Au grand bal de l’espionnage Industriel et d’Etat, tout le monde surveille tout le monde, mais tout le monde s’étonne d’être victime de cet état de fait. Lorsque nos confrères du Monde affirment que 35 « Leaders Internationaux » sont écoutés par la NSA se basant une fois de plus sur les révélations d’Edward Snowden, c’est la surprise générale. Seule Dilma Rousseff, Présidente du Brésil, semble être au courant depuis plus d’un mois. Les autres pataugent dans la stupéfaction, la hargne la rogne et la grogne. Ainsi Madame Merkel comme en témoigne le NYT. Les Français, pour leur part, exigent des explications (in Le Monde) en espérant qu’un service d’espionnage étranger tendra son rouge tablier et attendra avec patience la mercuriale de nos propres Maîtres Espions. Le Chef d’un service de renseignement en train d’expliquer à son homologue US les règles de l’étiquette en matière de barbouserie, voilà qui fait très Ancien Régime… et qui frise le ridicule.

De l’autre côté de notre beau Rhin Allemand, les réactions sont un peu plus pragmatiques : on veut, on exige, à l’instar de ce que revendiquait la Présidente du Brésil il n’y a pas deux semaines, un Saint Internet Teutonique, protégé des intrusions étrangères. Ou, pour le moins, un Internet sécurisé de l’Espace Schengen. Que voilà une subtile façon de dire les choses… Rappelons que l’Espace Schengen, défini par un accord plus économique que politique, n’intègre pas la Grande Bretagne, membre de l’alliance UKUSA qui unit les services de renseignement du Grand Large et d’Albion. Une façon très Prussienne de dire « restons entre Européens continentaux qui croient réellement à l’Europe ». Mais, sous l’effet de la colère, de la peur et de l’indignation, ne risquons-nous pas de voir instrumentalisé cette revendication cyber-isolationniste ? Un Internet Européen fermé, un Internet National ou Nationaliste, voir communautariste-Européen, n’est-ce pas à la fois l’antithèse d’Internet lui-même et la porte ouverte à une surveillance accrue des communications, à un recul des libertés individuelles, au nom même de cette nécessaire surveillance visant à bouter les NSAistes hors de nos frontières ?

Au grand bal de l’espionnage Industriel et d’Etat, nul ne se préoccupe, en revanche de ce que peut faire la main gauche de nos propres services de renseignement. Quand ces mêmes confrères du Monde expliquent, en pleine période estivale, que nos vaillantes synthèses de l’Esprit et du Muscle inspectent les corbeilles à papier (et un peu plus) de nos alliés objectifs, l’article tombe à plat. Il faudra attendre les révélations sur Prism pour que le grand public s’émeuve des activités d’espionnage. Mais uniquement de celles perpétrées par les agents des USA. Après tout, chez nous, ce sont « nos » espions, qui combattent pour que triomphe notre vision de la Civilisation. Vérité en-deçà de l’Atlantique, mensonge au-delà.

Au grand bal de l’espionnage Industriel et d’Etat, les concerts d’indignation, l’espionnage supposé des Chefs d’Etat a totalement occulté les débuts de l’Affaire Snowden. Notamment le fait que les serveurs des principaux prestataires de service Cloud utilisés en Europe sont « open bar » pour la NSA. Prism s’est dilué dans les scandales des bretelles téléphoniques Elyséennes et des interceptions de communications GSM côté Bundestag. Le petit et le grand commerce reprennent leurs droits, et les vendeurs de Cloud et réseaux sociaux d’Outre Atlantique, pourtant mouillés jusqu’au menton, entament à nouveau leurs campagnes marketing. En y ajoutant d’ailleurs, pour certains, un couplet « sécurité » et en vantant les mérites de nouveaux services gratuits de chiffrement soit des transmissions, soit des ressources. Le chiffrement chez et par l’hébergeur, qui donc peut être rassuré de cette manière ?

L’électrochoc n’a pas non plus suscité de réaction concrète à l’échelon Européen, si ce ne sont quelques textes et demandes d’explication. Pourtant, quelle meilleure riposte que de voir l’Europe allouer un budget Européen à un véritable projet de développement Cloud transnational ? Ce serait plus efficace qu’une série d’initiatives isolées (chaque initiative étant limitée au budget d’un seul état), plus efficace aussi qu’une commission d’enquête ou qu’une délégation chargée de demander des comptes à la No Such Agency.

Tout cela provoque un état schizophrénique, un dédoublement de personnalité collectif. Il existe désormais deux mondes bien distincts. Celui du business d’une part, qui, frappé d’une amnésie sélective (ou conscient du fait qu’il n’est hélas pas possible de « faire autrement ») accepte de renouer avec ses anciens contrats signé avec des entreprises situées dans le top ten Prism/Echelon, ses anciens plans de développement, en acceptant avec fatalisme ce risque d’espionnage. Et celui du citoyen d’autre part, qui s’indigne de l’emprise tentaculaire de la NSA, de ses intrusions dans les rouages de nos états. Mais uniquement après les heures de bureau.

