octobre, 2014

Un bug dans… Bugzilla, la plateforme réservée aux chasseurs de bugs d’une bonne partie de l’univers Open Source. Le défaut permettait d’accéder aux contenus des comptes donc aux descriptions de vulnérabilités non corrigées. Trois CVE ont été corrigés

De la douceur, du feutré. Oubliées, les tractations entre carders et achat en loucedé d’identités bancaires. Aux orties, les coques plastiques des Skimmers, les claviers marrons, les lecteurs de piste faisandés et les caméras planquées. Le turbin évolue dans le mitan du techno-braco, et même le boulot de mule en est moins risqué. L’astuce ? Injecter un virus spécial « Windows Embedded » qui remplace littéralement la gestion du clavier et de la mécanique de distribution. La mule tape un code secret, sélectionne la cassette la plus remplie, indique le montant du retrait, et les talbins s’empilent dans la fente de prélèvement. Tu prends les adjas les fouilles bourrées d’artiche, sans te soucier des cognes.

C’est Symantec qui a eu le premier la puce à l’oreille, mis la main sur le virus et lui a donné un blaze : Padpin. Rien que les recommandations fournies sur la page Web en question en expliquent plus sur les méthodes de diffusion du virus que tous les manuels de cybertruanderie : « Bloquez les extensions .vbs, .bat, .exe, .pif et .scr sur vos serveurs de messagerie ». « Désactivez le partage de ressources ». Et la pire « Use a firewall to block all incoming connections from the Internet to services that should not be publicly available ». En Engliche dans le texte histoire de ne pas être accusé de traduction tendancieuse et d’entourloupe de sens… Comment un grossium comme Symantec peut-il recommander d’utiliser un firewall sur un réseau bancaire si ses spadassins n’ont pas déjà constaté de visu des systèmes DAB « en petite tenue sur Internet » ? Y’a pas à tortiller, les distributeurs, du moins de l’autre côté de l’Atlantique, sont parfois directement reliés au réseau local de la banque, lui-même relié à Internet d’une manière ou d’une autre. Recta.

Les archers de F-Secure vont plus loin encore, et se demandent comment les auteurs de Padpin sont parvenus à découvrir la fameuse API donnant accès aux « clefs du coffre ». Mais tout simplement en lançant une requête sur Baidu, le Google Chinois. La documentation technique des distributeurs NCR s’y trouve au grand complet, y compris et surtout les échanges d’API nécessaires à la sélection du service « clavier de saisie de code pin ». Du velour, j’te dis.

A l’Est, encore du nouveau. Chez Kaspersky, on bosse sur une toute nouvelle pince-monseigneur numérique nommée Tyupkin. Une vingtaine de signatures auraient été détectées en Russie, 4 aux USA, 2 en Chine et 1 en France. Chiffres à prendre avec des pincettes, car extirpés d’un savant usage des heuristiques de VirusTotal. Pour les mules et les attirés de la tirette, force est d’admettre que les conditions de travail sont revues à la hausse par rapport au système « skimmer/carding ». Une sorte de progrès social par la numérisation des caves, en quelques sortes. Les risques de se faire pincer sont faibles, et grande est la simplicité des manipulations à enchaîner. Une courte séquence vidéo tournée par l’équipe Kaspersky montre à quel point le concept même de « money for nothing »* prend corps grâce aux NTIC et à cette vision si particulière de la sécurité que cultivent les saigneurs de la finance. L’on comprend mieux les raisons pour lesquelles les légers découverts et les « services » par défaut qu’imposent les grands squales de l’oseille subissent une inflation que la disparition des agences et les compressions de personnel ne parviennent pas à compenser. Pour sûr, tout ça va éveiller de la vocation. Déjà Jules-la-perceuse s’est reconverti. Il abandonne la chignole et le pain de plastique au profit d’un Lenovo et d’un compilateur C… on l’appelle désormais « le dab du DAB » ou « Cash Converter ». Dans moins de 5 ans, parole, les meilleurs casses seront signés Microsoft Visual Studio, les complices s’appelleront Windows XP ou 98, et les braqués NCR, Diebold ou Nixdorf.

