septembre, 2014

L’Otan se déploie sur de nouveaux fronts, nous apprend le NY-Times. Ses 28 pays membres seraient sur le point de ratifier un accord aux termes duquel toute cyber-agression de l’un d’entre eux pourrait provoquer une réaction de défense de l’ensemble de l’alliance.

Pour l’heure, il ne s’agit là que d’une déclaration d’intention d’une extrême virtualité. Pour répliquer face à une cyber-attaque, il faut posséder quelques cyber-armes. Et jusqu’à ce jour, seuls les USA et la Grande Bretagne ont dévoilé bien involontairement une partie de leur arsenal, grâce notamment aux révélations Snowden et quelques articles du magazine Wired. Les autres pays, dont la France, sont demeurés très secrets quant à leur capacité de projection sur le cyberterrain d’opération. Paraphrasant Joseph Staline, chercheur assoiffé de vérité et humaniste distingué, l’on pourrait dire « cyber-Otan, combien de division ? »

Nos confrères New-Yorkais expliquent que cet accord cyber-militaire est un message directement adressé au gouvernement Poutine, soupçonné des pires maux dès qu’une vague de serveurs succombe sous les assauts d’une invisible et insaisissable armée de hackers noirs. L’on pourrait également ajouter à la liste des destinataires potentiels Pékin, Téhéran, quelques pays d’Amérique du Sud dont le développement des cyber-panoplies est régulièrement dénoncé par les médias d’Amérique du Nord.

Reste également à définir ce qui peut être considéré comme une agression informatique. Un déni de service sauce Estonienne ou un suprême d’écoute téléphonique façon Merkel ? Un Stuxnet légèrement maussade ou un Prism franc et joyeux ?

Enfin, la notion de cyberdéfense et de riposte numérique relève encore de la question rhétorique et risque de le demeurer longtemps. L’actuel conflit Russo-Ukrainien n’a provoqué de la part de l’Otan que communiqués et déclarations d’intentions. Ce genre d’armes s’avère relativement peu efficace, tant face à des chars et des divisions d’infanterie que devant une invasion binaire visant des infrastructures Scada.

« Nos entreprises High Tech ne sont pas partie intégrante de notre gouvernement » déclare l’ex Secrétaire d’Etat Hillary Clinton dans un discours rapporté par nos confrères d’IDG News Services « D’ailleurs d’autres pays font la même chose en matière de collecte d’information » précisait-elle en substance. En d’autres termes, le fond de commerce de la NSA ne dépendrait pas d’un diktat de l’Etat, mais de toute manière, d’autres Etats observeraient les mêmes pratiques… Excuser l’inexcusable conduit parfois à de savoureuses contradictions.

Et l’ancienne Première Dame de préciser que l’exploitation de ces informations « sont définies par un cadre législatif sans égal dans d’autres pays ». Las, la présence d’un cadre législatif n’interdit pas les abus, il ne fait qu’en officialiser la légitimité. C’est le cas notamment des droits de regard de la NSA sur les contenus et les métadonnées véhiculés par les opérateurs ou les fournisseurs de service internet. Très habilement, Clinton utilise ensuite une vieille ficelle politicienne, la victimisation. « Chaque fois que je me déplace en Russie ou en Chine, il nous est impossible d’emporter nos ordinateurs, nos équipements personnels sortis des limites de notre avion. « Ils » sont si bon (ndlr en matière de hacking) qu’ils seraient capables de les compromettre en quelques minutes ». Vilains Russes, méchants Chinois. Notons au passage que cette technique de victimisation n’est pas franchement nouvelle. C’est très exactement celle utilisée par les dirigeants Chinois lors des premières accusations quasi officielles d’espionnage numérique et d’attaques formulées par les Américains à l’époque de la vague Titan Rain, dès 2003.

Il faut dire que jamais les espions ou hackers d’Amérique du nord n’oseraient commettre de telles choses. Leur « Sk1llZ » ne s’exerce donc qu’en direction des équipements des gouvernements alliés et des populations locales situées sur le sol US ? Madame Merkel et l’ACLU apprécieront.

Après avoir soufflé le chaud, la très probable future candidate à la Présidence des Etats-Unis regrette « que nous soyons parfois allés trop loin »… mais explique en substance que cet état de fait est en voie de normalisation, et qu’en tout état de cause, ces excès ne sont que la conséquence de « compromis nécessaires » entre la notion de préservation de la vie privée et la sécurité du pays.

