décembre, 2009

KPMG, de son côté, publie l’exact pendant de l’étude de l’ITRC, mais focalisé essentiellement sur l’industrie, et ne portant que sur les 6 premiers mois de l’année 2009. L’accent est mis dès les premières pages sur les vilains « insiders » dont la progression des méfaits est en hausse de 50%… ça va faire trembler dans les chaumières. Les collaborateurs véreux, cancer de l’entreprise, catalyseurs de tous les prétextes à la fouille patronale et à vidéosurveillance, ont été responsables de la fuite de 100 000 enregistrements en 2008 et 1,6 millions en 2009. Progression impressionnante, mais volumétrie ridicule en regard des autres facteurs de perte. Chiffres à comparer aux 97 millions d’enregistrements déclarés « enfuis » l’an passé et 105 millions cette année. L’abominable Insider ne constitue donc pas même 2% des pertes d’information mais peut coûter, si l’on examine les tendances des marchés DLP et assimilés, plus de 30% des budgets sécurité des entreprises. La première conséquence que risque de provoquer la « psychose du traître de l’intérieur » est précisément d’établir un climat de suspicion qui a de fortes chances d’éveiller des vocations de « traître de l’intérieur ». Ce qui ne veut pas dire qu’il ne faille pas appliquer un stricte contrôle des GPO et des médias d’accès.

Si l’on tente de répertorier les causes de ces pertes, le hacking, toujours selon KPMG, vient en première place, avec un record de 105 millions d’identités affectées. Loin devant les « Web & network exposures » (2,7 millions), autrement dit les failles réseaux et Web, les défauts de configuration et les imperfections de programmes. Rien de nouveau sous le soleil si l’on suit avec attention les travaux de groupes tels que l’Owasp, de l’APWG et autres observateurs de la sphère cybercriminelle.

Sur la période janvier/juin 2009, les données les plus volatiles ont été celles contenant des informations bancaires, numéros de cartes de crédit ou de compte, avec 100 millions d’enregistrements déclarés perdus. Nihil nove sub sole. Viennent ensuite les identifiants gouvernementaux (plus de 4 millions de numéros d’ID perdus par l’Administration Fédérale) et les informations financières (2,5 millions d’enregistrements). Ces proportions sectorielles sont toutefois à prendre avec des pincettes, car plus de 15 millions de données volatilisées, toujours durant les 6 premiers mois de l’année 2009, sont classées dans les catégories « autres informations personnelles » et « divers et inconnus ». Ces chiffres confirment d’ailleurs d’autres études prouvant le manque de maîtrise des contenus informatiques dans certains domaines moins contraints par les normes de sécurité. D’autres études, notamment celle récemment publiée par Cyber-Ark (https://www.cnis-mag.com/se-payer-sur-la-bete-une-reponse-a-la-recession.html), tendaient à prouver que les secteurs de la grande distribution et de l’agroalimentaire étaient moins attentifs et précautionneux que les entreprises des domaines techniques ou financiers. L’on se doute qu’il y a là la preuve d’une influence plus ou moins prégnante d’une « culture IT » dans les industries tertiaires.

Sur les vecteurs et moyens de pertes d’informations, là encore, l’étude de KPMG « colle » à celle de l’ITRC. Les méthodes de vols les plus prisés utilisent dans 46% des cas via les canaux de messagerie électronique, dans 22% le support papier, tandis que 9% des détournement se font par le biais d’unités de stockage externes (clefs usb, disques amovibles, disquettes, CD-ROM) et 7% empruntent les voies détournées et complexes des « activités suspectes sur les bases de données ». Là encore, l’évolution des chiffres montre à quel point les dangers que l’on craint le plus sont généralement ceux qui sont le moins probables.

Si les mécanismes des vols d’information sont parfois contestés et toujours mouvants, leurs destinations (leurs premiers bénéficiaires) sont sans conteste les concurrents directs, affirment les statisticiens de KPMG. Dans 70% des cas, une information volée « moved to competitor ». Dans 1% des cas, cette information est vendue. Peut-être est-ce là la preuve que le « competitor » en question ferme volontiers les yeux à un cheval donné, même si sa provenance est douteuse, mais qu’il n’est pas prêt à tremper activement dans un véritable trafic de données. Voilà qui ne peut que rappeler l’affaire du fichier HSBC que le Ministère du Budget « n’aurait en aucun cas acheté ». Recel de fichier est à moitié pardonné.

