janvier, 2013

Douche écossaise pour Skype qui, en moins d’une semaine, essuie deux revers. L’un purement viral, l’autre essentiellement politique.

Le revers viral est notamment révélé par Trend Labs, qui décortique deux virus-vers capables d’être véhiculés par Skype. L’un de ces malwares fait partie intégrante du tristement célèbre Shylock, l’un des « trojan banker » voleur de crédences le plus répandu dans le cyberespace ces jours-ci. Une vulnérabilité et une exploitation active qui tombent fort mal, puisque ces derniers jours, Microsoft lance une campagne pressant les usagers de Messenger d’abandonner leur ancien IM et de migrer sous Skype.

Certes, Messenger n’est pas un parangon de sécurité et nombreux sont les malwares capables de propager des url faisandées via cet outil de communication. Mais abandonner un vieux navire dont on connaît le moindre défaut pour s’embarquer sur une embarcation que l’on sait activement exploitée par des infections n’est pas franchement rassurant.

Mais plus que ces considérations infectieuses, c’est, une fois encore, le soupçon de l’existence de multiples backdoors qui turlupine un groupe de personnalités de la presse ainsi que diverses associations de défense des libertés individuelles. Lesquels ont formé une sorte de comité de salut public et écrit une lettre ouverte aux principaux responsables de Microsoft en général et de la division Skype en particulier. Lettre qui demande instamment des clarifications sur les soupçons de portes dérobées pouvant se trouver dans le code de ce programme utilisé par plus de 600 millions de personnes de par le monde. Et de citer en exemple les politiques de transparence pratiquées notamment par Google, Twitter ou Sonic.net. Les promesses n’engageant que ceux qui font l’erreur d’y croire, on peut se demander à quoi peut bien servir un tel Dazi Bao. Probablement n’est-ce là qu’une manière comme une autre de prévenir les usagers qu’un risque existe et que, quel que soient les réponses que Microsoft daignera apporter, la confidentialité des propos tenus via Skype n’est en aucun cas meilleure que celle garantie par une liaison GSM. Le nombre de services officiels et de « plombiers officieux » susceptibles de fliquer les conversations est simplement légèrement plus élevé dans l’un des deux cas.

*NDLC Note de la correctrice : lire « cent sous six ». Rébus de Frédéric le Grand à Voltaire (venez souper à Sans Soucis) auquel François Marie Arouet répondit par un « j’ai grand appétit ».

Une porte dérobée (accès ssh) a été découverte dans certains équipements Baracuda par les chercheurs de Sec Consult. « Several undocumented operating system user accounts exist » précise l’alerte du laboratoire Autrichien. Comptes burinés dans les entrailles les plus profondes du silicium et qui « ne pourraient être désactivés ». Baracuda, pour sa part, éclaire la chose d’une manière très différente et parle de « mots de passe liés aux configurations par défaut ». Un fichier correctif colmate en grande partie les risques liés à cet état. Le Sans a immédiatement répercuté l’alerte, tandis que Brian Krebs s’est intéressé à la persistance de cette mauvaise configuration. Tout laisse à penser, estime Krebs, que ces vulnérabilités existent au moins depuis 2003. Outre ces trous dont on ne sait s’ils ont été prévus à des fins de télémaintenance, de contrôle de parc ou de barbouzerie, les chercheurs Autrichiens ont relevé plusieurs plages de ports réservés, certains d’entre eux étant situés dans des segments « privés non routables », d’autres, entre 205.158.110.0 et 216.129.105.0, ouvrant vers le réseau public.

* NDLC Note de la correctrice : De Voltaire à Frédéric le Grand, se prononce « G grand, A petit »… voir NDLC de l’article sur les backdoor Skype

François Paget (Avert Lab) revient sur l’un des volets de l’étude prospective2013 sur les cybermenaces publiée par McAfee. Un volet qui aborde l’influence probablement déclinante du mouvement Anonymous, principalement en raison de la dégradation et du délitement de l’image de marque du mouvement. Un délitement relativement facile à prévoir, comparable, d’un point de vue historique, au mouvement anarchiste Prudhomien : sans ligne de parti ni dieu, ni maître (et par conséquent sans organisation politique structurée, porte-parole officiel et comité directeur), il est impossible de juguler les dérives extrémistes et les abus de certains profiteurs dont les excès viennent faisander la pureté originelle du mouvement (ou prétendue telle).

