juin, 2011

Pavel Vrublevsky était banquier. Cyber-banquier même, co-fondateur de ChronoPay, le tiers de payement le plus important de Russie, l’un des successeurs de eGold et autres « trésoriers-payeurs » mafieux. Etait, car les autorités Russes ont arrêté Vrublevsky, les motifs d’inculpation ne manquant pas. Car outre son métier d’intermédiaire financier peu regardant, il dirigeait également une « pharmacie » spécialisée dans le spam et la vente de fortifiants divers (Rx-Promotion) et s’adonnait régulièrement à la pratique du scareware, sport consistant à vendre du faux-antivirus russe en effrayant le chaland à grand coups de popup alarmistes prétendant détecter une infection. Et pour parachever cette édifiante carrière, ce Spam King et cyber-escroc venait d’être balancé par l’un de ses seconds couteaux récemment embauché pour lancer des attaques en déni de service contre les ordinateurs d’un concurrent, intermédiaire financier travaillant notamment pour le compte de la compagnie aérienne Aeroflot. Les révélations de ce factotum ont forcé Vrublevsky à quitter le pays, nous apprenait Brian Krebs en début de semaine passée. L’article de l’ex journaliste du Washington Post nous apprend que l’usage du DdoS était une quasi-habitude de l’individu. Une forme de violence qui se manifestait particulièrement à l’égard des sites antispam ou dénonçant les activités douteuses du personnage. L’attaque contre l’intermédiaire d’Aeroflot a probablement été la bravade de trop. Tant que les exactions du personnage ne frappaient que des entreprises ou organisations nord-américaines, le FSB se montrait relativement tolérant. Mais en touchant aux deniers de la compagnie de transport nationale, Vrublevsky a réduit en cendres l’immunité « par inertie » dont il semblait bénéficier.

Le hack de Citigroup aurait coûté, rapporte IDG News Service, près de 2,7 millions de dollars, conséquence directe du vol de 360 000 crédences bancaires. Sur ce total, des opérations frauduleuses touchant environ 3400 comptes auraient provoqué ces pertes. Bien sûr, l’évaluation est effectuée par la banque elle-même, ce qui laisse planer de très forts doutes quant à l’exactitude du montant. Le Ponemon Institute avait, rappellent nos confrères, estimé que le coût administratif de ce hack (principalement causé par l’envoi des lettres d’avertissement auprès des clients et autres mesures du genre) totaliserait 77 M$, à raison de 214 $ par victime potentielle. Il faut rappeler que la consultation des comptes en ligne et les recherches dans l’historique des comptes sont facturées au prix fort aux USA, ce qui fait grimper la facture très rapidement. A ceci s’ajoute l’obligation de prévenir chaque personne par courrier de surface, opération dont le montant comporte souvent des postes très surévalués.

Rappelons que le hack de Citigroup n’avait été possible que grâce à une négligence dans la procédure d’authentification des consultations en ligne et non, comme prétendu au moment où l’intrusion a été découverte, par une « advanced persitant threat » digne des plus grands Cyber-Lords du contournement de firewall.

LulzSec pille les fichiers de la police d’Arizona tandis que celle de Grande Bretagne procède à l’arrestation de l’un de ses membre présumés, LulzSec publie « pour le fun » 62 000, puis 750 000 identités numériques qui sont aussitôt exploitées par le ban et l’arrière ban des cyber-délinquants, LulzSec nie toute responsabilité à propos de ces exploitations (une vision très particulière de la causalité), LulzSec enterre la hache de guerre et s’occulte pour le siècle à venir un peu comme l’a fait le Collège de Pataphysique, LulzSec enfin lance un « engagez-vous, rengagez-vous dans la légion des Anonymes », après avoir fait clairement entendre que les nouvelles recrues devront attendre, le doigt sur la couture du pantalon, les ordres du Comité Directeur avant de hacker quoi que ce soit. Cette « paix des dupes », qui consiste à disparaître pour continuer un combat sous une autre identité diffuse, est-elle (comme le suggèrent quelques experts) la conséquence des menaces d’autres groupes de hack ou des forces de police ? Ou est-ce plus simplement une stratégie du mouvement destinée à réduire la surface de vulnérabilité du groupe ?

