octobre, 2014

Tous les deux ans, le Clusif publie le résultat d’une enquête nationale portant sur les usages et tendances en matière de sécurité informatique en France. L’édition 2014 s’ouvre sur une série de points positifs, notamment une très nette augmentation du nombre de postes créés spécifiquement pour s’occuper de la sécurité des S.I. (62% vs 37% en 2008), même si, déplorent les analystes de l’enquête, ces RSSI sont encore majoritairement placés sous la tutelle des DSI, position qui ne peut pas toujours leur garantir une totale indépendance de jugement ou de liberté d’action.

Pour ce qui concerne les grandes tendances d’usage, peu de surprise : mobilité et cloudification. Ce qui, en revanche, ne semble pas marcher dans le « sens de l’histoire », c’est une résistance très nette à la « byodisation » et une trop grande confiance dans tout ce qui touche à l’externalisation. Si les appareils mobiles entrent en force dans l’entreprise (plus de 50 % des consultés utilisent des solutions de nomadisation), les appareils personnels sont de plus en plus interdits de séjour (38 % en 2008, 66% en 2014). Même réaction pour ce qui concerne l’usage des réseaux sociaux et des messageries instantanées. Interdits dans 70% des entreprises en 2012, 54% sont encore opposés à ce genre de pratique à notre époque. Mais il faut reconnaître que l’idée même d’identité numérique pouvant profiter à l’image de marque de l’entreprise, le travail de sensibilisation des collaborateurs quant à leur responsabilité et à la portée de leurs propos portent peu à peu leurs fruits.

Côté Cloud et externalisation, si les promesses d’économies à court terme semblent pousser de plus en plus les entreprise à externaliser leur S.I. (l’infogérance des S.I. concerne 44% des sondés, 9% en totalité et 35% partiellement). Mais, dans ce cas, précise le rapport du Clusif, « 32% ne mettent pas en place d’indicateurs de sécurité et 44% ne réalisent aucun audit sur cette infogérance (+11 points vs 2012) ! ». Le passage au cloud progresse à pas comptés, très comptés même, puisque malgré une progression 24% depuis 2012, seuls 38 % des personnes interrogées déclarent avoir sauté le pas.

En matière de sinistres, les pertes (26% à 39 %), les vols (19% à 37%) et les pannes d’origine interne (25% à 35 %) marquent une nette augmentation. La « faute » à la croissance du secteur de la mobilité ?

Hors du monde de l’entreprise, l’internaute Français voit également ses pratiques d’usage et de sécurité évoluer avec le temps. Les réseaux sans fil sont déployés dans 79% des cas (74% en 2012). Les 20 % de personnes n’utilisant pas les liaisons Wifi s’expliquent plus en raison d’un manque d’équipement que par crainte d’un piratage. 79% également emportent Internet en vacances, autrement dit « surfent » durant les périodes de congé (hot spot d’hôtel, cybercafés etc.). L’externalisation des ressources, et plus particulièrement l’usage des outils de stockage en ligne, touche 38% de la population interrogée (mais il serait peut-être délicat de s’interroger sur la nature des contenus stockés en général). Autre forte progression, les achats en ligne, une pratique adoptée par 91 % des usagers. Ces achats le sont généralement via des ordinateurs (89%), plus rarement à l’aide de plateformes mobiles genre smartphone (33%). 4 personnes sur 5 sont inscrits à des réseaux sociaux. Des chiffres qui expliquent, précise le rapport que « La vision du risque encouru pour les données augmente ainsi de 29% (2012) à 44% concernant les ordinateurs et de 30% (2012) à 42% concernant les smartphones ou tablettes ». Il faut dire que l’impact médiatique des révélations Snowden et autres révélations concernant d’importantes fuites de données (Adobe en octobre 2013, eBay en mai 2014) ont marqué les esprits. Reste que la pondération du risque est encore loin d’être parfaite. L’étude du Clusif précise par exemple qu’ Internet est « toujours vu comme un risque pour les mineurs (91% vs 84 en 2012, mais ‘seulement’ 65% pour les 15-17 ans…) ». La peur du pédopornographe, si souvent exploitée par les tenants d’une surveillance musclée des outils de communication porte également ses fruits. Mais que les raisons et motifs soient légitimes ou non, le résultat est là : la notion de risque et la recherche d’outils de protection ne sont plus de vagues notions. Les procédés de chiffrement de protocole sans fil sont quasi généralisés (grâce notamment aux configurations chiffrées par défaut) l’usage plus fréquent de couples identifiant/mot de passe en début de session n’est plus considéré comme une gêne et l’on mesure même une nette augmentation du nombre de personnes effectuant sauvegardes et duplication des données.
Un instantané de 118 pages sur l’état de la sécurité des S.I. dans l’industrie, les services médicaux et la sphère grand-public, un baromètre non biaisé du risque informatique Français .

