F-Secure publie une feuille Excel illustrant la progression des malwares dans le monde Macintosh (ce qui exclut IOS). Au total, sur 3 derniers trimestres de l’an passé, 58 malwares ont frappé l’environnement micro d’Apple. Un « rien » qui, tentent de nous persuader les chasseurs de virus Finlandais, serait pourtant en nette progression par rapport à l’année 2010. Voilà des chiffres qui ne vont pas franchement faire le bonheur des vendeurs d’antivirus en quête de nouveaux marchés.
L’équipe de Cnis-Mag, versée dans l’interprétation chamanique des statistiques fondamentalement inutiles, tire d’autres conclusions bien plus passionnantes. Et notamment le fait qu’en avril, le pirate de Mac « ne se découvre pas d’un fil ». A force de rester caché, ses productions en souffrent. En août, les quelques auteurs de Troyens et Portes dérobées d’obédience Apple sont soit en vacances, soit participent à un séminaire intitulé « Quel avenir pour les c0d3rZ Mac ? » ou « Steve peut-il se réincarner en II+ ». En décembre, les fêtes de fin d’année et le raz de marée des ventes d’iPad a provoqué un nouvel arrêt des productions de malware, fruit probable d’une interrogation sur une éventuelle reconversion des compétences. Après tout, l’AppleStore et Itunes peuvent eux-aussi devenir d’excellents vecteurs de propagation de virus. Bien des spywares ont prouvé la véracité d’une telle hypothèse. Auteur de malwares Macintosh, un métier stressant et plein d’interrogations.
SPT, ou « Simple Phishing Toolkit » est un outil de phishing Open Source prêt à l’emploi et disponible en téléchargement gratuit… et légal. Légal, car il ne comporte aucun programme d’enregistrement des données saisies par les « victimes », légal car il entre, expliquent ses créateurs, dans le cadre des outils de sensibilisation. Car quoi de plus parlant qu’une véritable vrai-fausse attaque en phishing perpétrée sur l’intranet d’une entreprise, pour mieux montrer, démontrer et démonter les mécanismes de ces Blitzkrieg psychologiques ?
Il se trouvera certainement de doctes savants qui viendront expliquer qu’il n’est pas utile d’enseigner l’art d’écrire un virus pour mieux s’en protéger, de montrer comment l’on contourne un firewall pour consolider une défense périmétrique, ou de composer des pages « Vous avez gagné un iPad » pour secouer la pulpe de l’administré de base ne sachant pas informatiser prudemment. Mais parallèlement, cela fait des années que les spécialistes du pentest jouent indifféremment avec Wireshark, Nmap, le Social Engineer Toolkit ou le crochetage de serrures des colonnes sèches de sous-sols d’immeubles. L’analyse des points faibles, dans une campagne de contrôle des éléments de sécurité, porte aussi bien sur le matériel ou le logiciel que l’élément humain. Mais ce dernier est généralement considéré comme moins glorieux qu’une exploitation de faille d’über-geek découverte sur un système d’exploitation cryptique.
Reste que, dans bien des cas, faire admettre la faillibilité de l’homme au sein d’une entreprise, c’est aussi reconnaître la part de responsabilité et de l’entreprise elle-même dans la fragilisation psychologique de ce même élément humain. Et là, aucune campagne de pentesting, aucun toolkit ne peut colmater ce genre de brèche. S’ajoute à ce constat la remarque liminaire des auteurs de SPT : il se dépense chaque année des millions en équipement de défense et pas un seul centime dans le domaine de l’éducation.