A cette question relativement secondaire s’ajoutent celles ayant trait à l’identité du groupe de pirates. Ce qui déconcerte le plus, c’est cette forme de retour au hack égotiste « pour la gloire et pour des prunes » comme semble le penser l’un des responsables de Mandiant, spécialiste forensique d’Outre Atlantique, dans les colonnes de Network World. Mais est-ce si simple ? L’association LulsSec/Anonymous n’est –elle qu’un mouvement d’individus indépendants visant une minute de gloire Warholienne ? Hors de question, bien entendu, de soupçonner des visées totalitaristes, une forme d’auto-justice expéditive ou un vecteur d’attaque à des fins plus ou moins louches : personne n’a envie de finir comme PBS. La liberté de parole chez LulzSec ou Anonymous ressemble beaucoup à ce que dénonce Hannah Arendt dans « Qu’est-ce que la liberté ? ». Tant sur le plan de la responsabilité dans la causalité des actes que dans cette forme d’intimidation auprès des médias qui n’approuvent pas les actions des crackers.

Pourtant, l’hypothèse du hack égotiste ne suffit pas à tout expliquer. Il y a, indiscutablement chez les Anonymous (un peu moins autour de LulzSec) une fascination admirative liée aux motifs parés d’intentions nobles : le combat pour la liberté d’expression de Wikileaks, la lutte contre les régimes répressifs d’Afrique du Nord ou Centrale, la protestation contre quelques lois liberticides… Une forme non pas de conscience, mais de bonne conscience politique qui consiste à lutter durant quelques heures contre le tyran d’une république bananière, puis un jour plus tard contre quelques Ministres ou partis politiques Espagnols en train de concocter une simili-Hadopi, puis peu de temps après contre une église intégriste Américaine, une entreprise commerciale Nippone taxée d’intolérance … LulzSec ou Anonymous, c’est le cyber-Che Guevara des temps modernes, une cristallisation de l’exaltation sans analyse. Car l’on ne fait aucune différence de traitement entre un état démocratique et une dictature, un organisme gouvernemental et une entreprise privée. C’est la loi du « tous pourris », une simplification populiste qui contient les gènes de ce qu’elle prétend combattre. Autrefois l’on chantait « And it’s one, two, three, what are we fighting for », aujourd’hui, la guerre du Vietnam moderne arbore le logo Sony ou l’uniforme Tunisien, Woodstock se déroule sur les IRC et les protest song se téléchargent sous forme de fichiers Loic.zip. D’ailleurs, on ne dénonce pas la guerre, bien au contraire, on clame haut et fort que l’on veut y participer. Forcément, le nombre des protestataires inquiète. Mais plus que leur nombre ou la violence de leurs attaques, c’est l’absence apparente de ligne directrice qui panique le monde informatique connecté, les CSO de banquiers, les RSSI d’administrations. Il y a là une totale incompréhension entre deux mondes qui s’affrontent : l’un souhaitant absolument accoler à ces « sauvageons du net » un mobile répondant à des schémas connus pour pouvoir imaginer une parade, l’autre voyant le monde politico-affairiste comme le fruit d’une collusion mondiale, d’une vaste conspiration oligarchique néolibérale. Tentation manichéenne d’un côté et de l’autre.

Pour l’heure, la principale force des Anon ou du défunt Lulz, c’est l’absence de coordination de l’industrie, des administrations, des gouvernements, des Etats face à un plan d’attaque concerté. Des attaques qui ont fait comprendre à la profession que personne, plus personne n’était à l’abri. Ni la police, ni les prêcheurs intégristes, ni les multinationales : prenez garde, v’la la jeune garde, vous les bourgeois, les sabreurs, les curés. Or, lorsqu’une société ou un organisme est agressé, il sécrète très rapidement un anticorps lui permettant de se défendre. Le premier anticorps des Etats, c’est son arsenal législatif et la mise en œuvre de ripostes ponctuelles ne visant non pas la multitude, l’entité, mais des individus soupçonnés d’appartenir à cette multitude. Une forme de « bataille d’Alger » à la sauce cyber. Certes, comme le dit si bien Topiary de LulzSec, “ Worrying is for fools!”. Lui-même ne risque rien, ou presque, caché dans et par la multitude. Mais petit à petit l’alibi de la lutte contre les Lulz et les Anon fait se multiplier les textes de loi qui tentent de régenter le cyberespace, avec pour première victime non pas les Anon eux-mêmes, mais chaque usager d’Internet. Les anticorps politiques s’avèrent de plus en plus toxiques pour le tissus humain qui n’appartient ni aux rouages des Etats, ni à ceux des logiques commerciales. Et çà, les Anon ne peuvent l’avoir remarqué. Peuvent-ils reconnaître la causalité de leurs actes et modifier leurs actions en conséquence ? Ou persisteront-ils dans leur voie du hack, ce qui ferait d’eux les acteurs objectifs de cette aliénation du Web ?

