Voilà qui va faire plaisir à quelque ex-ministre au chômage qui voyait en Internet une zone de non-droit, un ramassis de pédopornographes violeurs et poseurs de bombes. C’en était effectivement trop de ces geek boutonneux ou de ces cadres en cravate IBM costume trois-pièces-cuisine-salle de bain qui vous ressassaient des histoires de « netiquette », des discours sur les firewall-antivirus et qui, inconscients qu’ils étaient, utilisaient des ordinateurs pour « faire du business » ou « échanger des idées ». A tel point que même les Lopsi, Loppsi, Hadopi, LCEN et autres entremets sauce techno-psychose finissaient par rendre leurs auteurs et ceux chargés de les faire appliquer aussi ridicules que leurs textes. A la longue, cette apparente inoffensivité, c’est un coup à se faire barrer même des Municipales de Nogent-La-Garenne ou de la Présidence de l’Amicale Bouliste du Bas-Quercy.

Vrai, quoi. Depuis le « non-démenti qui sonne comme un aveu » révélant une potentielle paternité U.S. de Stuxnet, on se sent franchement soulagé. Décontracté même. Va seulement falloir légèrement revoir la copie des discours de Comice Agricole, et apprendre à utiliser la fonction Recherche-Remplace des traitements de textes parlementaires. « Cyberpédophile » devient « Puissance Extérieure », « poseur de bombe influencé par les sites web d’incitation à la violence » se transforme en « techno-soldats engagés dans une opération commando de riposte Scada », et, plutôt que de parler de « hordes d’Anonymous sans foi ni loi » ou de « bandes mafieuses spécialisées dans le vol d’identité », on avancera quelques périphrases du genre « opérations préventives d’information sous la responsabilité des Services de Renseignement ». Que des bonne choses, quoi. En Haut Lieu, on envisage même de renforcer Hadopi. Le délit d’incompétence informatique qui pouvait frapper même les membres de la Maison de Retraite « Les Tilleuls » (on a encore du mal à devenir CISSP dans cet établissement) sera désormais transformer en « désertion face à l’ennemi » ou « insoumission à un ordre de cybermobilisation générale ».

Internet devient le Far-West qu’il n’a jamais été jusqu’à présent, et c’est pas trop tôt.

Certains nostalgiques s’émeuvent et parle de boîte de Pandore, ainsi Mikko Hyppönen, qui nous promet des « réveils pénibles et des nairvousses brèkdonnes » Ce à quoi Steve Bellovin nous fait remarquer que le réveil pénible, c’est celui de ce début juin 2012, mais que cette Far-Westisation de l’Internet par les Etats-Nation ne date pas d’hier. Stuxnet, Duqu, Flame avaient déjà quelques années d’existence avant que l’on ne les découvre. Et encore, précise-t-il, ces attaques ont été révélées par des entreprises privées occidentales et ne visaient que d’exotiques pays d’orient ou du moyen orient. Et de poser la question « et dans nos pays, là où ce sont précisément les Agences Gouvernementales qui auraient plutôt le rôle d’analyser les malwares qui nous frappent, combien d’équivalents Stuxnet sont actifs sur nos machines ? ». Et compte tenu de la longue tradition d’ouverture, de transparence et de savoir-faire en matière de communication qui caractérise les CIA, FBI, NSA, Secret Services (et ajoutons dans la foulée la DCRI, l’IRCGM, l’Anssi du côté de nos frontières), on peut être assuré que jamais la population ne sera inquiétée par les ravage d’un virus Stux-Titan-Dragon-DuQu- Rain Night-Flame-quelque-chose. Car ce serait franchement amusant d’un pur point de vue entomologique que de constater que le virus d’Etat n’affectionne que les pays chauds et néanmoins pétrolifères ou les ordinateurs du Pays de Mahom.

