Il est des noms qui inspirent l’admiration et qui sont devenus synonymes de l’objet fabriqué parfait. Un Lalique, un Steinway, une Bugatti… Nagra, pour les journalistes, c’est LE magnétophone mythique, une mécanique de précision, une électronique de haute volée. Mais le MP3 a laminé le marché (y compris celui réservé aux preneurs de son professionnels) et l’absence de dynamique a formaté les oreilles de bien des internautes. Ce risque de naufrage, l’entreprise Nagra Kudelski l’avait évité depuis longtemps, en se diversifiant et en devenant l’un des acteurs les plus réputés dans le domaine du chiffrement de flux audio et vidéo. Ces « protections nagravision » étaient la hantise des pirates de la télévision par satellite.

Mais la TNT a renvoyé les satellites au fin fond de leurs points de Lagrange, la télévision sur Internet a remplacé, en Europe, une grand partie des paraboles et des antennes râteau. Malmenée par la situation économique générale, Nagra doit dégraisser ses effectifs, économiser 90 millions de F.S., trouver de nouvelles voies, se séparer de son métier historique (l’audio) en créant une « spin off » qui demeure cependant dans le giron familial Kudelski. Et surtout adapter ses activités « protection des flux » aux liaisons Internet en général et au secteur de l’IP-TV en particulier.

Outre cette évolution du métier de Nagra, l’entreprise espère trouver de nouveaux marchés dans la prestation de services purement « sécurité réseau », en créant une « Cybersecurity unit » spécialisée dans la protection de données, nous apprend le communiqué du groupe. Reste que les demandes en sécurité des réseaux d’opérateurs pourraient bien être assez éloignées de celles des réseaux d’entreprise existant dans l’espace public. En outre, les places sont devenues assez chères, ces derniers temps. L’époque des « startups » a fait place à l’ère des « développements par croissance externe » : il faut avoir fait ses preuves pour survivre ou pour valoir quelque chose, ce qui n’est pas encore le cas de Kudelski dans ce domaine précis …

La journée du 7 novembre a été marquée par quelques remarquables interruptions de services et divers plantage de connexions. La raison : des requêtes BGP un peu particulières, assez particulières pour ne pas être digérées par certains routeurs Juniper, explique Stéphane Bortzmeyer sur son blog. Une attaque Scada lancée par les phalanges noires de l’Empire du Mal et de l’AntiFrance ? Que nenni ! Manifestement rien de malicieux à l’origine mais les conséquences furent loin d’être négligeables, forçant pas mal d’équipements à effectuer un core dump sauvage.

Stéphane Bortzmeyer rappelle que des accidents comparables sont déjà survenus, affectant surtout le matériel Cisco. L’on pourrait également rappeler les états d’âme de certains DNS ou (le fait devient plus rare heureusement) les salades de restauration des fichiers de domaines des serveurs root ou de top level domains com, org, edu etc. Ces « APT » sans Chinois, ces attaques Scada sans attaquant, ces trames terroristes plus efficaces qu’un bataillon d’Anonymous en culottes courtes, en d’autres termes ces grains de sable dans la machine Internet prouvent à quel point le réseau public est fragile, et surtout que « les ennuis naquirent un jour de l’uniformité ». Lorsqu’un bug Cisco ou Juniper frappe un modèle ou une gamme d’équipements, c’est tout Internet qui tousse. Manque de redondance des infrastructures, manque de diversité des systèmes embarqués, à périodes régulières, les démons d’Internet sont montrés du doigt, puis oubliés… en attendant la « prochaine dernière ».

Christophe Cornevin, du Fig, signe un article passionnant et empli de tensions sur l’omniprésence du danger pédophile sur Internet. Un danger que le législateur a su écarter grâce à la Loppsi (seconde édition) puisque, selon notre confrère, 2000 sites coupables devraient prochainement être bloqués « par simple décision administrative ». Ainsi le Pédophile est un peu comme le numéro IP du sauvageon* d’internaute pirate, il pourrait devenir un prétexte qui mène au final à instituer une progressive instillation de l’arbitraire dans la règlementation d’Internet, tout cela bien entendu dans le but louable d’éviter l’accumulation des dossiers sur le bureau des juges d’instruction.

