Archives

Le système de facturation de Supervalu, une chaîne d’épiceries US, a été piraté, occasionnant la fuite d’identités et probablement de références bancaires des clients de plus de 180 magasins.

Le scoop signé James Bamford se trouve dans un article de Wired aussi bien écrit que superbement illustré. Sept pages et deux révélations, MonsterMind et les explications du blackout Internet Syrien de décembre 2012.

A cette époque (on ne prête qu’aux riches) la « fermeture d’Internet » fait l’objet de plusieurs conjectures. Pour les uns, c’est un coup des services secrets Israéliens, pour d’autres, une tentative de censure du régime, comparable à ce qui s’était passé en Egypte lors du Printemps Arabe. Ni l’un ni l’autre, nous apprend Snowden. Cette coupure est le résultat d’un ratage magistral de la NSA qui, à l’époque, tente d’implanter un spyware au cœur des principaux routeurs de Syrie. Mais le coup rate, les équipements d’infrastructure digèrent mal le code et plantent. « Lorsque les techniciens de la NSA se rendent compte du problème, tous n’ont qu’une pensée : Et M… » raconte en substance Snowden. Impossible de reprendre la main sur les équipements compromis afin d’effacer les traces du hack. Fort heureusement, l’esprit des ingénieurs Syriens est plus occupé à remettre le réseau en état de fonctionnement plutôt que d’analyser les logs.

Cette réaction risque fort de constituer un joli sujet de thèse dans les futures promotions de l’Ecole de Guerre. Plus la gaffe est énorme, moins elle a de chances d’être remarquée.

Mais cette ingérence des USA au sein de l’infrastructure d’un pays souverain soulève bien moins d’émotions médiatiques que les révélations à propos de MonsterMind, un série d’outils logiciels que l’on baptise pudiquement de « défense proactive ». Car MonsterMind, outil de contre-attaque cybernétique, pourrait très bien frapper de manière autonome… le mythe du Golem et de Terminator… La NSA saurait-elle respecter les trois lois d’Asimov ? Car pour détecter des attaques émises par une éventuelle puissance extérieure, MonsterMind examine tout le trafic Internet…. Y compris celui des concitoyens des Etats-Unis. NetworkWorld, le Point, Popular Science… les journaux de tous bords voient l’émergence d’une sorte de Big Brother/Big Browser capable de frapper aveuglément n’importe quel pays qui aurait eu la malchance de voir ses infrastructures servir de proxy à une attaque dont la provenance sera toujours inconnue. Cette « innocence de l’attaquant présumé » est en permanence invoquée par la Russie et la Chine, coupables bien souvent désignés par le traceback de certaines attaques.

De quelle manière pourrait se concrétiser la contre-offensive de MonsterMind ? De formidables dénis de service à la mode d’Estonie ? A des techno-missiles ciblés façon Stuxnet ? A des APT visant les OIV des adversaires présumés ? Pour l’heure nul ne connait l’ampleur du véritable arsenal numérique qui doterait ce robot logiciel. Et cette ignorance amplifie les craintes fantasmatiques, fait germer les suppositions les plus folles. La première arme dont dispose MonsterMind est avant tout psychologique.

Sur 10 routeurs SoHo vendus en grande distribution, la moitié se sont avérés vulnérables à une attaque et ont été totalement compromis. C’est ce qu’il ressort du concours de hack SOHOpelessly Broken organisé à l’occasion de la 22ème DefCon. Les Asus RT-AC66U, Belkin N900 DB, Netgear Centria WNDR4700 et TRENDnet TEW-812DRU ont succombés à 15 vulnérabilités différentes. 11 de ces failles ont été découvertes par un seul chercheur, Craig Young (Tripwire), qui travaille sur ce sujet depuis plus d’un an.

Certains équipements ont su résister. Ce sont les Linksys EA6500, Netgear WNR3500U/WNR3500L, TP-Link TL-WR1043ND, D-Link DIR-865L ainsi que les appareils dotés du firmware open source Open Wireless. Profitons de cette manifestation pour signaler que, depuis le 14 juillet dernier, une autre branche de firmware « open » supporte DNSSec, IPv6, DHCPv6 ainsi que le Stateless Address Autoconfiguration. Il s’agit de la version « Barrier Breaker 14.07 » d’OpenWRT. La version RC2 est actuellement en téléchargement sur GitHub. OpenWRT est souvent la seule évolution sécurisée disponible sur certains routeurs qui ne sont plus supportés par leurs propres concepteurs.

Une rustine pour les serveurs BES de Blackberry ainsi qu’un correctif sur les systèmes embarqués destinés aux terminaux sous Blackberry OS (modèles Z10, Z30, Q10 et Q5) sont disponibles depuis le début de cette semaine.

Il prend des photos, enregistre l’environnement audio, capture les coordonnée gps, inventorie les applications, pages web visitées, liste des contacts, contenus des SMS/MMS… et se fait passer pour une application bancaire pour appareils mobiles. « Il », c’est Android/Spy.Krysanec, un cheval de Troie pour plateforme Android analysé par les chercheurs d’Eset .

