L’éternelle question du recul progressif du full disclosure face à l’attrait de plus en plus important des « offres gouvernementales occultes » sur le marché de l’exploit et des talents n’est plus un débat d’initié. Joseph Menn, de l’Agence Reuters, a rédigé un papier aussi synthétique que complet sur le sujet. Papier qui met immédiatement le lecteur dans le ton en rappelant que les U.S. intelligence and military agencies n’achètent plus d’accessoires de hacking pour parer une attaque mais préfèrent utiliser ces ressources pour en faire des outils d’espionnage. D’officiellement défensif il y a quelques années, les ZDE et autres trous plus ou moins documentés sont transformés en une panoplie d’armes offensives. La première conséquence, explique Menn, est un appauvrissement du flux d’informations à destination des éditeurs, donc une occultation des failles pouvant être corrigées. Appauvrissement qui ne pourrait être compensé que par une « prime au trou » moins symbolique qu’elle ne l’est actuellement.

Cette situation entraîne quelques effets pervers, car parfois, des armes que l’on soupçonne d’origine étatique peuvent être analysées et exploitées à leur tour par des réseaux mafieux, en toute tranquillité puisque précisément il n’existe aucun correctif contre cet exploit militarisé. Duqu appartient très probablement à ce genre de famille. De fortes présomptions laissent penser que ce virus est l’œuvre des services spéciaux US, en raison d’un certain nombre de points communs que l’on retrouve dans les « gènes » de Stuxnet. Mais des morceaux de Duqu, on en retrouve également dans des Blackhole, des Cool et autres « exploit kits » diffusés par des cyber-truands.

Mais ces hypothétiques dommages collatéraux sont sans importance pour les businessmen de la faille et du ZDE. De toute manière, ces sous-traitants travaillant pour un (ou plusieurs) gouvernements ne peuvent jamais être certains que leur vendeur ne se livre pas à un double jeu, commercialisant ses œuvres à la fois au milieu de la cyberdéfense militaire et aux acheteurs du milieu. A plus de 50 000 dollars par Zero Day, qui ne serait pas tenté ? C’est ce qui expliquerait certains points de ressemblance entre le virus Zlob, d’origine mafieuse Russe, et Stuxnet, cyber-flingue supposé écrit par les services secrets US. Sans oublier les probables coïncidences… les chercheurs évoluent dans un milieu agité par de nombreuses « tendances », consultent plus ou moins les mêmes canaux d’information, et peuvent naturellement être plusieurs à découvrir une faille ou famille de failles plus ou moins au même moment.
Dans ces conditions, il est tout à fait logique que s’engage une course à l’armement numérique. Chaque Etat-Nation, chaque entité ou groupe mafieux constitué cherche alors à posséder son propre arsenal offensif pour instaurer soit une sorte de force de persuasion (si vis pacem, para bellum) soit une armurerie efficace assurant un rapide retour sur investissement. Les prix des exploits ne peuvent qu’augmenter dans les années à venir.

La partie la plus visible de cet iceberg économique, ce sont les vendeurs d’exploits officiels, les Vupen, les Cesar Cerrudo, les Moxie Marlinspike, les ReVuln, jeune entreprise fondée par l’un des plus grands chasseurs de failles, Luigi Auriemma. Des « industriels du sploit » qui affirment franchement leurs règles morales, leur volonté de ne pas vendre leurs œuvres à des pays à tendance totalitariste ou ouvertement adversaires de leur propre pays… mais il en va des cyber-armes comme des armes physiques. Rien ne peut garantir le fait que l’acheteur ne cherchera pas à revendre à son tour l’exploit qu’il vient d’acheter. L’usage de ces outils se pratiquant de manière très discrète, il est pratiquement impossible de tracer ou même soupçonner ces pratiques. Un « point de détail » que ne soulève pas notre confrère de Reuters, d’autant plus difficile à déceler que les champs d’application et d’utilisation sont nombreux. De l’exploit java à la faille découverte sur un logiciel Scada très spécialisé, en passant par l’injection de code destinée à un périphérique utilisant un protocole cryptique, ces exploits passent inaperçus. Aucun firewall ne les filtre, aucun antivirus ne les détecte, aucune sandbox ne les retient.

Un arrangement de Wasenaar pour les armes binaires ?