Les personnes chargées de mettre en place ce filtrage ne sont elles-mêmes pas dupes et savent qu’une interception de requête http sur tel ou tel nom de domaine peut être contournée très aisément, témoigne l’article de notre confrère… Il est même d’ailleurs quasiment certain que ces outils de contournement (vpn hébergés à l’étranger notamment) sont dès à présent utilisés dans la plupart des cas. Car les « consommateurs » soumis à ce genre d’addiction, conscients que leurs actes sont bien plus répréhensibles que le piratage du dernier single de Tokyo Hotel, surfent généralement couverts et masqués. Ce qu’a compris un gamin de 14 ans amateur de « compils MP3 » et hadopi-sensibilisé, un consommateur de contenus illégaux le comprend d’autant mieux qu’il risque la prison. C’est donc un consommateur vépéhénisé qui n’a donc quasiment aucune chance de tomber sur la fameuse« page de garde officielle et «refroidissante», estampillée par le ministère de l’Intérieur et rappelant l’article 227.23 du Code pénal ». Une page assimilable aux avertissements « anti-copie » du FBI et des industries du divertissement qui assomment les acheteurs « légaux » de DVD et que ne voient jamais les amateurs de P2P.

Quant aux « quidams tombant accidentellement » sur un site pédopornographique, cela semble faire encore partie des légendes urbaines sécuritaires. Active sur Internet depuis 1981, l’équipe de CNIS-pourtant relativement accro aux pires turpitudes IP et à la visite de sites pas franchement blanc-bleu n’a jamais croisé l’un de ces redoutables serveurs. Le cercle complexe de réseaux pédophiles est constitué d’une communauté de membres et de diffuseurs « cooptés » qui excluent toute probabilité de hasard, pour d’évidentes raisons de discrétion et de crainte de la police.

Les statistiques aussi expliquent peut-être cela. 1000 sites à contenus pédopornographiques, c’est le quark d’une molécule d’eau (0, 000 02%) dans l’océan des 504 millions de sites recensés en cette fin octobre. Chiffres à augmenter de toutes les autres présences virtuelles ou non sur la « grande toile », des 200 millions de blogs éphémères et insaisissables, du presque milliard de participants à des réseaux sociaux (Facebook, Twitter etc.) dont le contenu (30 à 40 milliards de contributions chaque mois), filtré et surveillé uniquement par les opérateurs de services tels que Google ou Microsoft, passe en dessous des radars policiers. 1000 sites, enfin, c’est ce qui se crée chaque jour toutes les 53 minutes, c’est ce qui meurt également toutes les 4 heures environ, montrant à quel point une loi censurant un site quelconque risque d’avoir un effet contraire favorisant sa résurgence* immédiate. 1000 censures et surveillances des réseaux qui, et c’est là peut-être l’aspect le plus dramatique, débouchent encore trop rarement sur un sauvetage des enfants victimes. Car, en matière d’addiction, drogue ou déviance sexuelle, la chasse aux consommateurs est moins efficace que l’arrestation des fournisseurs, mais fait plus de bruit sur le plan des statistiques. La faute non pas au travail des forces de police, mais à la lourdeur, quand ce n’est pas l’absence dans certains pays d’Europe de l’Est, d’Asie ou d’Amérique du Sud, de procédures judiciaires internationales rapides.

Ces chiffres montrent surtout combien la tâche est vaine et dispendieuse, et n’explique pas la raison pour laquelle, pour un si petit nombre de cas, l’on ait préféré ne pas faire appel à une procédure judiciaire classique. Aussi dramatiques et choquants que soient les contenus de ces sites, cela n’explique pas vraiment cette « justice d’exception » qui n’est soumise à aucun juré populaire. A moins que… mais ce serait là une supposition paranoïaque et totalement infondée, à moins que ce dispositif de blocage ne soit pas seulement destiné à chasser le cyberpédophile. Mais bien sûr, cette hypothèse reste douteuse …

*ndlr Note de la rédaction : voir le précédent de CopWatch qui, depuis son interdiction, a vu le nombre de ses « miroirs » multiplié par 30. Les statistiques d’Internet sont issues des métriques Netcraft et des données fournies directement par certains opérateurs tels que Facebook ou Twitter.