3 juillet 2012, Rendez-vous à l’Intercontinental Paris Avenue Marceau

Tirage au sort de l’été pour le dernier évènement avant la trêve estivale
(Lots : Tablettes sous IOS et Android)

Comment protéger le SI moderne (Mobilité, Tablettes, PDAs, réseaux sociaux …) ?

o

Cliquer ici pour : S’inscrire en ligne aux matinées de CNISevent

Toutes les entreprises sont concernées par la sécurité de leur Système d’Information, notamment depuis l’ouverture de ce dernier accentuée par un nomadisme qui se généralise. Et maintenant il faut également compter avec l’arrivée d’équipements mobiles de type Tablette ou smartphone dans le parc informatique ou encore l’utilisation de réseaux sociaux devenus quasi-indispensables pour la communication Entreprise. Comment sécuriser une entreprise sans périmètre ? Comment tenir compte dans sa politique sécurité du « BYOD », apportez votre propre équipement ? Comment sécuriser une tablette ou un smartphone utilisé dans un contexte professionnel ? Comment s’assurer qu’aucune donnée professionnelle ne sorte de façon intempestive du SI du fait de l’utilisation de média comme les réseaux sociaux ? Autant de questions autour de la sécurité que nombre de RSSI, DSI, personnel IT dans son ensemble mais aussi consultants, avocats ou même DRH se posent. Consultants et experts en sécurité (Lexsi), association dans la Sécurité (Clusif), organisme officiel (ANSSI), acteurs du secteur (Stonesoft, Sourcefire …) et avocats (Cabinets Iteanu et Caprioli & Associés) seront là pour vous dresser un tableau global de la situation, vous prodiguer des conseils et répondre à toutes vos questions. Il y aura une démonstration de hack en direct d’un ipad2 lors de cette matinée (attaque en brute force, récupération de mot de passe, mise en œuvre d’un tunnel SSH avec …)

Où ?

CNIS Event a choisi un endroit en plein cœur de Paris, à deux pas des champs Elysées et de l’Arc de Triomphe. A deux pas des endroits business les plus stratégiques de Paris (Porte Maillot, Palais des congrès, La Défense…) comme facile d’accès pour ceux de l’extérieur qui viennent tout spécialement assister à la matinée CNIS Event (aéroports Orly et Roissy, accès aisé aux trains grandes lignes via la station de RER Charles de Gaulle-Etoile à proximité, parking).

InterContinental Paris avenue Marceau
64, avenue Marceau,
75008 Paris
Tél : +33 (0)1 44 43 36 36
Pour s’y rendre : métro George V (ligne 1), RER Charles de Gaulle-Etoile (Ligne A),Bus Arrêt Bassano (Ligne 92 Porte de Champerret – gare Montparnasse), parking 75 avenue Marceau, Paris 8

Pour qui ?

Les Responsables sécurité, les DSI, les décisionnaires d’une façon générale que ce soit de l’infrastructure ou de l’entreprise, les CIL, les avocats et juristes et DRH de l’entreprise, les consultants également. Tous sont concernés par les menaces actuelles et à venir qui guettent le SI moderne. Il faut connaître et comprendre à qui, à quoi on a à faire pour pouvoir envisager et organiser la protection de son système d’information. Un discours d’expertise et de sensibilisation qui concerne tout le monde.

Cliquer ici pour :

S’inscrire en ligne aux matinées de CNISevent

Agenda

• 8H30 – Accueil des participants : petit-déjeuner et Networking
• 9H00 – Etat des lieux des vulnérabilités et risques des SI Modernes par Jean-Marc Grémy, Vice-Président du Clusif,
• 9H20 –  Expert terrain, point de vue de Stonesoft
• 9H40 – Conseils, guide et expertise, par un expert de l’ANSSI
• 10H00 – Expert terrain, point de vue de Sourcefire
• 10H20 – Minute Juridique : les impacts juridiques du SI moderne, comment adhérer au BYOD, utilisation des réseaux sociaux, par Maître Olivier Itéanu
• 10H40 – PAUSE Networking
• 11H00 – Expert terrain, point de vue d’un acteur
• 11H20 – Hack en direct d’un Ipad2 : attaque en brute force d’un pincode entré par une personne du public, récupération du mot de passe et établissement d’un tunnel SSh avec l’Ipad par Lexsi
• 11H35 – Panel sur « Risques et Sécurisation des SI modernes» avec François Coupez, avocat du cabinet Caprioli & associés, Nicolas Ruff, Chercheur EADS qui donnera son point de vue sur les vulnérabilités potentielles des SI modernes, un expert terrain  nous fera profiter de son expérience; un acteur qui donnera ses conseils en la matière. Animé par un analyste ou un journaliste IT
• 12H20 – Tirage au sort de Tablettes (Ipad et Android) autour d’un verre de champagne
• 12H 40– Clôture de la conférence

