tout la même résonance médiatique que s’il s’agit de l’espionnage des échanges GSM d’Angela Merkel, Chancelière toujours en exercice. C’est ce que Swire appelle le « l’épreuve de la première page des quotidiens ». Dans le premier cas, l’affaire mérite un entrefilet en page 4, dans le second, elle occupe la manchette durant une semaine entière. Ce qui pouvait demeurer secret il y a deux générations ans est potentiellement susceptible d’être immédiatement mis sur la place publique de nos jours, quand bien même n’y aurait-il aucun Snowden à l’horizon. Les conséquences sur l’opinion publique sont alors d’une toute autre magnitude.

D’ailleurs, les Snowden ont toujours existé. Ils sont consubstantiels à tout système de surveillance/espionnage/manipulation, et se multiplient dès lors que les actes en question outrepassent trop largement les limites de la morale « communément répandue ». Swire cite notamment l’affaire Daniel Ellsberg, qui inonda le New York Times, en 1971, de plus de 7 000 pages de révélations sur la guerre du Viet-Nam. 7000 pages… à comparer aux 50 000 ou 200 000 documents qu’aurait subtilisé Snowden. Une paille, une infirme collection de contenus, probablement un « rien » comparé à ce que le lanceur d’alertes a « laissé » sur les ordinateurs de la NSA. Et pourtant, cette goutte d’eau prend des allures de geyser. Un déluge de scoops que ne peut plus retenir la « peur du procès » dont on menace les journalistes et éditeurs des quotidiens intéressés par une telle publication. La divulgation est inévitable, car ce que le New York Times ou Le Monde ne sortira pas, un Wikileaks le fera, avec autant d’efficacité. Même l’illusion de contrôle d’une fuite disparaît dans notre univers toujours connecté.

Le Web, ce formidable cadeau empoisonné que les USA firent au monde pour le mieux surveiller, possède en lui une certaine dose de poison totalement incontrôlable. Ce système de surveillance panoptique est devenu tellement polymorphe et omniprésent que parfois, l’observé prend la place de l’observateur et condamne ses actes.

La situation ne va certainement en s’améliorant continue le Conseiller de la Présidence. De plus en plus (Snowden en est un exemple frappant) les grandes infrastructures font appel à des sous-traitants, dont on ne peut exiger le même niveau d’engagement moral qu’un espion de métier ou qu’un militaire empreint de convictions. Surtout si ce sous-traitant est issu de la contre-culture Californienne, généralement hostile au centralisme et au dirigisme de Washington. Il s’est créé, depuis une quarantaine d’années, un réel clivage d’opinion dans la population. « Chez les fonctionnaires et agents d’Etat, l’on sentait une réelle animosité envers Snowden, et le qualificatif de traître à la patrie était bien plus souvent mentionné que celui de « lanceur d’alertes » » explique en substance Swire. « A contrario, les populations du « Digital Age » avancent même que les révélations de ces informations relève d’un « devoir de désobéissance civique ».

Intéressante forme de schizophrénie qui frappe cette société nord-américaine, incapable de compter sur l’idée même de conservation du secret parce que le système tout entier repose sur les compétences d’une armada de sous-traitants et non plus sur la foi inébranlable d’une poignée de convaincus.

Pourtant, Peter Swire ne pousse pas le raisonnement jusqu’au bout. Cette sous-traitance, cette mainmise des Haliburton et des Booz Allen Hamilton sur les rouages régaliens les plus sensibles est la conséquence directe d’une économie libérale à outrance, d’un système qui veut faire disparaître l’idée d’Etat, de Gouvernement (car qui dit Gouvernement prononce fiscalité, droit du travail, salaires minimums) et de frontières (car qui dit frontière entend droits de douanes, taxes d’importation et entraves au libre commerce). La déconstruction de l’Etat, son démantèlement avec d’un côté une privatisation des centres de profits et une nationalisation des pertes ne peut que conduire à une dissolution des valeurs patriotiques. Comment s’étonner alors que les rares qui résistent face à ce programme tentent de trouver refuge dans le principe du « citoyen-justicier », celui forgé dans l’airain du second Amendement et répété ad nauseam à chaque écolier d’Outre Atlantique. Paradoxe étonnant que ces Conservateurs qui bradent l’appareil d’Etat sous prétexte de libéralisme et de réalisme économique, et de ces Républicains qui jouent la carte de la Défense Nationale à tous prix.