Cet enchainement rhétorique semble quasiment définir la feuille de route du parti Démocrate en matière de défense et de militarisation numériques pour les années à venir. Il représente donc la tendance la plus « douce » que nous réserve l’avenir des relations américano-européennes en matière de défense numérique (défensive ou proactive), très en retrait des politiques que pourraient instaurer les faucons du parti Républicain.

Nos confrères de Ars Technica ont mis la main sur un document « à diffusion limitée » émis par le DHS, département de la sécurité intérieure des Etats-Unis.

Ce document prévient des risques de Googlehacking à l’encontre de sites mal conçus, et donne quelques indications et axes de recherche en matière de test et de renforcement des mesures de confidentialité : chiffrement des données sensibles, contrôle des accès par mot de passe, rédaction d’un fichier « robot.txt » sérieux… les recettes sont quasiment aussi vieilles que les premières communications de Johnny « I hack Stuff » Long, le père du GoogleHacking, le premier qui alerta l’opinion sur l’indélicatesse des crawlers émis par les principaux moteurs de recherche.

Rien de très nouveau, rien de très geek ou techies, seulement une opération de sensibilisation à destination des TPE et PME et autres petites structures en contact direct avec des services de police de proximité.

Pendant ce temps-là, en France….

97 000 identités (email et mot de passe chiffré) de personnes actives sur la plateforme de suivi de failles et défauts de la fondation Mozilla étaient accessibles sur une ressource serveur dénuée de protection, et ce durant une période de 30 jours.

C’est la seconde fois en l’espace de deux mois qu’un tel problème est découvert. La précédente mésaventure du même genre avait laissé aux quatre vents des pans entiers de base de données contenant les coordonnées de contributeurs. Ces fichiers ont été accessibles durant environ 3 mois avant que l’on ne se rende compte du problème.

Cette exposition involontaire de données personnelles ne signifie pas nécessairement que lesdites informations aient été récupérées par des personnes mal intentionnées.

L’IEEE Computer Society, branche informatisante du célèbre comité de normalisation Etats-Unien, vient d’accoucher d’un document d’une trentaine de pages censé dresser la liste des mauvaises pratiques « constatées dans la vraie vie et recensées par un collège d’experts » et en tirer les bonnes pratiques nécessaires . Cette journée « failles, portes ouvertes » (de la catégorie de celles que l’on enfonce) n’apprendra strictement rien aux spécialistes du genre. Mais le document, ainsi que le prestige de l’organisme éditeur, pourra peut-être servir à répandre la bonne parole auprès des jeunes générations d’architectes-systèmes, des DSI un peu trop « dégagées du cambouis » et autres grands manipulateurs conceptuels proches des directions générales.

Selon l’IEEE, donc, les usages salvateurs sont les suivants :

Acceptez ou attribuez une relation de confiance mais ne surtout ne la présumez pas

Utilisez un mécanisme d’authentification qui ne peut être contourné ou modifié

Séparez strictement les données et les instructions de commande/traitement, et n’exécutez jamais une commande de processus provenant d’une source qui n’est pas digne de confiance

Définissez une approche capable d’assurer que toutes les données sont explicitement validées

Utilisez correctement les ressources cryptographiques (sic)

Identifiez les données sensibles ainsi que la manière dont elles doivent être traitées et utilisées

Prenez toujours en compte les usagers (tant d’un point de vue ergonomie des procédures de sécurité que des pratiques constatées sur le terrain)

Déterminez à quel point l’intégration de composants de provenance extérieure peut modifier votre surface d’attaque

Prévoyez de vous adapter en prenant en compte de futurs changements d’objectifs ou d’acteurs

« Keep it simple stupid ». Le mode Kiss cher aux informaticiens a su séduire les agents de la NSA, nous apprend un document tiré des fichiers Snowden et récemment publié par The Intercept.

Que les espions Britanniques et leurs collègues du Commonwealth travaillent main dans la main avec ceux des USA n’est pas vraiment une surprise. Le « grand large » alimente les services de renseignements de Sa Gracieuse Majesté de façon quasi systématique au moins depuis la dernière guerre. Ce qui change, explique la rédaction de The Intercept, c’est que les outils d’échange deviennent de plus en plus efficaces, de plus en plus simples, de plus en plus instantanés. Et c’est particulièrement le cas avec Icreach, une infrastructure de collecte de métadonnées téléphoniques acceptant des requêtes via une interface « à la sauce Google » et dont les premiers prototypes ont été pensés et conçus il y a 20 ans de cela. En un clin d’œil, sans formulaire en triple exemplaires, sans délai administratif, sans commission rogatoire, sans frais d’opérateur, les hommes de l’ombre et néanmoins de Londres peuvent apprendre qui a téléphoné à qui, depuis quel endroit, quel numéro de téléphone, à quelle date et heure, durant combien de temps, avec quel IMEI et IMSI, selon quel protocole etc. En prime, Icreach offre l’adresse email, les pseudonymes et les canaux de conversation favoris de l’intéressé. Dit moi à qui tu parles, je te donnerais l’âge du capitaine grâce à l’analyse de tes métadonnées.