Le principal danger de ces armes, c’est leur risque de prolifération et l’absence de contrôle que les Etats pourraient imposer. En France, le précédent Amesys a montré combien les règles morales que s’imposaient des Vupen ou des Cerrudo ne pesaient pas lourd dès que les décisions se diluaient dans des chaînes hiérarchiques et la course à la rentabilité. Ce sont les mécanismes de la « banalisation du mal » d’Arendt vigoureusement mélangés avec deux doigts d’amoralisme du capitalisme de Comte-Sponville. « J’obéissais aux ordres », « Je ne pouvais pas savoir », « d’autres l’auraient fait à ma place » et « la Raison d’Etat » sont autant de leitmotiv que l’on a entendu durant le Printemps Arabe notamment, période durant laquelle le grand-public a compris qu’une cyber-arme pouvait conduire à de véritables morts, à de véritables tortures. Certes, sans l’éclat tonitruant des cyber-Armageddon annoncés par une presse à sensation, sans barrage qui explose sous la pression d’un virus, sans crach boursier conséquence d’une formidable attaque en déni de service.

Et c’est probablement en raison de cette absence de véritable catastrophe visible qu’il est peu probable de voir prochainement le commerce des exploits assimilé à des armes de guerre. A ceci s’ajoute d’autres considérations. Les exploits demeurent, même à raison de 100 000 Euros pièce, des vecteurs militaires relativement économiques comparés à l’investissement nécessaire au développement d’un système d’arme. Munitions peu coûteuses et multipliables à l’infini, qui peuvent être exportées sans le moindre document, voir être expédiées de manière totalement invisible dans le flux des échanges IP, les exploits offensifs n’ont aucun intérêt à être classés « matière dangereuse », du moins pas en totalité. En admettant même que les systèmes les plus visibles (équipements de filtrage/DPI, systèmes d’écoute et d’intrusion nécessitant une base électronique spécifique) soient un jour contingentés, il existera toujours un marché réservé aux « affreux » et aux contrebandes destinées aux républiques bananières.

Le mardi des rustines de ce mois de mai ne compte que 10 correctifs… dans lesquels sont rectifiées 33 vulnérabilités de taille : 24 risques d’exploitation à distance, 3 élévations de privilège, 3 fuites d’information, un DoS, un spoofing et un contournement d’authentification. Une collection digne d’un mois pair. Il est recommandé d’installer en priorité les MS13-037,038 et 039, qui bouchent des failles activement exploitées. A noter que le calfatage le plus lourd et le plus vital est MS13-037, qui cumule 11 CVE à lui seul. MS13-042 compte également 11 CVE, mais ne concerne que les usagers de Publisher. A noter que le correctif temporaire « Fixit » bouchant le CVE-2013-1347 ( article 2847140 de la Kbase) doit être désinstallé avant application des patchs officiels de ce mois.

Chez Adobe, 13 CVE disparaissent de Flash Player. Ces correctifs sont a priori récupérés automatiquement par Internet Explorer et Firefox.

Le sujet était sensible et l’affaire fut rondement menée. La mission Lescure, dirigée par un des principaux alliés objectifs de l’industrie du Cinéma et des sociétés de divertissement est parvenue à botter en touche : Hadopi est fermement maintenue même si elle rejoint a priori le giron du CSA, parée du prétexte de la Culture. Des changements purement cosmétiques qui ne modifient en rien un système établi par le gouvernement Sarkozy et maintenu contre vents et marées par le gouvernement Hollande, et qui fait dire à sa principale marraine, Christine Albanel, « l’essentiel de l’Hadopi est préservé » (via nos confrères d’Acteurs Publics ).

L’abandon du pouvoir régalien de police au profit d’entreprises spécialisées dans la délation n’est apparemment pas remis en cause, les grands centres de profits des professionnels du piratage hébergés à l’étranger ne sont pas inquiétés. Le train de mesures est même renforcé avec l’invention d’une énième taxe sur la copie privée prélevée sur le prix d’outils connectés à Internet, smartphones et tablettes y compris. La suspension de l’abonnement Internet, mesure à la fois impopulaire et économiquement désastreuse car susceptible d’impacter le chiffre d’affaires des fournisseurs d’accès, pourrait être remplacée par une amende forfaitaire de 60 euros. Ce qui permettrait d’intensifier les sanctions et de compenser les menus extras que l’actuelle commission Hadopi dépense en salaires, en loyers parisiens et autres frais d’études justificatives.

A ces rentrées d’argent viendrait s’ajouter une taxe aux terminaux connectés, que l’on soit pirate ou non, que l’on soit téléchargeur compulsif ou non, en d’autres termes, un « impôt internet » dans la continuation des taxes au support de stockage.