Et François Paget de citer à titre d’exemple un « Anonymous » ayant ouvert boutique spécialisée dans les faux papiers « compatibles administration Française » : permis de conduire, quittances de loyer, carte d’identité, carte grise, on est véritablement là au cœur d’un commerce mafieux et le fait qu’il se pratique sur Internet ne lui permet pas d’échapper à l’article 441-1 et suivants du Code Pénal.

On notera au passage une légère érosion des prix pratiqués sur le créneau du « faux faff ». Il y a trois ans, notre confrère Damien Bancal écrivait un article sur cette industrie naissante et mentionnait quelques tarifs : carte d’identité à 700 euros, permis de conduire à 500 euros, quittance EDF à 60 euros. L’Anonymous-truand que dénonce François Paget propose la carte d’identité et le permis à 340 euros et la quittance EDF à 50. On ne peut que constater une certaine érosion sur les articles de luxe. En 1962, Michel Audiard écrivait « Le faux talbin, Messieurs, est un travail qui se fait dans le feutré ». Le faux faff également. Les archers de la taille douce en patatogravure et de la Marianne en linoléum guilloché n’étaient connus que des hommes du mitan. Avec l’arrivée d’Internet, des imprimantes à sublimation, des hologrammes en bandes prédécoupées et des plastifieuses de supermarché, le métier se perd, la tradition fout le camp et le respect dû aux vieux travailleurs et aux artistes du cousu-main s’évanouit.

Les authentifications à double facteur ne sont pas (contrairement à certaines croyances) totalement inviolables. Paul Ducklin, sur le blog Nacked Security (Sophos) nous explique comment deux escrocs natifs de Bombay et de Dehli sont parvenus à battre en brèche le système à double facteur cryptogramme/SMS qualifié d’ « authentification forte complémentaire » par les banques de notre pays.

La technique utilisée était simple : après une enquête portant sur l’environnement et les habitudes de la victime (données généralement achetées auprès de filières mafieuses Nigérianes), les escrocs usurpaient son identité pour pouvoir demander à son opérateur de téléphonie un double de sa carte SIM, en prétextant une perte involontaire. Carte, on s’en doute, interceptée dans la boîte à lettre du légitime propriétaire. Une fois en possession de ce sésame, les deux truands ouvraient un faux compte en banque au nom de la victime (récupérant au passage un nouveau cryptogramme) et se lançaient dans une course aux achats avant que le légitime propriétaire du téléphone ne s’aperçoive du blocage de sa carte Sim prétendument perdue. Et encore, précise Ducklin, à condition que l’opérateur télécom accepte d’intervenir. L’une des victimes s’est vue accuser d’escroquerie pas son épicier de la minute de communication pour avoir demandé un nouveau changement de SIM à un intervalle trop rapproché du précédent, changement qu’il aurait « lui-même » autorisé.

Ce schéma de fonctionnement, relativement simple, a permis aux deux escrocs de voler l’équivalent de 30 000 euros… « seulement » pourrait-on ajouter. Il est fort probable que de telles pratiques soient en usage en Europe, puisque des faits semblent remonter à plusieurs années et que l’enseignement de ces techniques passe généralement très rapidement les frontières.

Chaque année, au Grand Palais de Lille, la gendarmerie nationale et la région Nord Pas de Calais organisent le forum international sur la cybersécurité (FIC). L’édition 2013 se déroulera les 28 et 29 janvier prochain.

Manifestation hybride et mouvante que cette rencontre des différents corps de cyberpolice. En l’espace de 5 ans, les forces régaliennes sont passées de la lutte contre le « méchant pirate auteur de virus et casseur d’ordinateur » au métier de cyber-défenseur (cyber-combattant également) chargé de bloquer les assauts d’activistes politiques, d’extrémistes confessionnels, voir d’autres forces régaliennes. Le FIC 2013 sera avant tout le FIC de la « digestion du phénomène Stuxnet » et des intrusions dans les réseaux Scada, de l’adaptation des moyens face aux menaces d’autres Etats-Nations, sans pour autant négliger la pression grandissante des activités mafieuses internationales traditionnelles. Car en matière de risques informatiques, les dangers ne se remplacent pas en fonction de leurs natures, ils s’additionnent.