L’U2F, pour Universal 2nd Factor, ou authentification à double facteur, serait, aux dires de Google un protocole miracle qui résoudrait d’un coup les problèmes d’usurpation d’identité numérique. Il faut dire qu’entre deux hack Target ou Staples, le couple login-mot de passe prend des allures de données publiques. Datalossdb estime qu’à la mi-2014, il s’est « perdu » près de 502 millions d’enregistrements, 57 % de ces fuites portant précisément sur des créances numériques identifiant/mot de passe. Il fallait donc voler au secours des internautes, et leur proposer un outil fiable et simple rendant plus complexe ces risques d’évaporation. C’est le Token à la portée de tous.

En ce milieu de semaine, Google, donc, annonce que son navigateur Chrome supporte le protocole U2F, déclaration conjointe avec celle du lancement de la Yubikey, clef USB chargée de générer le « mot de passe unique » nécessaire audit protocole. Google comme Yubico sont membres d’un consortium baptisé Fido Aliance, souhaitant normaliser et développer l’authentification à double facteur.

Pourtant, la formule risque de prendre difficilement. En premier lieu, en raison de l’image de marque sulfureuse de Google qui, dans l’inconscient collectif, joue le rôle de factotum de la NSA. C’est le « second effet Snowden » que traduisent bien les premiers commentaires rédigés sur le blog de l’éditeur. Apporter la moindre parcelle de confiance à un protocole promulgué par une entreprise dont le patron même affirmait que la vie privée était une anomalie, voilà qui a du piquant.

S’ajoute également une difficulté non négligeable, celle liée à l’adhésion au standard des grands acteurs d’Internet. A commencer par les banques, administrations, services publics, vendeurs en ligne… « one protocole to rule them all » ? Le slogan a de nombreuses fois été clamé, notamment par ce même Patron de Google, période Novell, où il rêvait d’un protocole de gestion des identités unique et planétaire. En ces temps-là, les DigitalMe s’affrontaient avec des projets Passport, et les alliances pour une identité numérique s’imaginaient régner un jour sur une population virtuelle comptée, pesée, divisée… et maîtrisée. Il n’en a rien été, car aucun gouvernement à l’époque n’a souhaité adopter ces initiatives par trop propriétaires et si coûteuses à gérer au quotidien. De nos jours, si l’on excepte bien entendu les services des membres du groupement Fido, peu d’administrateurs Web sont prêts à investir dans une nouvelle couche de sécurité, aussi simple soit elle. Même les sécurisations les plus élémentaires, telles que le salage des condensats de mots de passe stockés, ne sont que très rarement mises en œuvre. Alors, un mécanisme de « question-réponse » chiffré venant alourdir les procédures de connexion, tout ça est très peu probable.

Du côté du public, là encore, les probabilités d’adoption sont minces. Les habitudes d’usage prouvent que même les « coffres forts à mot de passe » genre PasswordSafe, outils pourtant minimalistes, ne sont utilisés que par des professionnels de la sécurité, et encore parle-t-on de ceux appartenant à la frange radicale la plus paranoïaque qui soit. Les études statistiques reposant sur les grands vols de mot de passe exposés sur Pastebin prouvent non seulement que les sésames complexes (lettres, chiffres, signes de ponctuation) sont très rarement utilisés, mais encore que le même mot de passe est systématiquement employé pour donner accès à plusieurs services. Certes, un « token » USB ou NFC pourrait résoudre cet aspect des choses, mais à deux conditions : qu’il soit adopté par la totalité des services en ligne (ce qui relève encore aujourd’hui de la science-fiction) et qu’il ne nécessite aucune opération supplémentaire de la part de l’abonné. Ergo, être logiquement invisible et physiquement intégré à l’ordinateur, au téléphone, à la tablette de l’internaute, ce qui n’est pas du tout le cas de la Clef U2F qui, pour répondre à ces contraintes, impliquerait des accords OEM entre entreprises parfois génétiquement incompatibles. La clef Google dans le prochain Surface Microsoft ? On peut rêver.