Iphone r00té, Iphone infecté : Un article du Virus Bulletin signé Axelle Apvrille décrit comment une infection d’origine Chinoise est parvenu à infecter 75000 téléphones, détourner 15 applications publicitaires et polluer plus de 22 millions de messages publicitaires

Patch Wednesday pour Safari 6.1.6 et 7.0.6 qui corrige 7 CVE, sans détail technique comme l’encourage la politique de transparence d’Apple

Ils sont 9, ce mois-ci. 9 correctifs Microsoft dont la majorité risque fort de passer dans l’indifférence générale. Exception faite de l’habituel, du nécessaire, de l’indispensable patch Internet Explorer qui colmate certains trous et remplace quelques vieux bouchons au passage. Au total, ce sont 26 CVE qui sont ainsi éliminés. Notons que c’est là probablement (si l’on en croit les affirmations de « Corp ») la dernière fois que l’on voit les noms d’anciennes versions d’Internet Explorer 6, 7, 8 et 9 dans un bulletin d’alerte. Est-il utile de préciser qu’un tel volume de pontages codo-coronariens fait passer ce bulletin dans la catégorie « à déployer tout de suite, niveau d’alerte critique »

Critique également (parfois la logique concernant la dangerosité des failles Microsoftiennes frise l’interprétation cabalistique) le bulletin MS14-043 qui concerne MediaCenter, un flop commercial pratiquement aussi magistral que celui de l’interface Bob. A oublier donc, car en dehors de quelques geeks redmondophiles, la planète multimédia a déjà été conquise depuis longtemps par XBMC (désormais il faudra dire Kodi et autres MediaPortal, Boxee ou MythTV. Egalement dans la catégorie « à déployer en urgence » mais non décoré de l’ordre de la faille critique, la MS14-048 touchant One Note.

Les autres trous de sécurité, qualifiés « d’important» tout au plus, touchent notamment .Net, SQL Server, Sharepoint et… l’installeur Windows, lequel présenterait un risque d’élévation de privilèges. Comme de tradition, la synthèse des rustines est à consulter sur la page Sécurité du Technet.

Chez Adobe, on élimine 7 CVE d’un coup dans Flash Player. Ce déploiement n’est pas urgentissime, aucun exploit, affirme le bulletin d’Adobe, n’a été rencontré dans la nature. Sous Windows, les usagers possédant plusieurs navigateurs doivent généralement déployer cette nouvelle version pour chaque version installée.

« il est temps que vous deveniez un peu plus sérieux et que vous commenciez à appliquer dans votre secteur les bonnes pratiques que l’on observe dans le secteur informatique » (ndlr : ou pas…). C’est ce que déclame en substance cette « lettre ouverte à l’industrie automobile » publiée par un quarteron de spécialistes de la sécurité des S.I. très modestement baptisé la cavalerie .

« Les automobiles d’aujourd’hui ne sont rien d’autres que des ordinateurs sur roues, de plus en plus connectées, de plus en plus pilotées par des logiciels, de plus en plus intégrées à des infrastructures de contrôle de trafic elles-mêmes informatisées à outrance. Chaque adoption de nouvelles technologies est accompagnée par un cortège de nouveaux risques entraînant de nouvelles catégories d’accidents ».

Et de suggérer plusieurs pratiques bénéfiques, telles que le suivi et la mise à jour de ces extensions informatiques, le suivi des « software development lifecycle », si possible par des entreprises spécialisées extérieures (entendons par là des entreprise du secteur SSI qui cherchent actuellement un ballon d’oxygène financier), sans oublier le Graal de la sécurité, le « security by design » qui, à l’instar du monstre du Loch Ness, fait couler plus d’encre qu’il n’a eu de témoins.

Si le cri d’alarme, à l’instar de tout conseil de prudence, est louable, on est en droit de se demander s’il sera véritablement entendu. Un avertissement lancé par la cavalerie fait espérer que cette analogie ne les fasse pas passer pour les carabiniers de Carmen. Et puis, une photographie de l’état des lieux des S.I. contemporains a tout de même de quoi faire peur aux géants de l’industrie mécanique. Imposer un « Patch Tuesday » aux fous du volant, voir apparaître en place publique les recommandations d’une sorte d’Owasp de l’embedded et de l’ordinateur de bord (l’une des principales sources de revenu des réseaux de concessionnaires), il ne faut tout de même pas exagérer. Car ce qu’ont totalement perdu de vue nos héroïques Cavaliers de l’Apocalypse Numérique, c’est que contrairement au monde du S.I., le secteur automobile a toujours su transformer la sécurité en un centre de profit. On appelle ça le SAV.

Le NIST Américain s’engage dans une grande opération d’assainissement des équipements d’infrastructure vitale (Scada) et commence par bâtir une plateforme de test des équipements industriels, le Reconfigurable Industrial Control Systems Cyber-Security Testbed. Plateforme dont la conception prendra en compte les avis des équipementiers et utilisateurs directement concernés, quelle que soit leur origine : « NIST is seeking responses from all responsible sources, including large, foreign, and small businesses ». Une attitude aux antipodes de la stratégie Anssi, plutôt axée sur le discret et secret en préférant, par exemple, ne pas mettre sur la place publique des documents qui pourraient donner de mauvaises idées.

A noter que les recommandations du Nist, une fois définies, sont généralement publiques et diffusées gratuitement.