« Promis-juré, cette fois, c’est pas nous » disent non officiellement les services secret US : Flame, le virus-espion répandu dans les pays du Golfe, est bien une cyberarme, mais ne porterait pas l’estampille « made in USA ». Bizarre, vous avez dit bizarre ? Comme c’est pourtant étrange, cette communauté d’inspiration d’écriture entre Flame et les précédents virus Stuxnet et Duqu. Le premier Cert à avoir réagi et proposé un outil de détection anti-flame est le Cert Iranien. Chat échaudé craint l’eau froide. Pourquoi un Cert ? Parce qu’aucun antivirus n’a pu, jusqu’à présent, détecter la présence de Flame. Pourtant, jusqu’à présent, ce sont les éditeurs d’antivirus, des civils donc, et des civils souvent étrangers au pays supposé d’origine de l’attaque, qui ont été les premiers à réagir lors des précédents Stuxnet et Duqu, les deux cyber-bombes officiellement reconnues comme telles. Des découvertes qui ont coûté cher aux cyberarmuriers qui espéraient bien conserver secrète leurs Techno-Durandal, et une absence de découverte qui pourrait bien coûter aussi cher aux éditeurs d’A.V.. Car Flame ne serait pas une rosière. Certains avancent que les composants de l’attaque pourraient bien avoir été détectés et ignorés durant plus de 5 ans. Un institut de recherche Hongrois affirme posséder une souche au moins depuis le début du mois de mai dernier, et lui donne le nom de sKyWIper, tout en publiant une étude de 64 pages sur le sujet. Chez F-Secure, Mikko Hyppönen bat sa coulpe et avoue « we were surprised to find that we already had samples of Flame, dating back to 2010 and 2011 »… Flame est officiellement demeuré au moins deux ans dans les tiroirs des chasseurs de vers, tueurs de troyens, traqueurs downloaders et d’autres horreurs binaires. Si encore il pouvait être arrivé à un éditeur de « passer à côté » de choses pareilles… mais plus d’une quarantaine d’industriels, de spécialistes, d’Über-gourous du code malicieux, de notables sorciers du code néfaste ? On peut comprendre qu’un virus très bien écrit puisse échapper aux regards de beaucoup. Mais de tous ? On ne peut s’empêcher de se rappeler les propos des patrons de Symantec à l’époque de la découverte publique des codes d’espionnages (flicware) des polices US « Magic Lantern » et « Carnivore » : « notre rôle de patriote nous obligera à ne rien révéler » disaient-ils en substance, estimant que le patriotisme américano-américain était un produit qui pouvait fort bien s’exporter en Europe comme les boîtes d’antivirus. La découverte tardive de Flame est-elle le résultat d’une omerta de certains chasseurs de codes malsains ? Dans tous les cas, l’affaire a des conséquences sur l’image de marque de la profession. Soit il y a eu collusion, soit il y a eu incompétence, soit il y a eu incapacité à communiquer.

Remember Thierry Zoller

Tout comme Stuxnet et Duqu, le désassemblage de Flame s’égrène par épisodes. Chaque chapitre comporte sa part de révélations, de suspens, de coups de théâtre. Les deux derniers en date portent l’estampille Microsoft. Flame montre carte blanche en exhibant un certificat Microsoft, lequel a, depuis, été révoqué. Des virus utilisant des certificats étrangers, c’était déjà le cas avec Stuxnet (voir article précédent). Mais là où la chose devient encore plus intéressante, c’est lorsque l’on s’aperçoit que Flame, par le truchement de deux modules baptisés « Gadget » et « Munch », parvient à monter un attaque Man in the Middle capable de détourner une machine tentant de se connecter à Microsoft Update. Tous les détails une fois de plus sous la plume d’Aleks, chercheur de l’équipe Kaspersky. Ce risque de détournement avait été évoqué il y a déjà plusieurs années par le chercheur Luxembourgeois Thierry Zoller. Ses recherches avaient notamment mis en évidence le manque de sécurisation des outils de mise à jour utilisés par quelques addwares assez intrusifs (Gator notamment), et il devenait alors légitime d’imaginer l’extension de cette méthode à des mécanismes plus perfectionnés et réputés inviolables. A commencer par le diffuseur de correctifs le plus connu au monde : Microsoft/Windows Update.

