Archives

Le hack de la banque JPMorgan Chase à l’origine du vol de près de 83 millions d’identités bancaires serait le résultat d’une opération de cyber-commandos pilotés par le gouvernement Russe, affirme un article du New York Times.

Ce serait là une conclusion logique puisque, explique l’auteur de l’article, la Chase n’est qu’une cible parmi 9 autres, évoluant également dans le secteur bancaire et ayant déploré des infiltrations signées apparemment par les mêmes auteurs. De là à estimer qu’il s’agit d’une attaque coordonnée pilotée par le Kremlin, il n’y a qu’un pas que confirment quelques traceroute.

Tout comme dans le cadre cyber-assauts « supposés Chinois », l’occident se trouve confronté à ce qui semble être une forme d’alliance objective entre les cercles du pouvoir (du FSB dans le cas présent) et les « ring » mafieux et hacktivistes : un pacte de non-agression en temps normal en échange d’une obéissance absolue lorsque les nécessités de l’Etat l’exigent.

Bien sûr, il n’existe strictement aucune preuve sérieuse, ni de l’origine réelle de l’attaque (ou de son centre de commandement effectif) ni de ce lien occulte entre pouvoir et milieu du hacking noir ou gris. Et c’est tant mieux pour les auteurs de romans d’espionnage et les journalistes en mal de copie.

Le billet de Matthew Green, cryptographe, professeur et chercheur à l’Université John Hopkins, achève le travail de sape progressif qui a touché PGP durant ces derniers mois. « it’s time for PGP to die » affirme-t-il. La nature des clefs, l’obligation de partage desdites clefs, préalable obligatoire avant tout échange, difficultés en matière d’authentification de la provenance desdites clefs, en matière de gestion également… « tout ça pue » persiste Green au fil d’un long article qui déconstruit la manière dont le travail de Phil Zimmerman a été intégré, tant au niveau de l’architecture générale qu’à celui de l’adaptation aux différents clients de messagerie.

Pour l’heure, il n’y a pas pléthore d’outils de chiffrement plus ou moins universels, gratuits, répandus, garantissant un minimum de confidentialité envers les indiscrets « de premier niveau ». PGP n’a pas encore de successeur connu, et 80% des usagers d’outils de chiffrement sont bien obligés de « faire avec ».

Le Clusif a publié un guide intitulé « Gestion des vulnérabilités informatiques : vers une meilleure gestion des risques» , et destiné à faciliter la navigation des responsables Infosec dans l’océan de normes, règlementations et pratiques. ISO 27000, Bâle II, PCI-DSS, ETSI ISI, recommandations du SANS, conséquences de la LPM, contraintes liées à la notion d’OIV. Il s’agit là plus d’un «document introductif » que d’un ouvrage pratique détaillé, une quinzaine de pages qui dresse une image générale du « risk management » moderne.

Le FIC, Forum International de la Cybersécurité, communique : Le prochain petit-déjeuner de l’Observatoire FIC se déroulera le mercredi 22 octobre en partenariat avec Beazley sur le thème « Les moyens de paiement se dématérialisent. Quels impacts pour l’entreprise ? ». Par ailleurs, un petit-déjeuner sera organisé à Bruxelles le mardi 4 novembre sur le thème « Europe’s Digital Economy: embracing the Data Revolution »

Rappelons que le prochain FIC (7eme édition) se déroulera à Lille Grand Palais les 20 et 21 janvier prochain. Le programme détaillé des interventions est publié sur le site de l’évènement. L’on y attend, en « guest star », Monsieur Bruce Schneier.

C’est Guillaume Poupard, patron de l’Anssi, qui ouvrait la quatorzième édition des Assises de la Sécurité. Une quasi « première prise de contact » officielle avec l’industrie infosec, un discours attendu qui devait confirmer (ou non) le cap donné par son prédécesseur Patrick Pailloux.

Un Patrick Pailloux qui s’était montré plus que prudent l’an passé, se contentant de reprendre l’air de son grand succès « Back to Basic / no to Byod », modifiant çà et là quelques paroles pour y glisser des allusions aux OIV (opérateurs d’importance vitale) et à la question des réseaux Scada. Il faut dire que le père spirituel de l’Anssi, sur le départ, ne pouvait politiquement se montrer plus précis et engager la responsabilité de son successeur.

