Encore un rapport statistique, encore une étude sur les APT et leur origine Chinoise supposée. Mais cette analyse, réalisée par FireEye, ( téléchargement gratuit, inscription inquisitrice obligatoire) apporte un éclairage relativement différent comparé aux récents travaux de Verizon et Mandiant. Les enquêteurs partent du principe qu’effectivement, une très vaste majorité des outils d’espionnage et d’exfiltration de donnée (89%) sont d’origine Chinoise, reposant d’ailleurs bien souvent sur un moteur unique, Gh0st RAT. Un Botnet dont les machines qui, comme tous les outils du même métal, doivent nécessairement communiquer avec leur C&C, leur centre de commande et de récupération d’information, ne serait-ce que pour y trouver des mises à jour ou y envoyer le fruit de leurs pillages de données. Et c’est précisément cette fonction « téléphone maison », pour un volume de plus de 12 millions d’appels, que l’équipe de FireEye a tracé.

Et contrairement aux idées reçues, les Bot ne téléphonent pas en Chine. Bien au contraire, ils auraient tendance à chercher un C&C dans le pays de résidence de la machine compromise. Un zombie US appelle un centre de commande US. Principale raison de ce refus d’une plateforme offshore : la volonté de ne pas attirer l’attention des outils de surveillance. Un ordinateur qui appelle le Kazakhstan, c’est forcément suspect. Mais un envoi de fichier ver La Garenne Bezon, pourquoi y voir du mal ? La première conséquence de cette « relocalisation » des appels de machines compromise est un accroissement du nombre de pays hébergeurs de C&C. 184 pays recensés à la fin 2012.

Et lorsque les données quittent manifestement les frontières du pays, c’est pour voyager non pas en Chine, mais en direction du Japon ou de la Corée du Sud, havre de paix pour les C&C en mal d’hébergement. Pourquoi la Corée ? Probablement, expliquent les ingénieurs de FireEye, en raison de la qualité exceptionnelle de l’infrastructure Internet en ce pays. Le sérieux du réseau Coréen inspire confiance aux espions de l’Empire du milieu.

Du coup, les USA, cible privilégiée des espions Chinois, se trouvent pratiquement en tête du classement des pays hébergeurs de C&C, puisque 44% des appels de zombies convergent vers ce pays. Comparativement, les machines expatriant leurs données ne comptent plus que pour 24 % des rappels, mais ces rappels s’effectuent en priorité dans une région d’Asie ou l’influence Chinoise est très importante : Corée du Sud, Japon, Inde, Hong Kong. En deuxième place viennent les pays qui échappent juridiquement aux polices des pays occidentaux Russie, Pologne, Roumanie, Ukraine, Kazakhstan et… Lettonie, pays de la zone CE. Ce n’est donc plus une seule maison à laquelle téléphone le bot moyen, mais à une multitude de « légations officielles du réseau pirate Chinois ».

Le comité d’organisation du symposium « Grey-Hat Hacking » de Grenoble, alias GreHack, lance son appel à communications. Les soumissions devront être adressées au comité avant le 30 juin prochain, et les auteurs retenus seront informés le 4 septembre au plus tard, date anniversaire de la création de la IIIème république, il y a peut-être là un indice pour le CTF associé.

GreHack se déroulera le 15 novembre prochain, dans un amphithéâtre de l’Ensimag, sur le campus universitaire de St Martin d’Hères.

Peu ou pas de limitation dans les thèmes pouvant être abordés : hack matériel, exfiltration de données, chiffrement et cryptoanalyse, vulnérabilités, analyse et modélisation de malwares… la diversité des thèmes abordés l’an passé (https://www.cnis-mag.com/grehack-comme-une-graine-de-sstic-en-region-rhones-alpes-1.html), la qualité des intervenant a prouvé qu’une manifestation sur la sécurité des S.I. n’est pas nécessairement que Parisienne ou Rennaise.

