novembre, 2009

PGP a commandé à l’institut Ponemon une enquête sur les tendances françaises en matière de chiffrement (inscription obligatoire). Un bilan tiré d’un panel d’un peu plus de 400 professionnels de la sécurité ou de l’informatique. Etude d’autant plus intéressante que les entreprises Françaises, contrairement à leurs voisines anglo-saxonnes, n’ont pas d’obligation légale de divulgation en cas de fuite ou de perte de données. Et, par conséquence, pas de statistiques fiables quant à l’ampleur des pertes réelles. C’est donc là une étude sur le « ressenti » des utilisateurs et administrateurs plus qu’un état des lieux, ressenti toutefois marqué par la nécessité de devoir répondre à certaines contraintes règlementaires Européennes ou internationales lorsque les personnes interrogées appartiennent à une grande entreprise tournée vers l’extérieur.

Qu’est-ce qui fait courir les partisans du chiffrement en France ? Tout d’abord quelques faits avérés. Telle que la disparition d’une moyenne de 733 portables chaque semaine dans la zone aéroportuaire de Charles de Gaulle. Ensuite les rumeurs d’une loi paneuropéenne souhaitée par l’EDPS (European Data Protection Supervisor). La Cnil surtout, qui représente pratiquement la seule instance liée à la gestion des fichiers nominatifs en France. La Loppsi ensuite, avec le spectre d’une chasse à tout ce qui pourrait entraîner ou être lié à une usurpation d’identité. Les autres motivations quittent le domaine du factuel et relèvent parfois du « on dit ». Ainsi, le cadre punitif d’Hadopi, techniquement dépassé au moment de son adoption, mais certes plus contraignant pour les entreprises qui doivent s’en protéger que pour les individus que cette loi prétend pourfendre. Les grandes affaires relayées par les médias également, telles que les vols de données de Deutsche Telekom et de l’administration fiscale britannique. Ce qui, au passage, fait dire au rapporteur du Ponemon « La France n’a, jusqu’à présent, pas connu de violation de données aussi sérieuses que celles-ci »… la France n’a strictement aucun outil de détection qui permette de connaître l’existence d’accidents semblables. Il serait bien étrange que, tels les nuages radioactifs, le vol de données se contente de faire pendre son linge sur la ligne Siegfried*.

Cette absence de contrainte de publication est d’ailleurs assez bien illustrée par les motivations d’usage du chiffrement :

– conformité : 65% des avis

– respect de la confidentialité : 55%

– protection de la marque et de l’image : 43%

– éradication des violations de données : 28%

– craintes liées à la notification de violation : 0%

Ce qu’en Berrichon l’on pourrait traduire par « faute inavouée n’est pas à pardonner ».

Que doit-on protéger et contre qui ?Là encore, quelques réalités et beaucoup de fantasmes. Interviewées sur le degré de gravité des causes de fuite d’information, les personnes interrogées évoquent en premier lieu l’indélicatesse d’un collaborateur, l’espionnage industriel, le manque de fiabilité des services « cloud computing » et de la virtualisation, les équipements mobiles… autant de causes qui sont généralement citées dans 50 à 60% des cas. Les troyens ne sont considérés comme grave que dans 22% des cas, score le plus faible. Or, un Zeus ou un Conficker fait plus de dégâts financiers immédiats qu’un fichier commercial dérobé par un technico-commercial sur le départ (lorsque ce fait est avéré). Mêmes craintes à propos des équipements mobiles –téléphones, portables-, de plus en plus susceptibles de comporter des informations confidentielles. Reste que si la crainte des « fuites mobiles » et « fuites Smartphones/PDA » (par perte ou par exfiltration) sont élevées, elles ne représentent aujourd’hui respectivement que 9 et 7% du chiffrement par secteur d’application. Les sauvegardes, quand à elles, sont déclarées chiffrées dans 22% des réponses.

