mai, 2011

La Toile en a bruissé tout le long du week-end : les serveurs de Lockheed Martin (ex Martin Marietta), auraient été victimes d’une « fuite» par APT (Attaque Probablement Terroriste) dont le déclenchement n’aurait été possible que grâce à un vol d’informations après APT (Attaque Peut-être Terrifiante), laquelle avait été perpétrée dernièrement contre RSA. Lockheed Martin est un gros avionneur américain, spécialiste des systèmes d’arme et notamment de l’avion multi-rôles F35 ou des propulseurs de missiles. NSS Labs rappelle l’historique de la compromission des serveurs de RSA, initialement qualifiée « d’extrêmement sophistiquée » alias APT (Attaque Par Traîtrise) et qui s’est avérée par la suite d’une déconcertante facilité, et surtout mettant en évidence une impressionnante succession de mauvaises pratiques. Cette APT (tout compte fait Attaque Pas Tortueuse) a immédiatement provoqué une réaction apaisante destinée aux média : rien d’important n’aurait été atteint durant ce cyber-casse… C’est donc une APT (Attaque Pas Terrible). Rien d’important non plus n’avait été atteint durant le hack des machines RSA, reste à espérer que les Riens chez un fabricant d’armes est un peu plus petit que le rien chez un commerçant en sécurité.

Plusieurs journaux américains rapportent les propos anonymes et non confirmés d’une « source généralement digne de foi » qui aurait précisé que Lockheed Martin n’était pas le seul sous-traitant des armées à avoir été victime d’un tel cyber-pilonnage. Pour l’heure, cette « fuite de Lockheed » ne semble pas donner trop de jeu à la Direction de l’entreprise.

Le site Boston.com révèle l’histoire de cet homme qui, depuis plus de 4 ans, fabriquait de fausses cartes de transport valides sur le réseau MBTA de Boston. L’homme aurait (conditionnel du District Attorney) ainsi fabriqué plus de 20 000 cartes, donc 400 « seulement » auraient été mises hors circuit par la régie. A 175 $ l’abonnement, le faussaire avait de quoi s’offrir quelques voitures de luxe et éviter de prendre le métro de Boston. Les fausses cartes étaient distribuées par divers canaux de vente par correspondance, notamment via Craigslist, le site d’annonce dont tout le monde envie l’élaboration graphique de ses pages.

Le pot aux roses est découvert le jour où un contrôleur remarque les couleurs ternies d’un « pass » qui avait séjourné involontairement dans une machine à laver. Le sous-traitant chargé de la production de ces cartes et de la mise en place du service se trouve dans une position délicate, son « client » lui demandant un dédommagement à la hauteur du nombre de cartes falsifiées. Le sous-traitant comme le transporteur clame à qui veut bien l’entendre que le système était hautement sécurisé… propos douteux, surtout pour ceux qui se souviennent du passé « sécu » de la MBTA.

Car la MBTA, c’est celle-là même qui, afin de garder au secret les catastrophique pratiques de mauvaise sécurité entourant l’intégration de son système de carte d’abonnement, avaient assigné en justice un groupe d’étudiants ayant publié différentes méthodes de hack visant ladite carte. Fort heureusement, la plainte a été retirée, car probablement les avocats de la MBTA ont craint la réaction de l’EFF qui avait volé au secours des chercheurs. L’affaire remonte à 2008… cela faisait déjà plus d’un an que le faussaire fabriquait du faux RFID à la petite semaine, au nez et à la barbe de la police du métro de Boston, laquelle poursuivait des chercheurs plutôt que de véritables escrocs : les premiers sont plus faciles à localiser, puisqu’ils publient et s’adonnent aux plaisirs de la conférence.

