février, 2011

Syscan Singapour émet son appel à communications, lequel sera clôt le 28 février prochain. Les orateurs sélectionnés sont défrayés à hauteur de 1000 dollars Singapouriens pour le voyage et 1000 $ supplémentaires pour communication innovante.

Méthodes de crapules contre pratiques de barbouzes, l’affaire du viol de Rootkit.com prend des allures de mauvais roman : après avoir affirmé que le groupe Anonymous avait été infiltré et prétendu posséder les identité de plusieurs de ses membres (dont celles de certains meneurs), Aaron Barr, COO de l’entreprise de conseils en sécurité HBGary Federal, a vu les serveur de son entreprise pris pour cible et leurs contenus mis sur la place publique. Et notamment les identités et mots de passe des clients et usagers du site Rootkit.com, ainsi que plusieurs fichiers et documents administratifs et techniques appartenant à HBGary Federal (documents débutant tous par la chaine « HBG- » sur le site Cryptome). L’administrateur de Dazzlepod précise que bon nombre de ces crédences sont également employées pour accéder à des comptes Twitter ou Gmail, certains de ces comptes étant liés parfois très directement avec des activités professionnelles dans le secteur de la sécurité des TIC.

Nos confrères de Ars Technica dressent un historique assez précis des évènements qui se sont déroulés durant ces derniers jours.

Que reprochent les Anonymes à HBGary et à son COO en particulier ? Probablement pas la tentative d’infiltration, qui, elle-même, est de « bonne guerre ». Il n’est même pas certain que la « désanonymisation » de certains de ses membres ait été moteur, bien qu’en général, l’anonymat des sociétés secrètes ait toujours été préservé depuis ces quelques 3000 dernières années par des moyens très dissuasifs, voir violents. Non, c’est surtout la tentative de collaboration de HBGary avec deux autres spécialistes de l’intelligence économique, Palantir Technologies et Berico Technologies. Une sorte d’union sacrée ayant pour but de décrédibiliser, par tous les moyens (y compris calomnieux) l’activité de Wikileaks et des autres organisations fonctionnant sur le même modèle. C’est ce qu’explique avec force détails Steve Ragan dans les colonnes du Tech Herald. Une menace qui doit être prise au sérieux car le procédé (lui aussi utilisé durant ces quelques 3000 dernières années) s’est toujours montré relativement efficace.

Que Barr ait eu raison ou tort importe d’ailleurs assez peu. Il a montré en en payant le prix fort que les Anonymes pouvaient être manipulés par provocation. En conséquence de quoi HBGary a été techniquement anéanti et pourra difficilement redorer son blason d’entreprise de sécurité compétente. Image d’autant plus ternie que les actions précédentes des anonymes pouvaient aisément laisser présager ce qui pouvait arriver. Et c’est là un point bien plus impardonnable à un spécialiste de la sécurité qu’une faille SQL ou une fuite d’information. Les anonymes, pour leur part, ont fait preuve d’un manque notable de retenue et de self control dans leur action et ce, que le mouvement soit ou non coordonné par un comité central. L’image de « Robin des Bois » a pris un coup de vieux et laisse peu à peu la place à celle d’un justicier masqué autoproclamé. Une image qui peut encore séduire de l’autre côté de l’Atlantique, mais qui fait peur sur le vieux continent, là où la justice est un droit régalien sans laquelle il ne peut exister de démocratie.

Symantec continue son studieux travail de « reverse » sur Stuxnet et, grâce à la collecte de plus de 3000 souches différentes, peut commencer à tirer des conclusions des journaux d’événements tenus par le virus lui-même. Car, rappelle l’éditeur, Stuxnet enregistre les « timestamp » de ses différents déclenchements. Et c’est en observant cette succession de dates que les chercheurs de Symantec ont pu dégager les points suivants

– Il existe au moins 3 variantes de Stuxnet, lancées à 3 époques différentes : en juin 2009, puis mars et avril 2010. Ces souches auraient été lancées en 5 vagues : juin et juillet 2009, mars avril et mai 2010. Une quatrième version serait, un peu comme les planètes invisibles de la ceinture de Kuiper, « prouvée mathématiquement » sans la moindre preuve physique.

– Ces 3 variantes viseraient 5 organisations différentes, certaines « éditions » de Stuxnet ciblant entre une seule à trois des organisations en question.

– 12 000 infections conduisent à ces organisations

– Toutes les organisations auraient une présence en Iran

La « piste iranienne » serait donc en partie confirmée (ce qui ne veut pas dire qu’elle soit absolument certaine ou unique). Une autre partie de l’analyse Symantec nous apprend qu’un code fossile, inachevé et désactivé, aurait pu constituer une seconde stratégie d’attaque visant d’autres cibles physiques.