Non, tout compte fait, il existe trois mondes bien distincts. Celui du travailleur en entreprise, celui du citoyen, et enfin celui de l’Internaute, qui, bien que prévenu de l’usage qu’il est fait des métadonnées, ne peut se passer de raconter sa vie sur Tweeter et Facebook, d’illustrer ses propos via Instagram. Dans l’urgence, la Commission Européenne, encore sous le choc Snowden, parvient à voter un texte visant à renforcer la protection des données collectées au sein de l’U.E.. Un texte probablement vain, car le nombre de clauses veillant à protéger l’indépendance des entreprises pourrait rendre caduques ces exigences de « demandes d’autorisation de transfert des données personnelles collectées ». Et quand bien même ces clauses n’existeraient pas qu’il y a de fortes chances pour que les usagers du Net n’y prêtent pas attention. Un pop-up de plus, un avertissement incompréhensible noyé dans un jargon juridique… tout ce qu’il faut pour entretenir l’état schizophrénique du cyber-citoyen.

Lorsque, au début du mois, Adobe avouait avoir été victime d’une intrusion et s’être fait dérober un nombre important de comptes d’accès clients, il n’était question « que » de 3 millions de victimes potentielles. Mais peu de temps après, anonnews.org publiait un fichier de plus de 150 millions d’identités numériques, dont une partie du contenu pourrait être recoupé avec la liste des clients Adobe. Après enquête, Brian Krebs estime qu’au final, ce sont plus de 38 millions de comptes actifs qui se sont donc retrouvés dans la nature. Chiffres confirmés par un porte-parole de l’éditeur.

Dans un cas, on parle de faille, dans les deux autres, le mot de « backdoor » est avancé. Le résultat final est strictement le même : les appareils mentionnés sont « rootables » à distance.

Chez Netgear, il s’agit de la gamme ReadyNAS équipés du firmware RAIDiator antérieur à la version 4.2.24. L’alerte a été lancée par Tripwire, et il semblerait (les NAS étant des périphériques souvent oubliés) que la grande majorité de ces systèmes soit encore vulnérable et risque de le demeurer encore un bout de temps. L’attaque utilise une vulnérabilité accessible depuis l’interface Web d’administration, un grand classique du genre.

Les trappes des routeurs Dlink et Tenda sont d’un tout autre calibre, et semblent faire partie d’une grande campagne de rechercher et de fuzzing conduite par l’équipe de /dev/ttyS0. Une phrase magique, xmlset_roodkcableoj28840ybtide, donne accès aux entrailles du routeur (lire la « phrase clef » à l’envers pour en apprécier l’humour de son auteur). Chez Tenda, constructeur Chinois, le mot de passe est « w302r_mfg ». Un paramètre donne le privilège root. Il semblerait que, dans les deux cas, il s’agisse de trappes réservées au debuging de l’appareil, routines qui n’auraient pas été éliminées du code une fois l’appareil mis sur le marché. Mais en ces périodes d’espionnite généralisée, un trou n’est plus un trou, une faille ou un oubli se transforme en usine à FUD….

Par mesure de prudence, il est conseillé de garder un œil sur le blog de /dev/ttyS0. Certains « month of xx bug » ont débuté de manière toute aussi innocente. En outre, les équipements de commutation et appliance sont en général hors du périmètre de contrôle des outils de protection couramment utilisés par les PME et artisans, et donc moins soumis à la pression des chasseurs de bug. Par voie de conséquence, on peut estimer que le nombre de failles exploitables y est légèrement supérieur à la moyenne de celles comptabilisées au cœur des systèmes d’exploitation ou des applications bureautiques, par exemple.

5 novembre 2013, Rendez-vous à l’Intercontinental Paris Avenue Marceau

« Big Data, Cloud & Virtualisation : quelle sécurité ? »

Cliquer ici pour : S’inscrire en ligne à la matinée Sécurité

Le Cloud est devenu central dans l’ouverture du S.I. Cela génère des flux de données de plus en plus importants et difficilement contrôlables, le tout reposant sur des infrastructures virtuelles pas toujours maîtrisées en termes de sécurité. Par ailleurs, l’entreprise elle-même génère de nombreuses données en interne comme en externe structurées ou non. Panorama des risques et menaces, conseils et solutions sur comment se protéger. Et également l’autre face du Big Data : comment utiliser le Big Data pour protéger son capital données ? Des experts de tout bord viendront décortiquer le sujet : consultants, avocats, acteurs, chercheurs, de la théorie à la pratique. Ils répondront à toutes les questions.

Où ?

CNIS Event a choisi un endroit en plein cœur de Paris, à deux pas des champs Elysées et de l’Arc de Triomphe. A deux pas des endroits business les plus stratégiques de Paris (Porte Maillot, Palais des congrès, La Défense…) comme facile d’accès pour ceux de l’extérieur qui viennent tout spécialement assister à la matinée CNIS Event (aéroports Orly et Roissy, accès aisé aux trains grandes lignes via la station de RER Charles de Gaulle-Etoile à proximité, parking).