Le plus étonnant dans cette histoire, c’est que l’escroquerie ait pu durer plus longtemps. Car 20 000 complices qui ne « parlent » pas, qui jamais ne commettent de bévue ou d’indiscrétion, et qui possèdent des cartes ne nécessitant aucun rechargement de crédit, cela relève de l’exploit. De l’exploit ou de la surdité de la part de la MBTA, qui, à aucun moment, n’est parvenu à recouper ses statistiques d’usagers et ses volumes de cartes vendues. Pourtant, une différence de 20 000 clients sur 4 ans, ça aurait dû passer difficilement inaperçu. D’autant plus que les marchands de RFID orientés transport, mettent précisément en avant le « tracking » des trajets et le flicage des usagers, dans le but de réduire les fraudes aux faux tickets et d’optimiser la régulation des lignes et la fréquence de passage des rames selon les directions et horaires.

L’autre aspect étonnant de cette histoire, c’est que seul Boston semble faire les frais de ces mauvaises pratiques. Il est très probable que d’autres grandes villes utilisant un système de contrôle d’accès (par carte RFID en général et MyFare en particulier) soient également victimes d’escroqueries à aussi grande échelle.

Il y a la théorie et la pratique, la science du hacker-conférencier-spécialiste qui s’adresse à un petit cénacle de savants, et il y a le lumpenproletariat de l’exploit, le tâcheron de la cyber-escroquerie qui ne s’intéresse qu’aux « low hanging fruits ». Deux optiques qui souvent s’opposent, mais qui parfois se rejoignent avec une précision chirurgicale. C’est le cette semaine des appareils de lecture de carte bancaire dotées de puces.

Côté théorique, cette analyse signée Inverse Path/Aperture labs, notamment cosignée par Adam Laurie, le pourfendeur pythonisé des RFID et des centres de calcul hébergés dans des bunkers antiatomiques. De nombreuses carences frappent les cartes de crédit Visa/Mastercard/Europay. A commencer par un déploiement encore loin d’être universel, par des procédures de repli utilisant encore trop souvent la piste magnétique de la carte, depuis longtemps réputée peu fiable…

Viennent ensuite les hack matériels, continue l’étude en question. Comme d’habitude dès qu’il s’agit d’une application « technologique », les promoteurs de la norme ou du procédé clament à qui veut bien l’entendre que le « reverse » de leur technique est d’une complexité digne de l’aéronautique. Hélas, les escrocs ne tentent jamais de briser les mécanismes de protection. Ils les contournent ou les compromettent par une attaque du milieu. C’est le rôle du skimmer, de la façade accolée sur un distributeur de billet, qui photographie le code pin au moment où il est entré, et qui enregistre au passage les données de la piste magnétique. Tout çà relève plus du bricolage que de la « rocket science ».

Puis les pirates du DAB évoluent, s’adaptent. On trouve désormais des skimmers qui intègrent un clavier à membrane, lequel évide désormais toute erreur de lecture du code pin. Brian Krebs a longtemps écrit sur ce sujet et probablement dressé la liste la plus complète des traficotages possibles sur un distributeur de billets
Le dernier cri en matière de skimming, c’est le truandage des TPV, ou Terminaux Point de Vente (POS en anglais).

Il y a la technique de la rue, celle réellement utilisée par les truands, et (encore) décrite par Krebs. Le hack consiste, tout comme pour les skimmers de DAB, à ajouter un clavier-membrane intermédiaire et un peu d’électronique pour récupérer les données du lecteur de carte d’origine, stocker les informations et les transmettre via un lien Bluetooth au propriétaire du TPV trojanisé. Un tel appareil est vendu, nous apprend Krebs, entre 2000 et 3000 dollars selon la quantité.

L’équipe Inverse Path/Aperture labs, quant à elle, procède d’une manière toute aussi subtile, grâce à une carte interstitielle qui se glisse entre les contacts du lecteur CP8 et la carte elle-même. Un circuit imprimé de 2 ou 3 dixièmes d’épaisseur, voir un CI souple, peut faire l’affaire. Le tout est alimenté par les piles du TPV lui-même. Une nouvelle façon de concevoir l’attaque « man in the middle » et une astuce électronique vieille comme le monde. Dans tous les cas de figure, ce n’est pas le système de chiffrement ou le niveau de protection du firmware des TPV qui est compromis, c’est l’accès physique au canal d’échange de données entre le TPV et la carte d’une part, et entre le client et le TPV d’autre part.