A noter une réaction de l’April sur la supervision des DRM associés aux offres légales. Ces fameuses menottes numériques qui entravent tant les usagers payants et dont se moquent les consommateurs de contenus piratés constituent un risque majeur dans la transmission d’un patrimoine culturel familial (car il s’agit bien de culture dans ce cas précis). Car les DRM sont applicables à tout support numérique, de Britney Spears à l’intégrale des œuvres de Balzac. Dans un cas, les DRM protègent une simple production industrielle et commerciale, dans l’autre, elles interdisent la transmission d’un savoir. Prospective d’autant plus probable qu’il existe actuellement un mouvement de prétendants-Ayant-Droits qui cherche à assimiler à une œuvre de création la saisie numérique d’un livre, que celui-ci appartienne au domaine public ou non. En ne regardant le monde des médias dématérialisés que par le petit bout de la lorgnette des divertissements et du business, la mission Lescure pourrait bien provoquer des remous qui ne seront visibles que dans 5 ou 10 ans.

8 inculpations pour cambriolage prononcées par le tribunal de New York, un butin de 45 millions de dollars en grande partie disparu, une couverture médiatique digne du casse Londres-Glasgow, tant dans la presse généraliste que dans les colonnes de nos confrères du HNS, du Reg ou de Computerworld. Le gang des distributeurs de billet a vidé en moins de trois heure près de 2,8 millions de dollars des distributeurs New-Yorkais durant la trêve des confiseurs puis, dans un second temps, mi-février, l’équipe s’est livré à un pillage d’envergure dans près de 26 pays différents, pour un montant de plus de 40 millions de dollars.

Comme d’habitude, serait-on tenté de dire, le vol s’est déroulé en trois temps. Tout d’abord un hack visant, cette fois, un sous-traitant, afin de récupérer des numéros de cartes de débit « prépayées » et supprimer leur plafond de retrait. La seconde phase a consisté à fabriquer une série limitée de fausses cartes, étape d’autant plus simple qu’elle se limite, Outre Atlantique, à la contrefaçon de la piste magnétique. Le « chip and pin » est boudé par les nord-américains, au grand bonheur des cybertruands. La dernière partie de l’opération se passe de commentaire : dénicher assez de complices de confiance pour vidanger les distributeurs à une heure précise, leur octroyer un confortable pourcentage en rétribution de leur travail, de leur silence et de… leur honnêteté, puisque ceux-ci doivent reverser une partie de leurs gains aux organisateurs.

L’affaire a d’ailleurs mal tourné pour l’un des responsables logistiques, Alberto Yusi Lajud Pena, retrouvé mort il y a deux semaines en République Dominicaine.

Comme d’habitude également, les véritables cerveaux ne se présenteront pas à la barre, il est même quasi certain que les polices parties à leur recherche n’ont que très peu d’idées sur leurs réelles identités. Comme d’habitude également, la faiblesse du système bancaire (voire une coupable négligence de ces institutions aux USA ?) est rarement mise en avant (absence de suivi réel et d’analyse des flux de retraits internationaux, absence de mécanismes à facteurs multiples tels que la carte à puce etc.). Rappelons que ce genre de cyber-casse devient presque routinier. En Afrique du Sud à la Saint Sylvestre 2011, en Floride 5 mois plus tard (intrusion des systèmes de la Fidelity National Information Services Inc., 13 millions de dollars disparus), sans oublier le plus emblématique, le cambriolage RBS Wordpay en 2008 (soit 9 millions de dollars, jugé en 2009 ). Le plus souvent, ces attaques Eclair ont lieu durant les fêtes de fin d’année. Les sommes dérobées augmentent sensiblement, passant de 9, puis 13, puis 45 millions de dollars à chaque braquage, avec un modus operandi qui ne change pratiquement jamais. Gageons que les truands qui, eux, savent de quoi ils parlent, placent leurs économies dans des pays qui ne sous-traitent pas leurs traitements à l’étranger et sécurisent leurs opérations de retrait avec de multiples mécanismes de vérification/authentification.

Le Department of Justice des USA ainsi que le FBI se livreraient depuis quelques temps à des perquisitions numériques dans les emails, communications Facebook, chats, échanges Twitter sans que n’ait été délivré le moindre mandat officiel. Cette révélation (et cette dérive contraire tant à la loi qu’au quatrième amendement), est dénoncée par l’Aclu (American Civil Liberty Union).

