Archives

Nos confrères de Ars Technica ont mis la main sur un document « à diffusion limitée » émis par le DHS, département de la sécurité intérieure des Etats-Unis.

Ce document prévient des risques de Googlehacking à l’encontre de sites mal conçus, et donne quelques indications et axes de recherche en matière de test et de renforcement des mesures de confidentialité : chiffrement des données sensibles, contrôle des accès par mot de passe, rédaction d’un fichier « robot.txt » sérieux… les recettes sont quasiment aussi vieilles que les premières communications de Johnny « I hack Stuff » Long, le père du GoogleHacking, le premier qui alerta l’opinion sur l’indélicatesse des crawlers émis par les principaux moteurs de recherche.

Rien de très nouveau, rien de très geek ou techies, seulement une opération de sensibilisation à destination des TPE et PME et autres petites structures en contact direct avec des services de police de proximité.

Pendant ce temps-là, en France….

97 000 identités (email et mot de passe chiffré) de personnes actives sur la plateforme de suivi de failles et défauts de la fondation Mozilla étaient accessibles sur une ressource serveur dénuée de protection, et ce durant une période de 30 jours.

C’est la seconde fois en l’espace de deux mois qu’un tel problème est découvert. La précédente mésaventure du même genre avait laissé aux quatre vents des pans entiers de base de données contenant les coordonnées de contributeurs. Ces fichiers ont été accessibles durant environ 3 mois avant que l’on ne se rende compte du problème.

Cette exposition involontaire de données personnelles ne signifie pas nécessairement que lesdites informations aient été récupérées par des personnes mal intentionnées.

L’IEEE Computer Society, branche informatisante du célèbre comité de normalisation Etats-Unien, vient d’accoucher d’un document d’une trentaine de pages censé dresser la liste des mauvaises pratiques « constatées dans la vraie vie et recensées par un collège d’experts » et en tirer les bonnes pratiques nécessaires . Cette journée « failles, portes ouvertes » (de la catégorie de celles que l’on enfonce) n’apprendra strictement rien aux spécialistes du genre. Mais le document, ainsi que le prestige de l’organisme éditeur, pourra peut-être servir à répandre la bonne parole auprès des jeunes générations d’architectes-systèmes, des DSI un peu trop « dégagées du cambouis » et autres grands manipulateurs conceptuels proches des directions générales.

Selon l’IEEE, donc, les usages salvateurs sont les suivants :

Acceptez ou attribuez une relation de confiance mais ne surtout ne la présumez pas

Utilisez un mécanisme d’authentification qui ne peut être contourné ou modifié

Séparez strictement les données et les instructions de commande/traitement, et n’exécutez jamais une commande de processus provenant d’une source qui n’est pas digne de confiance

Définissez une approche capable d’assurer que toutes les données sont explicitement validées

Utilisez correctement les ressources cryptographiques (sic)

Identifiez les données sensibles ainsi que la manière dont elles doivent être traitées et utilisées

Prenez toujours en compte les usagers (tant d’un point de vue ergonomie des procédures de sécurité que des pratiques constatées sur le terrain)

Déterminez à quel point l’intégration de composants de provenance extérieure peut modifier votre surface d’attaque

Prévoyez de vous adapter en prenant en compte de futurs changements d’objectifs ou d’acteurs

« Keep it simple stupid ». Le mode Kiss cher aux informaticiens a su séduire les agents de la NSA, nous apprend un document tiré des fichiers Snowden et récemment publié par The Intercept.

Que les espions Britanniques et leurs collègues du Commonwealth travaillent main dans la main avec ceux des USA n’est pas vraiment une surprise. Le « grand large » alimente les services de renseignements de Sa Gracieuse Majesté de façon quasi systématique au moins depuis la dernière guerre. Ce qui change, explique la rédaction de The Intercept, c’est que les outils d’échange deviennent de plus en plus efficaces, de plus en plus simples, de plus en plus instantanés. Et c’est particulièrement le cas avec Icreach, une infrastructure de collecte de métadonnées téléphoniques acceptant des requêtes via une interface « à la sauce Google » et dont les premiers prototypes ont été pensés et conçus il y a 20 ans de cela. En un clin d’œil, sans formulaire en triple exemplaires, sans délai administratif, sans commission rogatoire, sans frais d’opérateur, les hommes de l’ombre et néanmoins de Londres peuvent apprendre qui a téléphoné à qui, depuis quel endroit, quel numéro de téléphone, à quelle date et heure, durant combien de temps, avec quel IMEI et IMSI, selon quel protocole etc. En prime, Icreach offre l’adresse email, les pseudonymes et les canaux de conversation favoris de l’intéressé. Dit moi à qui tu parles, je te donnerais l’âge du capitaine grâce à l’analyse de tes métadonnées.

