L’opération Harkonnen, ainsi nommée par la société Israélienne Cybertinel, aurait, durant plus de 12 ans, espionné près de 300 entreprises, organismes gouvernementaux et centres de recherches. Conduite par un groupe de pirates opérant dans différents pays germanophone (Allemagne, Autriche, Suisse), elle aurait visé en grande partie des infrastructures informatiques Britanniques. Ces opérations auraient été réalisées sous le couvert de plus de 800 sites dûment enregistrés et apparaissant comme légitimes. Aucune information technique, aucune mention d’une victime connue ne vient étayer ces affirmations.

C’est la Quinzaine du trou dans le Cloud.Et l’on commence avec le moins profond, découvert par B.FL7.DE (prononcer bfl7de) qui a découvert une faille en cross-site scripting via le mécanisme de commande d’ebook Kindle, faille qui pourrait offrir un accès au compte Amazon de la victime. Un code de démonstration est fourni par l’auteur.

Chez Twitter, on a eu chaud. Aboul-Ela, chercheur et blogueur sécu Egyptien, a découvert deux superbes csrf qui permettent de supprimer tous les numéros de cartes de crédit des personnes inscrites sur ads.twitter.com, le serveur de gestion/facturation des messages publicitaires Twitter. En générant de manière brutale un code à 6 chiffres, les créances de tous les annonceurs peuvent être répudiées. Du jour au lendemain le réseau social perd tous ses clients, Jack Dorsey, Evan Williams, Biz Stone et Noah Glass sont réduits à la mendicité et 80% de la presse Française est contrainte de renouer avec le journalisme d’investigation. Franchement, ça fait peur. Le problème a été, reconnait le chercheur, résolu en deux jours.

Chez LinkedIn, ce sont les identités et emails des abonnés au service qui auraient pu faire l’objet d’une fuite massive, nous révèle Brian Krebs. Lors d’une mise en relation par le truchement d’un intermédiaire (un parrain LinkedIn en quelques sortes), et dans le but de préserver la « vie sociale privée » de chacun, tout abonné au service peut demander d’obtenir l’adresse email du solliciteur. Un mécanisme semblable est mis en œuvre lors de l’ouverture d’un nouveau compte LinkedIn. Le moteur du réseau social vérifie, en balayant les adresses de messageries rencontrées sur les comptes mails publics de l’abonné, si certaines personnes ne feraient pas déjà partie de sa sphère sociale. Ce qui a donné l’idée à certain chercheurs de Rhino Security Labs de truffer une fausse boîte mail avec des alias smtp tout à fait probables (genre Britney.spears@hotmail.com ou BarrackO@whitehouse.gov- pour ensuite utiliser LinkedIn à la façon d’un formidable outil de confirmation de validité et de mise en relation.

Dans sa lutte contre le logiciel d’espionnage FinFisher, Wikileaks diffuse quelques exécutables ( Relay 4.3, Proxy 2.1, Master 2.1 et le « client » Windows), une grande partie de la documentation de premier niveau et surtout le « test de détection aux principaux antivirus » qui frise les 90% de taux de réussite.

FinFisher est un logiciel commercial conçu par une société Britannique et commercialisé par Gamma, bras commercial implanté en Grande Bretagne et en Allemagne. La clientèle est essentiellement constituée, affirme l’équipe Wikileaks, par les Ministères de l’Intérieur de pays réputés pour leur politique répressive (171 licences vendues et 64 clients).

Difficilement détectable, particulièrement efficace en Grande Bretagne, mais reposant souvent sur des recettes inusables et inchangées depuis des années. C’est le phishing des temps modernes, celui dont les spécialistes du filtrage « liste blanche-liste noire » nous assurent la prochaine disparition (mais pour cette année, mieux vaut encore acheter une licence)

Difficilement détectable, c’est ce que nous prouve ce billet du quotidien du Sans. Le courriel d’escroquerie revendique son appartenance à une banque connue. L’adresse de réponse semble légitime (et pour cause, le nom de domaine déposé est forgé avec de véritables morceaux d’usurpation de marque) et ledit site bidon se voit attribuer une blancheur virginale grâce à un certificat SSL d’une authenticité indéniable… ce qui affiche illico l’image d’un cadenas sur l’interface du navigateur utilisé. Las, le cadenas seul n’est une garantie de sécurité que dans la bouche d’un banquier… c’est dire le niveau de confiance que l’on peut lui prêter.