Cette lente dérive entre la correspondance papier, qui, de tous temps, a été considérée comme sacro-sainte tant dans le Nouveau Monde qu’en Europe (loi Napoléon) est de plus en plus souvent mise à mal par les lois, y compris françaises (différentiation subtile entre le domaine professionnel et privé, dépendant de « l’opérateur de messagerie »). Cette lente dérive s’appuie souvent sur des prétextes anxiogènes : chasse à la pédopornographie, vol de propriété intellectuelle, trafic mafieux divers, terrorisme etc. Quelques soient les prétextes invoqués, il s’agit ni plus ni moins d’une suppression progressive du secret de la correspondance …

Gros émoi de la presse US à la lecture du rapport annuel destiné au Congrès et rédigé par le Department of Defense US. A l’origine de cette hémorragie d’articles alarmistes, une phrase « In 2012, numerous computer systems around the world, including those owned by the U.S. government, continued to be targeted for intrusions, some of which appear to be attributable directly to the Chinese government and military. These intrusions were focused on exfiltrating information »

Le Ministère des Affaires Etrangères de Pékin a immédiatement répliqué en déclarant en substance que de telles remarques irresponsables et exagérées concernant la construction « normale » de ses moyens de défense ne jouaient pas en faveur d’une relation de coopération reposant sur des relations de confiance mutuelle… langue de bois contre FUDologie, ces petites escarmouches diplomatiques désormais étendues au domaine « cyber » durent depuis bientôt plus de 15 ans.

Le hack du mois dernier du compte Twitter de l’agence Associated Press (et les réactions boursières qui s’en sont suivies) semble ne pas conduire du tout dans la direction logique que l’on aurait pu attendre, à savoir une prise de conscience que Twitter n’est pas une source fiable d’information en matière d’outil d’aide à la décision. Bien au contraire, beaucoup souhaiterait voir instaurer une forme de sécurisation des média sociaux, que ce soit par la formation à de « bonnes pratiques » ou par d’autres moyens, pourquoi pas légaux (tel que des lois répressives sur l’usurpation d’identité pouvant englober les alias et pseudonymes sur Internet). Ainsi cet article de DigitalGov, qui offre à ses lecteurs un certain nombre de recettes et conseils de sécurité, et dont le titre est sans équivoque : Le gouvernement doit rapidement réagir au hacking des réseaux sociaux Cela s’appelle chevaucher un tigre, même si l’on sait que le tigre pourra toujours mordre.

Et pourtant, les hacks noirs ne cessent d’être perpétrés. Après l’Associated Press, un autre compte Twitter de médium, celui du Guardian Britannique, tombait sous les coups de l’armée électronique Syrienne. Une information de nos confrères SecurityWatch(http://securitywatch.pcmag.com/hacking/310834-guardian-twitter-account-hacked-by-syrian-activists), qui font remarquer au passage qu’ont également été piratés les comptes de la BBC, de NPR, de CBS, en concluant « Be Skeptical on Twitter ».
Be skeptical… En français, méfiez-vous des fausses sceptiques. Le doute permanent, la remise en cause de l’information diffusée par Internet, est une vieille marotte des médias et des sociologues spécialistes de l’information. Car il y a en chacun de nous (à plus forte raison dans le cœur de chaque trader ou affairiste) un je-ne-sais-quoi de Nathan Mayer Rothschild, le fondateur de la dynastie, qui bâtit, dit-on, sa fortune grâce à une information confidentielle capitale : la défaite de Waterloo. Le mythe du scoop qui rapporte fortune ou qui laisse présager une promotion. Toute la différence entre Rothschild et le goldenboy qui interprète un Twitt en échangeant des titres sur le NYSE, c’est que le premier possédait un solide réseau d’informateurs capable de lui fournir des renseignements recoupés et vérifiés. Les fortunes qui se constituent sur un coup de poker n’existent que dans les mauvais romans, et les montages de révélations bidonnées sur le Net ne se comptent plus. Souvenons-nous, en pleine folie spéculative Linux, du fameux Jesus, la distrib évangéliste (http://www.zdnet.com/jesux-hoax-uncovered-3002074077/) qui a fait plonger tous les média internéto-crédules.

