février, 2013

Kaspersky, éditeur d’antivirus, a diffusé en ce début de semaine une mise à jour référencée 8.1.0.831 qui a verrouillé le trafic http de milliers de machines encore sous Windows XP. Un correctif de correctif a été diffusé dans la foulée …

Lorsqu’un « casse du siècle » survient pour la première fois, c’est vraiment un « casse du siècle ». A la seconde édition, cela tourne à la négligence. A la troisième, on peut commencer à parler de philanthropie. Visa, durant la dernière trêve des confiseurs, aurait été victime d’un formidable casse à la carte de débit portant sur 9 millions de dollars dans un premier temps, puis 2 millions de dollars supplémentaires quelques jours plus tard. Comme par le passé avec la désormais célèbre affaire RBS-Worldplay, le vol organisé a été perpétré par une petite armée de mules, réparties sur 12 pays différents, et opérant de manière synchronisée durant un laps de temps très court (moins de deux jours). Les mules étaient chargées de retirer un maximum de liquide sur des distributeurs automatiques de billets (DAB) à l’aide de cartes dont les montants avaient été modifiés après intrusion sur les systèmes d’information des établissements financiers visés.

Brian Krebs détaille le film des évènements dans un article aussi palpitant qu’un polar de quai de gare. Il mentionne au passage la très discrètes lettre que Visa a expédié à ses différents membres, laissant ainsi clairement entendre que la majorité des réseaux et serveurs informatiques des établissements visés par les mules étaient vulnérables. On peut s’étonner de voir ainsi rappeler la nécessité d’installer quelques IDS sur un système bancaire, de configurer correctement un firewall ou de déployer les correctifs nécessaires pour éviter des attaques en injection SQL. Tout ça fleure bon un amateurisme inquiétant : Les porteurs de cartes de débit pouvaient retirer parfois jusqu’à 500 dollars.

Précisons que ni les mules, ni les cerveaux n’ont, jusqu’à présent, été fortement inquiétés. Dans l’affaire du casse RBS-Worldplay (qui a été chiffré à près de 9 millions de dollars), les cerveaux de l’affaire ont fini par se faire arrêter et condamner… à deux ans de prison avec sursis. En ces temps de militarisation des cyber-compétences, un bon malfrat libre vaudrait-il mieux qu’un prisonnier aigri croupissant dans les geôles de la Loubianka ?

Hackito Ergo Sum, quatrième épisode : la conférence de sécurité parisienne vient de publier son appel à communication. La date de clôture a été fixée au 31 mars prochain, et les orateurs retenus seront informés le 4 avril suivant. Le programme définitif sera rendu public trois jours plus tard.

Cette année, HES se déroulera du 2 au 4 mai, dans l’enceinte de la Cité des Sciences de Paris (La Villette). Les tarifs d’entrée sont fixés à 480 € pour les représentants d’entreprises, à 160 € pour les professionnels de la sécurité et 70 Euros pour les « non inscrits ». Des ateliers de formation pratique répartis sur deux jours sont également proposés à raison de 1900 euros par participant.

« Vous avez vu ? Il y a comme un gros trou informatique du côté du New York Times… et le Wall Street Journal ne va pas très bien à force de se faire intruser par des intrusions intrusantes. Et on ne vous parle pas de Java… les pauvres, 50 trous, à tel point qu’on n’ose plus du tout l’installer, ce nid de bug. Pour preuve, Apple et Mozilla désactivent cet add-in sans chercher à comprendre ».

Franchement, voir le blog de Twitter se transformer en concurrent de CNIS-Mag et relater les trous importants de la semaine écoulée, ça n’arrive pas tous les jours. Il faut passer tout le premier paragraphe pour enfin découvrir l’information importante : 250 000 comptes de Twittos ont été potentiellement compromis, avec une fuite probable de données à caractère personnel notamment nom et adresse de courriel de certains usagers du service.

Qu’un réseau social grand public se fasse pirater, la chose aurait presque tendance à devenir courante de nos jours. Un jour Linkedin, le lendemain Facebook, la semaine suivante une flopée de comptes MSN… Mais que la direction de la communication tente de banaliser l’affaire sur l’air du « mais qui donc n’est plus piraté de nos jours… même les grands mass media en souffrent », voilà qui est moins banal. Et ce qui est encore plus étonnant, c’est que les éditeurs de logiciels servent également d’alibi pour mieux détourner les attentions. La mention de la dernière CPU d’Oracle et de son JRE particulièrement peu étanche n’est rien d’autre qu’une façon de rejeter la responsabilité sur les concepteurs même d’outils Web.