L’on notera au passage la charge féroce du Sans contre la rapacité aveugle des vendeurs de TlD aux extensions bizarres. Les .biz, .support, .club et autres nouveaux suffixes ne sont achetés que par les escrocs du net, affirme en substance l’auteur de l’article. Les Registrars sont complices de cet état de fait et participent activement à ce commerce, préférant ignorer à qui et pourquoi un particulier du fin fond de la Russie ou des espaces Nigérians dépose, qui un séejo4ih66ohoaze98ro.com, qui un Credi-tlyonnais.biz.

Efficace en Grande Bretagne … le pays des Gibi doit payer le prix de sa langue véhiculaire. Un bon scam est un scam en Grand Breton dans 80 % des cas. Les insulaires d’Albion reçoivent au bas mot plus de 3,5 fois plus de courriels non sollicités que nous autres Français et près de 12 fois plus que nos voisins Germains. Notons au passage que l’étude de Proofpoint mélange allègrement le spam et le scam… la publicité directe et le hameçonnage. On ne va pas se chamailler pour une lettre de différence, après tout.

Comparé au volume de courriel transitant au sein de chaque pays, les chiffres donnent des résultats radicalement différents. Le taux de spam Allemand est de 1,3%, celui de la France de 0,9%, celui de la Grande Bretagne de 1,2% et celui des USA de 1%. En d’autres termes, les Anglais ont l’épistolaire facile, les Allemands ont la plume taciturne… mais la proportion de courriers douteux est à peu de chose près identique dans tous les pays.

Des recettes inoxydables avec le temps, c’est McAfee qui l’affirme. Les emails de phishing qui « marchent » le mieux sont, par ordre d’entrée en scène, les missives des services de maintenance informatique ( cliquez le lien pour mettre à jour votre compte professionnel), les escroqueries iTunes ( votre compte a été piraté …) et enfin, et surtout les carambouilles Gmail. Le message d’incitation invite à ouvrir un document GoogleDoc (hébergé sur les serveurs Google, portant certificat de l’opérateur de service). Bref, le Canada Dry de l’authenticité.

Dans ces trois cas, les tentatives de vol d’identité sont intimement liées au Cloud Computing. Il y a d’ailleurs fort à parier que le premier exemple, celui du service informatique distant, soit appelé à un avenir radieux, grâce à la multiplication des offres bureautiques dans le nuage. L’on voit déjà passer, timidement, quelques courriels de prétendus administrateurs Office 365 inquiets d’une activité suspecte. Mais lorsque l’on connaît les réels temps de réaction des opérateurs Cloud, ce détail même devrait éveiller des soupçons. Ce florilège de cyberlettres faisandées ne saurait être complet si l’on omettait le tout dernier « rapport » de Verisign/Symantec sur le sujet. Tapageusement intitulé Fraud Alert: Phishing — The Latest Tactics and PotentialBusiness Impact, il fournit quelques chiffres supplémentaires, stigmatise au passage les serveurs d’hameçonnage situés en Chine et donne une vision catastrophiste des risques de ce type.

Cette incongruité a été remarquée par l’équipe de F-Secure  : sous prétexte de renforcer ses « procédures de récupération de mot de passe oublié » (les fameuses questions secrètes), Apple bombarde ses usagers sous un déluge de demandes dignes de l’inquisition Espagnole.
Mais si nul ne s’attend à voir surgir le cardinal Fang, personne, ou presque, n’est étonné par ces demandes totalement déplacées et destinées à profiler les origines sociales de chacun. Quel est votre livre d’enfance favori, le métier dont vous rêviez, votre première voiture, votre groupe musical préféré en primaire ou durant votre cycle secondaire, quel fut votre premier voyage en avion, dans quelle rue avez-vous grandi….
Entre la Rue de la Paix et la place Maurice Thorez, le coupé Midget offert par père et mère et la carcasse de Xantia acquise à force de petits boulots, les albums de Mickey ou les contes de Rudyard Kipling, des montagnes de marqueurs sociaux et de prédestination prouvent à quel point l’on apprécie la lecture de Pierre Bourdieu dans les open-space de Cupertino. Il n’y a guère de différence entre cette façon d’agir et ces politiques qui, il n’y a pas si longtemps, souhaitaient ficher les enfants dès les classes maternelles afin de faciliter la détection des germes de la délinquance.