*ndlr Note de la correctrice : rendons à César ce qui appartient à Jean-Pierre Chevènement

12 décembre 2011, Rendez-vous à l’Intercontinental Paris Avenue Marceau

Tirage au sort de Noël pour le dernier évènement de l’année*

(premier prix : un ipad2)

Identité, Accès, Certificat, Fuite d’information :
Menaces et Solutions
(Retrouver la Confiance dans le SI)

Petites ou Grandes, toutes les entreprises sont concernées aujourd’hui par les problèmes de fuite de données ou d’intrusions, conséquences d’usurpation d’identité, de vols de crédences d’accès ou de problème de certificat.
Quel niveau de confiance peut-on accorder aujourd’hui aux différents éléments qui constituent ou participent au SI ? Comment être sûr que votre interlocuteur est bien celui avec qui vous voulez traiter ? Comment savoir si le certificat utilisé n’a pas été révoqué, usurpé, forgé ou émis par une autorité elle-même compromise ? Comment maîtriser les flux d’informations sensibles aux seuls périmètres de l’entreprise, aux seules personnes autorisées à y accéder ?
Venez faire le point sur les menaces, avec CNIS Event, lundi 12 décembre matin, et partager les analyses sur les récents piratages qui ont soulevé pas mal d’interrogations. Après un tour d’horizon des menaces et des risques, Experts, Avocats et Acteurs du marché expliqueront la réalité du terrain et donneront des conseils ou des solutions pour retrouver la confiance dans le SI. Ils seront également là pour débattre et répondre aux questions des patrons, DSI, RSSI, personnel IT ou toute personne se sentant concernée par ces problématiques au sein de l’entreprise (juriste, avocat, CIL …), présents dans la salle.

Où ?

CNIS Event a choisi un endroit en plein cœur de Paris, à deux pas des champs Elysées et de l’Arc de Triomphe. A deux pas des endroits business les plus stratégiques de Paris (Porte Maillot, Palais des congrès, La Défense…) comme facile d’accès pour ceux de l’extérieur qui viennent tout spécialement assister à la matinée CNIS Event (aéroports Orly et Roissy, accès aisé aux trains grandes lignes via la station de RER Charles de Gaulle-Etoile à proximité, parking).
InterContinental Paris avenue Marceau
64, avenue Marceau,
75008 Paris
Tél : +33 (0)1 44 43 36 36
Pour s’y rendre : métro George V (ligne 1), RER Charles de Gaulle-Etoile (Ligne A),Bus Arrêt Bassano (Ligne 92 Porte de Champerret – gare Montparnasse), parking 75 avenue Marceau, Paris 8

Pour qui ?

Les Responsables sécurité, les DSI, les décisionnaires d’une façon générale que ce soit de l’infrastructure ou de l’entreprise, les CIL, les avocats et juristes et DRH de l’entreprise, les consultants également. Tous sont concernés par les vols d’identité numérique, l’utilisation de certificats et les fuites d’information. Il faut connaître et comprendre à qui, à quoi on a à faire pour pouvoir envisager et organiser la protection de son système d’information. Un discours d’expertise et de sensibilisation qui concerne tout le monde.

Cliquer ici pour :

S’inscrire en ligne aux matinées de CNISevent

Agenda

• 8H30 – Accueil des participants : petit-déjeuner et Networking
• 9H00 – Panorama des menaces, vols d’identité numérique, retour sur quelques cas de fuites d’information par Pascal Lointier, Président du CLusif
• 9H20 – Expertise terrain, point de vue de PaloAlto Networks
• 9H40 – Conseils, guide et expertise, par un expert de l’ANSSI
• 10H00 – Expertise terrain, Solutions avec Bernard Montel, RSA
• 10H20 – Minute Juridique : Vol d’identité numérique, fuite d’information … quels sont les droits des entreprises, Maîtres Olivier Itéanu et Garance Mathias répondent à toutes vos questions
• 10H40 – PAUSE Networking
• 11H00 – Expertise terrain, Solutions & Cas concret, Benoît Grunemwald, AGS
• 11H20 – Fuite d’information, par un expert sécurité
• 11H35 – Panel sur les menace de vol d’identité, problème de certificat et fuite d’information : Eric Caprioli, avocat qui abordera la partie juridique, Edouard Jeanson, Directeur du Centre de recherche et sécurité Sogeti, pour des conseils en bonne pratique, Emmanuel Cosperec, expert et responsable entité « Identity & Access Management »  Solucom, un acteur du secteur qui expliquera sa vision et un second acteur du secteur qui viendra compléter cette vision. Animé par un journaliste sécurité
• 12H25 – Tirage au sort de Noël* & Clôture de la conférence

*Exceptionnellement, pour fêter Noël et clôturer en beauté le dernier évènement de l’année 2011 de CNIS Event, nous procéderons à un tirage au sort de cadeaux pour les personnes présentes, de nombreuses surprises sont à prévoir dont un ipad2 …

12 décembre 2011, Rendez-vous à l’Intercontinental Paris Avenue Marceau

Tirage au sort de Noël pour le dernier évènement de l’année*

(premier prix : un ipad2)