En août dernier, les « organes officiels » du Gouvernement Chinois lançaient pour la première fois ce qui allait devenir une rengaine diplomatique : « Nous aussi, nous sommes victimes des pirates informatiques et par conséquence, nous ne pouvons être à l’origine des Dragon Night, Aurora et autre calamités dont on nous accuse ». Si l’argument paraissait un peu bancal, force était de reconnaître, mi-décembre, que les océans informatiques intérieurs de l’Empire du Milieu étaient sillonnés par de dangereux flibustiers. Les journaux du groupe Caixin révélaient que 6 millions de comptes (identité et mot de passe) appartenant aux membres du China Software Developer Network s’étaient retrouvés dans la nature. Dans les jours qui ont suivi, la fuite s’est avérée plus grave que prévue, atteignant plus de 100 millions de comptes attachés à divers services en ligne : forums grand public, sites d’information, réseaux sociaux, plateforme de microbloging et sites de jeux en ligne. Dans un pays qui compte près de 1, 36 milliard d’âmes, le plus petit pourcent de la population victime d’un crime informatique représente un nombre impressionnant de victimes. Comment peut-on imaginer telle attaque intérieure, dans un pays si cybersurveillé, en ces contrées où même les réseaux cybermafieux sont toujours plus ou moins contrôlés ou du moins canalisés ?
La réponse est simple : a une telle échelle, ce n’est pas possible. Mi-janvier, la police découvre le pot-aux-roses, et effectue plusieurs arrestations… au sein même des entreprises d’hébergement. 12 services en ligne auraient ainsi été vidés d’une partie de leurs fichiers par des employés ou collaborateurs indélicats, certains ayant été poussé à l’acte par pure gloriole personnelle. C’est du moins, affirment les autorités, le cas du pirate du Developer Network, un jeune homme de 19 ans qui souhaitait se faire passer pour un « überHacker ». Cette série de faux piratages est relatée et régulièrement mise à jour par le quotidien China Daily qui reprend une dépêche de l’agence Chine Nouvelle. Un détail au moins est rassurant dans cette histoire : les fichiers de données en Orient sont aussi soigneusement chiffrés qu’en Occident.
Hacktivisme, encore, avec ce quasi misérable hack de 160 identités… mais le contexte est intéressant, puisqu’il s’inscrit dans le cadre d’un réelle « cyber-intifada » visant les institutions Israéliennes et conduite par les militants du mouvement OpFreePalestin. La dernière en date frappait l’Institut de Technologie d’Israël (un creuset de personnes sensées savoir protéger sérieusement un réseau), attaque faisant suite à une longue liste de petits « pentests » efficaces et limités, recensés par DataBreach.net. Comme de coutume dans des cas pareils, le fruit du hack se trouve publié sur Pastebin.
L’on aurait pu croire que l’attaque visant l’Islamic Network cette même semaine était une réponse du berger à la bergère… Que nenni ! D35m0nd142, son auteur, s’offrait au même moment une tournée sur les très universitaires serveurs d’Oxford et de Harvard sous prétexte de prévenir leurs administrateurs de l’existence de certaines failles de sécurité. Arguments et activités presque « classiques » d’un serial-hacker. Tout n’est pas politique, même si l’invocation d’un acte militant est parfois mise en avant pour justifier ce genre de comportement.
En revanche, la guéguerre qui oppose le hacker Saoudien ou Emirati ox0mar aux hackers, blogueurs et politiques Israéliens relève quelque peu des techniques d’Agit-prop. Tout commence, expliquent nos confrères du Register lorsqu’ox0mar rafle un fichier de 400 000 clients ayant effectué des achats dans un grand magasin de sport et publie près de 15 000 identités bancaires israéliennes. Le quotidien Haaretz relate les faits de la manière la plus neutre possible. Pourtant, la riposte ne se fait pas attendre, et plusieurs sites de vente en ligne d’origine Saoudienne essuient le feu de pirates Israéliens. Le ton monte, les politiques s’emparent de l’affaire et Daniel Ayalon vice-ministre des Affaires étrangères (parti d’extrême droite Beitenou) lance le mot de « terrorisme » pour qualifier l’attaque. Propos rapportés par nos confrères de Network World et qui vaudront au Ministre une visite et un « defacement » en règle de son propre site.