Ce FIC 2013 est également celui d’un franchissement d’étape, celui du passage de la cyber-sécurité nationale du stade « plus tout à fait adolescent » à celui du « pas franchement adulte ». D’un côté, une Agence Nationale de la Sécurité des systèmes d’information (Anssi) de plus en plus structurée et puissante, de l’autre l’amorce d’une prise de conscience des politiques face aux cybermenaces. Avec le rapport Bockel notamment, mais également la création du pôle « cloud à la française » constitué d’un Numergy et d’un CloudWatt financièrement supportés par l’Etat et censés nous protéger des affres d’un Patriot Act qui siffle sur nos têtes. La France recentre ses activités informatiques industrielles et renforce ses cyberdéfenses. Mais, contrairement à la quasi-totalité des autres pays membres de la Communauté Européenne, cette même France hésite encore à s’intéresser à la protection informatique de ses citoyens. Toujours pas de Cert grand public et encore trop peu d’effectifs dans les services cyberspécialisés de la Police et de la Gendarmerie pour assurer la sécurité des foyers.

Mais ni Paris, ni les premiers firewalls ne se sont faits en un jour. Les priorités de la cyberdéfense, en ce début 2013, sont clairement institutionnelles si l’on en juge par le programme des conférences de ces deux journées : quelle politique de sécurité en Entreprise, comment protéger les infrastructures Scada, peut-on sécuriser les « informatiques territoriales » des communes, peut-il exister un Cloud souverain et protégé, quelles limites doit-on fixer à la rapide invasion des réseaux sociaux dans l’entreprise, que faut-il craindre de l’activisme et de l’hacktivisme, les APT font-elles encore peur… autant de questions, autant de débats qui se dérouleront durant ces deux journées. Notons au passage que ces journées du FIC 2013 seront l’occasion pour le Clusif de présenter publiquement les résultats de son enquête annuelle sur le panorama de la cybercriminalité.

Le ZDI (Zero Day Initiative) vient de publier les nouvelles modalités de participation à son prochain concours «P0wn20wn » qui a traditionnellement lieu début mars à l’occasion de la conférence de sécurité Canadienne CanSecWest.

Parmi les changements notables, trois points importants. En premier lieu, une très forte augmentation des primes offertes aux gagnants des concours, puisque la dotation totale dépasse le demi-million de dollar (US). En second lieu, le concours s’ouvre aux exploits satellites avec la création d’une section « plug-in pour I.E.9 sous Windows 7 » constituée de trois catégories : ◦Adobe Reader XI, Adobe Flash et Java.

Mais le point qui risque fortement de faire grincer quelques dents peut se lire en fin de communiqué : « les participants fourniront à HP-ZDI un exploit fonctionnel et tous les détails de la vulnérabilité exploitée durant l’attaque. Si de multiples vulnérabilités ont été mises en jeu pour permettre une exécution de programme, les détails sur l’ensemble des vulnérabilités en question (corruption mémoire, fuite d’information, augmentation de privilèges etc.) ainsi que l’ordre dans lequel elles sont été utilisées devront être fournis pour recevoir le montant de la récompense »

On se rappelle le coup d’éclat de l’an passé provoqué par l’un des gagnants, le Français Vupen, qui avait refusé de révéler les secrets de cuisine qui lui avait permis de remporter l’épreuve. Pour Vupen, le montant de la prime est en deçà de ce que l’on peut attendre de la commercialisation de l’exploit fourni dans le cadre d’un logiciel de test de pénétration. En quelques années, les revendications des chercheurs en sécurité sont passées du « no more free bugs » au « non au CDD sous-payé de la recherche de faille »

A l’occasion du Forum International sur la Cybercriminalité– FIC 2013, la Revue trimestrielle de la Gendarmerie Nationale consacre son numéro de début d’année sur le thème de la cybersécurité.