Richard Bejtlich signale un article de Rick Aldrich publié dans la Newsletter for Information Assurance Technology Professionals et intitulé « Stuxnet Poses Interesting International Cyber Law Issues ». L’article décortique les conséquences juridiques de Stuxnet et constate une évolution sémantique importante des termes « guerre », « agression », « attaque ». Depuis la préhistoire, explique l’auteur, la définition d’une arme était très simple, limitée à la notion cinétique de l’engin. Massue ou missile, le « machin » se déplaçait pour frapper. Avec l’arrivée des cyber-armes, et même si l’on est conscient de l’abus de langage, l’on constate un double glissement sémantique. D’une part l’association du mot « arme » à quelque chose qui ne se déplace pas au sens physique du terme, et qui donc ne peut ni blesser, ni tuer. Mais qui peut en revanche détruire physiquement, que ce soient des centrifugeuses ou des usines pétrochimiques. Ce qui casse est une arme, Stuxnet est donc une « attaque à main armée ». D’autre part, la tentative d’extension juridique de la notion de « bien » ou de « richesse » au domaine immatériel à partir du moment où la destruction de ce bien par une cyberarme peut avoir des conséquences économiques parfois aussi importantes que s’il s’agissait d’un objet concret. Et les avocats d’en parler entre eux, et les lois ayant tendance à suivre (ou envisager de suivre) ce raisonnement. Ce qui conditionne l’état de guerre n’est plus l’action de l’arme, mais les conséquences, les effets de l’attaque. Surtout à partir du moment où les effets seraient semblables ou comparables à ceux qu’auraient provoqué un projectile balistique. Une réflexion qui converge avec celle des compagnies d’assurance, pour qui la notion de risque est liée aux conséquences statistiquement probables, et qui ont inventé l’idée de « vol ou d’attaque caractérisé » qui n’existe pas (encore ?) dans les textes de lois.

* NdlC Note de la correctrice : l’à-peu-près est limite … mais comme j’avais déjà censuré « cyber-guerre et pets », je me suis sentie obligée de laisser passer celui-là

Le scoop est signé David Sanger et John Markoff du New York Times, les « avis d’experts » ont été publiés par la BBC : le FMI aurait été « hacké » et des quantités importantes de fichiers auraient été copiés. L’attaque aurait été possible via la compromission d’une seule station de travail, à partir de laquelle « d’importants transferts de fichiers auraient été constatés ». Le reste n’est qu’hypothèses, succession de démentis et nuages de fumée. Non, ce hack n’est pas en rapport avec « l’affaire DSK ». Non, ce hack n’est pas lié au vol d’informations dont a été victime récemment RSA. Non, aucune donnée concernée n’était de caractère privé. Oui, ces informations étaient « confidentielles » affirme l’Economic Newspaper (mais dans quel cas des données internes ne sont-elles pas considérées comme confidentielles ?). Non (selon certains experts) Oui (selon d’autres), cette intrusion pourrait être le fait d’un gouvernement « ennemi » ou serait le fruit d’une « APT ». Oui (une info de CGN), la Banque Mondiale en a profité pour couper tous liens informatiques avec le FMI par mesure de sécurité… L’écart entre le signal informatif et le niveau de bruit dépasse les 80 dB. A qui profiterait un tel « crime » ? Allons-y de nos spéculations fantaisistes. Timeo Danao … surtout lorsqu’ils n’ont plus le moyen de faire de cadeau. Regardons également du côté de la Chine, histoire de respecter une déjà longue tradition liée à l’APTologie.

L’on pourrait également voir quelques ressemblances entre l’attaque du FMI et celle qui avait frappé Bercy à grand coups d’exploits Adobe. Et puisque nous sommes dans une ambiance parano-militaro-informatique, ajoutons à ce « bruit » le lien d’une petite séquence vidéo signalée notamment par Gnu Citizen et le blog de F-Secure, et qui résume dans les grandes lignes ce que fut Stuxnet. Quelques riff endiablés de guitare électrique rythmés par les échos syncopés d’une batterie très « rock’n Roll » pourraient presque faire passer Stuxnet pour le 8ème cercle de l’enfer Internet. Notons au passage l’inflation de « zero days » qui auraient constitué le vecteur d’attaque : 26, pas moins. De ce virus, l’on pourra dire qu’il est plus grand mort que vivant.