On pourrait également associer ces deux informations avec un dernier fait-divers, celui relatant l’arrestation d’un certain Rodney Reed Caverly qui, un mois durant, à répandu un « virus sur-payeur » dans plusieurs distributeurs de billets automatiques. Cet informaticien employé par la Bank of America a ainsi pu soutirer un peu moins de 300 000 dollars. Il est condamné, outre une peine de 27 mois de détention, à rembourser les sommes détournées, augmentées de 134 000 dollars, coût estimé par Bank of America pour désinfecter ses systèmes. 134 000 dollars pour nettoyer une petite dizaine d’automates, les salaires de BoA mériteraient peut-être eux aussi un audit de sécurité.

On a beaucoup twitté et blogué sur ce détournement peu commun : la création d’une fausse page VirusTotal contenant elle-même un vecteur d’infection Java destiné à installer une porte dérobée. L’information a été rendue publique sur la Malware Domain List. VirusTotal est un frontal hébergeant 41 antivirus du commerce, utilisé aussi bien par les spécialistes sécurité que par les professionnels de la grande truanderie informatique. Le score de détection (n/41) donne le degré de visibilité et d’interception qui caractérise un malware. A qui donc peut profiter un malware visant les machines des testeurs de malwares ? Et par qui une telle attaque a-t-elle été lancée ? Autant de questions qui pourraient presque donner le ton d’un cyber-polar contemporain.

Facebook,nous apprend Softpedia, serait en train d’envisager très sérieusement d’offrir une « prime au trou » pour toute faille découverte et communiquée à l’éditeur. Les récentes publications de failles, soit effectivement exploitées à des fins néfastes, soit rendues publiques par des chercheurs indépendants par simple souci d’information, avaient largement défrayé la chronique ces 12 derniers mois et légèrement écorné l’image de marque de l’entreprise. Cette course à la prime défendue par différents éditeurs (du ZDI à Google en passant par Mozilla) non seulement limite les risques de divulgation sauvage puisque la prime n’est versée que dans le cadre d’un échange confidentiel, mais en outre transforme la sécurité en un centre de profit puisque la publicité faite autour des correctifs est une forme de promotion par la qualité que savent désormais largement exploiter les susnommés.

En France, la première réaction consisterait peut-être plus à tenter d’aggraver la situation en poursuivant l’inventeur de la faille, comme nous l’a démontré la récente affaire TMG et plus anciennement les affaires Kitetoa vs Tati ou Tegam vs Guillermito …

La haute autorité, nous apprennent nos confrères de Libération, se lance dans une grande opération de séduction auprès des médias. Une campagne marketing qui vient alourdir le budget de la lutte « antipiratage » dont, pour l’instant, personne ne possède le montant exact ni la rentabilité.

Une récente étude également commentée par nos confrères de Libération, montrait que, malgré les mécanismes de délation automatisés et le système répressif, une majorité d’usagers n’envisageaient pas de changer d’habitude, que dans 84% des cas les téléchargeurs étaient acheteurs de contenus légaux, donc promoteurs économiques. Des chiffres que ne parviennent pas à masquer des questions formulées de manière parfois discutable ou pouvant prêter à interprétation de ladite étude.

Symantec vient, dans une transaction déclarée à 390 millions de dollars, d’acquérir Clearwell, entreprise spécialisée dans le développement de logiciels d’archivage, sauvegarde et surtout de fouille des données d’entreprise. Destinés essentiellement aux professions juridiques, ces programmes sont surtout utiliser pour exhumer, parmi des gigaoctets de documents, emails et autres traces électroniques, des éléments « probants » ou à charge. Pudiquement baptisés « electronic discovery software » ces programmes sont convoités par les grands éditeurs en mal de complément de panoplie. Kazeon a ainsi été repris par EMC.

La gamme Clearwell sera, explique le communiqué, intégré à la suite d’archivage-gestion-protection des données Enterprise Vault.