L’utilisation de l’alibi sécurité est tout aussi choquante. Car conduire, sous prétexte de protection, une véritable attaque en ingénierie sociale est totalement inexcusable. D’autant moins excusable que précisément, ces fameuses « questions secrètes » sont depuis longtemps répertoriées dans la catégorie des « failles majeures » largement exploitées par les spécialistes du vol d’identité. Parfois, ces détournements donnent lieu à d’amusantes découvertes, ainsi la publication des emails de Sarah Palin. Ce prétendu second facteur d’identification est un véritable danger, le mettre en œuvre dénote d’un manque de sérieux sur le sujet de la confidentialité des identités clients.
Aux amoureux d’Apple qui souhaiteraient malgré tout bénéficier de ce second facteur, nous ne saurions trop leur recommander de répondre de manière décalée. A la question « quel fut le premier film que vous avez vu » répondez la Comédie Humaine de Balzac. « Dans quelle ville vos parents se sont rencontrés ? », mais à 14H45 bien évidemment. Notre première automobile était une paire de charentaises, notre surnom d’enfance était Ford Prefect et notre groupe de musique préféré était 42, cela va sans dire.

Encore un « Epic Fail » de l’Internet des objets, affirme Michael Jordon, de l’entreprise Britannique Contextis. La preuve ? l’installation d’une version du jeux vidéo Doom dans le firmware d’une imprimante Canon Pixma. Ce modèle, vendu aux environs d’une cinquantaine d’euros, est un périphérique largement répandu, destiné au marché grand public. Son principal avantage (sa principale faiblesse aussi) est son accès sans fil, si séduisant pour les « filophobes »… et les hackers.

La faille de sécurité peut, après coup, sembler évidente. Une fois le firmware extrait de la machine, l’équipe de Contextis s’est intéressé aux séquences de caractères redondants et en a extrait un graphe… lequel a montré que la fréquence de certains d’entre eux était fortement élevée. Même un débutant en cryptanalyse (ou un lecteur assidu des œuvres d’Ange Albertini) comprend que cette absence de distribution uniforme est le signe d’une mauvaise maîtrise des procédés de chiffrement. Le « codage » du firmware Canon n’est rien d’autre qu’un simple Xor. C’est là la seule protection, la signature du fichier (au format Srec) n’est même pas contrôlée. Son remplacement par un autre programme, Doom en l’occurrence (mais ce pourrait être un vecteur d’espionnage plus inquisiteur), ne provoque strictement aucune alerte.

En règle générale, les mauvaises pratiques font école au sein d’une équipe de développement. Et il n’est pas rare que les micrologiciels destinés à des machines d’entrée de gamme se retrouvent, en partie, sur des équipements professionnels, protégés par les mêmes mécanismes aussi peu résistants. Seule une bonne campagne de fuzzing sur les firmwares de quelques OEM lèvera ce doute.

Jusqu’à présent, les attaques visant les imprimantes relevaient plus du déni de service et de la tentative de destruction matérielle (dérèglement du cycle de chauffage de certaines laser notamment). Longtemps, donc, le « virus imprimante » a été qu’un mythe, qui a débuté dans les années 80 avec l’apparition d’une légende urbaine, celle du code « caché dans le buffer d’impression ». Désormais, ce n’est plus un simple buffer de 4 ko qui est offert aux attaquants potentiels, mais l’espace d’une mémoire flash conséquente (plusieurs Mo au moins, voir plus encore si l’on compte le tampon d’impression qui gère les files de documents). Une mémoire flash qui contient le firmware de la machine et qui n’est qu’exceptionnellement remis à jour par son propriétaire, qui ne fait jamais l’objet d’alertes tonitruantes dans la presse en général, et qui, accessoirement, dispose d’une liaison Ethernet sans fil ou Bluetooth capable d’émettre discrètement, à qui veut bien l’entendre, le contenu de tout ce qui y est imprimé… même lorsque les cartouches d’encre sont vides.

Les réseaux des opérateurs Allemands Deutsche Telekom et Netcologne (opérateur d’infrastructure fibre) sont compromis par les services de renseignement US, avec la collaboration des services Britanniques du GCHQ révèle le magazine Der Spiegel. Et ce ne sont pas les seuls. Cette intrusion n’est qu’une des pièces d’une formidable machine baptisé « Carte au trésor », chargée de cartographier le réseau Internet.

Plusieurs points de routage BGP appartenant aux opérateurs Allemands figurent sur cette carte, comme nous l’apprend ce document issu des « fichiers Snowden », que l’on peut télécharger depuis les ressources de Cryptome.

La découverte de « Carte au trésor » se place dans la droite ligne du piratage des serveurs d’un autre opérateur d’infrastructure Allemand, la société Stellar qui, dans le courant du mois de mars, avait appris que la « No Such Agency » était capable d’intercepter les communications transitant sur son réseau dans le but de localiser précisément la position géographique de chaque abonné utilisant ce service. Un reportage vidéo, accessible via l’article de Der Spiegel, précise que les barbouzes américaines vont jusqu’à surveiller les faits et gestes de plusieurs techniciens Allemands hautement qualifiés, et possèdent même les mots de passe de plusieurs serveurs assurant un rôle vital dans le routage des flux IP de ce prestataire de service.