La 14ème édition du Security Intelligence Report de Microsoft vient de paraître. Ce rendez-vous régulier est une photographie du paysage des malwares actifs visant les plateformes Windows, et portant sur les statistiques anonymisées renvoyées par les outils de protection des systèmes Microsoft, soit près d’un milliard de points de mesure répartis dans le monde. Le SIR14 analyse le second semestre 2012.

Durant cette période, les « compteurs de hits malware » ont enfin mis en évidence une perte de vitesse des attaques Conficker et Autorun (-37 %). Durant cette même période, 7 attaques sur 10 visant les entreprises provenaient de sites Web compromis. Il s’agit généralement de redirections iFrame et plus particulièrement IframeRef qui détient le record d’attaques Web sur 2H12 avec 3,3 millions de « hits ». Le succès de ces attaques est en partie facilité par le fait que 2,5 machines sur 10 ne sont pas protégées par un antivirus. Les « sondes » Microsoft parviennent ainsi à découvrir qu’entre 20 et 32% des systèmes XP/Vista/W7 (32 et 64 bits) sont ainsi dépourvus de défense (moins de 7% pour les quelques Windows 8 RTM pris en compte par l’étude). Mais les attaques les plus virulentes ne visent pas directement le noyau Windows. BlackHole, avec ses charges utiles Java par exemple, fait encore beaucoup de dégâts.

Par catégorie et répartition géographique, on constate une très forte présence des « adwares » indésirables en France (41% des infections) suivis de près par l’installation automatisée de logiciels non souhaités (34 %). Les véritables virus, à commencer par les Troyens, viennent loin derrière (20%), suivis par les exploits multiples, downloaders et droppers généralement utilisés par les botnets (respectivement 11,7 et 9%). Les virus traditionnels ne passent pas la barre des 2%.

Après les récents émois soulevés par les procès des tombeurs de Sony Entertainment, voici que la police Australienne annonce avoir arrêté la tête pensante du réseau Lulzsec. Tête pensante auto-proclamée puisqu’officiellement, ces mouvements de crackers anonymes se réclament des vieux mouvements anarchistes à la sauce « ni dieu, ni maître ». Tout comme les autres présumés coupables interpelés aux USA et en Grande Bretagne, l’individu est âgé de moins de 25 ans, et occupait un poste de support technique au sein de Content Security, une entreprise de sécurité informatique. Cette entreprise, le détail est savoureux, était chargée du support local de Tenable, société connue pour être l’une des plus fortes concentrations de gourous anti-hackers : Ron Gula, Renaud Deraison, Markus Ranum…

En attendant les suites de l’enquête, l’inculpé Matthew Flannery conserve son emploi mais est dispensé de présence dans les locaux de Content Security, révèlent nos confrères d’IT News Australie.

Plus que deux jours avant l’ouverture de Hackito Ergo Sum, quatrième édition, conférence internationale consacrée à la sécurité dans le monde informatique et des communications. Une manifestation qui se déroulera du 2 au 4 avril prochain. Les retardataires peuvent encore s’inscrire. Une conférence placée cette année tout particulièrement sous le signe de l’impalpable, de l’indétectable, bref du hacking sans fil sous toutes ses formes, si l’on en juge par le calendrier très chargé des conférences (http://2013.hackitoergosum.org/schedule/). Cela débute avec le choix du premier Keynote Speaker, Adam Laurie, contributeur du projet RFCat qui vise à « recevoir, analyser et spoofer tout ce qui se transmet en dessous d’un GHz ». Bien que les orientations matérielles du groupe RFCat semblent un peu fantaisistes sur la partie spoofing (l’émission VHF est une science qui semble échapper à bien des grands hackers issus du monde de la logique), ses résultats en termes de réception et d’analyse sont fort honorables. Sans fil encore avec une présentation de Philippe Teuwen sur les RFID, ainsi qu’une présentation de la plateforme de Michael Mossmann HackRF (aka Jawbreacker) par Benjamin Vernoux.