Cette tentative de diversion n’empêche toutefois pas les responsables du response team de Twitter de préciser avec franchise qu’ont également été récupérés des token de session et des mots de passe « chiffrés et salés »…le salage est une précaution que n’avait pas pris en son temps un autre réseau social également compromis, LinkedIn. Cet effort de transparence est particulièrement louable.

Il reste à tous les utilisateurs de Twitter, par mesure de précaution, de changer leurs mots de passe.

Du côté de l’affaire du NY Times, on peut lire une intéressante analyse de nos confrères de CSO, qui titrent « Les leçons que l’on tire de l’attaque du NYT ». Le hack en question entre dans la catégorie des APT, aurait perduré durant plus de 4 mois, probablement entamée par une opération de phishing ciblée estime Mandiant, l’entreprise mandatée pour effectuer l’audit et le nettoyage « post-hacking » du NYT. Bercy, l’Elysée, NYT : même combat. La presse grand public s’étonne du fait que les défenses périmétriques en général et les antivirus (Symantec dans ce cas précis) aient été incapables de détecter l’intrusion… ce qui est étonnant, c’est que l’on puisse encore être étonné de cet état de fait à notre époque.

Sans surprise, l’attaque est attribuée à des hordes de cyber-pirates Chinois, une « quasi habitude » chez Mandiant estiment plusieurs spécialistes sécurité.

Les comptes de l’Hadopi sont déficitaires avant même que l’exercice 2013 ne débute, explique Marc Rees sur PC-Inpact : comment 10 millions d’Euros vont être dépensés avec sagesse et discernement sans R.O.I. garanti ni respect des contraintes budgétraires par un organisme public.

L’alerte concerne Java SE. Prévue pour être publiée mi-février, cette avalanche de correctifs a été avancée compte tenu de la cote de risque qui caractérisait certains CVE. Il faut dire que sur les 50 bouchons de sécurité, 49 concernent des failles exploitables à distance et 26 atteignent une cote d’alerte de 10 sur l’échelle CVSS. Le billet de blog de l’éditeur insiste sur l’importance d’un déploiement rapide.

C’est France Culture qui a donné le ton du FIC 2013 en titrant son choix de la rédaction « Vers une cyber-armée Française ». Le langage pudibond consistant à ne parler que de défense passive et de protection des S.I. face aux attaquants inconnus est en train d’évoluer, voire de changer du tout au tout. Et ce notamment grâce à cins leitmotiv : Stuxnet, Aramco, Areva, Bercy et l’attaque de l’Elysée. Cinq cas qui prouvent sans l’ombre d’un doute que l’adversaire n’est plus seulement un groupuscule de mafieux Russes, Africains ou Brésiliens, mais bel et bien les forces des cyber-armées ou de cyber-renseignement agissant pour le compte d’un Etat-Nation, cinq cas qui indiquent sans l’ombre d’un doute les « ventres mous » stratégiquement intéressants pour des adversaires économiques. Les rouages administratifs dans un premier temps (Bercy, l’Elysée), les secteurs industriels liés à l’énergie, voir à la défense nationale (Areva, Aramco, Stuxnet).

L’esquisse d’un cyber-corps de combattants se dessine donc en Europe (notamment avec la récente création du Centre Européen de lutte contre la Cybercriminalité) mais également en France, où l’on entend de plus en plus souvent des militaires parler des conséquences « dramatiques » d’une cyber-bombe « qui pourrait tuer ou blesser » en attendant quelques propositions distillées au fil du prochain « livre blanc de la Défense ». Pourquoi ici, pourquoi maintenant ? « Parce que l’arrivée de IP a fortement fragilisé les infrastructures des réseaux d’automatisation industrielle » entend-on. « Parce qu’Internet véhicule sans filtrage des messages de tous bords, provenant aussi bien d’extrémistes que de canaux d’informations officiels », « parce qu’Internet permet à des forces malveillantes d’atteindre les serveurs des entreprises et ainsi les frapper au cœur »…

Pourtant, aussi loin que remonte la mémoire Internet (autrement dit celle du Darpa), les armées et les universités du monde occidental se regardent en chien de faïence et cherchent à se protéger de leurs tentatives d’indiscrétions mutuelles. Pourtant, les bus « propriétaires standards » en usage dans le monde industriel (Modbus notamment, mais ce n’est pas le seul) n’ont jamais été conçus dans une optique « security in mind » et ont toujours été réputés vulnérables. Pas plus d’ailleurs que certains réseaux télécoms d’opérateur orientés données, ainsi X25 ou de très réputés réseaux bancaires. Les interconnexions avec un réseau public n’ont fait que mettre en évidence une fragilité coupable qui existait depuis la nuit des temps. Pourtant, la récupération des outils informatiques à des fins activistes ou politique ne date pas d’hier. Souvenons-nous de JerusalemB. Les fondateurs d’Internet, outil partiellement d’origine militaire, ne pouvait ignorer ces risques que certains visiteurs du FIC, notamment parmi les chefs d’entreprise invités, semblaient découvrir avec surprise.