Toujours à propos de Stuxnet, mais assaisonné à la sauce Anonymous, Chris Barth se fait l’écho d’une rumeur laissant entendre que les « Anonymes » seraient en possession d’une souche dudit virus. Souche qui pourrait notamment provenir des archives des serveurs de HBGarry récemment piratés par ce groupe. Tel que, Stuxnet est un peu comme un mécanisme d’horlogerie : totalement inexploitable en l’état, et guère plus dangereux que n’importe quel autre virus reposant sur des exploits désormais connus si ses composants sont réutilisés en « pièces détachées ». Information à ranger donc dans la catégorie buzz et propagande. L’origine de la trouvaille semble confirmée par Cryptome qui héberge bon nombre de documents rendus publics après le pillage des disques de HBGary.

McAfee détaille, dans un rapport de près de 20 pages, le déroulement d’une attaque baptisée « Dragon nocturne ». Dans le rôle des Bruce Lee virtuels, des spywares, des opérations d’ingénierie sociale, des virus voleurs d’information, tout ce petit monde visant les industriels de la pétrochimie américaine. Security News et le HNS reprennent en cœur les grands chapitres de l’étude, faisant remarquer la très probable implication de Pékin dans ces grandes manœuvres d’espionnage industriel. Les bombardements de malwares, fait notamment remarquer l’étude, débute aux heures d’ouverture des bureaux de Shanghai et cessent dès la fin de la période « ouvrable ». Une fréquence fleurant bon le fonctionnariat et qui ressemble bien peu aux blitz de hackers, manipulés ou non. Cet aspect sociologique et politique semble échapper totalement aux équipes de Websense qui rétorque en substance, dans un bref billet de blog, que tout ceci n’a rien de nouveau. Contrairement à l’opération Aurora, Dragon Nocturne ne met en œuvre aucun « zero day », utilise des ficelles d’ingénierie sociale tout à fait classiques, et fait appel à des générateurs de malware archi-connus. Pourtant, vieilles ficelles ou pas, ce qui importe dans une bombe, ce n’est ni sa modernité ni sa puissance, mais l’endroit où c’quelle tombe (mais Boris Vian est-il aussi lu que Sun Tzu, chez Websense ?).

La chaine Américaine de magasins JC Penney se livre, selon The Spec, à une incessante infection par « SEO » (Search Engine Optimisation) des moteurs Google. Technique mise au point par les diffuseurs de malwares et de spywares.

22, v’la le SP1. Le premier Service Pack destiné à Windows 7 devrait être disponible le 22 de ce mois. L’un des ajouts les plus remarquable sera l’arrivée d’un nouveau client RDP compatible RemoteFX

Depuis son occultation en 2007, le projet Honeynet France avait laissé comme un vide dans la communauté des chercheurs Français. C’est là chose oubliée, puisque s’ouvrira le 21 mars prochain la première journée publique du Honeynet Project à Paris, dans les locaux de l’Esiea. Le programme détaillé précise qu’il n’y aura que 180 places de disponible… il est donc urgent de s’inscrire. Le droit d’entrée s’élève à 80 euros (15 euros pour les universitaires et étudiants), tarif promotionnel provisoire qui augmentera à partir du 10 mars.

Précisons pour les non initiés à cette science complexe qu’est le réseau-leurre, que le projet Honeynet est une initiative internationale de Lance Spitzner, un des gourous des machines « attrape-pirate ». Le rôle de ces fausses infrastructures informatiques (généralement constituées de machines virtuelles) est de servir d’appâts aux crackers de tous poils (humains et logiciels) dans le but d’analyser leurs méthodes d’attaque et d’en tirer des astuces de protection adaptées. Ce sport est réservé à une catégorie de spécialistes de haut niveau, l’analyse des traces exigeant à la fois beaucoup de temps et énormément de savoir. Historiquement, le tout premier Honeypot a été inventé par Fred Cohen (All.net), papa des Deception tools et de la célèbre série des « 50 ways » de la sécurité. De ces simples « deamon » chargés de simuler une activité réseau, les honeypots se sont perfectionnés, et ont donné naissance à une association internationale de recherche, le Honeynet Project. Cercle de gourous parmi les gourous, ce mouvement ne faisait que très rarement parler de lui, à l’occasion de concours de « reverse engineering » de code. Parfois l’on entendait parler de développement d’outils tels que Népenthès (François Ropert a rédigé un article de synthèse sur le sujet) ou Sebek dont le client a été porté sur BSD par une équipe Française.

Par définition et par construction, un bon honeypot doit être et demeurer discret, voir invisible s’il veut être efficace. Une transparence qui semble hélas également s’étendre aux chercheurs qui travaillent dans ce domaine. Les plus connus (Laurent Houdot, Marc Dacier, Christian Seifert) sont rarement cités dans la presse.