Ce à quoi l’on pourrait ajouter que les outrances des services dits « spéciaux » ne peuvent éternellement laisser indifférent ceux qui en sont témoin, quel que soit le pays. Du moins plus au XXIème siècle, plus après la preuve que le « métier de seigneur » qu’ont pratiqué Hames, Phylby, Burgess ou Hanssen était sérieusement corrompu, plus après la publication de la « Banalité du Mal » d’Hannah Arendt qui démontrait comment un petit fonctionnaire qui répond strictement aux ordres peut se transformer en machine infernale. Certes, il y a une marge entre les actes d’Eichmann et les procédés de la NSA. Mais ce sont précisément ces incessantes violations des principes démocratiques que commettent ces services spéciaux qui peuvent conduire aux régimes totalitaristes et déclencher les réactions d’un Snowden. Il n’y a pas de trahison gratuite, c’est un des principes de bases de la sécurité des S.I.

Depuis quelques semaines déjà, la rédaction de Cnis-Mag s’amusait de la soudaine augmentation de demande de « contacts » LinkedIn émis par une armada de chasseurs de têtes « sécurité ». De Chasseuses, devrait-on préciser, qui semblent mettre en avant plus leur plastique généreuse que leur intérêt pour l’usage d’Ida Pro. L’absence de véritables motifs dictant cet impérieux besoin de rencontre professionnelle et la confusion manifeste que ces demoiselles faisaient entre le métier de journaliste et celui, considérablement plus sérieux, de responsable SSI.

Mais ce qui pouvait passer pour une erreur d’aiguillage ne serait en fait que la partie visible d’une vaste campagne de profilage, pense Sean de F-Secure, dont les soupçons sont confirmés par Yonathan Klijnsma de Fox IT. « Ces personnes une fois intégrées dans le cercle des relations, explique Klijnsma, disparaissent rapidement. Leur profil est effacé des bases du réseaux social, et il faut parfois fouiller assez profondément pour retrouver leur activité dans l’historique des activités LinkedIn ».

Klijnsma fait également remarquer que les profils glanés par ces recruteurs sont très sélectifs. Certains s’intéressent aux spécialistes de la sécurité sans-fil, d’autres aux chefs de cellule sécurité, d’autres encore aux gourous de la mobilité… un travail parcellaire qui n’est pas sans rappeler l’organisation quasi militaire de certains scam nigérians.

Une autre étude, publiée par Trend Micro cette fois, constate également que le profilage de spécialistes SSI fait rage au moyen orient. Un groupe baptisé Rocket Kitten utilise des méthodes un peu plus agressives que des tentatives de contact LinkedIn, allant jusqu’à déployer des attaques en spear phishing, injection de malwares et autres procédés du genre. Les « chatons –fusées » ne ciblent pas seulement les spécialistes sécurité, mais également les secteurs des sciences politiques, de la diplomatie, des affaires étrangères, de la défense, du journalisme, des droits de l’homme…

L’espionnage industriel n’est donc pas leur but ultime. Ces agresseurs, précise l’analyse de Trend Micro, mettent en œuvre des outils de hacking parfois courants, parfois plus évolués, probablement achetés ou dérobés à d’autres black-hats. La teneur, le style et l’orthographe chancelante de leurs messages de phishing sont tels qu’il est assez simple de les détecter, et même d’établir, par recoupement, l’enchaînement de leurs activités de datamining. Mais ces faiblesses sont compensées par la persistance de l’opération qui, à force de constance, finit parfois par arracher quelques données précieuses.

Il y a donc comme un parfum d’amateurisme ou d’absence de maîtrise dans l’usage des outils, assez contradictoire avec l’apparent travail de profilage minutieux que semble poursuivre le groupe des minous strato-propulsés. Peut-être, estime l’étude, un groupe de cyber-pirates traditionnels qui a abandonné la collecte artisanale de numéros de comptes bancaires pour se lancer dans celle plus lucrative et moins dangereuse d’espion amateur et petites mains spécialisées dans la rédaction de fiches d’identité ? L’employeur le plus plausible serait alors un « quai d’Orsay » du Moyen Orient ou un service de renseignements d’Asie Mineur en mal de supplétifs.