Depuis, la Loi de Programmation Militaire (LPM) a été votée. L’Anssi a été confirmée dans sa mission de défense du Trésor de l’Empire, et naturellement, Poupard revenait sur les thèmes OIV et surtout Scada, « objet de toutes mes craintes » précisait-il. Pourtant, l’on note de subtiles différences dans le ton. Si, politiquement, le Directeur de l’Agence affirme « je m’inscris dans la continuité de Patrick Pailloux », il martèle « Nous ne sommes pas là que pour la protection de l’Etat. Nous ne sommes pas qu’une entité technique, nous ne travaillons pas qu’au profit des grands. Il faut que nous apportions des solutions adaptées pour les PME, il faut une sécurité à destination des citoyens, il faut accompagner les nouveaux usages ».

Des bulles PME et Grand Public

Cette descente des hautes sphères était jusqu’à présent inespérée. L’Anssi, même au cœur des petites collectivités territoriales, est souvent vue comme le bouclier des Ministère et la bulle de sécurité du CAC 40. L’entendre parler des PME, mieux encore envisager (sans préciser encore sous quelle forme) de s’adresser au citoyen, au particulier, dénote d’un profond changement de mentalité. Et mentionner les « nouveaux usages », autrement dit les composants intelligents, les outils de mobilité, l’Internet des Objets, c’est indiquer clairement que l’Agence (accompagnée dans ces missions par d’autres Ministères, d’autres institutions) entend globaliser la vision sécurité de tout système d’information, du plus grand au plus insignifiant. Reste à espérer que ces messages « top-down » de sensibilisation et d’information ne seront ni déformés, ni dilués par les différentes strates, et ne s’achèveront pas dans de vagues opérations de « permis de conduire Internet pour pré-ado » ou des campagnes simplistes à la sauce « Protège ton ordi ».

Si l’on en revient au rôle initial de l’Anssi, garant des fleurons de l’Industrie Nationale, Poupard explique « La loi de programmation militaire a été le bon véhicule qui passait au bon moment. Il fallait une prise en compte des OIV en passant par la loi ». Certes, dit-il en substance, ces dispositions peuvent passer de prime abord comme contraignantes, risquant d’alourdir encore plus la partie « industrielle » de l’Opérateur. Mais ces « contraintes », qui sont de toute manière techniquement définies en collaboration avec les opérateurs eux-mêmes, vont rapidement être acceptées, digérées, puis peu à peu faire tâche d’huile, et déborder sur des secteurs pourtant nettement moins critiques ou stratégiques. En d’autres termes, c’est par l’école des « opérateurs d’importance vitale » et par cette obligation légale d’un certain nombre de procédures normées et certifiées que le gène de la sécurité se transmettra, de proche en proche. Du cœur de l’OIV vers les départements moins sensibles, de ces départements vers les entreprises collaboratrices (sous-traitants, partenaires), puis de ces satellites vers d’autres entreprises de plus petite envergure et ainsi de suite. « Et nous ne serons pas les seuls affirme Guillaume Poupard. Je suis certain que l’on verra des « articles 22 » dans d’autres pays en Europe. »

Détecter, renseigner, gagner du terrain : l’ère post-passi

A peine achevée la première fournée d’entreprises « certifiées » compétentes dans le domaine de l’audit de sécurité (les Passi, prestataires d’audit de la sécurité des systèmes d’information) que l’Anssi entame un nouveau Grand Chantier, celui des spécialistes de la détection. Il y aura donc des « prestataires es-sondes » portant un label Anssi, dont le rôle sera d’installer des systèmes permanents de surveillance, de détection et d’alerte en cas d’attaque. « Il faut améliorer les systèmes de détection, et non plus seulement faire confiance au périmétrique » insiste Poupard. Et de continuer « il ne faut plus pouvoir entendre « l’intrusion doit remonter au moins à trois ans… parce qu’avant, on n’avait pas encore de log ». Allusion transparente aux déboires d’Areva. Détecter mais aussi signaler, remonter l’information à destination des « savants » de l’Agence, pour que le risque puisse être analysé et signalé aux autres entreprises nationales. « Une attaque n’est jamais réellement unique. Les techniques d’intrusion sont employées parfois avec quelques variantes, et en connaître l’empreinte facilitera le déploiement de protections sur d’autres sites ». En d’autres termes, même s’il n’est jamais agréable d’avouer, il faut que les industriels, OIV en tête, divulguent chaque tentative de piratage, par solidarité industrielle et nationale.