Cet outil de profilage massif des communications dispose d’une base estimée de 850 milliards « d’évènements ». Un chiffre qui dépasse l’entendement, un chiffre surtout qui date de 2007 et qui progresse de 1 à 2 milliards d’enregistrements par jour.

Les vacances estivales s’achèvent, débute la saison des rapports trimestriels de sécurité. Celui de McAfee débute avec un chiffre impressionnant : le cap des 200 millions de signatures virales recensées vient d’être atteint.

Parmi les autres statistiques sécuritaires marquantes :

– 79% des « apps » clones de Flappy Bird contiennent un malware

– Les concepteurs de services liés aux botnets survendent les fonctions de « bitcoin mining »… lesquelles ne garantissent pas le moindre retour sur investissement mais simplifient le repérage des botnets en général et des machines zombifiées en particulier. Ce n’est donc pas une mauvaise nouvelle.

– Après une pause, marquée par l’apparition des systèmes d’exploitation 64 bits, plus sécurisés, les rootkits refont une entrée en force sur le marché du malware. L’une de leurs méthodes d’installation favorite est l’usage de certificats authentiques, volés puis détournés de leurs fonctions premières

– C’est le secteur de la téléphonie mobile qui fait les frais de la progression la plus importante constatée dans le paysage des menaces, avec une progression de 22 % des attaques durant le dernier trimestre écoulé. Les virus en question sont principalement des lanceurs d’appels et de SMS sur des numéros surtaxés et des troyens chargés du vol d’information et d’identités numériques

Les terminaux-point-de-vente des USA sont menacés, estiment les agents des « Secret Services ». Propos rapportés par nos confrères du New York Times. En effet, plus de 1000 entreprises commerciales seraient déjà infectées par le virus Backoff, un voleur de données massives qui se propage via des services d’accès distants tout à fait conventionnels : RDP Windows, accès distants Apple et autres outils du genre LogMeIn. Une description assez précise du vecteur avait fait l’objet d’une alerte par le CERT US dès la fin juillet. Les Secret Services et le DHS ont réagi le 22 août, donnant un bilan assez pessimiste de la situation. Avec 1000 entreprises officiellement touchées (probablement bien plus dans la réalité), on peut estimer que le volume d’identités bancaires doit déjà friser le million d’enregistrements. Le transporteur UPS, à lui seul, a admis que 51 de ses agences ou antennes confiées à des sous-traitants ont été frappées par cette peste numérique. Plus de 100 000 clients du transporteur seraient potentiellement victimes de ce vol.

Un billet du Sans signé Rob VandenBrink (Metafore) explique comment de telles choses peuvent survenir, généralement par négligence teintée de cette dévotion quasi fanatique envers Sa Sainteté « Security by Obscurity ». Reste, explique-t-il, que le parc de machines sous XP, les fichiers de mot de passe stockés sur le disque local, l’absence d’outils de sécurité plus perfectionnés qu’un simple firewall, le manque de mécanisme de chiffrement facilitent énormément la vie des grands moissonneurs de données.

… « Parce qu’au bout de 30 avertissements, on peut avoir un blâme, et au bout de 30 blâmes, on passe devant un conseil de discipline » expliquait le regretté Coluche. Un avertissement, c’est ce dont a écopé Orange, l’opérateur historique, pour avoir laissé fuiter à peine 1,3 million d’identités (nom, prénom, date de naissance, adresse électronique et numéro de téléphone fixe et/ou mobile, une bien belle base de donnée de phishing certifiée). La fuite avait été décelée chez un sous-traitant, lequel sous-traitant n’avait semble-t-il pas subit les procédures d’audit sécurité nécessaires avant signature du contrat le liant à Orange. Les mécanismes de mise à jour des fichiers en question entre donneur d’ordre et prestataire n’étaient pas non plus protégés.

Orange est à la fois opérateur et prestataires de services sécurité spécialisés dans l’audit sans faille, de recommandations en matière de conformité inoxydable et de conseils en sécurité organisationnelle sans reproche.