Cette théorie serait d’ailleurs confirmée par le fait que les Rocket Kitten auraient déjà disparu une première fois de la scène black-hat avant de réapparaître et de changer d’orientation. Cela sent un peu l’amnistie conditionnelle, une sorte de contrat « liberté contre travail de bénédictin ».

Il est également amusant de constater que les « recruteuses » susmentionnées (et c’est probablement également le cas des Rocket Kitten) étaient parvenues à entrer dans les petites papiers LinkedIn de pas mal de spécialistes Français de la sécurité des S.I., si l’on en juge par le nombre de « contacts communs ».

Bluecoat (qui a eu mauvaise presse il y a peu) multiplie aujourd’hui les articles sur les activités des black hats. Le dernier en date s’intitule « DO NOT ENTER Blue Coat Research Maps the Web’s Shadiest Neighborhoods ». Selon ce spécialiste de la lecture attentive de tout ce qui passe sur Internet, une très grande majorité des nouveaux noms de domaine serait en majorité des nids de spywares, des terriers à virus et à botnet, les antres du Phishing tous azimuts. L’on peut même considérer que certaines extensions, tel le “.zip” ou le “.review” ne soient constituées que de serveurs web faisandés. Le taux de compromission est assez impressionnant et affecte même parfois des gtld à l’intitulé insoupçonnable. Ainsi les domaines en « .science ». Bluecoat a même dressé un palmarès des extensions les plus dangereuses :

1 .zip 100.00%

2 .review 100.00%

3 .country 99.97%

4 .kim 99.74%

5 .cricket 99.57%

6 .science 99.35%

7 .work 98.20%

8 .party 98.07%

9 .gq (Guinée Equatoriale ) 97.68%

10 .link 96.98%

L’appât du gain et le mercantilisme dont font preuve les « registrars », associé à une absence totale de vérification des contenus ont peu à peu transformé Internet en une zone de non-droit.

Tout ce qui est « sans fil »ne laisse plus indifférent, la chose est heureuse. Pourtant, depuis plus de 15 ans, de nombreux spécialistes tirent le signal d’alarme. Erreurs d’intégration, mots de passe par défaut, absence de chiffrement ou chiffrement symbolique, authentification approximative, équipements d’une qualité technique proportionnelle aux économies d’échelle imposées aux OEM… s’il y avait un Owasp du sans-fil, le volume de ses recommandations concurrencerait celui de la Comédie Humaine.

Et les preuves de ces erreurs se multiplient depuis ces deux dernières années, pour deux raisons principales. En premier lieu, les vendeurs de gadgets (de la montre pour cyber-jogger à la caméra de surveillance pour nourrisson) croissent et se multiplient, ce qui provoque une augmentation statistique des failles exploitables. Bienvenue dans le monde communiquant et autonome de l’Internet des Objets. L’autre raison de cette vague de « radio-bourdes » à répétition, c’est qu’il est de plus en plus facile, de moins en moins coûteux de surveiller et analyser cette activité sans fil. Une simple radio logicielle (SDR) à 8 euros suffit généralement. Sans un Wireshark branché sur un brin Ethernet, on ignore l’activité des chevaux de Troie, sans SDR (ce Wireshark des ondes), on oublierait presque qu’un périphérique IoT bavarde en permanence et divulgue des informations à qui veut bien les entendre.

La première semaine de septembre a commencé avec un évènement monté en épingle par les médias grand public : le détournement d’un panneau d’affichage au centre de Lille par une attaque en « evil twin » sur un réseau radio non chiffré. Le niveau de difficulté est à la hauteur du vocabulaire utilisé lors du détournement, autrement dit très bas. Le hack des affichages municipaux est assez fréquent et l’absence de protocole de sécurité est un secret de polichinelle. Déjà, il y a plus de 15 ans, une municipalité des environs de Metz subissait un cyber-assaut du même genre, rondement mené par un groupe de collégiens. La « sécurité » du réseau reposait sur une transmission 75/1200 bps « retournée », accessible à tout possesseur de Minitel 1BR. Aujourd’hui, 15 euros de composants, GNU Radio et un ordinateur (ou l’achat d’une carte HackRF si le « hacker » n’est pas doué pour les brasures CMS) et le tour est joué.