Ces minutes de cyberviolence quotidienne marquent un renouveau de l’hacktivisme politico-confessionnel offensif, tendance que l’on avait un peu perdu de vue en raison de la sur-médiatisation des évènement du Printemps Arabe.
L’année 2012 est partie pour être un excellent cru en matière de perte d’informations. Fin décembre, la presse généraliste résonnait au son du hack de Straffor par les Anonymous. La publication des noms et coordonnées des clients de ce prestataire, voir quelques prélèvements effectués sur leurs comptes bancaires au profit d’organisations caritatives ou mafieuses a fait l’objet d’une série de publications dans les archives de Cryptome.
A peu près à la même époque, le Cattles Group, organisme financier Britannique (prêts et recouvrement de dettes), égarait deux bandes de sauvegarde avec près de 1,4 million d’identités enregistrées, dont au moins 600 000 aisément exploitables et contenant une profusion de détails personnels, historiques financiers y compris. Nos confrères de Search Security laissent clairement entendre qu’aucune de ces bandes n’était chiffrée.
Toujours en Grande Bretagne le vendeur de produits de beauté United Beauty voit son réseau cracké et plus de 5000 fiches client dérobées (http://pastebin.com/zpnzFJWJ), avec leurs mots de passe associés. Potentiellement, cette attaque comporte plus de risques que la précédente, même si le nombre de victimes est considérablement plus faible. Le principe de « réutilisation du mot de passe » laisse entendre qu’il y a là un cheptel de victimes financièrement exploitable.
Chez Microsoft, 7 bouchons pour 8 trous : la fièvre des cumulatifs faiblit un peu, probablement en raison de la publication, avant le saut de l’an, du seul « out of band » de 2011. Un « hors calendrier » qui fait encore parler de lui car, comme l’explique brièvement Manuel Humberto Santander Peláez du Sans Institute, son exploit aurait été rendu public depuis quelques jours.
Pour ce qui concerne les bugs de l’année nouvelle, les experts s’accordent au moins sur un point : deux d’entre eux sont à corriger immédiatement. Il s’agit de MS12-004 et MS12-005 (affectant respectivement Windows Media et « Windows » sans précision particulière). L’écriture d’un exploit visant la vulnérabilité 004 appartient au domaine du possible, précise le tableau de dangerosité établi par le Response Team de Microsoft. C’est d’ailleurs la seule considérée comme étant « critique » par Microsoft, alors qu’une vaste majorité de spécialistes estime qu’il y a danger d’exploitation de la faille 005.
On note également la présence d’un correctif récurrent, MS12-006, qui corrige une nouvelle fois SSL/TLS, sans oublier la traditionnelle faille I.E. MS12-007 sans laquelle un « patch Tuesday » ne serait plus un « patch Tuesday ». Détail savoureux, le trou de sécurité en question se situe dans un outil de protection : 007 (nom de code Bond) affecte la bibliothèque de fonctions « antiXSS ».
Adobe, pour sa part, ne déclare ce mois-ci que 6 vulnérabilités, dont une rendue publique début décembre et qui était demeurée en souffrance de colmatage. Sauf alerte particulièrement dangereuse, le prochain bulletin de sécurité concernant Acrobat et le « Reader » sera sous presse le 10 avril prochain.
L’appel à communications de la conférence sécurité parisienne Hackito Ergo Sum (12-14 avril prochain) a été lancé il y a quelques semaines de cela. La lecture du « call for paper » laisse clairement apparaître le désir de diversifier le plus possible les sujets à aborder. Comme pour les éditions précédentes, cette manifestation tentera de s’intéresser tant à l’aspect logiciel, matériel, infrastructurel et cryptographique du domaine des NTIC. Tout s’attaque, tout se défend, tout peut se perfectionner en matière de sécurité. Aujourd’hui d’ailleurs plus qu’hier, les nouvelles technologies entrant résolument sur le marché grand public, dont les contraintes en matière de conception des applications sont considérablement moins fortes que dans le secteur professionnel.