Cet outil de profilage massif des communications dispose d’une base estimée de 850 milliards « d’évènements ». Un chiffre qui dépasse l’entendement, un chiffre surtout qui date de 2007 et qui progresse de 1 à 2 milliards d’enregistrements par jour.

Les vacances estivales s’achèvent, débute la saison des rapports trimestriels de sécurité. Celui de McAfee débute avec un chiffre impressionnant : le cap des 200 millions de signatures virales recensées vient d’être atteint.

Parmi les autres statistiques sécuritaires marquantes :

– 79% des « apps » clones de Flappy Bird contiennent un malware

– Les concepteurs de services liés aux botnets survendent les fonctions de « bitcoin mining »… lesquelles ne garantissent pas le moindre retour sur investissement mais simplifient le repérage des botnets en général et des machines zombifiées en particulier. Ce n’est donc pas une mauvaise nouvelle.

– Après une pause, marquée par l’apparition des systèmes d’exploitation 64 bits, plus sécurisés, les rootkits refont une entrée en force sur le marché du malware. L’une de leurs méthodes d’installation favorite est l’usage de certificats authentiques, volés puis détournés de leurs fonctions premières

– C’est le secteur de la téléphonie mobile qui fait les frais de la progression la plus importante constatée dans le paysage des menaces, avec une progression de 22 % des attaques durant le dernier trimestre écoulé. Les virus en question sont principalement des lanceurs d’appels et de SMS sur des numéros surtaxés et des troyens chargés du vol d’information et d’identités numériques

Les terminaux-point-de-vente des USA sont menacés, estiment les agents des « Secret Services ». Propos rapportés par nos confrères du New York Times. En effet, plus de 1000 entreprises commerciales seraient déjà infectées par le virus Backoff, un voleur de données massives qui se propage via des services d’accès distants tout à fait conventionnels : RDP Windows, accès distants Apple et autres outils du genre LogMeIn. Une description assez précise du vecteur avait fait l’objet d’une alerte par le CERT US dès la fin juillet. Les Secret Services et le DHS ont réagi le 22 août, donnant un bilan assez pessimiste de la situation. Avec 1000 entreprises officiellement touchées (probablement bien plus dans la réalité), on peut estimer que le volume d’identités bancaires doit déjà friser le million d’enregistrements. Le transporteur UPS, à lui seul, a admis que 51 de ses agences ou antennes confiées à des sous-traitants ont été frappées par cette peste numérique. Plus de 100 000 clients du transporteur seraient potentiellement victimes de ce vol.

Un billet du Sans signé Rob VandenBrink (Metafore) explique comment de telles choses peuvent survenir, généralement par négligence teintée de cette dévotion quasi fanatique envers Sa Sainteté « Security by Obscurity ». Reste, explique-t-il, que le parc de machines sous XP, les fichiers de mot de passe stockés sur le disque local, l’absence d’outils de sécurité plus perfectionnés qu’un simple firewall, le manque de mécanisme de chiffrement facilitent énormément la vie des grands moissonneurs de données.

… « Parce qu’au bout de 30 avertissements, on peut avoir un blâme, et au bout de 30 blâmes, on passe devant un conseil de discipline » expliquait le regretté Coluche. Un avertissement, c’est ce dont a écopé Orange, l’opérateur historique, pour avoir laissé fuiter à peine 1,3 million d’identités (nom, prénom, date de naissance, adresse électronique et numéro de téléphone fixe et/ou mobile, une bien belle base de donnée de phishing certifiée). La fuite avait été décelée chez un sous-traitant, lequel sous-traitant n’avait semble-t-il pas subit les procédures d’audit sécurité nécessaires avant signature du contrat le liant à Orange. Les mécanismes de mise à jour des fichiers en question entre donneur d’ordre et prestataire n’étaient pas non plus protégés.

Orange est à la fois opérateur et prestataires de services sécurité spécialisés dans l’audit sans faille, de recommandations en matière de conformité inoxydable et de conseils en sécurité organisationnelle sans reproche.