Depuis son occultation en 2007, le projet Honeynet France avait laissé comme un vide dans la communauté des chercheurs Français. C’est là chose oubliée, puisque s’ouvrira le 21 mars prochain la première journée publique du Honeynet Project à Paris, dans les locaux de l’Esiea. Le programme détaillé précise qu’il n’y aura que 180 places de disponible… il est donc urgent de s’inscrire. Le droit d’entrée s’élève à 80 euros (15 euros pour les universitaires et étudiants), tarif promotionnel provisoire qui augmentera à partir du 10 mars.

Précisons pour les non initiés à cette science complexe qu’est le réseau-leurre, que le projet Honeynet est une initiative internationale de Lance Spitzner, un des gourous des machines « attrape-pirate ». Le rôle de ces fausses infrastructures informatiques (généralement constituées de machines virtuelles) est de servir d’appâts aux crackers de tous poils (humains et logiciels) dans le but d’analyser leurs méthodes d’attaque et d’en tirer des astuces de protection adaptées. Ce sport est réservé à une catégorie de spécialistes de haut niveau, l’analyse des traces exigeant à la fois beaucoup de temps et énormément de savoir. Historiquement, le tout premier Honeypot a été inventé par Fred Cohen (All.net), papa des Deception tools et de la célèbre série des « 50 ways » de la sécurité. De ces simples « deamon » chargés de simuler une activité réseau, les honeypots se sont perfectionnés, et ont donné naissance à une association internationale de recherche, le Honeynet Project. Cercle de gourous parmi les gourous, ce mouvement ne faisait que très rarement parler de lui, à l’occasion de concours de « reverse engineering » de code. Parfois l’on entendait parler de développement d’outils tels que Népenthès (François Ropert a rédigé un article de synthèse sur le sujet) ou Sebek dont le client a été porté sur BSD par une équipe Française.

Par définition et par construction, un bon honeypot doit être et demeurer discret, voir invisible s’il veut être efficace. Une transparence qui semble hélas également s’étendre aux chercheurs qui travaillent dans ce domaine. Les plus connus (Christian Houdot, Marc Dacier, Christian Seifert) sont rarement cités dans la presse.

Les statistiques Eurostat sur l’impact des malwares en Europe tendent à prouver que 30 % des européens en moyenne ont été affectés par un virus au cours de l’année écoulée. Les victimes auraient, dans 3% des cas, subit des pertes financières suite à ce genre d’attaque. Les pays les plus frappés sont, par ordre d’importance, la Bulgarie, Malte et la Slovaquie (58, 50 et 47% d’informatisés frappés de malwares). Les moins touchés sont l’Autriche (14%), l’Irlande (15%) et la Finlande (20%). La France se situe dans la moyenne haute, avec un taux de 34 %.

Le détournement d’informations personnelles relevé en France touche 5 % de la population « NTIcisée »(4% EU). Le taux d’équipement d’outils de protection périmétrique est de 84% dans notre pays, reflet exact de la moyenne Européenne. Il est toutefois de 96% en Hollande, pays le mieux « protégé » et de 58% en Turquie, lanterne rouge de ce classement.

Les outils de contrôle parental sont également très appréciés de Lille à Marseille et de Brest à Strasbourg : 24% de taux d’équipement (14% en moyenne en Europe, 2% en Bulgarie, 3% en Roumanie, 5 % en Pologne).

Nos confrères de PC World relatent le déroulement de l’un des premiers procès engagé par la FTC –Federal Trade Commission- à l’encontre de deux vendeurs de scarewares, ces faux antivirus vendus aussi chers que les vrais et utilisant des techniques d’intimidation. Le procès s’est achevé par un accord à l’amiable imposant aux escrocs de s’acquitter d’une amende de 8,2 millions de dollars et de cesser immédiatement leur business crapuleux. Ce qui fait dire en substance à Bruce Schneier que ladite FTC ne pourrait pas faire mieux si elle avait décidé d’encourager le développement de ces vendeurs de faux programmes. En effet, à raison d’une quarantaine de dollars le programme frelaté, et en partant sur un volume de vente estimé à « plus d’un million de copies vendues » (soit 40 millions de dollars de bénéfice brut), les 8,2 millions de taxe de la FTC laissent aux deux escrocs un confortable coussin de billets verts. La sanction est inférieure au cumul de la TVA et que les divers impôts qui frappent une entreprise et ses bénéfices en Europe en général et en France en particulier. Dans de telles conditions, seule l’interdiction de relancer leur activité sur le territoire Américain risque peut-être de ralentir l’activité des deux escrocs, le temps que ceux-ci trouvent un moyen de domicilier leur activité dans un paradis fiscal hors d’atteinte de la juridiction américaine.