décembre, 2009

En Israël, s’indigne le quotidien Web YnetNews, les fournisseurs d’accès pénalisent fortement les échanges P2P, allant parfois jusqu’à les bloquer. Le rapport complet de cette étude ne se limite pas à dénoncer les agissements des FAI, mais replace également chaque opérateur dans le contexte légal qui l’encadre. Ainsi, aux USA, le fait de bloquer ou limiter des échanges P2P a été condamné par la FCC sous prétexte que de telles pratiques étaient contraires à la nature « ouverte » du réseau Internet. En France, les filtrages de protocole dans le but de préserver la QoS du FAI est laissé à la libre appréciation de l’opérateur et n’est pas règlementé par l’Autorité de Régulation

… chantaient d’un air gaillard les guerriers Vicking de la BBC. « I hate spam » rétorquent à l’unisson les spécialistes en sécurité. La basse continue est interprétée par McAfee, dont le dernier rapport sur le spam explique combien la disparition de McColo a été riche d’enseignement pour les polluposteurs. Désormais, les C&C des grands réseaux de spam sont répartis, éparpillés… et donc plus difficilement saisissables. Si l’on note, font remarquer les membres de l’Avert, une attitude plus volontariste des acteurs sur Internet, plus prompts qu’auparavant à fermer un hébergement douteux, ces fermetures n’auront que des effets ponctuels et à court terme. Le volume de spam est tel aujourd’hui qu’il dépasse très largement le niveau « après-McColo ».

Mais le panorama le plus fourni nous est offert par Zeljka Zorz du HNS. Zeljka s’est livré à une compilation de presque tout ce qui s’est publié sur le sujet durant l’année 2009. Mois après mois, rapports trimestriels après rapports trimestriels. L’on y apprend par exemple que la France, en janvier de cette année, détenait le titre peu enviable de « pays le plus spammé au monde » (83 ,3% de tous les emails). Déjà, en ce début d’année, les effets de la fermeture de McColo s’estompaient rapidement. A la fin du premier trimestre, les polluposteurs avaient gagné la partie, et retrouvaient une première place incontestée, avec 91% du volume mondial de courriel. Au fil de trois longues pages et de dizaines de liens statistiques externes, Zeljka Zorz nous abreuve de données déprimantes pour un « postmaster », et conclut avec l’arrivée du nouveau spam, celui qui vient nous polluer par le biais des canaux « web 2.0 ». Le spam Facebook, le spam Twitter, les messages prétendument d’intérêts généraux provenant d’un monde où les patrons japonais surmédiatisés disputent des indices de popularité à des chiens en peluche, à des néo-cyber-philosophes du clavier et à des « tiny url » propices aux attaques « drive by download ». L’évocation de la condamnation de quelques grands rois du spam, en fin d’article, n’y fait absolument rien. Quand l’un s’en va, un autre prend sa place.

Cela fait déjà quelques mois que s’intensifient les vagues d’attaques par injection SQL. L’une des dernières en date aurait déjà fait, estime F-Secure après un rapide googlehacking, près de 100 000 victimes. En octobre dernier, le Web Application Security Consortium (WASC) publiait ses statistiques annuelles et plaçait les attaques par injection SQL dans le peloton de tête des menaces contre les sites Web. La semaine passée, c’était au tour de Scansafe de titrer sur son blog « 318x.com revendique plus de 125 000 injections SQL ». 4 jours plus tard, le même googlehacking dénombrait 170 000 traces d’injections en détectant l’ajout iFrame décrit au fil de l’article cité. Les statisticiens les plus pessimistes (ou qui savent additionner les différentes traces d’activité) pensent que l’attaque de ces dernières semaines aurait fait plus de 300 000 victimes directes. Chiffre relativement plausible si l’on considère les métriques susmentionnées. 300 000 sites compromis, c’est bien entendu des millions de victimes secondaires, d’internautes « piégés » par ces attaques iFrame souvent employées pour refourguer de l’antivirus de contrebande ou du codec fourré au koobface.