Si l’on en croit la démonstration des chercheurs de Kaspersky, Flame a donc profité de la journée portes ouvertes du « second mardi de chaque mois ». Ce mardi 8 mai, c’était pas ravioli…

Lorsque l’on rapproche cette information et le fait que l’on soupçonne l’existence de versions préhistoriques de Flame datant de plus de 2 ou 5 ans, et en admettant que les modules Gadget et Munch aient été parmi les premiers écrits, on peut donc en conclure que cette vulnérabilité « by design » du protocole Windows Update existe depuis autant de temps. Cette hypothèse semble logique, puisque les mécanismes de propagation d’un virus sont plus importants que la « charge utile » qu’il transporte et font partie des premiers codes écrits. La charge peut être changée, mais le moyen de voyager constitue la véritable marque génétique d’un vecteur d’infection. Services secrets de Technolombie 1, Microsoft 0, auteurs d’antivirus 0.

Much ado about nothing ?

Il serait inconséquent de tirer des conclusions à l’emporte-pièce à propos de Flame. Le code final est monstrueux (plus de 20 Mo disent les personnes l’ayant analysé), le secteur géographique de son emprise est limité, voire très ciblé, Flame ne représente que peu de danger pour les ordinateurs Européen, et il ne faut pas confondre les cris d’excitation bien compréhensibles des « reversers » en train d’autopsier ledit virus avec une alerte rouge carmin annonçant la fin du monde informatique. Mais on ne juge pas l’importance d’une arme aux nombres de victimes constatées sur un seul théâtre de conflit. Flame repose la question de la militarisation du code et de la protection des civils face à ce genre d’attaque. Flame fait s’interroger également sur le rôle de recherche que doivent assurer les Cert et les organismes de cyberdéfense gouvernementaux (Anssi notamment) en matière de détection, de lutte, d’information lors d’attaques de ce type. Le bruit que soulève Flame est en grande partie provoqué par des médias grand-public en quête de hits et de fréquentation. Il serait hâtif pourtant de jeter le réel danger que constitue Flame avec l’eau du bain de cette sur-médiatisation.

On nage en plein Van Vogt avec cet article de 5 pages publié dans le New York Times. Un papier haletant, écrit comme un roman d’espionnage, et qui décrit par le menu comment Stuxnet (nom de code « jeux olympiques) serait sorti des labos des services secrets US, et « perfectionné » par les ingénieurs du Mossad. Le virus n’a pas été répandu pour frapper la centrale de Natanz, il a été injecté à coups de clefs USB, affirme l’auteur de l’article, David Sanger. Et si une souche s’est répandue dans le monde, c’est en raison d’un bug probablement introduit par les Israéliens. Sans ce défaut, l’attaque aurait été confinée et serait demeurée inconnue du grand public. La propagation de Stuxnet aurait donc suivi le chemin « inverse » que celui suivi par les virus traditionnels : du site infecté vers le reste du monde.

Bien entendu, cet impressionnant travail journalistique ne repose que sur des sources d’information anonymes, mais confirme notamment l’hypothèse d’un développement conçu à partir des centrifugeuses Libyennes récupérées par les Américains (certains spécialistes du monde du renseignement avance l’hypothèse d’une intervention des services Britanniques dans cette phase de l’opération). Décidée et commandée par le gouvernement Obama, la création de Stuxnet serait toutefois l’œuvre de l’administration Bush.

On s’oriente donc petit à petit vers une « officialisation » de la militarisation de codes d’attaques, du moins du côté US. Ce qui, d’un point de vue stratégique, est assez cohérent avec cette volonté de la Maison Blanche de mettre au pas les entreprises nord-Américaines qui tentent de faire cavalier seul dans l’industrie de la barbouzerie : fabriquer, vendre ou utiliser des cyberarmes relève de la responsabilité de l’Etat et non d’intérêts privés ou d’entreprises jouant le rôle de cyber-affreux comme cela se passe dans d’autres pays.

Cette semi-officialisation de la paternité de Stuxnet soulève également d’autres questions, auxquelles il faudra bien un jour ou l’autre apporter des réponses. A tout hasard, celui de la « liberté de mouvement » des techno-barbouzes chargées de pondre le code agressif. L’on se rappelle notamment que l’une des caractéristiques de Stuxnet était d’arborer fièrement des certificats Verisign de Realtek et JMicron légitimes… certificats dérobés au cours d’un hack ayant frappé l’université de Taiwan. La préparation de l’attaque repose donc sur des méthodes de voyous, ce qui laisse donc planer un doute sur l’Etat ou les Etats suspectés être à l’origine de cette attaque : qu’il(s) ai(en)t pu autoriser des espions à « faire leur marché » au mépris des règles les plus élémentaires de respect des souverainetés nationales …