Be skeptical. Le Guardian, encore, qui, début janvier, titrait que Facebook, un autre médium social, perdait plus d’un demi-million d’inscrits par mois au Royaume Uni, affirmation fondée sur une étude du cabinet d’analyse SocialBaker… lequel cabinet rectifie « facebook ne perd pas d’abonnés, il se porte comme un charme et atteint un palier de croissance puisqu’il a déjà conquis 50% de la population Britannique ». Et le Guardian de récidiver en expliquant qu’une baisse de croissance est une forme de perte, que l’attrait de la nouveauté s’est émoussé sur le vieux continent alors qu’il est en forte croissance en Amérique du Sud… Des chiffres et des interprétations qui ne prouvent pas grand-chose, certainement pas qu’un réseau social possède la moindre once de vérité avec des morceaux d’information vérifiée dedans, pas même en ce qui concerne ses statistiques d’utilisation. Les seules sources de données contradictoires pourraient venir des services techniques des réseaux eux-mêmes, ou d’organismes d’études comme SocialBacker qui ont précisément développé des outils d’analyse spécifiques, adaptés aux estimations de fréquentation des sites Web et média sociaux. Lorsque le gagne-pain d’une entreprise est majoritairement attaché à une activité économique, il est sage de prendre compte de ce genre de détail qui friserait le conflit d’intérêt …

Be skeptical. Le New York Times enfonce un peu plus le clou sur la très relative importance des analyses médiamétriques des réseaux sociaux en révélant, mais était-ce un scoop, que certaines célébrités en mal de … célébrité étaient soupçonnées d’acheter du Follower par paquets de dix-mille. En ligne de mire Pepsi, Mercedes-Benz, Louis Vuitton, Dmitri Medvedev, 50 Cent ou Diddy. Cette usine à paraître qu’est Twitter profite à des entreprises satellites (ou parasites) qui ont pour nom FanMeNow, Viral Media Boost ou InterTwitter, des spécialistes de la fabrication rétribuée d’abonnés bidons et de comptes aussi virtuels que viraux.

Les média sociaux, de Facebook à Twitter, sont avant tout des canaux d’échanges de réactions émotives personnelles, de ressentis, et non pas d’information. Des canaux qui régentent le marché avec la logique du chiffre, la force de la statistique. 17 ou 40 millions de contributeurs ne peuvent pas nécessairement avoir tort ? La logique du nombre sur la raison est généralement un des fondements même des mécanismes populistes qui mènent aux dictatures. Dictature numérique et totalement virtuelle, mais dictature quand même, où l’on peut forger une opinion publique en achetant de l’électeur ou de l’opinion, ou l’émotion et le cas particulier provoque des réactions de masse de courte durée que l’on aurait tort de confondre avec de véritables courants d’opinion. Twitter, c’est Mai 68 toutes les 5 minutes… durant 5 minutes. Les médias sociaux ne sont ni bons, ni mauvais, ils sont. Reflets changeants de rien du tout, où il se raconte tout et son contraire sans qu’aucune pondération, aucun filtrage ne puisse être appliqué. Certains hommes politiques, gens du spectacle, industriels, militants de tous bords (des conservateurs Syriens aux Hacktivistes des indignés) l’ont compris et savent utiliser ce qui n’est jamais qu’un tuyau de propagande ou de publicité. Comment, dans ces conditions, considérer cette « cibi de l’internet » comme une source fiable de renseignement, sur lequel pourraient surfer les traders ? Et surtout comment faire en sorte que les personnes chargées de décisions stratégiques puissent un jour apprendre à faire la différence entre une rumeur infondée et une donnée fiable ? Car en attirant l’éclairage des média sur le hack d’un compte Twitter, ces mêmes médias ont peut-être caché dans l’ombre le véritable problème : l’inconséquence et l’irresponsabilité des courtiers …

Sans fil encore durant la conférence Parisienne Hackito Ergo Sum, avec l’exposé de Daniel Mende intitulé Paparazzi over IP. Le constructeur d’appareils photo Canon propose aux possesseurs d’appareils professionnels (gamme EOS-1D et suivantes) un service de télé-administration/transfert de fichiers par transmission sans fil (norme WiFi), couche de transport conduisant vers un service Internet et un protocole simple, PTP/IP… le tout conçu par des photographes plus que par de véritables spécialistes réseau. Le slogan de la marque est d’ailleurs assez édifiant, puisqu’il promet « vos prises de vues sur Youtube sitôt votre film achevé». L’approche est prometteuse, d’autant plus prometteuse que chaque caméra embarque un serveur Web (un grand classique de l’intrusion depuis l’apparition des premiers routeurs administrables). D’ailleurs, la prise de pouvoir sur l’appareil photo suit une logique assez proche de celle conduisant au root d’un équipement de commutation, en un peu plus simple cependant. Seule la récupération de l’ID de session demande un peu d’attention. Une fois l’appareil rooté, il est possible de récupérer les photos et films stockés dans la mémoire de l’appareil (inutile donc de se battre pour avoir une place confortable au pied des marches lors du Festival de Cannes). L’intrus peut également prendre le contrôle de l’appareil à distance, autrement dit prendre des films et photos, modifier les paramètres de prise de vue (mise au point, sensibilité, réglages des températures etc.), et ainsi piloter tout ce qui n’exige pas d’action manuelle, tel que le réglage du zoom. Autrement dit transformer l’appareil en un outil d’espionnage efficace… tant que son propriétaire ne décide pas d’obturer son « caillou » avec un cache-objectif. Une vidéo de la présentation de Daniel Mende lors de Schmoocon 2013 est disponible sur Youtube.