Il y aura aussi du « hard core » au dessert : Tal zeltzer sur les zero days visant certains VPN-SSL, du camouflage de code et techniques d’évasion avec Ole André Vadla Ravnås, du suspens et de la violence Scada avec Edmond “bigezy” Rogers, du reverse matériel sur des composants (encore une intervention d’Adam Laurie accompagné de Zac Franken) , du plus-que-jailbreaking-for-fun-and-profit de périphériques IOS par Mathieu ‘GoToHack’ Renard, sans oublier quelques « piliers » de Hackito et notamment Raoul Chiesa ou Rodrigo ‘BSDaemon’ Rubira Branco. Cnis, comme chaque année, couvrira cette conférence et tentera d’en rapporter les évènements au jour le jour.

Le paradoxe est aussi criant qu’une manifestation pour le désarmement organisée par le Parti Communiste dans les années 50 : Microsoft se lance dans une campagne ayant pour thème la préservation et la défense des données personnelles, campagne qui débute par un questionnaire relativement indiscret sur les us et coutumes des internautes. C’est là le point d’orgue d’une campagne de reconquête d’image de marque sur le thème « your privacy is our priority », ponctuée de discours lénifiants décrivant la croisade de la Balmer’s company contre la fuite d’information à caractère personnel.

En ligne de mire, Google, bien entendu, qui joue dans cette histoire le rôle du méchant. La diabolisation de l’ennemi Microsoft numéro 1 a débuté notamment avec l’activation par défaut de la fonction « do not track » dans son navigateur Internet Explorer, fonction qui existe mais qui est désactivée par défaut dans Chrome. A ceci, il faut ajouter l’image relativement sulfureuse que traîne Eric Schmidt, executive chairman et ex CEO de Google, qui a longtemps eu, à l’égard du terme privacy, une attitude assez désinvolte, dont se souvient aussi bien Wikipedia que l’EFF.

Et pourtant, alors qu’Eric Schmidt rêvait de ficher tous les citoyens de la terre et de fusionner les fichiers personnels grâce au projet Digital Me (il n’était alors que PDG de Novell), Microsoft développait son gestionnaire d’identité numérique Passport et utilisait force cookies et moult envois de messages étranges vers des adresses IP peu connues chaque fois que bootait un Windows. L’action de Microsoft est louable, mais il est important de se souvenir des actions passées pour juger objectivement les actes du présent.

Le « DBIR » ou 2013 Data breach investigation report de Verizon met l’accent cette année sur les risques liés à l’espionnage. Une sorte de mode, semble-t-il, qui prend un essor très important depuis ces deux ou trois dernières années, et dont 96% des opérations répertoriées sembleraient toutes provenir de Chine. Voilà qui ne nous change pas trop des conclusions du rapport Mandiant sur les origines supposées des APT. Sur plus de 620 cas de fuites de données, 20% pourraient être attribuées aux cyber-espions de l’Empire du Milieu. Et n’allez pas croire, affirment les rédacteurs du rapport, que seules les agences gouvernementales US et Européennes sont visées. On compte, parmi les victimes, des entreprises du secteur privé, de la multinationale à la TPE, avec une prédilection particulièrement marquée pour les secteurs « brick and mortar » ou des transports contrairement aux actions mafieuses qui visent les secteurs financiers ou de la distribution : l’infrastructure avant l’économie, car la première est à l’origine de l’autre.

Pourtant, rien encore ne semble indiquer l’existence de l’espionnage industriel simple. L’une des rares affaires devenue un cas d’école, fut l’affaire Michael Haephrati, qui révéla, dans les années 2005, que la moitié du monde des affaires d’Israël surveillait les activités de l’autre moitié. Ces méthodes concurrentielles décomplexées ne peuvent être un cas isolé, tant dans l’espace que dans le temps. Mais l’espionnage d’Etat fait vendre et marque les esprits autant que les APT et bien plus que la guerre économique agressive.