Solidarité également du côté des différents professionnels de la sécurité Français qui doivent apprendre à coordonner leurs efforts, aplanir leurs différents pour mieux s’imposer sur les marchés étrangers, Européens tout d’abord, mondiaux ensuite. L’industrie de la protection des S.I. « made in France » est performante, mais ne dispose pas de la même force de frappe que ses homologues d’Outre-Atlantique par exemple. Pour progresser et conquérir réellement des parts de marché, il faut, dit en substance le patron de l’Anssi, que nous cessions de débarquer sur des côtes étrangères comme une tribu gauloise, dans un désordre qui nous dessert.

Etendre le périmètre de l’Agence, multiplier les filières certifiées, protéger les grands vecteurs de recherche et développement, sécuriser le tissus industriel du sol au plafond, développer une « furia francese » de l’industrie infosec tant en France que sur les marchés étrangers, inventorier et protéger les secteurs sensibles, établir des relations « de confiance sans illusion » avec des puissances amies afin d’enrichir les bases de connaissance en matière de sécurité… les missions de l’Anssi deviennent tellement variées qu’il devient parfois difficile de les embrasser toutes.

Mehari (MEthod for Harmonized Analysis of Risk) est une méthode Française destinée à accompagner pas à pas le responsible sécurité dans l’identification et l’analyse de risque. Née au milieu des années 90 sous l’égide du Clusif, elle adopte le modèle Open Source en 2010 pour mieux faciliter son adoption et surtout se montrer l’égale d’approches concurrentes et/ou complémentaires (eBios, Iso 27005, Nist 800, Marion, Octave…).

Disponible en téléchargement gratuit sur le site du Clusif, Mehari fait partie des méthodes retenues et conseillées par l’Enisa.

En cette seconde moitié 2014, un nouveau pas vient d’être franchi, avec la parution de Mehari Pro, une version de la méthode spécifiquement destinée aux PME. Tout comme les autres variantes de Mehari plus orientées “grande entreprise”, cet outil d’analyse de risques des S.I. propose la même approche méthodologique : identification des situations, évaluation des conséquences possibles, évaluation des probabilités d’occurrence, évaluation de la qualité et de l’efficacité des mesures préexistantes.

Cette technique décrite sur le blog de Dr Web n’est pas sans rappeler ce « proof of concept » très visionnaire développé en 2010 par Itzik Kotler et Ziv Gadot : le botnet qui prend ses ordres d’une publication en ligne ou d’un réseau social. Mais celui découvert par les chasseurs de virus Russes n’est pas un « botnet en chambre ». Il existe bel et bien dans la nature, a infecté près de 17 000 machines sous OSX, se nomme Mac.BackDoor.iWorm et prend ses ordre en lisant les commentaires publiés via ReddIt. La suppression du compte du Botnet est sans le moindre effet, puisqu’il ne faudra que quelques minutes au gardien de troupeau pour créer un nouveau compte de commande.

La solution miracle consisterait peut-être à fermer l’intégralité des réseaux sociaux… ou pas.

Adam Caudill et Brandon Wilson ont publié, à l’occasion de la dernière DerbyCon, un PoC situé dans la droite ligne de BadUSB .

A moins d’avoir passé les 15 derniers jours dans la caverne de Platon, l’homme du siècle s’est ému au rythme des annonces concernant le bug bash Shellshock. Le dernier soubresaut était celui d’Apple qui vient d’annoncer, sans la moindre précision aucune (histoire de préserver la tradition) la publication des correctifs pour Maverick, Mountain Lion et Lion.

Mais, pour un utilisateur Apple non technicien, le laconisme du bulletin d’alerte ne confirme en rien le colmatage de l’intégralité des trous Shellshock et défauts secondaires liés. Car, toujours durant ces 15 derniers jours, les tortureurs de code (tels que Michal Zalewski, Tavis Ormandy ou Florian Weimer) se sont lancés dans une quête du Graal visant à débusquer le moindre défaut. Du coup, le nombre de CVEs déclarés a subit une rapide inflation. Shellshock désigne désormais CVE-2014-6271 (l’originel), CVE-2014-7169 (l’imparfait du patch), CVE-2014-7186, CVE-2014-7187, CVE-2014-6277 et CVE-2014-6278 (les derniers découverts). Un trou, six alertes, chacune ne représentant pas le même indice de dangerosité, loin s’en faut.