Que les élus soient rassurés, l’auteur de cette action médiatique (@ivoidwarranties) s’est montré d’une sagesse et d’une retenue exemplaire. Les panneaux d’affichage ne sont pas les seuls équipements urbains reliés par une infrastructure radio. Il semble donc que les équipes chargées de la SSI au sein des grandes municipalités ne soient jamais consultées lorsqu’un marché d’équipement fait l’objet d’un appel d’offre, ou que les élus confondent les mots « audit sécurité » et « audit financier ».

Electrosensibilité, un terrain juridique sensible

Encore le danger des ondes, mais sous un angle purement médical, cette fois. Le 25 août dernier, le tribunal de Toulouse reconnaissait l’existence d’un handicap provoqué par une hypersensibilité aux ondes électromagnétiques. Le journal Le Monde notamment s’en faisait l’écho.

Toute la question est de savoir si cette décision fera ou non jurisprudence. Jusqu’à présent, les constatations médicales ou les plaintes liées à des nuisances électromagnétiques visaient essentiellement des installations WiFi ou des relais de téléphonie. Nulle mention des émetteurs broadcast ondes longues et courtes de plusieurs centaines de kilowatts et opérationnels depuis près d’un siècle, des infrastructures militaires, des faisceaux hertzien des opérateurs télécom, de la virulence du plus gros émetteur radio que sont le soleil ou la foudre, voir du bruit galactique permanent émis par l’univers.

Il n’est pas question de mettre en doute les conséquences cliniques d’une sensibilité reconnue par le corps médical, mais de s’interroger sur les risques et les interdits qu’une jurisprudence « globale » pourrait entraîner. Que doit-on limiter, de quelle manière appliquer un « principe de précaution » ? Quelles sont les fréquences, quels sont les niveaux de puissance en fonction de la fréquence considérée ? Car le vocable « ondes électromagnétiques » couvre des ondes kilométriques aux rayonnements durs… certains de ces rayonnements étant, par nature, nuisibles à toute forme de vie, d’autres absolument nécessaires, d’autres enfin aussi indispensables à notre civilisation que la roue ou que le feu.

Ce flou, cette absence totale de réflexion technique, d’autres en profitent. A titre d’exemple, le site « architecture of radio » qui prétend vendre une « App » sous IOS et Android capable de « visualiser en temps réel notre « infosphère », cellules GSM, routeurs WiFi, communications (sic), navigation et satellites d’observation et leurs signaux ». Traduisons : « utilise les interfaces LTE-WiFi-Bluetooth-GPS pour afficher des graphiques sans grande signification sur un fond d’écran artistiquement dynamique, le tout accompagné de propos vagues et ambigus destinés à faire progresser nos ventes ». Ce genre d’application en apprend moins sur l’activité radio qui nous entoure qu’une simple clef USB type RTL-SDR, que l’on peut considérer comme le niveau zéro de l’exploration électromagnétique. Architecture of Radio n’est hélas qu’un des nombreux exploiteurs d’ignorance, seulement coupable de proférer les mêmes propos qu’avancent quelques boutiquiers adeptes du business-model de la peur, de l’incertitude et du doute infondé.

Le véritable risque radio vient du fait qu’il s’agit d’une couche de transport longtemps considérée comme « magique et inconnue » par les praticiens de la logique et du binaire. Ce n’est plus le cas de nos jours. Le mystère qui entourait le sans-fil et garantissait une certaine inviolabilité des communications se dissipe, et surtout dévoile, une fois les principes radio de base assimilés et désacralisés, les mêmes erreurs grossières, les mêmes manquements, le même peu de cas que l’on fait de l’utilisateur final et de sa sécurité. Cette semaine encore, Rapid7 publiait une sorte de banc d’essais comparatif de 9 systèmes de monitoring pour nourrissons. Ces successeurs des « bébéphones », bien entendus reliés désormais à Internet, sont un florilège des erreurs les plus communes : mots de passe « hard codés », transmissions en clair tant du contenu que des commandes, vulnérabilités ouvrant sur un « remote shell »… La chose peut se comprendre à la rigueur lorsque les constructeurs viennent du monde de la puériculture. La sécurité informatique ne s’invente pas. Mais lorsque l’appareil est estampillé Philips ou TrendNet, la pilule est plus difficile à avaler. Elle passe encore moins bien lorsque ladite transmission sans fil fait partie d’un système d’assistance de conduite automobile comme il s’en est fait pirater par dizaines lors des dernières Black Hat ou Usenix Conference, d’une pompe à insuline ou d’un stimulateur cardiaque comme le clamait il y a peu Billy Rios, ou d’un système de navigation ainsi que le démontrait la chercheuse Chinoise Lin Huang, de Qihoo 360 (à noter que le spoofing des informations GPS à l’aide d’un SDR n’est pas franchement nouveau).