Mais paradoxalement, alors que les motivations poussant au chiffrement sont parfois discutables ou relèvent de la crainte fantasmée, la conscience des difficultés techniques qu’entraîne une politique de chiffrement sérieuse est véritablement réelle. Surtout auprès des entreprises ayant eu à déplorer une moyenne de plus de 2 violations par an. A partir de cette limite, les stratégies partielles sont totalement abandonnées au profit d’une stratégie d’entreprise. L’étude du Ponemon insiste sur le fait que l’absence de divulgation des vols est un facteur important d’imprécision statistique. Mais une observation corollaire peut être tirée de cette tendance : plus une société parle de stratégie de chiffrement globale, plus on peut estimer qu’elle a déjà essuyé un certains nombre de revers du genre. D’autres écueils techniques sont évoqués par les personnes interrogées. A commencer par la complexité et surtout le prix des outils de gestion de clef. Cette gestion (reporting, déploiement, gestion du cycle de vie des clefs, activation des comptes, mise en œuvre…) pèse en moyenne 23 % du budget chiffrement. Des coûts qui, espèrent les répondants, seront amortis par la disparition des pertes elles-mêmes. Un prix et une complexité qui poussent d’ailleurs les principaux intéressés à opter plus majoritairement pour des solutions de chiffrement uniques, mono-fournisseur et s’étendant à toute la politique d’entreprise.

*NdlC, Note de la Correctrice : Paroles de Paul Misraki, interprété par Ray Ventura et son orchestre

C’est un fait bien connu, la plus importante faille de sécurité informatique se situe généralement entre la chaise et le clavier. Soit parce que « l’homo utilisatis basentis » fonce sans réfléchir dans les pièges les plus grossiers que lui tendent les phisheurs, diffuseurs de spam et autres répandeurs de virus, soit parce qu’il appartient lui-même à la catégorie des « nuisibles conscients », en d’autres termes, les pirates.

Mais on négligeait jusqu’à présent un tout autre facteur générateur de danger : l’ordinateur lui-même, menace permanente qui met en jeu la stabilité mentale de l’usager.

Cela faisait déjà un certain temps que l’on s’en doutait, notamment depuis qu’un docte psychiatre New Yorkais, Ivan Goldberg a inventé la notion d’addiction aux jeux, à l’Internet, aux outils de communication moderne. Seulement Goldberg, s’il séduit quelques pédagogues en mal d’autorité et en quête de réponses simplistes, ne fait pas l’unanimité chez ses coreligionnaires. Question également débattue du côté des hommes de lois, surtout depuis qu’un certain Gary McKinnon, l’homme aux 474 000 hits Google, pirate notoire et chercheur de petits hommes verts, a plaidé sa non culpabilité en raison d’un grave problème informatico-psychologique. Désormais, plaider la démence de l’écran-clavier est une ficelle appartenant au vade-mecum de tout bon avocat commis d’office à la défense d’un pirate boutonneux. D’ailleurs, à la simple entrée du mot « syndrome », le susmentionné Google complète automatiquement la requête par « d’Asperger » (celui donc souffrirait McKinnon). Avant l’informatique, tout bon syndrome se respectant n’était que Chinois, de Stokholm, de Münchhausen ou post-traumatique.

Mais il en va des psychiatres comme des spécialistes en sécurité : ils doivent bien vivre, et certains n’hésitent pas à transformer en névrose toute tendance à préférer l’informatique à la compagnie des hommes. Ca rapporte plus. C’est d’ailleurs pour cette raison que la polyclinique Gemelli s’est dotée d’un service capable de traiter les nerds les plus irrécupérables. On y soigne, dit-on, les cas de dépendance les plus désespérés et autres comportements obsessifs développés en présence d’une CPU. Tous les jours, précise le site de la clinique, du lundi au vendredi, de 9H30 à 13H30. Pas plus tard. Car de 13H30 à 18H, tout le service joue à HistWar et se prend pour Napoléon.

Comme chaque année, c’est à l’école d’ingénieurs HES de Genève que se déroulera la prochaine nuit Insomni’hack organisée par le SCRT. La participation à cet événement est totalement libre et gratuite, et ne nécessite qu’une inscription préalable. Renseignements et inscriptions sur le site de SCR. Bruno Kerouanton, leRSSI le plus breton d’Helvétie, avait, l’an passé, collationné les témoignages radio-télévisés (http://bruno.kerouanton.net/blog/2009/02/08/insomnihack-2009-la-surprise) effectués lors de la précédente édition.