Fort heureusement, Michal Zalewski s’est lancé dans une revue de détails de tous ces trous officiels. Johannes Ullrich, du Sans, est allé jusqu’à monter une petite séquence vidéo d’explication, avec un support « papier virtuel » disponible sous forme de fichier pdf ou de podcast . Les explications sont claires, relativement techniques, but in english. Ceux pour qui ce genre d’intervention fait grincer des Molières* peuvent se reporter sur la baladodiffusion en Français, réalisée par No Limit Secu, avec la participation de Nicolas Ruff, Nicolas Prigent, Jean-François Audenard et Johanne Ulloa.

Ces explications demeureront totalement cryptiques pour la majorité des êtres humains normalement constitués, lesquels se poseront encore et toujours la question « Ais-je bien appliqué la bonne rustine, le problème bash est-il résolu ? ». Chaque jour qui passe fait de Shellshock un proche-parent des séries B américaines, qui plonge le lecteur dans les affres du plus pénible des suspens et lui fait attendre avec impatience la parution du prochain épisode.

*NdlC Note de la Correctrice. Tiens, j’ai crû voir passer Boby Lapointe. Ca faisait longtemps

Ils, ce sont les enquêteurs du Ponemon Institute, travaillant pour le compte de Raytheon (obtention de l’étude par inscription obligatoire ). Cette étude dresse un bilan des outils Byod à la mi-2014 et brosse à grand traits la vision que les responsables sécurité portent sur ces outils.

Dans le secteur industriel, 40 % des RSSI interrogés affirment qu’un cinquième des employés de leur entreprise utilise un mobile. 31% vont même jusqu’à dire que, dans les 12 mois à venir, les outils de mobilité constitueront la majorité des systèmes informatiques et serviront à remplir les tâches les plus courantes (édition de texte, consultation du courriel, gestion de l’emploi du temps). Pourtant, ainsi le démontrent d’autres études, la sécurité est le parent pauvre de ces déploiements et changement d’usage, et près de 50 % des personnes interrogées avouent faire l’impasse sur cet aspect de la question. La sécurité est quasi systématiquement sacrifiée au profit de la productivité. A cette situation, deux raisons : le coût jugé trop élevé des offres sécurité, et une satisfaction très relative quant à l’efficacité desdites solutions.

L’autre moitié consciencieuse, celle qui tente de superviser la sécurité du parc Byod, et ce pour des infrastructures pouvant compter plus de 50 000 terminaux, le coût moyen par poste s’élève à 100$ par an. Lorsque le parc diminue, la note devient plus salée : 600 dollars par appareil et par an pour moins de 250 appareils par site. Le prix de la sécurité mobile gravite, en moyenne, aux alentours de 278 $ par terminal. Pourtant, si l’on interroge uniquement les responsables sécurité appliquant réellement une politique Byod, seuls 36% d’entre eux estiment disposer d’un budget en adéquation avec leurs obligations de protection. 50% d’entre eux pensent que leurs MDM (mobile management suite, le plus utilisé des outils de gestion/administration Byod) ne suffisent pas à protéger leurs ressources mobiles.

Quant aux solutions à mettre en place, 57 % des sondés estiment que les données sensibles de l’entreprise doivent non pas être stockées sur le périphérique mobile lui-même, mais sur une ressource distante, Cloud ou assimilée. Ce qui revient à dire que les RSSI « mobile » souhaiteraient voir se développer une sorte de Byod à la sauce « thin client », moins intelligente et plus « client-serveur » qu’elle ne l’est jusqu’à présent. La chose est-elle praticable ? Les opérateurs télécom disent que oui… mais leurs tarifs ainsi que leur très relative omniprésence ne plaide pas en faveur d’une telle évolution. Achevons ce très rapide survol de l’étude d’usage du Ponemon pour noter que le frein le plus puissant au déploiement des politique de sécurité appliquées aux mobiles provient des utilisateurs eux-mêmes. Un fait rapporté par plus de 56 % des RSSI interrogés. Cette méfiance envers les services « parachutés par la direction » recoupe l’analyse d’Adaptative Mobile sur ce point.