février 15th, 2011

Méthodes de crapules contre pratiques de barbouzes, l’affaire du viol de Rootkit.com prend des allures de mauvais roman : après avoir affirmé que le groupe Anonymous avait été infiltré et prétendu posséder les identité de plusieurs de ses membres (dont celles de certains meneurs), Aaron Barr, COO de l’entreprise de conseils en sécurité HBGary Federal, a vu les serveur de son entreprise pris pour cible et leurs contenus mis sur la place publique. Et notamment les identités et mots de passe des clients et usagers du site Rootkit.com, ainsi que plusieurs fichiers et documents administratifs et techniques appartenant à HBGary Federal (documents débutant tous par la chaine « HBG- » sur le site Cryptome). L’administrateur de Dazzlepod précise que bon nombre de ces crédences sont également employées pour accéder à des comptes Twitter ou Gmail, certains de ces comptes étant liés parfois très directement avec des activités professionnelles dans le secteur de la sécurité des TIC.

Nos confrères de Ars Technica dressent un historique assez précis des évènements qui se sont déroulés durant ces derniers jours.

Que reprochent les Anonymes à HBGary et à son COO en particulier ? Probablement pas la tentative d’infiltration, qui, elle-même, est de « bonne guerre ». Il n’est même pas certain que la « désanonymisation » de certains de ses membres ait été moteur, bien qu’en général, l’anonymat des sociétés secrètes ait toujours été préservé depuis ces quelques 3000 dernières années par des moyens très dissuasifs, voir violents. Non, c’est surtout la tentative de collaboration de HBGary avec deux autres spécialistes de l’intelligence économique, Palantir Technologies et Berico Technologies. Une sorte d’union sacrée ayant pour but de décrédibiliser, par tous les moyens (y compris calomnieux) l’activité de Wikileaks et des autres organisations fonctionnant sur le même modèle. C’est ce qu’explique avec force détails Steve Ragan dans les colonnes du Tech Herald. Une menace qui doit être prise au sérieux car le procédé (lui aussi utilisé durant ces quelques 3000 dernières années) s’est toujours montré relativement efficace.

Que Barr ait eu raison ou tort importe d’ailleurs assez peu. Il a montré en en payant le prix fort que les Anonymes pouvaient être manipulés par provocation. En conséquence de quoi HBGary a été techniquement anéanti et pourra difficilement redorer son blason d’entreprise de sécurité compétente. Image d’autant plus ternie que les actions précédentes des anonymes pouvaient aisément laisser présager ce qui pouvait arriver. Et c’est là un point bien plus impardonnable à un spécialiste de la sécurité qu’une faille SQL ou une fuite d’information. Les anonymes, pour leur part, ont fait preuve d’un manque notable de retenue et de self control dans leur action et ce, que le mouvement soit ou non coordonné par un comité central. L’image de « Robin des Bois » a pris un coup de vieux et laisse peu à peu la place à celle d’un justicier masqué autoproclamé. Une image qui peut encore séduire de l’autre côté de l’Atlantique, mais qui fait peur sur le vieux continent, là où la justice est un droit régalien sans laquelle il ne peut exister de démocratie.

Symantec continue son studieux travail de « reverse » sur Stuxnet et, grâce à la collecte de plus de 3000 souches différentes, peut commencer à tirer des conclusions des journaux d’événements tenus par le virus lui-même. Car, rappelle l’éditeur, Stuxnet enregistre les « timestamp » de ses différents déclenchements. Et c’est en observant cette succession de dates que les chercheurs de Symantec ont pu dégager les points suivants

– Il existe au moins 3 variantes de Stuxnet, lancées à 3 époques différentes : en juin 2009, puis mars et avril 2010. Ces souches auraient été lancées en 5 vagues : juin et juillet 2009, mars avril et mai 2010. Une quatrième version serait, un peu comme les planètes invisibles de la ceinture de Kuiper, « prouvée mathématiquement » sans la moindre preuve physique.

– Ces 3 variantes viseraient 5 organisations différentes, certaines « éditions » de Stuxnet ciblant entre une seule à trois des organisations en question.

– 12 000 infections conduisent à ces organisations

– Toutes les organisations auraient une présence en Iran

La « piste iranienne » serait donc en partie confirmée (ce qui ne veut pas dire qu’elle soit absolument certaine ou unique). Une autre partie de l’analyse Symantec nous apprend qu’un code fossile, inachevé et désactivé, aurait pu constituer une seconde stratégie d’attaque visant d’autres cibles physiques.

Toujours à propos de Stuxnet, mais assaisonné à la sauce Anonymous, Chris Barth se fait l’écho d’une rumeur laissant entendre que les « Anonymes » seraient en possession d’une souche dudit virus. Souche qui pourrait notamment provenir des archives des serveurs de HBGarry récemment piratés par ce groupe. Tel que, Stuxnet est un peu comme un mécanisme d’horlogerie : totalement inexploitable en l’état, et guère plus dangereux que n’importe quel autre virus reposant sur des exploits désormais connus si ses composants sont réutilisés en « pièces détachées ». Information à ranger donc dans la catégorie buzz et propagande. L’origine de la trouvaille semble confirmée par Cryptome qui héberge bon nombre de documents rendus publics après le pillage des disques de HBGary.

McAfee détaille, dans un rapport de près de 20 pages, le déroulement d’une attaque baptisée « Dragon nocturne ». Dans le rôle des Bruce Lee virtuels, des spywares, des opérations d’ingénierie sociale, des virus voleurs d’information, tout ce petit monde visant les industriels de la pétrochimie américaine. Security News et le HNS reprennent en cœur les grands chapitres de l’étude, faisant remarquer la très probable implication de Pékin dans ces grandes manœuvres d’espionnage industriel. Les bombardements de malwares, fait notamment remarquer l’étude, débute aux heures d’ouverture des bureaux de Shanghai et cessent dès la fin de la période « ouvrable ». Une fréquence fleurant bon le fonctionnariat et qui ressemble bien peu aux blitz de hackers, manipulés ou non. Cet aspect sociologique et politique semble échapper totalement aux équipes de Websense qui rétorque en substance, dans un bref billet de blog, que tout ceci n’a rien de nouveau. Contrairement à l’opération Aurora, Dragon Nocturne ne met en œuvre aucun « zero day », utilise des ficelles d’ingénierie sociale tout à fait classiques, et fait appel à des générateurs de malware archi-connus. Pourtant, vieilles ficelles ou pas, ce qui importe dans une bombe, ce n’est ni sa modernité ni sa puissance, mais l’endroit où c’quelle tombe (mais Boris Vian est-il aussi lu que Sun Tzu, chez Websense ?).

La chaine Américaine de magasins JC Penney se livre, selon The Spec, à une incessante infection par « SEO » (Search Engine Optimisation) des moteurs Google. Technique mise au point par les diffuseurs de malwares et de spywares.

22, v’la le SP1. Le premier Service Pack destiné à Windows 7 devrait être disponible le 22 de ce mois. L’un des ajouts les plus remarquable sera l’arrivée d’un nouveau client RDP compatible RemoteFX