En survolant très rapidement les pages de ces « fichiers Snowden », l’on apprend que Carte au Trésor peut effectuer (page 10) plus de 16 à 18 millions d’opérations traceroute par jour, d’établir des liens de routeur à routeur pour remonter jusqu’à l’adresse IP cible et d’enregistrer l’empreinte du système d’exploitation et des logiciels installés sur ladite machine-cible (page 11). Deux niveaux de recherche rapide sont actuellement déployés. Le niveau de recherche le plus « détaillé » est obtenu grâce à des serveurs compromis, situés dans des datacenters de pays étrangers, à l’insu de leurs propriétaires (13 covered servers in unwitting data centers around the globe précise la page 12 du document). Ces serveurs piratés sont situés partout dans le monde. En Asie –Malaisie, Singapour, Taïwan, Chine (2 centres piratés précise même l’auteur de la présentation) Indonésie, Thaïlande et Inde.

En Europe, sont compromis par des serveurs zombifiés des opérateurs de Pologne, Russie, Allemagne, Ukraine, Lituanie et Danemark.

La liste mentionne également des centres de collecte d’information en Afrique du Sud, en Argentine et surtout au Brésil, pays déjà désigné par les fichiers Snowden comme très largement sous-mariné par les espions de la NSA, qui visent en premier chef les grandes entreprises d’exploitation pétrolière. Certains autres exemples utilisent des numéros d’AS du réseau Sita situé en Europe et relayant le trafic IP v4 et v6 provenant d’autres opérateurs dont certains opérateurs Français.

Ammyy Admin est un véritable cheval de Troie que d’authentiquement faux techniciens Microsoft tentent de faire installer par leurs victimes. Ces prétendus MS-Hotliner par téléphone sont particulièrement actifs (y compris auprès des usagers Français), et débutent invariablement leur discours par un « Bonjour, ici le Centre de Support Technique de Microsoft, il nous est apparu que votre ordinateur a un problème… ». Comme ce genre d’attaque nécessite une sacrée « user interaction » pour que la charge virale soit installée sur le poste de la victime, Ammyy Admin n’est jamais classée dans la catégorie des attaques critiques. Et pourtant… le nombre des victimes s’accroît chaque jour.

Généralement, lorsque l’un de ces escrocs (peut-on parler de « droper humain » ?) tombe sur un véritable cyber-nerd ou un technicien authentique, il devient à son tour le jouet de l’humour geek de sa prétendue victime. Les rôles sont inversés… mais là s’arrête l’histoire.

Mais sans exploit, la fête est moins folle. Un spécialiste sécurité et analyseur de malwares, Matthew Weeks, a décidé de contre-attaquer en développant un exploit Metasploit visant précisément Ammyy Admin. N’est-ce pas là le comble de la fourberie que de sous-mariner un cheval de Troie et infecter avec un Zero Day le véhicule d’un injecteur de Zero Days ?

Contrairement aux autres velléités de contre-attaque virale déjà évoquées par le passé, un exploit ciblant un malware ne touche que l’usager actif du malware. La morale est sauve, Matthew Weeks ne sera pas renommé pour avoir infligé une myxomatose numérique à l’ensemble du clapier Internet. Seule ombre au tableau, l’efficacité de cet exploit reste encore à prouver… puisqu’aucun escroc du gang Ammyy Admin n’a osé composer le numéro de téléphone de Weeks.

5 millions de couples « Identité/mot de passe » appartenant à des comptes Gmail seraient diffusés par des réseaux gris des pays de l’Est. Encore une faille SQL ? Que nenni ! Ces identités auraient été moissonnées puis filtrées au fil du temps, durant plus de 3 ans, pour être ensuite concaténées. En conséquence de quoi, certaines de ces identités portent une date-fraîcheur qui sent franchement l’aigre. Le taux de déchet serait important et les « bonnes » créances ne constituerait pas plus de 30 % selon certains experts, 2% selon d’autres. Tout comme l’affaire des photos dénudées de certaines starlettes retrouvée sur 4Chan, il y a là plus de bruit médiatique que de véritable hack du siècle.

15 octobre 2014, Rendez-vous à l’Intercontinental Paris Avenue Marceau

Gestion des risques, Gestion des vulnérabilités &Conformité de l’entreprise numérique :

Quelles solutions pour les entreprises aujourd’hui ?