Parmi les autres vecteurs de fuite de données, le DBIR Verizon revient sur l’éternel mythe de l’ennemi intérieur. Contrairement aux arguments des vendeurs de DLP, Verizon estime que les fuites organisées par des collaborateurs ne dépassent pas 14% des cas, et que celles orchestrées par des « partenaires » ou collaborateurs extérieurs ne décollent pas de la barre des 1%. Et encore, ces fuites ne sont-elles pas toujours intentionnelles. Dans bien des cas recensés, il s’agit de simples manquements au principe de précaution. Les collaborateurs copient des informations sur clefs USB ou se les retransmette via email pour « pouvoir travailler chez eux ». L’intention de nuire est pratiquement absente.

5 juin 2013, Rendez-vous à l’Intercontinental Paris Avenue Marceau

Vulnérabilités et Menaces du SI : Quelle cyberdéfense ?

Cliquer ici pour : S’inscrire en ligne à la matinée Sécurité

CNIS Event fait le point sur les menaces d’aujourd’hui et de demain. Des experts expliqueront quelles sont les menaces pour le système d’information, détailleront les vulnérabilités comme les attaques potentielles. Ils approfondiront également la question en expliquant sur quoi elles portent mais surtout parleront de la manière dont on pourrait se prémunir : comment savoir que l’on a été attaqué ? Que faire pour bloquer quand c’est possible, voire contourner ? Certains acteurs du secteur viendront appuyer les faits en détaillant leur propre vision. D’autres viendront raconter de quelle manière, ils se défendent. De nombreux experts en sécurité et avocats seront présents et répondront autour d’une table ronde aux questions des patrons, DSI, RSSI, personnel IT présents dans la salle

Où ?

CNIS Event a choisi un endroit en plein cœur de Paris, à deux pas des champs Elysées et de l’Arc de Triomphe. A deux pas des endroits business les plus stratégiques de Paris (Porte Maillot, Palais des congrès, La Défense…) comme facile d’accès pour ceux de l’extérieur qui viennent tout spécialement assister à la matinée CNIS Event (aéroports Orly et Roissy, accès aisé aux trains grandes lignes via la station de RER Charles de Gaulle-Etoile à proximité, parking).

InterContinental Paris avenue Marceau
64, avenue Marceau,
75008 Paris
Tél : +33 (0)1 44 43 36 36
Pour s’y rendre : métro George V (ligne 1), RER Charles de Gaulle-Etoile (Ligne A),Bus Arrêt Bassano (Ligne 92 Porte de Champerret – gare Montparnasse), parking 75 avenue Marceau, Paris 8

Pour qui ?

Les Responsables sécurité, les DSI, les décisionnaires d’une façon générale que ce soit de l’infrastructure ou de l’entreprise, les CIL, les avocats et juristes et DRH de l’entreprise, les consultants également. Tous sont concernés par les menaces actuelles et à venir qui guettent le SI. Il faut connaître et comprendre à qui, à quoi on a à faire pour pouvoir envisager et organiser la protection de son système d’information. Un discours d’expertise et de sensibilisation qui concerne tout le monde.

Cliquer ici pour :