S’ajoute à ceci la méfiance croissante du public envers les outils techniques de sécurité annoncés comme prétendument absolus durant leur phase de lancement. Après la désillusion de l’antivirus omniscient et du firewall incontournable, même les armes Open Source les plus populaires se sont vues fragilisées. L’anonymat garanti par Tor reste très relatif (passerelles détenues par des services de renseignement de différentes nations, cookie poisonning, attaque des nœuds de routage, attaque par « time pattern » etc.). La protection des « services vpn payants », quant à elle, est une douce illusion frisant parfois l’escroquerie. Les services serveurs d’applications garanties confidentielles s’avèrent soit compromis par les collusions entre hébergeur et services d’espionnage (affaire Prism), soit, au moins, soumis à une scrutation attentive des métadonnées glanées au fil des flux en transit. Même les réseaux « étudiés pour » (ainsi Whisper) traqueraient leurs usagers en révélant leur position géographique, affirmait il y a peu le Guardian.

Dans l’ensemble, ces « révélations » sur ces failles sont une bonne chose. Elles inculquent un principe de « confiance sans illusion » que des années de sensibilisation ne sont toujours pas parvenues à faire entendre. Paradoxalement, c’est cette suspicion légitime, donc cette prise de conscience qu’en matière de sécurité, il n’est jamais prudent de mettre tous ses œufs dans le même panier et ses lettres de créances numériques dans le même protocole, qui entravera le développement du protocole Fido et de ses produits dérivés.

Staples, la grande chaîne de magasins spécialisés dans les fournitures de bureau, aurait été frappée par une infection virale (virus-ver ChangeUp) et aurait été victime de vol d’identités bancaires. Pour l’heure, la direction de l’entreprise ne souffle mot de ce problème qui semble limité au territoire nord-américain. Plusieurs médias, dont CRN, Brian Krebs, l’agence Reuter relatent les faits sans parvenir à décrocher la moindre information sérieuse quant à l’envergure du sinistre.

A l’heure actuelle, l’on peut dire sans trop se tromper que la majorité des grandes chaînes de distribution US et/ou Canadiennes ont été victimes d’une attaque dont le résultat a été couronné de succès… au profit des pirates. Les attaques, depuis quelques mois, voient leur fréquence (ou leur découverte) rapidement augmenter, au rythme de une par semaine environ. Ont récemment fait l’objet de cyber-pénétrations les sociétés Neimann Marcus, Home Depot, Dairy Queen, Target et Michael Store pour ne citer que les plus connues. En Europe, et tout particulièrement en France, ces attaques sont à l’image des compromissions du système bancaire et des fraudes aux payements en ligne : cela n’existe pas, cela n’est jamais arrivé, cela n’arrivera jamais.

« Brusque montée du nombre d’attaques visant les distributeurs de billets » titre Brian Krebs qui interviewe Owen Wild, directeur marketing chez NCR. Il est vrai que depuis la publication des billets de blog de F-Secure et Kaspersky, l’on serait tenté d’y voir une nouvelle tendance de la cyberdélinquance.

Il reste cependant que toutes les sources d’informations convergent vers un unique point : NCR. Et probablement un unique bug, dont l’exploitation paraît faire école dans les milieux du développement de malware. Faille unique, source d’information unique, surmédiatisation conjoncturelle d’autant plus importante que les vendeurs d’antivirus y voient probablement là un espoir de débouché commercial, phénomène relativement récent avec trop peu de recul historique pour en dégager une véritable tendance, cela fait beaucoup pour que l’on puisse en conclure quoi que ce soit.

Le porte-parole de NCR reconnaît tout de même que d’ancien modèle de type « Persona » sont vulnérables, et que ces appareils représentent près de la moitié de la base installée.

Perserec a publié il y a fort longtemps (en 2005, alors que le raz de marée Snowden était encore en gestation) un mémento intitulé Tendances technologiques, sociales et économiques qui accroissent la vulnérabilité des USA vis-à-vis des espions de l’intérieur. Et de plonger dans la longue tradition anglo-américaine d’agents retournés, de taupes, de traîtres et de balances à la solde des « camarades » du Guépéou.