Comme pour enfoncer le clou, la toute dernière édition du CCC ( Chaos Communication Camp) offrait à chaque participant un badge qui n’était en fait qu’une radio logicielle couvrant de 50 MHz à 4 GHz, réception ET émission. Un proche cousin du SDR HackRF qu’ont utilisé Lin Huang, @ivoidwarranties, Charlie Miller, Samy Kamcar pour ne citer que ceux ayant fait la manchette des journaux ces derniers temps.

Winter is coming !

Tout ce qui est sans-fil est donc susceptible d’être piraté ? En grande majorité, oui, surtout si le contenu n’est pas chiffré. Et encore, les métadonnées et la géolocalisation des correspondant peuvent-elle déjà se montrer indiscrètes. Il a fallu près de 10 ans pour que les constructeurs de routeurs WiFi commencent (et encore bien imparfaitement) à respecter certaines règles d’intégration pour améliorer la sécurité de leurs produits. Autrement dit, un très petit nombre d’industriels spécialistes du monde pourtant abstrus des réseaux, a fait preuve d’une très longue période d’adaptation et de prise de conscience. Comment les boutiquiers de l’Internet de la Ville Connectée, de l’hôpital connecté, de la navigation connectée, de la voiture connectée, de l’épluche-bébé ou de l’atomixer connecté puissent faire mieux ?

Ils bénéficient pourtant tous d’un répit appréciable qu’il ne faut surtout pas gaspiller. Car les hakers susnommés sont encore très loin d’avoir compris la portée de leur geste et les limitations de leurs équipements. Les rares à avoir véritablement appréhendé le niveau de risque effectif ont pour nom Michael Ossmann, Youssef Touil, Oona Räisänen, Philip Covington, Kevin Wheatley… tous savent que les outils de hack actuellement disponibles peuvent être qualifiés de jouets : sensibilité très moyenne, résistance à la transmodulation nulle, puissance ridicule, dynamique trop faible tant que les CAN d’entrée ne dépasseront pas 16 bits au moins, linéarité catastrophique, produits de mélanges trop nombreux pour analyser un spectre sans avoir quelques doutes sur des dizaines de signaux fantôme qui se dessinent à l’écran, taux d’échantillonnage insuffisant… et usagers qui, très rarement, savent que le mot « antenne » ne se trouve ni sur eBay, ni sur Alibaba.

Cette ignorance relative n’aura qu’un temps. A la lecture de certains forums spécialisés, on se rend compte que ces questions sont très souvent évoquées, que des solutions existent ouvrant une foultitude de possibilités. Le hack d’un panneau d’affichage, c’est amusant. La compromission de l’infrastructure de signalisation de tout un centre-ville ou le déni de service d’une centaine de véhicules sur le boulevard périphérique Parisien est nettement moins drôle. Ce n’est qu’une histoire de portée, de traitement de signal, de furtivité des stations initiant une telle attaque. C’est d’ores et déjà possible aujourd’hui avec des moyens conséquents, ce le sera demain avec des appareils à moins de 200 euros.

L’idée même d’un cyber-crime toujours impuni serait-elle en passe de s’étioler ? Il y a encore beaucoup de chemin à faire, les aléas de la politique étrangère viennent parfois entraver les enquêtes, mais la collaboration entre les juges et policiers chargés du cyber commencent enfin à donner des résultats, explique Alexandra Ruiz sur le blog de Lexsi. Et de citer le nombre croissant d’arrestations notamment en Ukraine, un pays longtemps considéré comme l’un des principaux « safe harbor » du cybercrime organisé. Peu à peu, Europol, Eurojust, les accords avec les pays d’Europe Centrale, avec Israël ou les différents Etats d’Afrique du Nord débouchent sur un nombre croissant d’arrestations : démantèlement des réseaux utilisant Zeus et SpyEye et arrestation de 5 suspects Ukrainiens, décapitation d’un réseau d’escroquerie en 2012 en Europe de l’Est avec plus de 60 personnes (dont 34 mules) mises sous les verrous, interpellation en 2014 de responsables de plusieurs « fraudes au Président » puis, en 2015, de deux Franco-Israéliens spécialisés dans la carambouille. Dans bien des cas, les relations avec les pays concernés étaient relativement tendues, mais les décisions de justice ont su passer outre. Parfois, le travail des juges est rendu encore plus difficile, et un froid dans les relations diplomatiques (comme cela est le cas notamment avec le royaume Marocain depuis quelques temps) peut retarder considérablement l’avancement d’une enquête, au risque de voir disparaître des radars certains suspects.