Long est le chemin du Trusted Computing, parsemée de rustines est sa route, surtout les mois pairs tels que juin. Ce mois-ci, 14 correctifs dont 9 qualifiés de critique et un nombre impressionnant de CVE colmatés (34 au total) : la MS11-050, dite « le traditionnel cumulatif I.E. » en corrige 11 à elle seule, tandis que la MS11-045 bouche 8 trous dans différentes éditions d’Excel, sous Window et OSX. Ce sont d’ailleurs ces «gros » bouchons que les spécialistes en sécurité conseillent de déployer sans attendre. A noter deux autres habitués des bulletins, les MS11-042 et MS11-043 corrigeant deux problèmes sur SMB et les DFS. Achevons ce rapide survol en signalant le billet du blog MSRC qui pavoise à propos de la nette diminution des virus exploitant la faille Autorun

Chez Adobe, on cimente 13 failles affectant Reader et Acrobat. L’éditeur en profite au passage pour inciter ses clients et usagers à activer, si ce n’est déjà fait, le mécanisme de mise à jour automatique. A noter que les CVE 2011-2094 à 2011-2100 sont considérées comme critiques.

Mais ce qui est le plus intéressant, sous cette giboulée de bouchons, c’est le nombre de revendications signées par le Zero Day Initiative : 27 au total concernant aussi bien Microsoft qu’Adobe. 26 CVE sur 47, soit plus de la moitié des découvertes. Le ZDI devient véritablement LE point de concentration de tout ce que peut compter le monde des chercheurs de faille catégorie « white hat ». Une puissance en termes de connaissances en sécurité concentrée entre les mains d’une seule entreprise privée, ça pourrait faire réfléchir même les moins soupçonneux.

Pourquoi il est quasiment impossible de « remonter » à la source d’une attaque : papier de vulgarisation limpide publié par Scientific American. A communiquer d’urgence rue du Texel …

Le Mail Online revient rapidement sur le cyber-casse de la banque CitiGroup qui s’était soldé par la fuite de plus de 200 000 comptes et identités bancaires. « Attaque sophistiquée », « high profile data breaches », « conséquence du hack de RSA » disait-on à l’époque. Que nenni non point ! rétorque Lee Moran du Mail. Les pirates se seraient connectés à l’aide des crédences d’un véritable compte, puis auraient modifié le numéro de compte apparaissant dans l’URL une fois la première (et unique) authentification validée. Un peu de logique et trois grains de bruteforcing plus tard, les contenus des comptes tombaient comme à Gravelotte. C’est là un classique des attaques et surtout une erreur figurant au hit-parade des Owasp de tous bords. APT : Attaque Pas Tortueuse.

Ca sent le roussi une fois de plus pour les « courants porteurs en ligne », ces outils de transmission sans fil qui n’ont pas besoin de courant porteur pour fonctionner. Après les Services Secrets de Sa Gracieuse Majesté, c’est au tour de l’UIT, la sacro-sainte organisation internationale qui régit le spectre radioélectrique dans le monde entier. Son dernier communiqué sur le sujet explique que les CPL brouillent fortement le spectre des ondes décamétrique, et que ce serait essentiellement la faute des « équipements domestiques non conformes avec les recommandations UIT ». Les barbouzes de la Royale Highness avaient été plus sévères, puisqu’ils affirmaient que certains produits vendus se prétendaient « conformes à des drafts normatifs qui avaient été depuis longtemps déclarés caduques »… donc conformes à un moment donné à des règlementations ou projets de règlementation d’un émis par une autorité de régulation locale ou de l’UIT elle-même en des temps où l’on aurait –est-ce croyable ?- traité les problèmes de Compatibilité Electro-Magnétique un peu par-dessus la jambe.

La bonne nouvelle, dans tout ça, c’est que les plaignants sont des responsables de réseaux de broadcast, donc des entreprises considérées comme des vecteurs économiques importants. La BBC est notamment citée par le communiqué de l’UIT. Jusqu’à présent, le seul à avoir osé, à périodes régulières, attirer l’attention sur les désastres provoqués par certaines installations fut le mouvement radioamateur, qui lui-même dépend de l’UIT faut-il le rappeler. Ces alarmes fondées sur des mesures scientifiques n’ont jamais été prises au sérieux par les politiques. A l’heure du développement des réseaux de radio numérique sur les ondes courtes (Digitale Radio Mondiale notamment), il est peut-être déjà trop tard. Les adaptateurs CPL de mauvaise qualité, principalement d’origine asiatique, sont déjà fort répandus en Europe et ont déjà provoqué une élévation du niveau général de bruits handicapants les systèmes de transmission commerciaux, de recherche et militaires.