Le Ministre de l’Intérieur Allemand Hans-Peter Friedrich (CSU) voit des poseurs de bombes logiques partout. Pour lui, comme nous l’apprend le site Web Golem qui commente une interview publiée dans l’édition dominicale du Frankfurter Algemeine Zeitung, il faut s’attendre à ce qu’explose un jour une « bombe virtuelle » manipulée par des terroristes et des cyberdélinquants. L’argument des sauvageons d’internet avait déjà servi au Ministre en question à relancer la question de la rétention des données par les FAI Allemands. Le terme de « bombe » n’est manifestement pas choisi par hasard, les mots « virus informatique », « attaque en déni de service » ou « réseau de bot » n’étant pas assez forts pour émouvoir qui que ce soit. Et pourtant, c’est bien de cela qu’il s’agit.

Une réflexion de Ministre qui s’inscrit, fait remarquer Golem, à l’exact opposé des craintes du Secrétaire général de l’Otan Anders Fogh Rasmussen : « die größte Gefahr im Internet nicht von Kriminellen oder Terroristen ausgehe, sondern von anderen Staaten ». En gros, les criminels et autres terroristes ne sont rien face à la menace que représentent les Etats eux-mêmes. Ce qui est d’ailleurs assez logique. Une armée en mouvement ou un acte de guerre est toujours plus destructeur qu’une révolte des pastoureaux. Mais, le titre de la fonction l’explique clairement, le rôle d’un Ministre de l’Intérieur n’est pas de protéger le pays contre un ennemi extérieur (c’est le travail de l’armée) mais plutôt de chercher l’ennemi au sein même dudit pays. Comme beaucoup de ses homologues, Friedrich joue sur le registre du cas particulier, du fait divers et des statistiques de police, décorellés de toutes autres métriques sociétales.

Inutile de dire qu’il y en a, des images, dans cette carte Sim de téléphone Samsung. Aux plus malins d’aider l’équipe de Forensic de la Police qui est en train d’y perdre son latin.

iAwacs se déroulant dans le cadre des Rencontres Solution Sécurité et Informatique Libre (Rssil les 27 et 28 mai prochain à Maubeuge, espace Sculfort), l’on ne peut également manquer de signaler le programme détaillé de cette manifestation et surtout des conférences qui s’y tiendront. A noter une présentation de Renaud Lifchitz, La sécurité des téléphones portables, et diverses causeries sur la stéganographie, l’usage bien tempéré de Metasploit, les techniques d’attaque via des logiciels bureautiques, sans oublier bien sûr le traditionnel concours de crochetage de serrures… sans lequel une conférence de sécurité ne serait que l’ombre d’elle-même.

En escalade sportive, lorsque l’un des brins de rappel est abîmé, généralement par un coup de crampon ou une chute de pierre, il existe un nœud salvateur qui offre au grimpiste dans le désarroi la possibilité de rejoindre tout de même le plancher des vaches : le nœud de mule ou nœud d’évadé, et sa variante le nœud de brigand (ou nœud de voleur)*. Sa particularité est d’offrir un solide amarrage sur l’un des brins, mais la moindre tension sur le second « bout » détricote l’attache… et c’est la chute assurée. Tout tient solidement à condition de ne pas commettre d’erreur.

C’est très exactement avec ce genre de nœud que la sécurité de Sony semble avoir été liée. Hélas, un hacker anonyme a découvert l’existence du « mauvais » brin conduisant à l’intranet Sony, et, depuis, toute une faune s’escrime à tirer dessus, détricotant au fil des jours les entrelacs de serveurs. Mêmes les filiales et sous-traitants sont potentiellement en danger. Ainsi So-Net Entertainement Corp, piraté, nous apprend le Wall Street Journal, pour une poignée de « bons de réduction ». Les serveurs Web de Sony Thaïlande se sont avérés héberger des pages de phishing explique F-Secure, laissant ainsi clairement entendre une certaine interpénétration entre les hackers anonymes et des mouvements mafieux (qu’elle soit volontaire ou non). Puis c’est au tour de Sony BMG Grèce de subir des hackers l’irréparable outrage, nous apprend The Hacker’s News. L’intrusion repose sur une injection SQL, les bases de Sony sont une nouvelle fois les entrailles à l’air sur pastebin. Petit à petit, la sécurité de Sony tombe comme une rangée de dominos, et l’entreprise est entraînée dans une chute vertigineuse. Ce n’est plus de l’alpinisme, c’est du vol relatif (ou caractérisé, selon le point de vue du lecteur).