Aussi impressionnants soient-ils, ces chiffres sont pourtant très loin de refléter la réalité, insiste le rapport. « le Baromètres des pertes de données a recensé plus de 2300 incidents, lesquels ont concerné au total près de 700 millions d’individus. Mais comme la majorité des atteintes ne sont pas déclarées, il y a de fortes chances que représente la partie émergée de l’iceberg ». D’ailleurs, en lisant entre les lignes dudit rapport, les chercheurs de KPMG avancent des explications sur l’origine de la baisse drastique des pertes de données liées aux composants mobiles. Les clefs USB ou les téléphones égarés constitueraient de plus en plus la « banalité du quotidien » et seraient donc moins susceptibles d’êtres rapportés… à quelques affaires exceptionnelles près. Les pertes de bandes magnétiques sont en chute libre, les clefs USB et CD baladeurs se volatilisent dans le domaine de l’acceptable, et seuls les disques durs voient leurs taux de perte croître de manière significative. Peut-être en raison du coût que représente l’équipement et de sa taille par rapport à une clef USB… Les chiffres avancés ne reflèteraient alors que l’intérêt que l’on peut porter au support, et non plus l’importance des données qu’il contient. Ce n’est guère rassurant.

Le rapport KPMG compte 28 pages. C’est bien plus que les quelques feuillets froidement objectifs de l’ITRC. C’est bien mieux mis en valeur surtout, grâce a quelques graphiques très explicites, grâce également à des commentaires passionnants (quoiqu’orientés) sur les causes et conséquences du « data loss » en entreprise. A lire comme un bon roman d’horreur et de suspense, puisque de telles choses n’arrivent jamais en France.

Lorsque les gourous de Neohapsys ont envisagé d’utiliser la plateforme Cloud EC2 d’Amazon pour modéliser une attaque pirate, la communauté savante a admiré cet exercice intellectuel. Sans plus. Mais en matière de hack, la frontière entre la théorie et la pratique est parfois ténue. Pour preuve, l’équipe sécurité de CA a détecté une véritable vague d’infection Zeus dont le C&C reposait sur des serveurs Cloud d’Amazon. Voilà qui fait immanquablement penser à la réplique de Raoul Volfoni : « On a la puissance de feu d’un croiseur et des flingues de concours ». Là, à moins d’un hasard, il y a peu de chances qu’un domestique stylé arrive à point nommé, tel CA, pour désarmer l’adversaire.

Le scoop est signé Elisabeth Fleury, du Parisien : la fameuse liste regroupant près de 3000 noms de personnes soupçonnées d’évasion fiscale aurait, du moins en partie, été constituée par une « fuite d’information » provoquée par un cadre de la banque HSBC Genève.

Laquelle HSBC reconnaît ce mercredi l’existence d’un vol (probablement perpétré courant 2008 et ne portant pas sur plus de 10 noms). L’informaticien qui serait à l’origine de la fuite est passible de poursuites en vertu de l’article 47 de la loi sur les banques. Mais il y a bien des chances que le jugement soit prononcé par contumace, puisque l’intéressé se serait réfugié en France et placé sous la protection de la police.

Depuis, cette opération marketing orchestrée par Bercy commence à tourner au cauchemar. Car si les Douanes ou le Budget utilisent des informations de nature et d’origine illégales, les poursuites visant les présumés fraudeurs seraient également entachées d’illégalité. Si le fichier des « 3000 » contient en partie des noms provenant de ce vol d’informations, il contrevient à la fois à la loi Informatique et Libertés, et, plus indirectement à la LCEN (puisqu’il y aurait eu intrusion dans un système de traitement d’une entreprise privée avec l’intention de nuire, le tout accompagné de vol d’informations). L’on peut également noter que la future Loppsi (alias Lopsi2) lutte contre le vol d’identité et que l’utilisation d’un fichier douteux par Bercy irait à l’encontre de l’esprit de cette future loi, sans omettre le projet « anti-fuite de données» proposé par les Sénateurs Détraigne et Escoffier. Passer outre serait donner des arguments supplémentaires aux adversaires de Loppsi 2 défendu bec et ongles par Madame la Ministre Michèle Alliot-Marie et enterrerait à coup sûr le projet Détraigne-Escoffier.

Autrement dit, le Cabinet Woerth a tout intérêt à exclure cette liste de son fameux fichier. Et incidemment de s’attendre à devoir prouver la légalité de la provenance de chacun des « autres » fichiers en cas de poursuite visant un contribuable.

Toujours selon nos confrères du Parisien, le débat sur la légalité de la provenance des données en question avait déjà été soulevé début octobre, et provoqué un début d’enquête. Contactée dans la matinée du 9 décembre, la CNIL n’a pas encore éclairé la rédaction de CNIS-Mag sur les conclusions de cette enquête ou sur les conséquences légales de l’usage d’un tel fichier s’il s’avérait partiellement d’origine frauduleuse.

Nulle réponse non plus de la part du Correspondant Informatique et Liberté en place au Ministère du Budget. Lequel a nécessairement été interrogé par la CNIL suite à l’ouverture de l’enquête.