Conseils, Solutions & Tendances

Cliquer ici pour : S’inscrire en ligne à la matinée Sécurité

Sans gestion de risques, il est peu probable de mettre en œuvre une politique de sécurité efficace. C’est en sachant apprécier les risques encourus que l’on peut estimer les points sensibles à protéger et ceux moins importants ou vitaux qui nécessiteront moins d’attention : quelle recette pour une gestion optimisée du budget sécurité ?

CNIS Event fait également le point sur les menaces d’aujourd’hui et de demain. Des experts expliqueront quelles sont les menaces actuelles qui visent le système d’information, détailleront les vulnérabilités, d’aujourd’hui et de demain, comme les attaques potentielles. Ils approfondiront également la question en expliquant sur quoi elles portent mais surtout parleront de la manière dont les Responsables Sécurité pourraient se prémunir.

Comment rester conforme aux législations en vigueur en constante évolution ? Gestion de risques et de vulnérabilités ne sont pas suffisantes : quels indicateurs pour alerter l’entreprise qui risquerait de sortir du cadre légal ? Comment rester conforme ? Est-ce que les dernières tendances (Security as a Service, Big Data, Software Defined Security etc.) se sont transformées en solutions adaptées, abordable et aujourd’hui intégrables facilement ? Décryptage, conseils. Experts, acteurs du secteur et avocats seront là pour informer, échanger et répondre aux interrogations des patrons, DSI, RSSI et personnel IT présents.

Où ?

CNIS Event a choisi un endroit en plein cœur de Paris, à deux pas des champs Elysées et de l’Arc de Triomphe. A deux pas des endroits business les plus stratégiques de Paris (Porte Maillot, Palais des congrès, La Défense…) comme facile d’accès pour ceux de l’extérieur qui viennent tout spécialement assister à la matinée CNIS Event (aéroports Orly et Roissy, accès aisé aux trains grandes lignes via la station de RER Charles de Gaulle-Etoile à proximité, parking).

InterContinental Paris avenue Marceau
64, avenue Marceau,
75008 Paris
Tél : +33 (0)1 44 43 36 36
Pour s’y rendre : métro George V (ligne 1), RER Charles de Gaulle-Etoile (Ligne A),Bus Arrêt Bassano (Ligne 92 Porte de Champerret – gare Montparnasse), parking 75 avenue Marceau, Paris 8

Pour qui ?

Les Responsables sécurité, les DSI, les décisionnaires d’une façon générale que ce soit de l’infrastructure ou de l’entreprise en ce qui concerne les PME-PMI, les CIL, les avocats et juristes de l’entreprise, les consultants bien entendu. Tous sont concernés par la question de Sécurité du SI… Il faut connaître et comprendre à qui, à quoi on a à faire pour pouvoir envisager et organiser la protection de son système d’information. Un discours d’expertise et de sensibilisation qui concerne tout le monde.

Cliquer ici pour : S’inscrire en ligne à la matinée Sécurité

Agenda

• 8H30 – Accueil des participants : petit-déjeuner et Networking
• 9H00 – Panorama des Vulnérabilités & Menaces d’aujourd’hui et demain, un expert sécurité du Clusif ,
• 9H20 – Expertise sécurité, retour terrain de Sourcefire/Cisco
• 9H40 – «Quel gouvernance sécurité pour accompagner la transformation numérique ?», Claire CARRE, manager Risk Management et sécurité, Solucom
• 10H00 – Expertise sécurité, retour terrain par un spécialiste Trend Micro
• 10H20 – Panel sur « Vulnérabilités, Risques & Conformité : Comment assurer sa cybersécurité aujourd’hui? SaaS, Big Data et SdS des solutions opérationnelles aujourd’hui ?» avec Maître François Coupez, avocat qui abordera la partie juridique, un Consultant sécurité qui nous parlera de son vécu terrain et de ses solutions, Edouard Jeanson, VP & Directeur Technique de l’activité Sécurité de Sogeti Groupe qui nous parlera de son expérience terrain internationale, Pascal Chour, responsable du département ‘étude et standardisation sécuritaire’ du Groupement des Cartes Bancaires qui nous relatera sa façon de réduire les vulnérabilités du système, un spécialiste en nouvelles technologies sécurité. Animé par un analyste ou un journaliste IT
• 11H05 – PAUSE Networking
• 11H20 – Retour Terrain : expertise sécurité par un spécialiste du marché
• 11H40 – Minute Juridique : les impacts juridiques, nouvelles législations et jurisprudences en sécurité du SI par Maîtres Olivier Itéanu et Garance Mathias. Ils répondront à toutes les questions du public sur le sujet de façon interactive.
• 12H10– Clôture de la conférence