Identité, Accès, Certificat, Fuite d’information :
Menaces et Solutions
(Retrouver la Confiance dans le SI)

Petites ou Grandes, toutes les entreprises sont concernées aujourd’hui par les problèmes de fuite de données ou d’intrusions, conséquences d’usurpation d’identité, de vols de crédences d’accès ou de problème de certificat.
Quel niveau de confiance peut-on accorder aujourd’hui aux différents éléments qui constituent ou participent au SI ? Comment être sûr que votre interlocuteur est bien celui avec qui vous voulez traiter ? Comment savoir si le certificat utilisé n’a pas été révoqué, usurpé, forgé ou émis par une autorité elle-même compromise ? Comment maîtriser les flux d’informations sensibles aux seuls périmètres de l’entreprise, aux seules personnes autorisées à y accéder ?
Venez faire le point sur les menaces, avec CNIS Event, lundi 12 décembre matin, et partager les analyses sur les récents piratages qui ont soulevé pas mal d’interrogations. Après un tour d’horizon des menaces et des risques, Experts, Avocats et Acteurs du marché expliqueront la réalité du terrain et donneront des conseils ou des solutions pour retrouver la confiance dans le SI. Ils seront également là pour débattre et répondre aux questions des patrons, DSI, RSSI, personnel IT ou toute personne se sentant concernée par ces problématiques au sein de l’entreprise (juriste, avocat, CIL …), présents dans la salle.

Où ?

CNIS Event a choisi un endroit en plein cœur de Paris, à deux pas des champs Elysées et de l’Arc de Triomphe. A deux pas des endroits business les plus stratégiques de Paris (Porte Maillot, Palais des congrès, La Défense…) comme facile d’accès pour ceux de l’extérieur qui viennent tout spécialement assister à la matinée CNIS Event (aéroports Orly et Roissy, accès aisé aux trains grandes lignes via la station de RER Charles de Gaulle-Etoile à proximité, parking).
InterContinental Paris avenue Marceau
64, avenue Marceau,
75008 Paris
Tél : +33 (0)1 44 43 36 36
Pour s’y rendre : métro George V (ligne 1), RER Charles de Gaulle-Etoile (Ligne A),Bus Arrêt Bassano (Ligne 92 Porte de Champerret – gare Montparnasse), parking 75 avenue Marceau, Paris 8

Pour qui ?

Les Responsables sécurité, les DSI, les décisionnaires d’une façon générale que ce soit de l’infrastructure ou de l’entreprise, les CIL, les avocats et juristes et DRH de l’entreprise, les consultants également. Tous sont concernés par les vols d’identité numérique, l’utilisation de certificats et les fuites d’information. Il faut connaître et comprendre à qui, à quoi on a à faire pour pouvoir envisager et organiser la protection de son système d’information. Un discours d’expertise et de sensibilisation qui concerne tout le monde.

Cliquer ici pour :

S’inscrire en ligne aux matinées de CNISevent

Agenda

Agenda

• 8H30 – Accueil des participants : petit-déjeuner et Networking
• 9H00 – Panorama des menaces, vols d’identité numérique, retour sur quelques cas de fuites d’information par Pascal Lointier, Président du CLusif
• 9H20 – Expertise terrain, point de vue de PaloAlto Networks
• 9H40 – Conseils, guide et expertise, par un expert de l’ANSSI
• 10H00 – Expertise terrain, Solutions avec Bernard Montel, RSA
• 10H20 – Minute Juridique : Vol d’identité numérique, fuite d’information … quels sont les droits des entreprises, Maîtres Olivier Itéanu et Garance Mathias répondent à toutes vos questions
• 10H40 – PAUSE Networking
• 11H00 – Expertise terrain, Solutions & Cas concret, Benoît Grunemwald, AGS
• 11H20 – Fuite d’information, par un expert sécurité
• 11H35 – Panel sur les menace de vol d’identité, problème de certificat et fuite d’information : Eric Caprioli, avocat qui abordera la partie juridique, Edouard Jeanson, Directeur du Centre de recherche et sécurité Sogeti, pour des conseils en bonne pratique, Emmanuel Cosperec, expert et responsable entité « Identity & Access Management »  Solucom, un acteur du secteur qui expliquera sa vision et un second acteur du secteur qui viendra compléter cette vision. Animé par un journaliste sécurité
• 12H25 – Tirage au sort de Noël* & Clôture de la conférence

*Exceptionnellement, pour fêter Noël et clôturer en beauté le dernier évènement de l’année 2011 de CNIS Event, nous procéderons à un tirage au sort de cadeaux pour les personnes présentes, de nombreuses surprises sont à prévoir dont un ipad2 …

L’Israélien Checkpoint vient d’absorber Dynasec ltd, un spécialiste de la GRC (Gouvernance, gestion des Risques et Conformité), pour un montant qui n’a pas été communiqué.