Sur de plus courtes distances (bien que certains chercheurs parlent de sniffing à plus de 4 mètres), les RFID et autres NFC ont fait l’objet d’une passionnante typologie dressée par Philippe Teuwen, chercheur sécurité chez NXP (anciennement Philips), et animateur de nombreux ateliers de prise en main lors de manifestations genre Hackito. De la définition des normes utilisées (Iso 14444 et ses variantes) aux différentes techniques d’écoute, de sniffing, de spoofing, d’attaques divers, en passant par les multitudes d’outils disponibles (RFIdiot de Laurie, les libnfc tools, Omnikey CardMan 5321, ACG-LF, Frosch, ASK LoGO, SCL3711), Teuwen offre un panorama complet de ce qu’il est possible de faire dans le domaine du « sans contact ». Un peu à la manière de Charlie Miller, mais de façon plus générale encore. C’est, dans le domaine de la sécurité sans-fil, l’une des très rares personnes qui n’aborde pas les problèmes de sécurité par le point de vue étroit d’un seul type de hack, d’une seule méthode d’attaque. Une vision globale comparable à celle (dans un tout autre domaine, celui des attaques sans fil Scada) donnée par Atlas Of D00M également lors de la dernière Schmoocon.

Une dernière couche de Wireless et de flicage en mentionnant la conférence de Glenn Wilkinson sur la surveillance et le profilage des personnes par la simple surveillance de leurs téléphones cellulaires (et un peu de hacking au passage). Ambiance Orwellienne garantie, une interview donnée notamment par Wilkinson à nos confrères de The Nacked Scientist à l’occasion de la dernière 44Con 2012 donne le ton. Difficile de mettre un Galaxy ou un iPhone sous tension après un tel discours.

Mais toutes les interventions de Hackito Ergo Sum ne portaient pas l’étiquette « wireless ». On y parlait Scada également avec l’œil d’expert « touche à tout » d’Edmond “bigezy” Rogers, un spécialiste de la sécurité des infrastructures mises en place par les opérateurs de fourniture d’électricité des USA. Un monde ou les transformateurs de tension coûtent des millions de dollars et sont administrables à distance (tiens donc), un monde ou le consommateur-client est lui-même potentiellement vulnérable depuis que se répand la mode du déploiement des compteurs télé-opérables, un monde qui, surtout, ne fonctionne que grâce à la coexistence de techniques et technologies tantôt modernes, tantôt tellement âgées qu’il est pratiquement impossible d’assurer un service de maintenance efficace.« No pictures, no recording, no camera », exige Edmond Rogers. On le comprend lorsqu’il dévoile les plans tentaculaires du réseau IP assurant la fourniture en énergie de la moitié centre et Ouest des Etats-Unis.

Hackito, c’était également l’occasion de retrouver des habitués des conférences sécurité Européennes. Notamment Paul Rascagnères, dont la banque Luxembourgeoise de malware devient chaque jour de plus en plus connue des chercheurs européens. Hack In Paris, Insomni’hack Genève, Hackito, Paul Rascagnères prend son bâton de pèlerin et vient prêcher en faveur de cette bibliothèque très spéciale, indépendante de tout vendeur d’antivirus, et capable de fournir une information non biaisée par les contraintes marketing et le sensationnalisme dont sont victimes les marchands de sécurité. Le discours tenu à l’occasion de Hackito Ergo Sum reprenait les grandes lignes de l’étude du virus Red October que l’on peut consulter sur le site Luxembourgeois.