Le risque cyber est inscrit dans les gènes d’internet, qu’il soit criminel, activiste, politique ou martial. La croissance de ce risque proportionnellement à l’accroissement du réseau et du nombre d’usagers était également prévisible. Les premiers à s’en être rendu compte ont été les spécialistes des scam nigérian, les vendeurs de pilules bleues et dompteurs de botnets du RBN et autres réseaux mafieux ou les artistes du phishing que semble tout à coup découvrir tel fournisseur d’énergie Français ou telle banque. Internet, développé à grand renforts de subsides d’Etat et de travaux des grands opérateurs Télécom pour la seule gloire d’un cyber-commerce florissant. Une course au mercantilisme et à la protection des métiers marchands qui s’est parfois forgée au détriment des libertés citoyennes et cyber-citoyennes, et qui, surtout, a fait perdre de vue aux différents Etat-Nation ces risques génétiques qu’ils connaissaient pourtant fort bien. Le réveil est brutal et risque de provoquer encore, dans les quelques années à venir, des décisions hâtives et des lois expéditives sous prétexte « qu’il fallait faire quelque chose ». Il reste à espérer que d’autres FIC sauront encore mieux faire passer les messages, situer les réelles menaces, et apporter des métriques sérieuses permettant aux politiques de prendre des décisions réfléchies.

La cybersécurité est comme un mâchon Lyonnais. On y parle de politique, de conquêtes amoureuses, de chasse, de repas gastronomiques… mais jamais de ce qui se trouve dans l’assiette au moment présent. Moyen efficace pour éviter le moindre risque de fâcheries avec la maîtresse de maison.

Il en allait de même dans les allées du FIC 2013, forum essentiellement militaire par définition et par construction, mais dans les allées duquel jamais le mot « Mali » ne fut officiellement prononcé alors qu’il était dans tous les esprits, voir dans tous les instants d’activité de bon nombre de participants. Tout au plus mentionnait-on une vague attaque en déni de service sous bannière jihadiste contre quelque institution nationale… On y parlait avec abondance, en revanche, des hordes de mécréants qui avaient osé pénétrer dans le réseaux d’Areva (un « hack », lors de sa découverte il y a plus d’un an, dont les détails étaient tenus secret), qui avaient osé pirater Bercy ou qui s’étaient joués des défenses de l’intranet de l’Elysée, là encore un accident qui rima longtemps avec un « no comment » de la part tant de l’Anssi que du Gouvernement. Le cybercrime est un plat qui se mange froid. Stuxnet, le virus « conçu par un gentil mais potentiellement dangereux » était également sur toutes les lèvres. Une longue liste de méfaits informatiques mis en réserve, de faits divers croustillants légèrement rassis mais pas trop pour justifier le retour par un gouvernement de gauche de vieilles idées émises par le précédent gouvernement.

Pour Fleur Pellerin, ministre déléguée à l’Economie numérique, revenait sur l’importance d’une politique d’identification (sic) et d’authentification des usagers et d’une sécurisation des échanges visant à rendre possible la construction d’un Internet de Confiance. Ce qui fait titrer à nos confrères de ZD-Net « Fleur Pellerin veut relancer IdéNum ». On est effectivement assez proche des propos de NKM sur la constitution d’un « internet Civilisé » (entendons par là d’un Internet essentiellement commercial). Interpelée lors d’un « point presse » sur l’affaire Amesys et l’éventuelle soumission à autorisation gouvernementale des exportations de ces outils de surveillance globale, la Ministre a affirmé que le gouvernement « entamait une réflexion sur le sujet » et qu’elle n’était pas elle-même opposé à ce principe. Cette gouvernance « a posteriori » donne toute latitude à de futures interprétations techniques en vertu du principe de la liberté d’entreprise et du libre marché. La suite à la prochaine fourniture de cyber-armes.

Deux phrases-choc résument l’intervention du Ministre de l’Intérieur Emmanuel Valls. La première, appréciée à sa juste valeur par la presse présente sur le salon, « Le traitement des infractions de presse doit être repensé compte tenu de la force de frappe d’Internet » Une manière comme un autre d’envisager le durcissement des textes sur la diffamation ou la divulgation d’informations relatives aux vulnérabilités informatiques, et qui ne feront de toute manière pas sourciller le plus virulent des éditorialistes va-t-en-guerre hébergé sur un serveur de Saint Petersbourg ou d’Islamabad. Dura Lex en deçà des Pyrénées, mensonge au-delà. Il est toujours pratique de pouvoir invoquer la Patrie en Danger pour faire taire un folliculaire. L’autre « petite phrase » qui a enjolivé le discours de clôture du Premier Policier de France concernait la nécessité de « décloisonner les frontières administratives ou législatives « absurdes » qui empêchent d’être efficaces ». Briser les carcans mais sans fragiliser le système, puisque le Ministre a annoncé à la fois la création d’un groupe de travail interministériel chargé de la lutte contre la cybercriminalité et la volonté de voir se simplifier les multiples législations gravitant autour du monde « cyber ».