La GRC est un secteur qui a le vent en poupe… surtout sur le créneau des entreprises « opéables ». Au début de ce mois, IBM s’offrait Q1 Lab et McAfee rachetait NitroSecurity. Car il s’agit là du chaînon manquant aux principaux constructeurs d’outils de défense périmétrique (NGFW, IPS) leur permettant d’effectuer des filtrages de contenu en fonction des « flux métiers » et de l’organisation hiérarchique définie par les différentes politiques de production et de sécurité. Ces GRC sont généralement (et c’est le cas également de la gamme Dynasec) accompagnées d’outils de gestion des évènements et de suivi des informations (SIEM).

A peine vient-on d’oublier Beast (mais si, voyons… l’exploit SSL 1.0) que la mode des cyber-catastrophes se renouvelle. DuQu avait déjà fait l’objet d’un article sur le blog de Kostya Kortchinsky, c’est au tour de Secureworks d’y aller de sa « foire aux questions sur DuQu » : quels sont ses liens de parenté avec Stuxnet (liens d’inspiration technique doit-on préciser) ?, Quels sont ses constituants et les actions qu’il effectue ?, Comment détecter sa présence sur une machine ?… Rien de très nouveau si l’on a suivi avec attention les écrits et liens de l’Expert de Miami. Reste que, comme à l’accoutumé, l’analyse de Secureworks est un modèle de clarté : DuQu est un keylogger qui, bien que très « inspiré » en termes d’écriture par Stuxnet, ne vise en rien une infrastructure Scada ou industrielle. Tout çà, on le savait depuis longtemps. On nage toujours en plein mystère quant à l’origine de ce malware, mais une chose est certaine, ce n’est pas là de la graine d’APT… pour l’instant. Une modification de la charge utile commandée par le C&C pourrait éventuellement faire évoluer la qualification.

Nitro, en revanche, çà c’est de l’APT pur fruit d’arbre à hackeur, et qui vise directement les « Fortune 100 », nous apprend une étude de Symantec. Nitro serait en fait la énième attaque d’envergure, d’origine probablement Chinoise, visant spécifiquement des entreprises US, Britanniques et Danoises (sic) qui œuvrent dans le secteur de la défense, de la chimie et des industries de pointe. Les machines infectées par ce virus-espion sont essentiellement situées aux USA, en Grande Bretagne… et au Bengladesh, pays possédant d’importants centres de sous-traitance informatique et de nombreuses filiales de sociétés Anglo-saxonnes. Les techniques d’extraction d’informations de Nitro sont relativement classiques et utilisent une variante du célèbre PoisonIvy, et les C&C pilotant le réseau de machines infectées semble pointer vers la Chine.

La Chine nie avec véhémence toute implication dans cette opération, tout comme elle a nié être derrière le piratage des 760 entreprises « p0wnées » en même temps que les serveurs de RSA et dont la liste a été récemment révélée par Brian Krebs.

Ces deux exemples posent une fois de plus la question « qu’est-ce qu’une APT ? » Ces « menaces évoluées et persistantes » ne sont généralement pas aussi évoluées qu’on voudrait bien le dire. Pas plus qu’elles ne sont persistantes, puisqu’elles se succèdent à un rythme plutôt soutenu, laissant supposer un certain caractère éphémère. En revanche, ces APT sont souvent très discrètes (le hack Areva en est la preuve) et peuvent n’être découvertes qu’un an, voire deux après les premières attaques. Une discrétion qui implique souvent une injection du vecteur d’infection très ciblée, presque « sur mesure ». Soit parce que le virus se suicide et efface toute trace de son passage si l’environnement ne correspond pas précisément à ce qu’il recherche, soit parce qu’il a été déposé « à la main ». Et c’est peut-être cette différence entre un vecteur d’infection générique (donc rapidement connu des éditeurs d’antivirus) et une attaque du calibre de Nitro qui caractérise une APT.

Microsoft abandonne les charges contre l’hébergeur incriminé dans la chasse du botnet Kelihos, annonce le service juridique de l’entreprise. La plainte contre X concernant 22 autres personnes est toujours maintenue