juin, 2011

Le FBI à la poursuite de LulzSec, titre Network World. Aucune arrestation, seulement quelques questions posées à Laurelai Bailey, une habitante de l’Ohio dont l’activité sur Internet aurait un lointain rapport avec l’activité du gang Lulz. Bien que non inquiétée par d’éventuelles suites judiciaires, Mme Bailey aurait perdu son emploi en raison de l’impact médiatique négatif provoqué par cette descente de police.

Depuis quelques temps, la bataille qui oppose les différents membres plus ou moins actifs de ces groupes de hackers (Lulz, Anonymous, A-Team, Ninja du Web, TeaMp0isoN etc.) est ponctuée de divulgations d’identités, de « désanonymisation d’anonymous » dont l’une des victimes les plus médiatisées est Ryan Cleary. De telles listes de dénonciation elles-même anonymes rappellent étrangement les règlements de comptes mafieux qui se déroulent dans le milieu du carding. Lorsqu’un truand ne respecte pas certaines lois du milieu, son identité est révélée et sa photo publiée… s’il est chanceux, il ira tout droit en prison. Si la police tarde à intervenir, le « balancé » risque d’avoir quelques problèmes de santé.

Signé : Un ami qui vous veut du bien

Ryan Cleary a été mis en liberté sous caution par le tribunal de Southwark Crown, rejetant l’appel formulé par la partie civile. Cleary est accusé d’avoir commis un acte de « sabotage » contre le S.I. de la SOCA (Serious Organised Crime Agency Britannique) et lancé une attaque en déni de service contre différents sites web liés à l’industrie de la pornographie du Royaume Uni. Son appartenance au réseau LulzSec a été niée par un porte-parole des hacktivistes mais dénoncé par un autre membre appartenant à un autre réseau. Il semblerait que cette décision du tribunal soit liée au fait que le prétendu coupable ait été diagnostiqué comme victime du syndrome d’Asperger. Rappelons que c’est ce même mécanisme de défense qui avait été utilisé par les avocats de Gary McKinnon, le pirate accusé d’avoir perpétré le plus « grand hack du siècle contre les infrastructures informatiques militaires US » et pénétré les défenses des ordinateurs de la Nasa dans le but prétendu de découvrir la vérité sur l’activité des extraterrestres en villégiature sur notre planète.

MasterCard aurait subi le flot d’une attaque en déni de service distribuée si l’on en croit les revendications Twittées par un certain ibomhacktivist. Lequel associait son geste à une nouvelle forme de protestation contre les suspensions de payement visant Wikeleaks. Une « punition » déjà infligée par les Anonymes il y a plus d’un an et qui avait déjà frappé les machines du groupement Visa, de l’intermédiaire Paypal et la banque Helvétique PostFinance. De son côté, MasterCard fait savoir à la presse que certains de ses services ont été partiellement perturbés en raison d’une défaillance de service de son opérateur télécom. Ce qui se résume en trois lignes sur le Wall Street Journal. Une telle action aurait valu la première page des journaux il n’y a pas un an… elle mérite à peine un entrefilet aujourd’hui… la répétition de la violence crée-t-elle une accoutumance ou provoque-t-elle un sentiment de lassitude ?
Comme dans la chanson des Frères Jacques « A la Saint Médard », certains « marchands de pépins et de waterproof, se frottent les mains, faut bien qu’ces gens bouffent ». A lire, dans les colonnes de nos confrères du HNS, cette réaction d’un professionnel de la sécurité qui applaudi à tout rompre les hacks des LulzSec, Anonymous, TeamPoison et autres terreurs du clavier et du Ddos qui gratte. Opportunisme ? Un peu. Mais on ne peut lire ce billet sans remarquer un comeback du fameux débat « would you hire a hacker ? » (Engageriez-vous un pirate ?). Le CTO de l’entreprise en question, Andy Kemshall de SecurEnvoy, voit en ces groupes de pirates ses prochaines recrues et déclare « Les pirates d’aujourd’hui qui agissent dans l’ombre du Lulz ou d’Anon sont les experts de demain »…« les gens choisissent d’ignorer que beaucoup de spécialistes reconnus de nos jours sont d’anciens hackers repentis ». Les anciens Trotzkistes finissent toujours Ministres, les anciens pirates achèvent leur carrière comme auditeur 27001, c’est bien connu.