D’un point de vue logistique, l’école HES se situe au centre de Genève, au sud du quartier du Petit Saconnex (on ne prononce pas le « x ») et à moins de 800 m de la gare principale de Cornavin et de son parking sous-terrain. Il est possible de trouver des hôtels à des prix très abordables de l’autre côté de la frontière Française, sur la commune d’Annemasse –à 15mn en voiture du centre de Genève-. Le 22 janvier tombant un vendredi, il est prudent de prévoir, après cette nuit d’intensif travail intellectuel, un week-end de détente à la station de sports d’hiver du Grand Bornand, également à 15minutes d’Annemasse (le code Python nécessaire au hack des RFID intégrés dans les « forfaits journée » est à écrire soi-même…après avoir cherché quelqu’inspiration ).

Les deux tiers des sites Web sont (encore) vulnérables, susceptibles d’héberger les codes utilisables dans une attaque XSS. Des chiffres communiqués par nos confrères de Security Focus, et qui ne semblent pas changer d’une année sur l’autre, malgré les efforts de l’Owasp et les SDL de tous crins.

Des mythes les plus tenaces qui flottent dans l’atmosphère des nouvelles technologies de l’information, celui de la « porte dérobée de la NSA » est probablement l’un des plus anciens. L’histoire voulait que ce soit le cas des premiers noyaux Unix, puis ce fut au tour de Windows. Puis d’OS/2, sur lequel se seraient penchés les sorciers du DoD. Linux lui-même n’échappe pas à la règle, et l’on voit l’œil de Washington derrière le moindre algorithme de chiffrement nouveau. Chez Microsoft, c’en est presque devenu une tradition. Dès les premières éditions de Windows NT, nombreux étaient les administrateurs qui passaient leur temps à bloquer des appels aussi fantaisistes qu’inexpliqués à des numéros IP n’appartenant pas franchement au réseau local. Le bruit de couloir s’amplifie avec la sortie de Vista, qui a fait l’objet, au fil de son développement d’une surveillance attentive de la part des techniciens de la NSA. Mais de simple auditeur au rôle de poseur de micros, il n’y a qu’un pas que les employés de cette administration n’hésitent pas toujours à franchir. Alors, pourquoi les clients eux-mêmes n’opèreraient-ils pas un raccourci identique ? D’autant plus que tout ce que pourra raconter un représentant de la « No Such Agency » plaidera en sa défaveur. Le désir de « to enhance Microsoft’s operating system security guide » dixit Richard Schaeffer, l’information assurance director de la NSA, est interprétable de bien des manières.

La véritable question n’est pas tant de savoir s’il existe ou non une porte dérobée dans un système d’exploitation, mais si, d’un point de vue marketing, il est de bon ton d’afficher qu’une entreprise fraye avec des barbouzes. C’est, d’un point de vue stratégique, tendre le bâton pour se faire battre et s’exposer volontairement aux critiques et suspicions de tous poils. Y’a-t-il un spyware ou une backdoor dans Windows 7 ? Probablement autant qu’il en existe dans les bios des ordinateurs portables Lenovo ou dans le firmware des routeurs Huawei. Et c’est sur des soupçons aussi fondés que le Sénat américain a, par deux fois, émis des « notes de prudence » quand à l’importation et l’utilisation de ces équipements, participant ainsi à instaurer un climat de « peur, incertitude et doute ». Seulement, les arguments qui pourraient protéger les intérêts supérieurs des entreprises nord-américaines ainsi que la balance du commerce extérieur ne sont plus tellement appréciés lorsqu’ils risquent de provoquer des réactions protectionnistes semblables de la part des pays d’Europe ou du Sud Est asiatique. La calomnie politique, c’est un peu comme les virus. Simple et peu coûteuse à fabriquer, mais totalement incontrôlable une fois lâchée.

Le délit de vol d’identité n’existe pas pour les entreprises cotées en bourse. La BBC nous apprend que certains abonnés de T-Mobile dont l’abonnement arrivait à échéance se sont consciencieusement faits courtisés par des opérateurs concurrents. Cette liste de « clients potentiels » aurait été récupérée chez des vendeurs de données –data brokers-, lesquels l’auraient directement obtenu de la part d’employés T-Mobile indélicats. Bien entendu, aucun des principaux opérateurs présents en Grande Bretagne n’avoue avoir trempé dans une telle combine au combiné.

Un « fait divers » à rapprocher des travaux de l’ACFE (Association of Certified Fraud Examiners). Pour qu’il y ait fraude, particulièrement dans un milieu constitué essentiellement de cadres et de travailleurs du tertiaire, il faut que le risque encouru soit au moins proportionnel au dol ressenti par l’employé qui passe du côté « obscur » et que les gains compensent les poursuites éventuelles. Or, l’actualité récente tend à le prouver chaque jour, ce n’est pas particulièrement dans le commerce de la minute de communication que l’on trouve les conditions de travail les plus humaines.