InterContinental Paris avenue Marceau
64, avenue Marceau,
75008 Paris
Tél : +33 (0)1 44 43 36 36
Pour s’y rendre : métro George V (ligne 1), RER Charles de Gaulle-Etoile (Ligne A),Bus Arrêt Bassano (Ligne 92 Porte de Champerret – gare Montparnasse), parking 75 avenue Marceau, Paris 8

Pour qui ?

Les Responsables sécurité, les DSI, les décisionnaires d’une façon générale que ce soit de l’infrastructure ou de l’entreprise en ce qui concerne les PME-PMI, les CIL, les avocats et juristes de l’entreprise, les consultants bien entendu. Tous sont concernés par les nouvelles menaces qu’encourent un SI ouvert … Il faut connaître et comprendre à qui, à quoi on a à faire pour pouvoir envisager et organiser la protection de son système d’information. Un discours d’expertise et de sensibilisation qui concerne tout le monde.

Cliquer ici pour : S’inscrire en ligne à la matinée Sécurité

Agenda

• 8H30 – Accueil des participants : petit-déjeuner et Networking
• 9H00 –Panorama des menaces et risques pour le SI, Amaury COTHENET, expert du CERT Lexsi
• 9H20 – Point de vue d’un acteur, Bernard Montel, RSA
• 9H40 – Conseils, guide et expertise, Chadi Hantouche, Manager en risk management et sécurité de l’information chez Solucom
• 10H00 – Panel sur Big Data, Cloud & Virtualisation : quelle sécurité avec un avocat du cabinet Alain Bensoussan Avocats qui abordera la partie juridique ; retour terrain d’Hervé Schauer, PDG HSC consulting, Un expert pour des conseils et soulever de nouvelles problématiques, Edouard Jeanson, VP & Directeur Technique de l’activité Sécurité de Sogeti Groupe , Nicolas Ruff, Chercheur chez EADS Labs. & Sylvain Siou, Nutanix, Animé par un analyste, Bertrand Garé
• 10H45 – PAUSE Networking
• 11H00 – Expertise terrain et solution, point de vue de Gilles Maghami, Informatica
• 11H20 – Minute Juridique : Big Data & Cloud, Maîtres Raoul Fuentes du cabinet Iteanu et Garance Mathias du cabinet d’avocats Mathias répondent à toutes vos questions,
• 11H40 – Clôture de la conférence

Article de Thibaut Gadiolet et Vincent Hinderer sur l’évolution des mécanismes de contrôle des Botnet sur le blog du Lexsi. Une petite tranche d’oignon ne fera pas de tor à cette cuisine

Mon navigateur connaît tous mes secrets. Une analyse claire des indiscrétions des navigateurs par Sally Vandeven sur le quotidien du Sans

Dans les tripes P2P du toolkit Zeus, une étude du Cert Polonais à télécharger (en anglais). A la fois technique et très bien vulgarisé.

Deux intrusions en moins de 6 mois sur les machines du Department of Energy des USA, signale le WSJ. Plus de 14 000 identités auraient pu être dérobées.

Paunch, l’un des auteurs présumés de BlackHole (kit de fabrication d’exploits) aurait été arrêté en Russie.

Ce début octobre est chaud, avec une formation fortement dépressive puisque bordée d’un épais front d’exploits « dans la nature » concentrés sur Internet Explorer, plus particulièrement dans la zone CVE-2013-3893 et CVE-2013-3897. Le bulletin météorologique des giboulées rustiniennes compte pas moins de 8 bouchons pour 26 trous, soit une confortable moyenne de 3 trous par rustine, et une place de « patch tueday d’or) avec 50 % de failles qualifiées de « critiques » exploitables à distances, et pouvant constituer une nouvelle famille de racine virale (notamment la MS13-083, une « remote server side » qui devrait trouver exploit à son pied dans un futur proche)

C’est également avec une émotion non feinte que nous fêtons le dixième anniversaire des mardi des rustines, un rendez-vous qui, au fil du temps, a su rallier la participation de plusieurs éditeurs tel Apple, Adobe et consorts. Le second mardi du mois est un repère dans le quotidien du responsable de parc… Pour l’année 2013, le cycle de 365 jours un quart de corrections logicielles s’achève donc avec un total de 87 bouchons estampillés Windows, en nette augmentation par rapport à l’an passé (70 bulletins).

Chez Adobe, un CVE-2013-5327 colmaté concernant RobotHelp, et un CVE-2013-5325 tué dans l’œuf et affectant Acrobat et Reader XI. Il semblerait qu’il existe une « silent release » 11.9.900.117 de Flash, sans mention particulière sur les pages sécurité de l’éditeur.

Apple devrait « pousser » une nouvelle version d’Itune, sans autre précision technique à l’heure où nous rédigeons ces lignes. Y aurait-il un peu de relâchement dans la publication officielle des correctifs ? Ou serait-ce le fruit d’un soudain excès de pudeur ?