Le cousin à la mode de Bretagne vient de sortir côté Jardin, et l’agent de police entre en trombe côté cour : le Federal Financial Institutions Examination Council (FFIEC), alias le gendarme des banques aux USA, vient d’émettre une série de règles visant à renforcer la sécurité des transactions… et notamment les mécanismes d’authentification à double facteur (le retour du token ?) et la mise en place d’une défense multicouche (à la Montalembert dit-on en gaulois dans le texte) par opposition à une protection périmétrique dure, « hard and crunchy outside, soft inside ». Rappelons que la notion de double identification a pris un peu de plomb dans l’aile depuis les hacks successifs de Docomo et de RSA et des exploitations qui en ont résulté. Mais le FFIEC n’a jamais brillé pour la lucidité technique de ses analyses et la rapidité de ses recommandations.

Pendant ce temps, à New York, trois associations de joueurs utilisant le réseau PlayStation Network se portent partie civile et accusent Sony de négligence quant à la sécurité de son réseau et la protection des identités de ses clients. Les Anon font au moins quelques heureux en ce bas monde, ce sont les cabinets d’avocats qui, depuis le début de l’histoire, prospèrent au fur et à mesure que se multiplient les « class actions ». En France, nulle réaction des associations et fédérations de joueurs de pétanque, Tarot, Belotte et Beach Volley dont les réseaux semblent totalement inattaquables et qui se moquent éperdument des menaces des Anon à la veille de leur plus importante période d’activité.

Au même moment, un autre éditeur de jeux, Electronic Arts, signale à ses clients que leurs mots de passe ont tous été initialisés, conséquence du « chant du cygne de LulzSec ». Le blog de Sophos en fait mention et recommande pour la énième fois de ne pas utiliser le même mot de passe pour plusieurs services différents, surtout si certains d’entre eux ont des connexions financières.

La librairie en ligne de l’Otan a été piratée et les crédences de ses clients (coordonnées postales, login et mot de passe) récupérées. Une alerte demande aux intéressés de changer leurs mots de passe

39 CVE dans le tout dernier bulletin d’alertes et train de rustines Apple. Les failles corrigées concernent essentiellement Mac OS X 10.6.8. Les utilisateurs de PGP WDE auraient rencontré des problèmes après application des rustines

Alors que le bateau anti-sec du groupe Lulz largue l’ancre et rejoint le contingent des Anonymous, un autre group de pirates déclare qu’il poursuivra le combat. Ce sont les membres du TeaMp0isoN, un groupe de spécialistes qui, jusqu’à présent, limitait ses actions revendicatives et politiques au simple « defacement » massif de sites Web. Activité d’une très haute portée morale et dénotant d’un profond engagement politique. Il faut dire que l’affaire avait assez mal commencé, surtout depuis que le team des empoisonneurs avait déclaré la guerre au Lulz en leur adressant les pires insultes (nOOb, N3bie… bref, de sous-hacker) ainsi en témoignait récemment le magazine Info Security

Mais les adorateurs de La Voisin ne sont pas les seuls à vouloir occuper la place médiatique laissée libre par les humoristes du Lulz. Les « Ninja du Web » revendiquent eux aussi une plus grande maîtrise de l’art du hacking noir et la connaissance de tous les secrets les plus intimes de leurs ennemis jurés. A tel point qu’ils en publient un site Web baptisé LulzSec Exposed. Dure conflit armé dans le bac à sable des pirates teenagers.

La scène Hacktiviste ressemble de plus en plus à une pièce de boulevard, avec des portes qui claquent, des amants cachés dans des armoires, des quiproquos déjantés et des maris trompés. Portes qui claquent et fausse sortie du clan LulzSec qui disparaît pour se retrouver dans le lit de Anon, tandis que les grandes industries et les administrations notamment US s’aperçoivent qu’elles ont, des années durant, été cocufiées par une tribu de courtisans-vendeurs-d’équipements-de-sécurité-réputés-infaillibles et dont les prétentions au mariage étaient loin de valoir la dote (ou la rente de situation) qu’ils exigeaient.

Pendant ce temps, les gouvernements (principalement européens) jouent le rôle du troisième larron et tirent les marrons du feu en profitant de ce quiproquo. Loz Kaye, du Guardian, revient sur la radicalisation de l’arsenal juridico-policier que justifie le cocufiage de l’industrie et des administrations. Risque que nous dénoncions hier dans nos colonnes. Il faut admettre que même pour les Ministres de l’Intérieur les plus cyniques, l’argument des violeurs, des poseurs de bombe et des cyberpédophiles était usé jusqu’à la corde. Rien de tel pour justifier une énième loi sur la rétention de données ou le filtrage que l’assimilation d’un hack de système à un « acte de guerre ». Les hacktivistes sont-ils nés d’un mouvement de réaction contre les lois répressives, ou les lois répressives sont-elles la conséquence des débordements des hacktivistes ? Question déterministe qui ne connaît aucune réponse, car il n’y a pas d’œuf, il n’y a pas de poule dans cette histoire. Pas plus que le fascisme italien d’avant-guerre n’était la conséquence des attentats prétendument anarchistes qui ont facilité leur accession au pouvoir… car ils en étaient l’origine.