Une toute dernière mention sur le travail de Mathieu ‘GoToHack’ Renard, déjà présenté lors de GreHack 2012 et dont on peut encore consulter les transparents. Après avoir entendu Mathieu parler de sa station d’accueil pour iPhone « légèrement modifiée » à l’aide d’un Raspberry Pi, on se méfie du moindre chargeur, du plus insignifiant amplificateur que l’on trouve dans une chambre d’hôtel : le root du périphérique est si discret, si silencieux…

5 juin 2013, Rendez-vous à l’Intercontinental Paris Avenue Marceau

Cliquer ici pour : S’inscrire en ligne à la matinée Sécurité

CNIS Event fait le point sur les menaces d’aujourd’hui et de demain. Des experts expliqueront quelles sont les menaces pour le système d’information, détailleront les vulnérabilités comme les attaques potentielles. Ils approfondiront également la question en expliquant sur quoi elles portent mais surtout parleront de la manière dont on pourrait se prémunir : comment savoir que l’on a été attaqué ? Que faire pour bloquer quand c’est possible, voire contourner ? Certains acteurs du secteur viendront appuyer les faits en détaillant leur propre vision. D’autres viendront raconter de quelle manière, ils se défendent. De nombreux experts en sécurité et avocats seront présents et répondront autour d’une table ronde aux questions des patrons, DSI, RSSI, personnel IT présents dans la salle

Où ?

CNIS Event a choisi un endroit en plein cœur de Paris, à deux pas des champs Elysées et de l’Arc de Triomphe. A deux pas des endroits business les plus stratégiques de Paris (Porte Maillot, Palais des congrès, La Défense…) comme facile d’accès pour ceux de l’extérieur qui viennent tout spécialement assister à la matinée CNIS Event (aéroports Orly et Roissy, accès aisé aux trains grandes lignes via la station de RER Charles de Gaulle-Etoile à proximité, parking).

InterContinental Paris avenue Marceau
64, avenue Marceau,
75008 Paris
Tél : +33 (0)1 44 43 36 36
Pour s’y rendre : métro George V (ligne 1), RER Charles de Gaulle-Etoile (Ligne A),Bus Arrêt Bassano (Ligne 92 Porte de Champerret – gare Montparnasse), parking 75 avenue Marceau, Paris 8

Pour qui ?

Les Responsables sécurité, les DSI, les décisionnaires d’une façon générale que ce soit de l’infrastructure ou de l’entreprise, les CIL, les avocats et juristes et DRH de l’entreprise, les consultants également. Tous sont concernés par les menaces actuelles et à venir qui guettent le SI. Il faut connaître et comprendre à qui, à quoi on a à faire pour pouvoir envisager et organiser la protection de son système d’information. Un discours d’expertise et de sensibilisation qui concerne tout le monde.

Cliquer ici pour : S’inscrire en ligne à la matinée Sécurité

Agenda

• 8H30 – Accueil des participants : petit-déjeuner et Networking
• 9H00 –Panorama des nouvelles menaces et vulnérabilités du SI, Hervé Schauer, PDG de HSC et membre du Clusif
• 9H20 – Retour sur la situation au niveau mondial : Menaces et Stratégie de Défense, Jarno Limnéll, Directeur Cybersécurité chez Stonesoft
• 9H40 – Conseils, guide et expertise, Gérôme Billois, Directeur Pôle Sécurité chez Solucom
• 10H00 – Comment récupérer les informations pertinentes du SI ? par Hadib Changriha de NetIQ
• 10H20 – Expertise terrain et solution, état des lieux des SI, Philippe Rondel, Check Point
• 10H40 – Minute Juridique : Protection et piratage du SI … quels sont les droits des entreprises, Maîtres Olivier Itéanu et Garance Mathias répondent à toutes vos questions
• 11H00 – PAUSE Networking
• 11H20 – Expertise terrain et solution, Vision de Palo Alto Networks
• 11H40 – Point sur la sécurité des systèmes SCADA, Loup Gronier, Directeur de l’Innovation chez Lexsi
• 12H00 – Panel sur les menaces actuelles et futures du SI et les Solutions potentielles avec François Coupez, Cabinet Caprioli et associés qui abordera la partie juridique ; Sébastien Gioria, OWASP France expert sur les vulnérabilités des applications web ; Philippe Langlois, CEO de P1 Security expert en sécurité des SI; Léonard Dahan, Stonesoft qui expliquera sa vision terrain avec des retours d’expérience. Animé par un journaliste sécurité
• 12H45 – Clôture de la conférence