Cloud, bigdata, infrastructures mobiles… vous en rêviez ? et bien tentez de protéger maintenant, explique en substance le tout dernier rapport de l’Enisa, European Network and Information Security Agency. Cette institution Européenne publie chaque année un état des lieux sur la sécurité des systèmes d’information au sein de la Communauté, rapport qui compte cette année 96 pages denses et truffées de chiffres. Et s’il ne fallait qu’une seule page pour résumer la situation ? La troisième, qui clôt l’Executive Summary : la majorité des menaces est en constante évolution à l’exception d’une seule, le spam, qui chute depuis bientôt 3 ans. Les « Drive By Exploits », la compromission d’informations confidentielles, les attaques ciblées, le vol d’identité, les fuites d’information se portent bien dans pratiquement tous les secteurs : informatique mobile, infrastructures critiques, Cloud, Bigdata… et surtout réseaux sociaux. « Surveillez, et surtout collectez vous-même vos propres statistiques de vulnérabilités, établissez un tableau de bord ayant du sens » demande l’Enisa. Et de continuer en suggérant d’établir des « silos d’informations » segmentés et isolés les uns des autres, technique qui ne diminuera pas le nombre d’attaques mais qui limitera les risques en cas de sinistre.

Paru en ce tout début janvier, l’appel à communication de la Nuit du Hack, qui sera clôt le 30 mars prochain, est également l’occasion pour rappeler que tout comme l’an passé, ce qui est probablement le « plus grand CTF de France » (plus de 1500 participants en 2012) aura lieu dans la nuit du 22 au 23 juin prochain, précédé, du 17 au 21 juin, d’une série de conférences. Conférences et concours se dérouleront dans le cadre du parc Eurodisney comme cela a déjà été le cas les deux années précédentes. Le cycle de conférences durera Cinq jours durant lesquels se succèderont des intervenants provenant du monde entier, spécialistes de la recherche de preuves informatiques, du « reverse », de l’exploitation, du pentest, de l’analyse de malware ou des aspects parfois ardus du droit appliqué à la recherche en sécurité des systèmes d’information.

Le cycle de conférences Hack in Paris se déroulant avant la redoutable NDH est essentiellement destiné aux professionnels. Des « workshop » techniques se dérouleront durant la Nuit. Nous rappelons aux personnes sensibles qui envisageraient de venir « en spectateur » que le challenge Nuit du Hack est un combiné de recettes à la fois offensives et défensives, visant aussi bien à abattre les défenses propres au « challenge » que celles des équipes adverses histoire de les retarder… tout appareil téléphone, tablette doté d’une liaison sans-fil et ayant le malheur ou l’inconscience de se trouver à portée d’antenne risquerait d’être pris dans la tourmente …

La chose avait été rapidement évoquée lors des dernières journées RSSIL (Rencontres des Solutions de Sécurité et d’Informatique Libre) de Maubeuge : Hacknowledge se déroulera désormais à la fois en Europe et en Afrique, opposant des étudiants, hackers et chercheurs originaires du Maroc, du Congo, d’Espagne, de Belgique et de France. Rappelons que, durant les années précédentes, ce grand concours de hacking était placé sous le patronage de la région Nord Pas de Calais et de l’association Acissi issue de l’Université de Valenciennes et du Hainaut Cambrésis. S’y rencontraient de multiples équipes originaires des différentes régions Françaises.
Contrairement aux conférences sécurité traditionnelles, souvent très orientées « hack logiciel », cette rencontre RSSIL a toujours abordé la question de la sécurité des systèmes d’information dans son sens le plus large. Maîtriser les techniques d’intrusion et d’exploitation de faille Web, oui, mais à condition que celles-ci soit accompagnées d’une connaissance certaine des vulnérabilités potentielles affectant des automates programmables ou des interfaces industrielles par exemple. Rssil est probablement la premières et la seule manifestation qui s’intéresse réellement et concrètement aux risques Scada. Seront donc gagnant du prochain challenge des hackers complets, aussi à l’aise derrière un clavier que face à un bus Modbus (ou l’un de ses successeurs).

Le calendrier des concours est établi comme suit :

Maroc : 2 et 3 mars 2013

Belgique : 20 et 21 avril 2013

Congo : date en cours de validation

Espagne : mai 2013

France : 21 et 22 juin 2013

Sans omettre une des épreuves déjà écoulée, celle qui s’est déroulée à Abidjan du 15 au 16 décembre dernier, et dont les deux meilleures équipes ont reçu une bourse leur permettant de représenter la Côte d’Ivoire en finale.

Ladite finale de Hacknowledge se déroulera à Maubeuge. Les gagnants remporteront un billet d’entrée tous frais payés pour concourir à la célèbre Defcon de Las Vegas.