La typologie des taupes et les origines des fuites, Perserec les a parfaitement définies. Un Internet qui accélère la diffusion et l’accès à l’information, même parfois confidentielle, des méthodes d’analyse et de recoupement plus rapides, une « internationalisation » des sciences qui entraîne à la fois une compétition inter-états et le désir de quelques idéalistes de voir s’instaurer un « équilibre des forces en présence », quitte à jouer contre les intérêts de son propre pays. Entrent également en ligne de compte le pouvoir de l’argent facile, la multiplication des personnes (employés Fédéraux, contractants etc.) à partager un secret, la diversité ethnique des citoyens US qui conservent un attachement certain à leur mère patrie, l’addiction aux jeux de hasard et aux pertes financières qu’elles entraînent, facilitant le travail de compromission des « sources »…

Il y a là une sorte de mémento prémonitoire qui, à la lumière des affaires Rosenberg, Robert Hanssen, Aldrich Ames, Jonathan Pollard ou Ana Montes, éclairent les agissements d’Edward Snowden. Fataliste, le rapport laisse clairement entendre que la « taupe » est le fruit de la société Américaine dans son ensemble, de la situation géopolitique des USA dans le monde, et que la conséquence des activités desdites taupes ne peut être que proportionnelle au développement des nouvelles technologies.

Les prochaines Sstic se dérouleront comme d’habitude à Rennes, les 3, 4 et 5 juin 2015. Dans huit mois donc, ce qui ne laisse plus beaucoup de temps pour parfaire la Communication Absolue qui fera de l’impétrant conférencier un chercheur auréolé de gloire médiatique et twiteresque. Comme d’habitude également, le calendrier des « rendus de copie » est strict : Soumissions closes le 26 janvier, notifications attendues pour le 2 mars et versions finales arrêtées pour le 10 avril. Format libre, soumissions en langue anglaise acceptées, présentation limitée à 15, 30 ou 45 minutes maximum, le laps de temps étant décidé par le Comité de programme. L’usage de Latex pour la présentation finale n’est plus obligatoire mais vivement conseillé, histoire de pouvoir bénéficier de la mise en page quasi chirurgicale imposée par le « template » officiel.

Plus préoccupant qu’un ver de sable, successeur de Heartbleed et de Shellshock en moins terrible cependant, Poodle (Padding Oracle On Downgraded Legacy Encryption) est une faille SSL v3 (déchiffrement du contenu d’une communication protégée par un mécanisme déjà ancien) affectant le poste client. Son exploitation nécessite une attaque «par l’homme du milieu», autrement dit soit une interception de flux par un serveur intermédiaire : physique si l’attaquant est dans les petits papiers d’un opérateur ou maître d’un hot spot Wifi compromis, virtuelle s’il a déjà détourné avec succès le routage IP de la victime. Le jeu, pour l’attaquant, consiste à convaincre le poste de la victime de « dégrader » le niveau de sécurité TLS et d’adopter l’antique SSLv3, toujours disponible dans la quasi-totalité des applications de communication mais vulnérable à des attaques en répétition/modification du texte chiffré. L’attaque la plus probable, expliquent les inventeurs du défaut, est le déchiffrement des cookies d’une session. Une fois le contenu « ouvert », l’attaquant peut prendre la place de l’usager sans qu’il lui soit nécessaire de connaître son mot de passe.

Les trois chercheurs à l’origine de cette découverte de vulnérabilité conseillent urgemment de désactiver SSLv3. Conseil également répercuté par la quasi-totalité des éditeurs de logiciels et de systèmes d’exploitation. La chose risque d’être compliquée à réaliser pour ce qui concerne les SSL actifs sur des équipements de commutation, routeurs domestiques etc., les appliances et périphériques réseau étant généralement moins bien maintenus et mis à jour que les ordinateurs (principalement en raison de l’absence d’automatismes de correction). Dans cette catégorie, Cisco a été l’un des premiers à réagir. Cependant, en termes de complexité d’exploitation, le trou Poodle reste très modestement en deçà de Shellshock.

Il est important de noter que Poodle, CVE-2014-3566, n’est qu’une vulnérabilité parmi 4 autres, portant les références CVE-2014-3513 et 3567 (fuite de mémoire, déni de service possible) sans oublier une CVE-2014-3568 sur laquelle aucun détail n’a été communiqué. OpenSSL publie une série de versions revues et corrigées portant les numéros de version 1.0.1j, 1.0.0o et 0.9.8zc.