Le 2008 Data Breach Investigations Supplemental Report de Verizon s’est focalisé sur quatre secteurs d’activité très précis : industries et entreprises du secteur alimentaire, technique/technologique, financier et distribution. Domaines tertiaires par excellence, fortement utilisateurs d’ordinateurs et convoités par les pirates du monde entier. La densité du rapport est telle qu’il serait vain de tenter d’en faire un résumé fiable. Mais l’on peut extraire quelques chiffres « hors normes ». A commencer par l’impunité probable des auteurs des compromissions constatées, puisqu’en grande majorité, la nature des données échangées, des connexions effectuées, des niveaux de privilèges exigés sont totalement inconnus des utilisateurs dans les secteurs alimentaire, de la distribution et même technique. Le « comment fonctionne mon système informatique » ne semble réellement concerner que les professionnels de la finance, qui maîtrisent en général leurs flux d’information et les droits nécessaires à leur accès. Même constatation pour ce qui concerne l’alerte lancée en cas de compromission. Dans le secteur agroalimentaire, c’est une tierce partie étrangère à l’entreprise qui prévient dans 88% des cas la victime. 79% des alertes proviennent également de l’extérieur dans le domaine de la distribution. A comparer aux 53 et 50% des industries techniques et de la finance.

L’origine des compromissions (fuites de données, vol d’information, intrusions etc) est une fois de plus clairement identifiée : de l’extérieur dans 70 % des cas en moyenne (80 et 84% dans l’alimentaire et la distribution). Le mythe de l’employé indélicat, « principal vecteur de criminalité » peut aller se rhabiller. Le taux d’attaques provenant de collaborateurs « ripoux » ne dépasse pas 4% dans l’agroalimentaire. Les « cols blancs », plus sujets à la tentation, ne constituent que 38 à 39% des fraudes (finance et technique). Un taux qui lorsque ramené en probabilité de risques fait que le « traître interne » est surtout à craindre dans les banques et assurances. Dans les autres milieux, ce sont les partenaires qui présentent le taux de risques le plus élevé. De tous les métiers examinés, l’impact du risque, en terme de « volume d’enregistrement » est très nettement le plus élevé dans les industries de types technique et technologique. Résultat logique si l’on considère que ce sont là que sont concentrés ou sous-traités les plus gros travaux de traitement de fichiers.

Sur l’origine technique des sinistres, là encore, les métriques de Verizon peuvent étonner. En tête des menaces, l’on trouve… les keyloggers étonnamment associés aux spywares. Si les spywares constituent indiscutablement un fléau dont la volumétrie est importante, la proportion des malwares intégrant un enregistreur de frappe clavier est considérablement plus faible (les outils de vol de crédences utilisant le plus souvent soit des attaques en phishing, soit des scanners de ressources locales). Le reste du classement est en revanche presque sans surprise : portes dérobées et/ou zombies et leurs C&C associés, injections SQL, abus ou élévations de privilège, intrusions grâce à des mots de passe par défaut, intrusions profitant d’un défaut de protection des ACL, espionnages par packet sniffer, intrusions par crédences volées et autres usurpations et ingénierie sociale. Voilà pour le « top ten » des hacks noirs. A noter, à la 14ème place, l’arrivée d’un nouveau venu : le RAM Scraping, ou vol de données en mémoire vive. Voilà qui va relancer le débat sur les « cold boot memory attack » et les péripéties des chambrières diaboliques.

Depuis un peu moins d’une semaine, les clients de l’opérateur Free sont victimes d’une attaque en phishing remarquablement bien conduite. Pas de « charset » exotique, texte rédigé dans un Français aussi convaincant qu’administratif, logo tout aussi crédible et pages de hameçonnage fabriquées avec un art consommé digne des meilleurs « boulangers »…

L’un des courriels d’incitation est d’autant plus accrocheur qu’il utilise comme prétexte une modification de contrat par « accord tacite », tout refus devant se traduire par une résiliation d’abonnement. Les pratiques des FAI étant parfois cavalières, ces mesures léonines risquent de ne choquer personne.