Devant cette destruction en règle des services informatiques d’une entreprise, il faut se rappeler que tout ceci est parti d’une action militante (que l’on pouvait classer de manière rassurante dans la catégorie « hacktivisme ») et qui peu à peu a totalement échappé aux contrôles de ses initiateurs pour être récupérée par une foultitude de groupuscules indépendants. Les Anonymous, mouvement d’obédience et de logique nord-américaine, n’ont manifestement pas la culture ou la connaissance qui leur aurait permis d’analyser les raisons réelles de l’échec prévisible des utopies anarchistes du XIXème siècle : l’absence de pouvoir central et le respect des avis individuels conduisent à une dilution des décisions qu’exploitent les parties adverses. Et d’un mouvement contestataire coordonné par cooptation, on est passé à un état entropique lui-même mû par les désirs égotistes de quelques groupes de hackers. Le hack égomaniaque des années 90, que l’on croyait disparu au profit des hack « hacktivistes » ou politique, mafieux et « business oriented », refait surface avec vigueur.

Mais ce hack égotiste a-t-il jamais disparu ? Et c’est probablement ce qui enquiquine les gourous sécurité de ces entreprises compromises et des vendeurs d’outils. Vendeurs qui, depuis deux ou trois ans, ne cessent de rabâcher que le « hack pour l’ego a disparu, remplacé par le piratage mafieux »… l’adversaire n’a plus le panache d’un combattant idéaliste mais fait partie des « terroristes », des repris de justice, de la lie de l’humanité… ce qui exonère le politique et l’industriel de tout scrupule pour édicter et imposer un arsenal répressif, tant législatif que technique, l’un poussant l’autre dans une étreinte douteuse. Qu’il était pratique, le pirate hacktiviste. Il donnait un visage connu à un ennemi de classe.

Et bien non, le hack « pour la gloriole » n’est pas mort, même s’il est exploité par la suite de façon mafieuse, même s’il est en partie sous-mariné et dirigé par de sombres intérêts concurrentiels ou d’espionnage économique. Et c’est la résurgence de cette composante idéaliste et égotiste qui fausse les taxonomies propres, tirées au cordeau, qui prétendaient définir le profil du « pirate moyen ».

Sony n’est qu’un exemple parmi tant d’autres. Les récentes publications du Cult of the Dead Hadopy sur la liste Full disclo visant les erreurs de conception des logiciels de TMG ne sont qu’un exemple de plus. Le but n’est pas de « casser l’image ou l’infrastructure » de TMG… l’entreprise s’en charge très bien toute seule. La motivation première est purement égotiste : « je publie ouvertement, par militantisme et pour une parcelle de gloire, le source d’un programme pouvant mettre à mal un outil répressif » affirme le Cult of Dead Hadopi. Si les visées du mouvement avaient été franchement nihilistes, si le désir de détruire gratuitement avait été affirmé, le code n’aurait jamais été publié sur une liste aussi publique, mais aurait couru sous le manteau. Le code du CDH n’a rien à voir avec le L.o.i.c. des anonymes. Ce qui ne veut pas dire que sa publication ne puisse provoquer de dommages collatéraux. Notons au passage que le message du CDH a été censuré sur le miroir du F.D. assuré par Der Keiler.

*Ndlr : Cette technique est donnée à titre purement informatif. L’usage d’un tel nœud en conditions réelles est purement et simplement mortel. A n’apprendre que sur de « petites moul’ » et à n’utiliser qu’en cas d’extrême nécessité. La rédaction ne fournit pas les crash-pad.