3 hacks en 3 ans, s’indigne le journal NetGov. 3 hacks (deux probablement d’origine « étrangère », le troisième par un hacker probablement local) qui ont visé la Nuclear Regulatory Commission US. Ce qui est intéressant, ce n’est pas franchement le hack lui-même, mais la façon dont ces… exploits sont exploités. Le titre de l’article, tout d’abord. « Nuke Regulator Hacked by Suspected Foreign Powers ». Le mot « Nuke » fait peur… mais il ne s’agit en fait que du hack d’une administration chargée de la règlementation dans le domaine de l’énergie nucléaire civile. On est très loin d’une attaque à la sauce Stuxnet capable de faire exploser des centrifugeuses ou de bloquer des barres de combustible dans un réacteur. « Suspected Foreign Power »… une puissance étrangère ne signifie techniquement pas « attaque orchestrée par un état-nation ». Supposition qui semble étayée par un seul argument : l’assaut ayant eu pour conséquence la fuite d’informations plus ou moins restreintes a été provoqué par une campagne de phishing ciblé « caractéristique de certaines opérations lancées auparavant par des pirates Chinois ou Russes ». Le pirate pourrait tout aussi bien se situer sur un axe Vancouver-Dallas-Mexico et transiter par une chaîne de proxy. Le coup du pdf empoisonné, du pseudo-intranet demandant une confirmation de l’identifiant/mot de passe ou de la feuille Excel truffée de macros malignes n’a pas de nationalité propre, Remember Bercy. Enfin, le nombre d’attaques lui-même (officiellement une par an en moyenne) est considérablement en deçà de ce qu’une organisation gouvernementale ou entreprise d’envergure nationale doit essuyer en temps normal. Pourquoi celles-ci en particulier ? La réponse se trouve probablement dans le profil-type des lecteurs de NetGov.

Faux-monnayeur : Encore un « petit métier d’autrefois » qui disparaît, emporté par l’automatisation inhumaine, l’Internet tentaculaire et l’informatique omniprésente. Les scanners tuent la main de l’artiste, les forums et places de marché sur Internet réduisent les fourgues au chômage, et l’imprimante laser a définitivement remplacé l’imprimante à plat sur papier format coquille. C’est ce que nous raconte Brian Krebs qui a enquêté sur les activités d’un vendeur de billets de 20, 50 et 100 dollars connu sous le nom de MrMouse. Impression de précision, support à faible teneur en amidon, filigrane parfait, bande métallique de sécurité… on frise le sans-faute, affirme le vendeur. Et les spécialistes des US Secret Service (dont la principale activité est focalisée sur les fraudes financières) avouent que c’est là de la belle ouvrage, capable de tromper la grande majorité des outils de détection.

Le faux talbin est une constante en matière de délinquance informatique. Le mouvement a tout d’abord débuté dans les années 80 avec les scanners et photocopieuses, en visant notamment les changeurs de monnaie situés dans les gares. Une simple copie noir et blanc sur papier ordinaire suffisait pour que le distributeur sonne comme bandit manchot à Las Vegas. Puis les contre-mesures ont évolué, la science des faussaires également. L’imprimante photo jet-d’encre, puis les « sublimations », enfin les systèmes de reprographie de plus en plus sophistiqués ont permis d’atteindre des qualités d’impression élevées. D’artisanal, l’écoulement de la production a atteint un niveau industriel grâce aux forums spécialisés et places de marché anonymisées sur Internet, généralement les mêmes qui servent au trafic d’identités bancaires et autres filières de carding. Ces plateformes ont mis au chômage les intermédiaires genre grands cons à moustache qui pourraient servir de mètre-étalon à Sèvre. Ceci sans mentionner l’extraterritorialité protectrice qui rend de plus en plus complexe l’application des « peines prévues par l’article 139 du Code Pénal ». Turquie, Ukraine, Russie… les gros producteurs de coupures frelatées, de fausses cartes de crédit, de numéros de comptes vendus en vrac n’opèrent jamais sur leur propre territoire. Assez de matière pour un quatrième tome de la série Max le Menteur de Simonin.

Heartbleed serait à l’origine du hack de l’organisme hospitalier US Community Health System. C’est ce qu’affirme le blog du consultant TrustedSec , invoquant les dires d’une « trusted and anonymous source close to the CHS investigation »