Les conférences se déroulent traditionnellement en langue anglaise, et les communiqués doivent être si possible rédigés en Grand Breton dans le texte. La date de clôture du CFP a été arrêtée mi-février (le 19 du mois prochain précisément) et les auteurs retenus seront prévenus dès le lendemain. La lecture du « comité de sélection » mérite à elle seule une lecture attentive.
Acros Security publie une analyse très amusante des attaques en « arrondi sur les opérations de change ». Le principe est simple, et joue sur le fait que l’arrondi au centime supérieur ou inférieur est différent selon que l’on se situe du côté de l’interface utilisateur « client » ou de celui du logiciel (nécessairement plus précis) utilisé par la banque. Centime après centime, en effectuant de multiples changements de devise sur de très petites sommes et à un rythme élevé, il est possible de gagner beaucoup d’argent… en théorie. Le procédé n’est absolument pas nouveau et avait été exploité notamment durant la période de passage à l’Euro. Le traitement étant totalement automatisé côté banque, on peut qualifier l’opération « d’attaque informatique légale » …
… ou presque. Car certaines banques limitent ou interdisent les opérations automatiques de la part de leur client (mais ne s’interdisent pas toujours la pratique du « high frequency trading »), ou imposent des commissions, des règles d’arrondi, des montants minimum sur les opérations de change qui rendent ce genre d’opération totalement inefficace.
Est-ce la fin d’une belle histoire ? Certainement pas, affirment les auteurs du site. « Many other flaws are not publicly known and it would be a disservice to our existing and future customers to reveal them ». Avec une promesse pareille, gageons que le blog d’Acros risque de gagner quelques lecteurs, même si le passage à l’acte relèvera, pour beaucoup, du domaine du fantasme.
Depuis le début de l’année, les statisticiens du Web observent avec attention l’évolution d’une attaque visant MS-SQL et pointant vers le serveur Lilupophilupop.com. Une simple requête Google donne un aperçu des dégâts provoqués par ce successeur de Lizamoon, et une analyse rapide du Sans nous apprend que près de 70 000 serveurs situés en France sont contaminés. La Hollande, avec 123 000 sites compromis, semble être le pays le plus touché. Ces chiffres auraient été atteints en environ un mois d’activité. La dernière alerte du Sans sur ce sujet précise qu’une restauration de la base SQL infectée ne colmate pas la brèche par laquelle cette infection a pu s’introduire.
Si, en France, la grève des agents de sécurité a été l’occasion de soulever la question de l’utilité de ces fouilles et de l’abandon progressif des fonctions régaliennes au profit d’officines privées, aux USA, en revanche, il n’aura fallu que la publication du « palmarès » de l’année 2011 publiée par le TSA lui-même pour replacer la relative importance de ces « fouilles au corps » dans leur contexte. Entre l’arrestation de dangereux transporteurs de tortues (felony ou crime d’Etat pour le moins) et l’interpellation de porteurs d’armes à feu dans un pays où le port d’arme relève du droit coutumier dans bien des états, le bilan est positivement nul. Aucun terroriste poseur de bombe n’a été repéré. Durant cette même période, de nombreux articles ont été publiés, tant dans la presse que sur des blogs, relatant la facilité avec laquelle tel ou tel journaliste serait parvenu à faire passer une arme chargée à l’intérieur d’un aéronef. Un sujet d’ailleurs pudiquement oublié par le TSA.
Le terrorisme est une forme de guerre asymétrique qui contraint un des deux adversaires à déployer des moyens de défense hors de proportion avec ceux d’une attaque potentielle, dans le but d’entraver financièrement ou structurellement son fonctionnement. C’est surtout l’entretien d’un climat de peur reposant sur la potentialité d’une attaque.