Bien sûr, ce n’est certainement pas en France que de telles fuites d’information pourraient survenir …

C’est un impressionnant concert de couper – coller que nous offre la presse anglo-saxonne depuis quelques jours : deux personnes d’une vingtaine d’années, un homme et une femme, auraient été arrêtés par la la PCeU (Police’s Central e-Crime Unit, cyberpolice Britannique) pour des « faits en relation avec le virus Zeus ». Les faits reprochés aux deux présumés innocents sont absents des déclarations officielles de la police, et nos confrères d’Outre Manche se contentent de rappeler l’impressionnant palmarès de Zeus depuis ces dernières années. Rappelons que, lorsque ce troyen a pointé pour la première fois le bout de sa toge, c’était durant l’été 2007, aux Etats-Unis. Les prévenus n’avaient alors que 18 ans.

Microsoft publie son septième Microsoft Security Intelligence Report (SIR). Deux tendances notables y sont dégagées. En premier lieu une augmentation de100% d’un trimestre à l’autre des infections par vers. Ensuite, une chute notable des « faux outils de sécurité » (-20%).

Grignotages de vers en hausse, donc, tout comme l’ont fait remarquer les autres éditeurs d’A.V.. Une croissance marquée par une recrudescence des infections véhiculées par supports physiques, clefs usb notamment. Conficker, classé numéro3 « toutes catégories confondues » par les principaux vendeurs d’outils de défense périmétrique, n’est, quant à lui, « même pas classé dans les 10 premiers vecteurs d’infection si l’on ne considère que le secteur grand public ». Une explication fort simple à cette métrique à contre-courant : les particuliers sont de plus en plus et de mieux en mieux protégés par les mises à jours automatiques… Conficker est devenu spécifiquement un ver s’attaquant aux entreprises et qui profite des temps de latence et des hiatus de diffusion liés aux politiques de déploiement de patchs mis en œuvre dans les grandes entreprises.

Autre chiffre relativement optimiste : la forte régression du ver Zlob, qui n’a compté « plus que » 2,3 millions de désinfections enregistrées au cours du semestre, contre près de 21 millions de détection au plus fort de son activité il y a près de 2 ans.

En France,précise le communiqué de l’éditeur, « sur le premier semestre 2009, le taux d’infection était de 7,9 (soit 7,9 systèmes infectés pour 1000 systèmes traités par le MSRT). Ce taux est inférieur de moins de 1 point à la moyenne mondiale (8,7). Les infections dues à des Malwares ont encore augmenté de manière significative, 79,6% des ordinateurs infectés au 1er semestre 2009 l’étaient par des Malwares contre 61,2% au 2èmesemestre 2008. Les infections par chevaux de Troie ont été détectés sur 34,4 % des PC infectés, soit une croissance de 24,7 % par rapport au second semestre 2008, et représente 8 parmi les 25 familles d’infections majeures détectées. ».

Deux autres rapports tout aussi instructifs ont été publiés par Symantec. L’un sur l’évolution du spam, l’autre sur les tendances du phishing.

Probablement pour marquer les esprits, cet éditeur vient d’inventer une nouvelle façon d’évaluer le volume de pourriel : il additionne le pourcentage de courriers faisandés réellement constaté et y ajoute celui des emails publicitaires « non sollicités » bloqués par les filtres situés sur les infrastructures. Le résultat vaut le détour, puisque le taux de spam dépasse les 120 % de l’étiage général du courriel. Ramené à un simple rapport spam/courrier effectif, le taux est stable, aux environs de 87%. Autre manipulation fort intéressante des données, la « zone EMEA demeure le premier vecteur de génération de spam »… 28 % du volume mondial, contre 20% provenant d’Amérique du Nord et 22% d’Amérique du Sud et 23% pour la zone APJ (Asie-Pacifique-Japon). Avec un œil européen, cela revient à dire que 40 % du spam est émis des Amériques, n’en déplaise au découpage des statisticiens. L’on note cependant un net accroissement des émissions de pourriel depuis certains pays relativement discrets jusqu’à présent. Et notamment le Vietnam, l’Inde, Taiwan ou la Thaïlande, dont la progression des émissions a très fortement augmenté au cours des trois derniers mois.