S’inscrire en ligne à la matinée Sécurité

Agenda

• 8H30 – Accueil des participants : petit-déjeuner et Networking
• 9H00 –Panorama des nouvelles menaces et vulnérabilités du SI, Hervé Schauer, PDG de HSC et membre du Clusif
• 9H20 – Retour sur la situation au niveau mondial : Menaces et Stratégie de Défense, Jarno Limnéll, Directeur Cybersécurité chez Stonesoft
• 9H40 – Conseils, guide et expertise, Gérôme Billois, Directeur Pôle Sécurité chez Solucom
• 10H00 – Comment récupérer les informations pertinentes du SI ? par Hadib Changriha de NetIQ
• 10H20 – Expertise terrain et solution, état des lieux des SI, Philippe Rondel, Check  Point
• 10H40 – Minute Juridique : Protection et piratage du SI … quels sont les droits des entreprises, Maîtres Olivier Itéanu et Garance Mathias répondent à toutes vos questions
• 11H00 – PAUSE Networking
• 11H20 – Expertise terrain et solution, Vision de Palo Alto Networks
• 11H40 – Point sur la sécurité des systèmes SCADA, Loup Gronier, Directeur de l’Innovation chez Lexsi
• 12H00 – Panel sur les menaces actuelles et futures du SI et les Solutions potentielles avec François Coupez, Cabinet Caprioli et Associés qui abordera la partie juridique ; Sébastien Gioria, OWASP France expert sur les vulnérabilités des applications web ; Philippe Langlois, CEO de P1 Security expert en sécurité des SI; Léonard Dahan, Stonesoft qui expliquera sa vision terrain avec des retours d’expérience. Animé par un journaliste sécurité
• 12H45 – Clôture de la conférence

Une annonce sur le compte Twitter de l’agence Associated Press informait, durant la soirée du mardi 23 avril, d’un attentat à la bombe visant la Maison Blanche. Parmi les victimes se serait trouvé le Président Obama… il va sans dire que le twitt était bidon et le compte détourné par des cyber-sympathisants au président Bachar el Assad. Immédiatement, les différentes places boursières US ont réagi, faisant légèrement plonger le Dow Jones durant 6 minutes. La chaîne CNBC relate cette brève poussée de fièvre et précise que les flux rapides des échanges sont tels que l’indice SPX aurait « perdu » près de 136 milliards durant cette brève période de panique. La brièveté de l’effet d’annonce fait dire aux frères Graham, d’Errata Security, que ce hack n’a eu aucune conséquence… c’est sans compter l’efficacité des outils de fast trading qui, en quelques secondes, dépensent l’équivalent du PIB d’un état Africain.

On peut s’interroger sur la véritable cause, sur l’origine exacte de la perversion du système qui a pu permettre une telle perte de contrôle. Est-ce la fragilité du réseau Twitter, outil grand public par définition non prévu pour transporter des informations sérieuses et vérifiables, ou serait-ce plutôt l’extraordinaire inconséquence des traders qui prennent pour argent comptant les rumeurs véhiculées par un réseau social spécialisé dans les rumeurs ? La presse financière US évite d’aborder le sujet et cherche les coupables du côté des hackers présumés (l’attaque est revendiquée par une « Syrian Electronic Army »). Poursuivre des traders pour impéritie, cela viendrait remettre en cause le système boursier tout entier …

Echo, discard, daytime, motd, finger et… chargen sont d’antiques services, parfois installés dans des « paquets cadeau » intulés « services IP complémentaires ». Ces services fossiles ne servent guère qu’à évoquer de nostalgiques souvenirs auprès d’administrateurs de plus de 30 ans de métier. Pourtant, ces vieilleries semblent encore installées sinon par défaut, du moins de manière relativement masquée dans certains routeurs et systèmes. Et c’est précisément l’un de ces services inutiles et dangereux, chargen, qui a servi lors de l’attaque en déni de service visant quelque service financier (un serveur Bitcoin semble très apprécié des attentions des cybertruands, ces jours-ci). John Bambenek s’interroge sur la survivance de tels protocoles dans les colonnes du Sans. La parade est certes simple : énumérer les services TCP et UDP actifs afin de supprimer tout ce qui n’est pas réellement utile, et filtrer le trafic sortant pour tuer dans l’œuf tout risque lié à un oubli. L’exploitation de ces services vulnérables prouve au moins une chose : la mémoire et la culture IP semblent plus répandues du côté obscur de la force qu’au sein des cellules d’administration du secteur des banques et monnaies virtuelles.