La HSBC, précisent nos confrères du Parisien, aurait porté plainte. Plainte non confirmée par le papier de Pierre Yves Frei de la Tribune de Genève, mais des échanges judiciaires certains entre les deux pays semblent indiquer l’article d’Axel Constantinoff de la rédaction de TF1. Que la fuite d’informations ne porte que sur une dizaine de noms et non sur la totalité des 3000 suspects ne change en rien l’illégalité de l’acte. Ce qui, nous indiquent nos confrères Genevois, a conduit les autorités Helvétiques à demander l’extradition de l’informaticien présumé hacker. Demande que la France n’a manifestement pas l’intention de satisfaire. Autre détail intéressant, les soupçons de hack seraient doublement confirmés par le fait que l’informaticien en question « aiderait même les enquêteurs à décrypter ces listes qu’il avait lui-même contribué à coder » (sic la Tribune de Genève). Ce qui impliquerait que les informations ayant transpiré étaient chiffrées, et que l’usage de cette liste prouverait sans le moindre doute la mise en œuvre de pratiques et d’outils condamnés par la LCEN. HSBC ayant peu de chances d’être confondu avec une horde d’espions ou de pirates asiatiques, toute tentative « d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement informatisé de données (article 323-1 du code pénal) » pourrait se retourner contre nos Techno-Pandores de la Brigade Financière. Sans oublier le fait d’utiliser « un programme informatique conçu pour commettre les infractions énumérées précédemment, sauf si ceci est justifié par les besoins de la recherche scientifique et technique ou de la protection des réseaux et des systèmes d’information ». La police Française ou le Ministère du Budget ne peuvent, à priori, pas être mandatés pour expertiser les défenses périmétriques d’une entreprise Suisse.

Comme prévu par le bulletin préalable, les 12 failles affectant les logiciels Microsoft ont fait l’objet d’une publication de rustines. L’index d’exploitabilité, émis désormais chaque mois et accompagnant les bouchons de sécurité, est, ce mois-ci, relativement fourni : 5 fortes probabilités d’exploit fonctionnels, 3 risques d’exploits « peu fiables » (généralement suffisants pour provoquer une attaque en déni de service). Seuls 3 failles CVE n’ont pratiquement aucune chance de déboucher sur un code d’attaque.

Egalement, chez Adobe, pour qui c’est également le « jour des rustines », la firme alerte ses usagers de deux problèmes qualifiés de « critique ». Un trou de sécurité dans Illustrator CS3 et CS4, et surtout un défaut dans le très répandu Flash Player, cible privilégiée ces temps-ci par les auteurs de malwares. Le correctif est à appliquer d’autant plus vite que, également à l’image de Microsoft, Adobe pratique le « patch cumulatif » avec conscience. Sont donc colmatées 7 failles, dont une seule affectant le monde Windows uniquement, et 6 autres possédant de très fortes probabilités d’exploitation sur plateformes Windows ou Macintosh. Les alertes CVE sont immatriculées CVE-2009-3794, CVE-2009-3796, CVE-2009-3797, CVE-2009-3798, CVE-2009-3799, CVE-2009-3800 et CVE-2009-3951. Inutile de préciser que statistiquement, les « chances » de voir apparaître une vague d’exploits Flash en cette période de fêtes sont hautement probables.

L’Institut Fraunhofer s’offre un joli coup de publicité signé Sven Türpe, Andreas Poller, Jan Steffan, Jan-Peter Stotz, et Jan Trukenmüller. Dans une étude de 14 pages, ces spécialistes se sont penchés sur les moyens de contourner Bitlocker, ce système de chiffrement de disque intégré à Vista, Windows 7, et compatible en lecture avec les noyaux XP grâce à Bitlocker-to-go.

Plutôt que de tenter de s’attaquer directement au mécanisme de chiffrement lui-même –lequel est toujours inviolé-, les chercheurs ont tenté de trouver des failles dans l’intégration du système de protection. Et le résultat final est assez convaincant, car il démontre comment contourner un bitlocker reposant sur un TPM, attaque réputée impossible jusqu’à présent. La méthode rappelle par certains aspects celle utilisée par la chambrière diabolique de Joanna Rutkowska. Il y a, derrière cette démonstration, plus de psychologie que de subtil usage de la science informatique, mais seul le résultat compte. Il reste qu’un Bitlocker utilisant un composant TPM et exploité par des usagers méfiants vis-à-vis des clefs USB vagabondes a statistiquement peu de chances de se faire pirater dans l’état actuel des connaissances.