… ou presque

Mais ce que la police bloque à droite reprend de plus belle à gauche. La rédaction de Cnis Mag citait un récent rapport du FBI laissant entendre que les « fraudes au Président », ou BEC en cyberlangage, connaissaient une inflation phénoménale. Cette semaine, l’Ondrp (l’Observatoire national de la délinquance et des réponses pénales) publie un rapport indiquant que les fraudes bancaires en France avaient connu une nette progression de +67% entre 2010 et 2013, avec 840 000 affaires recensées. Des vols en moyenne inférieurs à 240 Euros (il y a quelques notables exceptions dans 17 % des cas) et dont l’augmentation est directement liée avec l’importante évolution des achats en ligne. Peu de plaintes, car les banques remboursent généralement (80% des victimes ont récupéré leur argent). Pas de plainte, pas d’enquête, pas d’enquête, pas de condamnation dans la majorité des affaires.

Des banques qui sont également la cible directe d’attaques contre lesquelles il est difficile de se protéger. Ainsi cet assaut en règle que subissent près de 14 établissements financiers japonais. Le malware utilisé durant cette attaque est une sorte d’hybride obtenu par clonage, mélangeant des bouts de code provenant de plusieurs souches, dont Shiz, Gozi, Zeus et Dridex expliquent les chercheurs de la X-Force IBM. Ce mélange des genres donne naissance à une cyber-arme qui bénéficie des atouts les plus forts de ses géniteurs : furtivité, utilisation de certificats authentiques qui trompent la vigilance des passerelles de sécurité, chiffrement renforcé, mise à jour automatique grâce à un réseau de C&C difficiles à situer, mécanismes d’autodéfense à base d’antivirus (sic) capable d’éliminer d’éventuels malwares concurrents… alors que les méthodes de lutte contre la cyberdélinquance entament leur adolescence, les outils de truands ont depuis longtemps atteint l’âge adulte.

Un long article signé Ellen Nakashima, du Washington Post, nous apprend que la Maison Blanche envisagerait d’imposer des sanctions économiques à la Chine principalement, en réponse à la vague d’espionnage industriel visant particulièrement les entreprises des Etats-Unis.

Ce bruit de couloir savamment orchestré survient deux semaines à peine avant que le Président Chinois Xi Jinping ne vienne en visite officielle sur le sol nord-Américain. Les sanctions prévues, expliquer Nakashima, pourraient aller jusqu’à geler les avoirs et interdire tout échange avec des sociétés commerciales ou des organisations s’étant rendues coupables d’attaques ou d’actes d’espionnage dans le cyberespace US. Des mesures de rétorsion donc très ciblées, ne visant pas spécifiquement l’Empire du Milieu mais ses sujets les plus turbulents. Les opérations de barbouzerie à grande échelle telle que le hack des serveurs de l’Office of Personnel Management qui a touché plus de 22 millions de fonctionnaires et employés d’Etat ne seraient pas pris en compte, car relevant plus des opérations « d’espionnage traditionnel » que de la guerre économique.

Il s’agit donc d’une simple opération d’intimidation diplomatique avec très peu d’effets de bord. Non seulement les preuves permettant d’établir des faits de cyberespionnage industriels sont généralement difficiles à prouver, et d’autre part le sacrifice de deux ou trois « enseignes » permettrait à l’Administration Obama de montrer une certaine fermeté sans compromettre le discours diplomatique. La Chine, qui détient une part non négligeable de la dette des USA et qui menace, depuis quelques semaines, de dévaluer sa monnaie, est en position de force économique. Toute sanction générale visant le pays tout entier compromettrait fortement les espoirs diplomatiques de la Maison Blanche. Il est toutefois intéressant de noter que jamais, jusqu’à présent, l’importance de la sécurité des systèmes d’information n’avait joué un tel rôle et un tel prétexte dans l’équilibre des forces opposant des Etats Nations