Dangereux complice d’Adam Laurie, chimiste à ses heures et Attila des circuits intégrés, Zac Franken se fait appeler « the Hardware Monkey ». Sa passion, la mise à nu des circuits intégrés, son but, la lecture « en binaire dans le texte » des ROM que l’on peut y trouver. « Plusieurs méthodes sont envisageables, pour parvenir à « lire » littéralement le silicium d’un circuit intégré. La première consiste à effectuer une attaque à l’acide nitrique (sous hotte aspirante et enceinte chimique protectrice. Il ne reste après opération que l’or des coutures électroniques (bonding) et le silicium nu. C’est très pratique lorsque l’on cherche à identifier un C.I. dont les références et marquages ne correspondent à rien de connu. La référence exacte du microcontrôleur mystère est toujours gravée sur le silicium, et il est rare, de nos jours de voir apparaître de véritables circuits « custom design » dans des productions grand public ». Le procédé est certes efficace mais comporte quelques risques. Zac « hardmonkey » Franken décrit avec minutie les différentes opérations de traitement sur son blog. «Ce qui est remarquable, c’est qu’un tel hack ne nécessite plus, comme on avait tendance à le croire, des salles blanches, des microscopes électroniques, des enceintes classe 1 et autres danseuses de laboratoire. Tout, du microscope optique à la hotte aspirante, en passant par les bouteilles d’acide ou les boîtes de Pétri, s’achètent sur eBay. Y compris, si l’on souhaite effectuer des analyses non destructives, les pellicules sensibles aux rayons X utilisées par les dentistes et qui permettent de découvrir tout ce qui est caché sous le capot de résine époxyde ».

L’attaque acide « brutale » est déjà de l’histoire ancienne pour Zac Franken. Il tente désormais de conserver les broches des circuits, afin de pouvoir examiner les circuits tout en pouvant les mettre sous tension. « Pour ce faire, j’ai mis au point une machine d’attaque par projection acide ponctuelle, capable de percer un tout petit trou dans ce coffre-fort à silicium ». Le hack, cette fois, dépasse le simple trempage, mais reste à la portée d’un hackerspace bien équipé. « C’est seulement à partir de cet instant que l’on peut espérer tirer des enseignements intéressants », continue Franken. Car si admirer la structure d’un processeur ou découvrir la référence exacte d’un circuit est parfois utile, il est encore plus avantageux de parvenir à « reverser » ce qui compte le plus, le firmware enregistré en ROM par le constructeur. Contrairement aux Eproms, EAroms et autres mémoires conditionnées par un état électrique, les ROM ont des états permanents physiquement différents selon que l’on a stocké un « 1 » ou un « 0 ». « Sur une macrophotographie de l’espace mémoire, ces « bits » apparaissent très clairement sous forme de points brillants ou de zones plus sombres » continue Franken. « Pourtant, le niveau de contraste n’est pas encore assez élevé pour que l’on puisse effectuer une lecture optique fiable pouvant déboucher sur un véritable désassemblage. Il faut encore lancer une attaque de surface, très légère ». Une attaque d’autant plus difficile à réaliser qu’elle doit éliminer une fine couche dans du silicium, un matériau résistant à pratiquement tous les acides. « Il n’existe qu’un seul acide capable de jouer ce rôle : le fluorhydrique, un produit d’une dangerosité extraordinaire, une véritable « pisse du diable » qui attaque le calcium des os ». Un acide qui se trouve également en vente sur eBay et qui demande de formidables précautions de manipulation, des gants de protection spéciaux… bref, une opération excessivement dangereuse qui ne doit être pratiquée que par des personnes compétentes et prudentes. Et c’est à ce stade qu’intervient le « software monkey », Adam Laurie, qui a développé Rompar, une suite de codes pythons destinés au traitement de l’image physique de la ROM. Rompar facilite le décodage ligne par ligne, colonne après colonne, du firmware ainsi mis à nu. Ce code open source ainsi que le désassembleur d’un des processeurs Atmel ayant servi pour l’expérience, peuvent être téléchargés sur le blog de l’auteur. Mais le plus passionnant reste malgré tout la description minutieuse de ce travail de fourmis, de ce décryptage (au sens archéologique du terme) auquel s’est livré Adam Laurie, macrophotographies à l’appui. Un remarquable travail de cryptanalyse digne du Scarabée d’Or d’Alan Poe, un techno-roman policier « hard science hardware » pour amoureux du fer à souder et inconditionnels du microscope.