Quoi qu’il en soit, en Grande Bretagne, aux Etats-Unis, en France, il se forge à grand renfort de campagnes médiatique un consensus « anti -pirates » qui reprend l’air des vielles rengaines du danger cyberpédophile. Rengaine qui justifie le fait que les libertés individuelles puissent être mises en veilleuse tant que la « patrie du monde des affaires » et que « l’économie qui propulse les états » sont considérées en danger. Tout compte fait, le nombre de cocus est plus élevé qu’on croit. Les Hacktivistes, tout d’abord, dont les revendications militantes bancales n’ont pas tenu devant l’accusation de cybervandalisme. Certains industriels, responsables sécurité des administrations et grandes organisations, qui se sont couverts de ridicule lorsqu’ont été dévoilées les mauvaises pratiques qui ont permis leur mise à sac, ainsi parfois que leurs « pratiques courantes » lorsque le contenu de leurs fichiers s’est retrouvé publié sur les réseaux P2P. Une partie des internautes en général, qui en arrivent à approuver l’institution d’entreprises spécialisées dans la délation de « coupables de téléchargement » et l’instauration de lois liberticides sans même se rendre compte des conséquences directes de ces lois (un récent sondage du gouvernement annonce que 50 % des sondés « adhèrent » à la mise en place de la Hadopi). Enfin, une majorité géants du business de la sécurité périmétrique qui ont, de tous temps, tenté de réduire la protection des SI à une suite d’outils, et non à une politique cohérente, à des processus normés, à des campagnes de pentesting sérieuses, a des couches de protection hétérogènes… Quant aux responsables des systèmes d’information touchés par ces attaques, ils ont moins besoin d’une « rallonge budgétaire » destinée à renforcer leurs défenses, que d’une réelle liberté de décision afin de mieux organiser ladite défense.

Il est des infections qui méritent un peu plus qu’un entrefilet dans une base de signatures. C’est le cas de l’équidé Win32/Popureb.E qu’a analysé avec attention Monsieur Chun Feng du Microsoft Security Research Center, et qui vaut à cette infection tout un billet avec dump à l’appui. Un cheval dont les méthodes d’attaques semblent relativement « bourrines », puisque son imbrication dans le noyau semble résister à toute tentative d’élimination par des moyens conventionnels.

La méthode de désinfection recommandée par le Vénérable Chun Feng se résume en un mot : restaurer le système avec une version antérieure à l’attaque, après avoir réparé le secteur de démarrage par un énergique Fixmbr. Un Cheval de Troie qui s’attaque au Bootstrap (littéralement « monter par les étrivières », on reste dans l’amélioration de la race chevaline), voilà qui est logique… mais pas si courant que çà.

Il ne reste plus, pour les victimes, qu’à retrouver l’endroit où a été rangé ce satané « recovery CD » et espérer que les points de restaurations sont intacts et les backups encore frais. Les quelques victimes de Pureb.E qui auraient eu la malencontreuse idée de s’être faits infecter après une récente application du SP1 de Windows 7 et qui auraient « égarés » leurs sauvegardes auront le plaisir de repartir sur une installation fraîche, dites FSAC, « from scratch after crash ».

Communiqué de presse triomphal de la part du FBI, qui annonce avoir mis fin aux activités d’un réseau d’escroquerie au scareware (faux antivirus) s’étendant aux Etats-Unis et sur une grande partie de l’Europe. Une organisation qui, estiment les policiers Américains, aurait détourné plus de 72 millions de dollars jusqu’à présent.

Démantelée dans le cadre d’une opération baptisée « Trident Tribunal », l’organisation reposait sur une infrastructure de 22 machines situées en Europe (Lettonie, France, Lituanie, Hollande, Suède, Grande Bretagne et Allemagne) et 20 aux USA. Plus de 900 000 ordinateurs auraient été infectés par ce scareware. Deux noms seulement ont été divulgués parmi la liste des personnes arrêtées par les polices des différents pays concernés : Peteris Sahurovs, 22 ans, et Marina Maslobojeva, 23 ans, arrêtés en Lettonie.