Notons que, malgré le constant souci de placer le citoyen au centre des débats (souvent dans le rôle de cybervictime), pas une seule fois n’a été évoqué le principe d’un CERT grand public ou d’un vecteur d’information destiné précisément à ce même citoyen. L’accent, tout au long de ce FIC 2013, a été porté sur la défense ou le renforcement des défenses des institutions, de l’industrie, des collectivités locales. Autant d’infrastructures dont le fonctionnement repose sur des millions d’individus qui, passé 18 H, retrouvent leur foyer, leurs habitudes « grand public », leurs ordinateurs personnels et leurs plus ou moins bonnes pratiques cybersécuritaires.

5ème édition, saison numéro 2 : le FIC, Forum International de la Cybersécurité, vient de s’achever sur un bilan très « politiquement positif ». Trois ministres, une initiative régionale extensible visant à la réalisation d’un « cluster cybersécurité » implanté en région Nord pas de Calais, la disparition de certains « non-dits » et autres sujets tabous (telle l’attaque de l’Elysée) ou la fin de certaines omerta (la vulnérabilité maladive des collectivités territoriales par exemple). Le FIC n’est plus une réunion discrète de cyber-gendarmes mais un forum consacré à la cybersécurité des institutions au sens le plus large possible. C’est également, et par voie de conséquence, l’agora ou se pressent les tribuns qui prônent une mise en pratique du mieux-disant sécuritaire : le cas particulier vient souvent, trop souvent justifier des carcans législatifs ou structurels sans que de véritables métriques viennent justifier le bienfondé de ces décisions.

Un cluster « Infosec » pour les gens du nord ?L’initiative est régionale, mais l’on se doute bien qu’il s’agit là d’un prototype que toutes les autres provinces de France vont suivre avec intérêt : Pierre de Saintaignon, premier vice-président du Conseil général Nord-Pas de Calais, annonçait la création d’un pôle cybersécurité associant les principaux acteurs régionaux. Les universités, l’ilot technologique Euratechnologie de Lille Métropole, les centres de recherches locaux seront associés pour devenir a priori un vecteur d’information et de conseil… et plus si affinités. Ce plus si affinités est encore très flou. Mais s’il ne pouvait que simplement servir de relais de sensibilisation et d’aide technique aux infrastructures régionales, ce serait déjà un remarquable pas en avant.

Au cours d’une des nombreuses conférences tenues à l’occasion de ce FIC 2013, l’une des plus remarquées fut probablement celle du Commandant Rémy Février, Maître de Conférences à la Sorbonne, lequel rendait public à cette occasion quelques extraits de sa soutenance de maîtrise traitant précisément de la cyber-sécurité (ou insécurité) au sein des collectivités territoriales. Ce travail de bénédictin débouche sur des conclusions hélas peu surprenantes. Dans la région Nord-Pas de Calais (périmètre de l’étude), la majorité des maires a entendu parler des dangers du hacking noir, du piratage, des attaques virales, des campagnes de « defacement », des sinistres informatiques « classiques » (inondations, incendies…)… et malgré ce niveau de sensibilisation que l’on pourrait considérer comme salvateur, rares, très rares (moins de 20 %) sont les élus qui se savent pénalement responsables en cas de pertes ou fuite d’information. Une responsabilité qui est souvent attribuée à un vague GIE ou responsable informatique, un sous-traitant, un vendeur/installateur spécialisé dans la sécurité périmétrique… Pis encore, la majorité des maires de petites communes n’ont jamais entendu parler ni de l’Anssi, ni des référentiels applicables et conseillés par l’Administration, parfois même jamais des obligations de déclaration des fichiers nominatifs auprès de la Cnil. Or, la plus petite des communes possède au moins 7 fichiers de ce type (fichier électoral, cantine scolaire etc.). L’usage des supports de stockage amovibles (clefs USB, disques durs, smartphones…), les interconnexions avec le réseau public, l’interpénétration avec les appareils personnels (Byod) manquent cruellement d’encadrement voir purement et simplement de connaissance des risques encourus. Si ce n’est pas là le premier travail d’un cluster cybersécurité, ça y ressemble beaucoup.