Cela fait déjà plus de 5 ans que la gamme d’outils de contrôle de processus Siemens, gamme Simatic, fait l’objet de divulgations et alertes de sécurité dans le landernau de la recherche Scada. Outils et logiciels de supervision associés qui, parfois des années durant, ont exposé leurs usagers (et par conséquent plusieurs Opérateurs d’Importance Vitale) à des risques inconsidérés : mots de passe « en dur et en clair », ou failles affectant toute une gamme d’appareils puisque la dernière alerte publiée par le Cert US et ayant pour origine les travaux de Ilya Karpov de Positive Technologies ne compte pas moins de 9 équipements autorisant une attaque « man in the middle ».

De l’avis des chercheurs Russes ayant inventé ces failles, et conformément aux estimations CVE, l’indice de dangerosité CVSS s’élève à 6.8 sur une échelle de 10.

L’intrusion dans le S.I. des sites de rencontre Ashley Madison semble sortir tout droit d’un opuscule « tout ce que vous avez voulu savoir sur les erreurs à ne pas commettre en matière de gestion de crise ». Mais il est assez peu probable qu’un tel ouvrage soit un jour écrit, pas plus que n’a été écrit un tel guide au lendemain de l’affaire CardSystems. D’ailleurs, qui en a tiré des leçons utiles, qui s’en souvient encore.

Dans un premier temps, il semble que la direction du groupe ait totalement ignoré (ou pris au sérieux) les menaces des pirates. Même si les espoirs de retrouver les coupables alors étaient excessivement faibles, les délais nécessaires aux tractations auraient pu être mises à profit par des enquêteurs.

Vient ensuite la réaction envers les abonnés, lesquels se sont fait proposer une assistance gratuite en cas de risques financiers. Certes, ce geste était la moindre des choses, compte tenu des frais parfois astronomiques que certains établissements demandent pour fournir l’historique d’un compte. C’était déjà avouer, contrairement à ce qui a été affirmé au lendemain de la révélation du hack, que strictement aucune donnée bancaire n’avait pu être subtilisée. Mais surtout, rien, dans les communiqués de l’entreprise, ne laissait transparaître la moindre compassion. Cette froideur vis-à-vis de ses propre clients n’a pas franchement joué en faveur de l’image de marque de l’entreprise Canadienne.

Le troisième stade s’est avéré encore plus catastrophique : aucun contre-feu médiatique intelligent n’a été réellement organisé, donnant l’impression que la Direction toute entière était frappée par la foudre. Pourtant, l’éventail était vaste : victimisation, position volontariste, publication d’une profession de foi… n’importe quoi aurait pu minimiser la condamnation unanime des média nord-américains, généralement très puritains. Il faudra attendre les premières rumeurs de suicide d’un client (rumeurs difficilement fondées d’ailleurs) pour que l’entreprise mette à prix la tête des pirates, promettant une prime d’un demi-million de dollars. Réaction de vengeance, toujours sans le moindre témoignage de sympathie envers les abonnés. Entre temps, les courriels internes de l’entreprise dévoilent certaines pratiques et tendances de la haute direction, et notamment la preuve qu’eux-mêmes se seraient rendus coupables d’intrusion dans les systèmes d’au moins un de leur concurrents. Cet aveu ainsi que quelques indiscrétions sur la vie privée du CEO Noel Biderman, lui vaudront un licenciement à la fin du mois d’août. L’on apprenait la veille que les clients ayant eu la prudence de faire supprimer leurs comptes moyennant 19 $ de frais d’intervention, n’avaient bénéficié de la déléature de leur seul nom et prénom. Toutes les autres données du profil, assez précises pour déterminer l’identité de la personne, demeuraient inscrites dans les bases de données et ont été diffusées sur quelques dizaines de liens Bittorent.

Le difficile métier d’entremetteur implique à la fois une certaine honnêteté (il n’est pas sage de promettre si l’on ne peut tenir une réputation), un niveau de confiance et de discrétion absolus. C’est ce qui faisait la force d’un duc de Richelieu, bêta-testeur expérimenté et conseiller technique de Louis XV. Las, la Direction d’Ashley Madison n’a fait preuve ni de la compétence, ni du jugement, ni l’intelligence de ce grand libertin. Devant tant de manquement, l’entreprise pourrait bien connaître la même fin que CardSystems.