Extrait du courriel :

Nous allons prochainement modifier notre contrat d’utilisation. Voici comment prendre connaissance des modifications à venir :

Si vous refusez ces nouvelles conditions, vous pouvez faire part de votre refus en clôturant votre compte Free.fr au cours de la période de préavis de 2 mois, qui commence aujourd’hui. La fermeture de votre compte est sans frais. Vous pouvez également décider de ne plus utiliser votre compte.<br>

Courriel qui, bien sûr, conduit tout droit à une page demandant dans un premier temps l’identifiant de l’abonné et son mot de passe. Déjà à ce stade, les conséquences sont potentiellement dramatiques : accès à la console d’administration du client, possibilité de détournement de son compte téléphonique SIP, changement du mot de passe, récupération du RIB de l’abonné, de son adresse, résiliation de la ligne…

La suite est plus classique et conduit tout droit à une page demandant dans un premier temps l’identifiant de l’abonné et son mot de passe. Déjà à ce stade, les conséquences sont potentiellement dramatiques : accès à la console d’administration du client, possibilité de détournement de son compte téléphonique SIP, changement du mot de passe, récupération du RIB de l’abonné, de son adresse, résiliation de la ligne…

Chez Free, les « lignes chaudes » techniques se bornent à ressasser inlassablement le même couper-coller : « Nous vous invitons à ne cliquer sur aucun lien présent dans le contenu du message et à tout simplement effacer ces mails. En revanche, si vous avez été abusé et avez communiqué ces renseignements à l’auteur du mail frauduleux (phishing), connectez-vous immédiatement sur « Mon compte » (http://subscribe.free.fr/login) en saisissant vos identifiants et mot de passe, puis modifiez votre mot de passe afin d’empêcher le détournement de votre compte ». Encore faudrait-il que la victime ait eu conscience de s’être fait voler son identité…

Conseils d’autant plus dangereux que la procédure de changement de mot de passe semble propice à faciliter les attaques par dictionnaire : « Caractères minuscules et alphabétiques uniquement »… Chiffres et signes de ponctuation strictement prohibés. Lorsque l’on sait que la moitié de la crédence est une information publique (numéro de téléphone de l’abonné), on peut se poser des questions sur le réel niveau de protection ainsi proposé …

Hameçonnage 100% français

Mais là où l’affaire devient presque ubuesque, c’est lorsque l’on se rend compte que l’escroc à l’origine de la campagne d’hameçonnage est très probablement Français (la qualité du mail d’incitation donnerait à penser dans ce sens …) et que le registrar-hébergeur du faux site Free possède une filiale en France, par laquelle semble avoir été effectué l’enregistrement. Un whois du domaine frelaté montre une incohérence des noms entre le responsable légal et technique, le téléphone indiqué est un faux (appartenant d’ailleurs à une personne ne possédant pas même un abonnement Internet). Quant à l’adresse postale du possesseur du site, elle est édifiante au possible : « amm b lr 4 paris 75004 ». Rarement autant d’indices prouvant la nature douteuse d’un dépôt de nom de domaine n’ont été aussi clairement réunis … Comment les procédures automatiques du registrar n’ont pas pu déclencher une alarme à la vue d’une telle accumulation de preuves ? Comment les filtres de l’hébergeur n’ont-ils pas réagi en voyant passer, parmi les requêtes html aboutissant sur ses routeurs, une url manifestement « spoofée » d’un confrère et néanmoins concurrent ?

Et surtout pour quelle raison la cellule sécurité de Free n’a-t-elle envoyé le moindre courrier de demande d’enquête ou de suspension du site frauduleux à son homologue hébergeur ?

Ndlr : Tant que le domaine en question n’aura pas été supprimé, la rédaction de CNIS ne publiera ni le nom du registrar utilisé par l’escroc, ni le nom de domaine utilisé, afin de préserver au moins la tranquillité de la personne dont le numéro de téléphone a été détourné.

Chine, Cameroun et Samoa … avec le Top Level Domain .Com, ce sont là, estime le tout dernier rapport Mapping the Mal Web de McAfee, les 4 TLD les plus potentiellement dangereux, vecteurs d’infections, hébergeurs de sites douteux et exploiteurs de « typosquatting »

En un an, l’opérateur Sprint aurait fourni aux autorités américaines plus de 8 millions de géopositionnements de téléphones cellulaires nous apprend Wired. Soit 1 abonné Sprint sur 6 est un dangereux terroriste américain, soit l’on pourrait discerner un certain laxisme dans la préservation de la vie privée que prétend garantir cet opérateur. En France, cela va sans dire, de telles choses ne peuvent arriver.