Côté phishing, le paysage technique change beaucoup (http://www.symantec.com/content/en/us/enterprise/images/theme/b-spam-report-download-but.gif). Le rendement devenant relativement plus faible, les campagnes s’automatisent de plus en plus, à tel point que 30% des url d’escroquerie sont générées automatiquement (en croissance de 24% sur le mois écoulé). Les USA conservent très nettement le titre de premier havre de phishing mondial, avec 36 % du volume émis (la France compte pour 5% du volume mondial). Les courriels d’incitation rédigés en d’autres langues que l’anglais sont, par ordre de fréquence, écrits en italien et en français. Arrivent loin derrière les emails en chinois, espagnol, portugais et allemand. Détail amusant, les pics hebdomadaires de production de phishing sont généralement constatés le vendredi, jour de poisson. En données absolues, le phishing traditionnel ne représente plus, estiment certains experts, que 1% du total du volume du spam.

Les statistiques virales qui suivent sont le fruit d’une analyse effectuée par les techniciens de BitDefender, mais elles reflètent les métriques des principaux acteurs du milieu. A commencer par la constante et indétrônable troisième place d’un « papy » de l’infection, l’éternel Conficker/Downadup. Près de 5,3% des ordinateurs semblerait en être infecté. La présence de ce ver pourrait être un excellent indicateur du succès (ou de l’insuccès) de l’antivirus gratuit de Microsoft. Une évolution statistique qui ne pourra sérieusement être prise en compte avant 6 ou 8 mois.

Si l’on peut considérer comme presque normale laConfickerisation du monde informatique, les deux premières causes d’infection sont, en revanche, un peu plus surprenantes. En tête des sondages, Trojan.Clicker.CM. 9,5% des fichiers infectés, un record. Il s’agit là d’un vecteur que l’on ne rencontre généralement que dans les programmes « keygen » de « déplombage » de logiciels commerciaux, cracks et autres exécutables prétendant afficher des numéros de série surtout valides pour leurs propagateurs. Ce phénomène est d’autant plus intéressant que généralement, les infections « keygen » connaissent des pics durant les périodes de vacances scolaires et après les fêtes de fin d’année. Cette fois, la sortie de Windows Seven y est pour quelque chose. A nouveau programme populaire, nouvelle vague de « numéros de série garantis fonctionnels »…

Tout de suite derrière Clicker arrive Trojan.AutorunInf.Gen, avec 8,5% des infections. Là encore, cette statistique est intéressante, car AutorunInf, comme son nom l’indique, utilise pour s’installer la fonction Autorun nécessaire à l’exécution automatique des programmes stockés sur les clefs USB ou les CD-Rom. Ce qui rappelle aux plus anciens chasseurs de virus, les premiers exploits cachés sur la « piste zéro » (ou les secteurs théoriquement non formatés) des disquettes. Les « virus bootstrap » croissaient et se multipliaient particulièrement dans les milieux du piratage de programmes. A noter que Conficker est également capable de se propager via des clefs USB, certains marins en ont fait la pénible expérience.

L’on est, sans tirer de plans trop alambiqués sur la comète, face à une preuve non pas de recrudescence des copies illégales, mais face au moins à un regain d’intérêt et une diversification des canaux de diffusions viraux en direction des réseaux de piratage.

Par ailleurs, l’on assiste à une forme de « contournement de la ligne Maginot » de la défense périmétrique classique. Les virus passent moins souvent par le canal traditionnel du Wan, de l’accès Internet, de la connexion réseau. Ils empruntent des moyens indiscutablement plus lents, moins massifs mais visiblement plus efficaces, celui de la diffusion « à la main » de supports infectés. Cette stratégie permet d’éviter l’examen des fichiers par d’éventuelles passerelles de filtrage. Seul l’antivirus de station offre un dernier rempart de protection, rempart qui, même mis à jour, a prouvé ces derniers temps qu’il n’était pas toujours d’une efficacité absolue.

De manière lapidaire, l’on remarque que le rapport statistique tenu par Eset pour la période d’octobre établi le tiercé suivant : Win32/PSW.OnLineGames 9,5%, Autorun 7,43% et Conficker 5%. Les deux éditeurs sont au moins d’accord sur l’identité des seconds et troisièmes « gagnants », qui caracolent tous deux en tête des sondages depuis bientôt plus d’un an.