Harald Welte fait couler de l’octet cette semaine. Durant le week-end dernier, lors de la conférence « PH Neutre », il expliquait les évolutions du projet Osmocom Tetra, dont le but ultime est de pouvoir décoder les trames des réseaux radio d’urgence (police-pompiers-secours), lesquels utilisent les émetteurs-récepteurs UHF numériques Tetra réputés « inviolables, impossibles à spoofer, étanches aux écoutes non autorisées ». Inutile de préciser que l’aventure n’en est qu’à ses débuts, et qu’il n’est pas question encore d’écouter la maréchaussée « en direct »… Pour l’heure, Welte et ses collègues se contentent de recevoir et de synchroniser un récepteur avec un réseau afin d’en expédier le contenu vers un outil d’analyse tel que Wireshark. Les récepteurs utilisés sont, cela devient une habitude, des émetteurs-récepteurs à définition logicielle (SDR) USRP 1 et 2 (des codes python ont été rédigés pour ces deux SDR) ainsi que le tout nouveau Funcube, récepteur uniquement. Le Funcube, récepteur SDR VHF/UHF/SHF, est très différent des USRP : plus petit (sous la forme d’une grosse clef usb), plus simple d’utilisation (ce n’est qu’un récepteur I/Q intégrant un chipset d’échantillonnage sonore à 96kHz), il est essentiellement utilisé pour écouter les « downlink » des satellites de la banse 1200 MHz. Mais tout comme ses « grands frères », il est capable d’assurer la démodulation des signaux par simple fonction logicielle.

Une lecture attentive du site Osmocom indique qu’outre le développement d’une chaîne de « sniffing » spécialisée Tetra, des tentatives de spoofing sont également en cours d’étude. Les premières émissions d’une « porteuse pure », dénuée de toute modulation, ont été effectuées dans le courant de cette semaine.

Les réseaux policiers européens sont-ils déjà compromis ? Indiscutablement non. L’équipe Welte n’a fait qu’effleurer la question en parvenant à synchroniser un poste « client » dans le cadre d’un réseau à authentification « faible » (ce que l’on peut tout de même qualifier d’exploit technique). Les rares réseaux Tetra ayant laissé échapper des bribes de conversations (régie des transports Berlinois par exemple) n’étaient pas chiffrés, contrairement aux réseaux de police. Cette pénétration d’un réseau de mobiles est-il véritablement « quite shocking » comme l’affirment les chercheurs de de l’Osmocom ? Pas davantage. Des années durant, et en partie encore de nos jours, le réseau radio de la RATP, de la SNCF et de la plupart des régies de transport provinciales reposent sur des infrastructures analogiques non chiffrées… il n’y a rien de passionnant et de très secret que d’entendre un chauffeur de bus déclarer « je rentre à Levallois » ou d’entendre énumérer des numéros d’immatriculation entre « central » et « PS93 ».

Plus encore, bon nombre de services de police, de gendarmerie, de pompiers, utilisent encore des réseaux VHF classiques (parfois avec de brèves séquences d’embrouillage), et ce notamment dans les régions alpines, là où les aléas des transmissions radio empêchent un fonctionnement fiable du réseau Tetra. En terrain accidenté, il est effectivement assez courant que le poste central d’administration Tetra soit dans l’incapacité d’expédier sans accident des trames chargées de l’authentification, donc à l’enregistrement d’une station sur le réseau VHF. Un « talky-walky » qui se voit interdit de parole lorsqu’une équipe incendie se bat contre un feu en fond de vallée, ça n’est ni très sérieux, ni très rassurant. L’utilisation d’une station Tetra en altitude (hélicoptère par exemple), pose également quelques problèmes de « saturation de relais ». En d’autres termes, le hacking Tetra à l’aide d’un USRP n’est véritablement utile qu’en plaine.

Le véritable succès de l’osmocom, c’est d’être parvenu à modéliser, entièrement par logiciel, les bases d’un réseau d’urgence compatible Tetra. Cette action confirme également que les radios à définitions logicielles sont à l’analyse des réseaux sans fil de toute nature (Wifi, Bluetooth, GSM, Tetra, Wimax etc) ce que Wireshark est aux réseaux Ethernet.