Google lance un résolveur DNS, 8.8.8.8 et 8.8.4.4. Comme l’explique l’équipe en charge de ce nouveau serveur, ce pourrait être une réponse au moins partielle à une bonne partie des attaques DNS.

Never AFK : un tandem qui fait roxer les ITC Krosoft. Cette vidéo musicale, pas sérieuse pour deux sous, chante les mérites de la coopération entre IT Pros et développeurs.

S’il est une chose que l’Amérique nous envie, c’est bien l’imperméabilité de nos frontières, qui résistent aux nuages radioactifs et aux pertes de données bancaires, administratives ou médicales. Le bilan de l’ITRC –Identity Theft Resource Center-, organisation répertoriant les fuites d’identité sur le territoire US, vient de publier son bilan annuel. Au premier abord, la « croissance des pertes » est vertigineuse : 469 brèches de sécurité déclarées, plus de 222 millions d’enregistrements potentiellement dans la nature. L’an passé, les failles recensées étaient plus nombreuses -656- mais le nombre d’enregistrements à caractère personnel perdus était bien moindre : 35,7 millions. En d’autres termes, le volume des données perdues a augmenté selon un facteur de 6,2 d’une année sur l’autre.

Des statistiques qui vont faire se frotter les mains des marchands de DLP de tous crins. Mais des statistiques qu’il faut tout de même prendre avec une certaine prudence, car cette augmentation des « fuites déclarées » reflète également, courant 2009, la généralisation des lois d’Etat obligeant les exploitants de fichiers à rendre public ce genre d’accident. Encore est-on loin de la vérité. Certains états parmi les plus conservateurs ne considèrent cette publication obligatoire que sous certaines conditions : lorsqu’une intrusion a été techniquement prouvée et constatée, lorsque les données n’étaient pas chiffrées… les « disques égarés » et les « bandes perdues » n’entrant plus du tout dans les statistiques, pas plus que les disparitions non élucidées. On est donc loin des dispositions plus drastiques telles que celles imposées en Californie. Reste que les entreprises implantées dans différents Etats sont tenues de se plier aux règlementations d’Etat les « mieux-disantes » à l’égard des victimes potentielles.

Sont également à prendre en compte les affaires exceptionnelles, qui rendent parfois chaotiques les interprétations et faussent tout espoir de comparaison ou de moyenne lissée. Cette année, c’est le hack de l’intermédiaire Heartland Payement System qui donne une attaque de tachicardie au rapport de l’ITRC, avec quelque 30 millions de numéros de cartes de crédit dans la nature. A ceci s’ajoute une fuite de 76 millions d’enregistrements par l’armée US (bulletin ITRC20091002-02). Si la perte de Heartland était sans contestation possible le fruit d’un hack à l’échelle nationale, la perte signalée par l’armée n’était que le fruit d’une étourderie sans probable conséquence : le service de maintenance de la caisse de retraite des armées avait envoyé en maintenance un disque appartenant à un groupe d’unités montées en RAID 5, sans que le disque ait été dégaussé avant envoi. Difficile, parfois, de déterminer le niveau de risque associé à une perte.

Autre chiffre qui ne fera pas non plus plaisir aux vendeurs de DLP, 27% des fuites déclarées ont utilisé un « canal papier », contre 17% l’an passé. L’évasion par égarement d’un dossier en pochette cartonnée ou par sortie imprimante contourne sans problème les firewalls les plus sophistiqués et les consoles d’administration de GPO haut de gamme. C’est là une preuve d’adaptation certaine des fraudeurs aux contremesures techniques appliquées par les DSI. C’est également le signe d’une très nette dégradation des rapports de confiance entre les Directions et leurs cadres, situation qui n’est pas prête de s’améliorer si l’on en juge par les prévisions pessimistes des économistes pour l’année 2010.