Mais ce que le Fraunhofer présente comme un sujet de recherche, d’autres l’envisagent comme une « suite logicielle commerciale ». Car le Kit Forensic 9.5 de Passware, commercialisé pour la modique somme de 795 $, prétend casser du Bitlocker (entre autres choses) aussi aisément que le L0pht moissonnait de l’authentification NTLM. Il s’agit en fait d’une « attaque en mémoire » nécessitant un accès physique sur la machine protégée. Le logiciel indiscret est disponible en version de démonstration, limité aux trois premiers caractères des mots passe et autres sésames binaires. A noter que cet éditeur offre une version limitée mais gratuite de son analyseur de chiffrement.

Le fait que quelques outils et techniques perfectionnés ou coûteux s’attaquent à cette protection Microsoft ne doit pas faire passer Bitlocker pour une piètre protection. Cet utilitaire peut être employé sur tout ce qui ressemble à un disque, y compris une unité virtuelle au format vhd. Cette astuce permet d’utiliser cet outil de chiffrement pour protéger un ou plusieurs fichiers « contenus » appelés à être transmis par email, ftp etc. Eviter cependant de communiquer le mot de passe ou la clef principale dans le même courrier que celui contenant le fichier protégé.

Le bruit courait depuis les dernières Assises de la Sécurité : SourceFire serait en train de développer une édition virtuelle de son IPS. C’est chose faite officiellement depuis le 4 décembre, date à laquelle a été lancé le Virtual Defense Center et les 3D Sensors associés. Ces outils sont étudiés pour fonctionner sous ESX et ESXi de VMware, et sont chargés de surveiller le trafic de VM à VM, de VM à hôte et d’hôte à hôte. La supervision de ces IDS s’effectue par le biais de la console d’administration de l’éditeur. Martin Roesch espère ainsi se tailler une place sur le marché de la sécurité « cloudifiée », secteur encore largement en friche.

Dans un louable effort de simplification linguistique, Isas devient FTMG 2010. Cet outil de filtrage entrant/sortant n’est pas franchement nouveau pour les professionnels de la sécurité, puisque son édition RTM était disponible depuis le début du mois de novembre.

Essentiellement utilisé comme serveur proxy, Isas est une passerelle de sécurité excessivement répandue au sein des architectures serveurs Microsoft de moyenne et grande envergure, et ce, particulièrement sur les sites exploitant Exchange Server et IIS. Cette passerelle de filtrage, à l’origine assez fruste, a évolué en une suite d’outils de sécurité très spécialisés. Longtemps désignée sous le nom de code Stirling, elle comprend des boucliers destinés à des applications serveur – Forefront Protection for Exchange ou le prochain Forefront Identity Manager. N’oublions pas également les extensions destinées à protéger des groupes de travail collaboratif – Forefront for Sharepoint – ou des stations de travail ( Forefront Client Security alias FCS). A cette liste l’on doit ajouter un projet repoussé fin 2010, Forefront Endpoint Protection, FEP en jargon de Krosofties, qui sera intégré à System Center Configuration Manager (anciennement MS-SMS… à ne pas confondre avec MOM, devenu System Center Operation Manager). La première protection, chez Microsoft, consiste avant tout à brouiller les pistes de ses appellations, histoire probablement de perturber gravement l’équilibre psychologique des virus et des pirates.
Il est important de noter que cette plateforme unifiée de protection ne fonctionnera que sur des serveurs de la génération Windows 2008/2008R2 64 bits, et non plus sur les plateformes 2003 et 2003R2. Tout comme son ancêtre ISA Server, TMG existera en deux versions, l’une destinée à une clientèle PME, l’autre s’adressant aux grands comptes et opérateurs. Cette seconde offre intègre notamment des services d’équilibrage de charges et de haute disponibilité.

Le prochain « patch Tuesday » sera plus que généreux, nous promet le MSRC avec 6 rustines qui, par le miracle des cumuls, parviendront à boucher 12 trous de sécurité. Sur l’ensemble, 3 bulletins sont qualifiés de « critiques », dont la fameuse faille affectant I.E. 6 et 7, détaillée au fil du bulletin 977981 et ayant fait l’objet de quelques preuves de faisabilité. Ce défaut, dont le risque d’exploitation à distance est considéré comme hautement probable par bon nombre d’observateurs –dont Secunia – a été officiellement découvert aux environs du 20 novembre dernier.

Tiger Woods, vecteur d’attaque ou de sécurité ? Le joueur de golf sert à la fois et bien involontairement les intérêts des vendeurs de scareware et amateurs de SEO (une vidéo signée F-Secure ) ainsi que ceux de la société Accenture, qui voit en ce champion un visionnaire précognitif… dixit Dave Manor.

Hack-in-the-Box 2010 se déroulera comme prévu à Dubaï, du 19 au 22 avril prochain. L’appel à communications est publié sur le site de la conférence. Compte tenu de la situation actuelle, les chambres d’hôtel risquent de ne pas être trop coûteuses pour les participants.