Le patron du FBI James Comey vent debout contre les nouvelles politiques de chiffrement systématique et non biaisées d’Apple et de Google, ce n’est pas nouveau. Mais cet incessant leitmotiv dans les discours du premier flic des Etats-Unis commence à prendre une teinte de « politique générale » et utilise de plus en plus des ficelles de manipulation de masse que l’on n’avait plus entendu depuis la période Jo McCarthy et la chasse aux sorcières. Et le Register de rapporter « nous ne voulons pas utiliser de « porte dérobée », mais avoir un plein et légitime accès « par la grande porte », avec clarté et transparence, dans le cadre de procédures légales ». C’est un appel direct à l’instauration d’un mécanisme normalisé d’écoute directe, une disparition totale de la confidentialité de la correspondance privée. Si, comme le font remarquer nos confrères du Reg, Comey oublie de mentionner de quelle manière ces « grandes portes » demeureront fermées face aux assauts des pirates de tous bords (NSA y comprise) il fait preuve également d’une totale amnésie sélective quant à l’usage intensif des métadonnées accompagnant lesdites communications et qui, lui, n’a jamais cessé et n’est pas impacté par les politiques de chiffrement des éditeurs. Ce que demande Comey n’est ni plus ni moins la reconnaissance d’une sorte de droit systématique à l’écoute.

Robert Graham d’Errata Sec, que l’on peut difficilement taxer de dangereux gauchiste démocrate, reprend les tournures de phrase du patron du FBI pour mieux en déconstruire les mécanismes et faire apparaître les fondements extrémistes de ce double langage. Comme certains Premiers Policiers de France il n’y a pas si longtemps, les ficelles sont les mêmes : terroristes, protection de l’enfance, respect de la loi, dangers des idéalistes à la sauce Snowden, défense de la Liberté (au singulier, et non pas des libertés, ce qui sous-entend peut-être une seule et unique conception de la liberté). Le tout pour enfin conclure « règlementer ce far-west qu’est le milieu… des opérateurs téléphoniques ». Car conspuer Internet, même James Comey l’a compris : c’est dangereux pour l’image de marque. Tandis que tirer à bout portant sur un quarteron d’entreprises ultra-bénéficiaires, voilà qui a peu de chances de provoquer ni des descentes d’Indignés dans la rue, ni de victimiser des patrons qui font rouler limousine et appartiennent au club fermé des « public » cotées aux Nasdaq ou au Nyse. De cette manière, très peu de personnes se sentant directement concernées, une telle proposition de loi (car c’est là l’objet de cette campagne) a de très grande chance d’être approuvée dans l’opinion publique. Et ce genre de « paquet télécom » à l’Américaine aura sans aucun doute, s’il est un jour approuvé, des conséquences incalculables sur la confidentialité déjà bien compromise des communications en Europe.

Ah ! L’odeur du goudron sur les quais d’Odessa ! Le vent du large, et surtout son empereur du piratage de comptes en banques, Rescator, qui, à lui seul, a alimenté les bourses d’échange mafieuses avec plus de 5 millions de numéros et identités de comptes subtilisés des archives de Target. C’est du moins ce qu’estime Group-IB, société de services Russe dans le domaine de la sécurité NTIC. La place de marché en question qui a servi à vendre ces comptes dérobés est plus connue sous ne nom de Swiped. Ses administrateurs et usagers se méfient tellement des banques et des monnaies nationales que 80 % des payements se font en monnaie virtuelle Bitcoin. De manière générale, estime l’étude de Group-IB, le marché du carding s’élève à 680 millions de dollars

Les transactions frauduleuses et les vols de comptes ne sont qu’un aspect du cyber-brigandage. Les attaques de distributeurs de billets, tant par les techniques de skimming, d’infection de DAB se portent bien, et ont atteint, estiment les rédacteurs de l’étude, à près de 1,25 million de dollars. Le montant total de la fraude visant le secteur bancaire, estimé à 615 millions de dollars en 2012, est passé à 425 millions de dollars en 2014. Toujours selon cette étude de Group-IB, sur un marché comptant près de 10 000 vendeurs spécialisés dans le faux (pharmaceutique, logiciel et matériel), le chiffre d’affaires des filières mafieuses du spam se situe aux alentours de 841 millions de dollars.

De son petit nom CVE-2014-3704, cette faille Drupal présente un risque très élevé. L’alerte précise « Full SQL Injection », attaque distante pouvant donner un accès complet à l’ensemble du site Web, précise l’inventeur de la vulnérabilité, Stefan Horst de SektionEins, spécialiste Allemand de la sécurité des architectures Web. Paradoxalement, le défaut se trouve dans l’API chargée de vérifier la conformité des requêtes afin d’éviter des … attaques par injection SQL.

Il est donc recommandé d’effectuer le plus rapidement possible la mise à niveau du CMS en version 7.32, les dernières éditions étant corrigées.