*ndlc Note de la Correctrice : Les moins de 15 ans y verront une allusion à une ritournelle du groupe Dire Straits et les amoureux de l’understatement et de l’humour Britannique une référence aux romans de P.G. Wodehouse.

Le marché de la sécurité devrait atteindre, en cette fin d’année, 71 milliards de dollars affirme une étude du cabinet Gartner. Une croissance de 8 points d’une année sur l’autre, avec des secteurs plus porteurs que d’autres. Notamment celui de la protection contre les fuites de données, qui progresserait de près de 19%. La sécurité dans le cloud connaît également une forte croissance, frisant les 10 % des dotations (équipements, services, infrastructure) sécurité de l’ensemble de l’industrie. Cette croissance serait essentiellement provoquée par l’évolution des dépenses des PME en matière de protection informatique. Les autres secteurs en croissance sont ceux de la mobilité et des réseaux sociaux bien que, précisent les analystes du domaine, les dépenses liées à la mise en conformité continuent à soutenir le marché US, tandis que de récentes règlementations en matière de protection des données personnelles animent le secteur DLP en Australie, Union Européenne, Singapour et la Malaisie.

Le hack de la banque JPMorgan Chase à l’origine du vol de près de 83 millions d’identités bancaires serait le résultat d’une opération de cyber-commandos pilotés par le gouvernement Russe, affirme un article du New York Times.

Ce serait là une conclusion logique puisque, explique l’auteur de l’article, la Chase n’est qu’une cible parmi 9 autres, évoluant également dans le secteur bancaire et ayant déploré des infiltrations signées apparemment par les mêmes auteurs. De là à estimer qu’il s’agit d’une attaque coordonnée pilotée par le Kremlin, il n’y a qu’un pas que confirment quelques traceroute.

Tout comme dans le cadre cyber-assauts « supposés Chinois », l’occident se trouve confronté à ce qui semble être une forme d’alliance objective entre les cercles du pouvoir (du FSB dans le cas présent) et les « ring » mafieux et hacktivistes : un pacte de non-agression en temps normal en échange d’une obéissance absolue lorsque les nécessités de l’Etat l’exigent.

Bien sûr, il n’existe strictement aucune preuve sérieuse, ni de l’origine réelle de l’attaque (ou de son centre de commandement effectif) ni de ce lien occulte entre pouvoir et milieu du hacking noir ou gris. Et c’est tant mieux pour les auteurs de romans d’espionnage et les journalistes en mal de copie.

Le billet de Matthew Green, cryptographe, professeur et chercheur à l’Université John Hopkins, achève le travail de sape progressif qui a touché PGP durant ces derniers mois. « it’s time for PGP to die » affirme-t-il. La nature des clefs, l’obligation de partage desdites clefs, préalable obligatoire avant tout échange, difficultés en matière d’authentification de la provenance desdites clefs, en matière de gestion également… « tout ça pue » persiste Green au fil d’un long article qui déconstruit la manière dont le travail de Phil Zimmerman a été intégré, tant au niveau de l’architecture générale qu’à celui de l’adaptation aux différents clients de messagerie.

Pour l’heure, il n’y a pas pléthore d’outils de chiffrement plus ou moins universels, gratuits, répandus, garantissant un minimum de confidentialité envers les indiscrets « de premier niveau ». PGP n’a pas encore de successeur connu, et 80% des usagers d’outils de chiffrement sont bien obligés de « faire avec ».

Le Clusif a publié un guide intitulé « Gestion des vulnérabilités informatiques : vers une meilleure gestion des risques» , et destiné à faciliter la navigation des responsables Infosec dans l’océan de normes, règlementations et pratiques. ISO 27000, Bâle II, PCI-DSS, ETSI ISI, recommandations du SANS, conséquences de la LPM, contraintes liées à la notion d’OIV. Il s’agit là plus d’un «document introductif » que d’un ouvrage pratique détaillé, une quinzaine de pages qui dresse une image générale du « risk management » moderne.

Le FIC, Forum International de la Cybersécurité, communique : Le prochain petit-déjeuner de l’Observatoire FIC se déroulera le mercredi 22 octobre en partenariat avec Beazley sur le thème « Les moyens de paiement se dématérialisent. Quels impacts pour l’entreprise ? ». Par ailleurs, un petit-déjeuner sera organisé à Bruxelles le mardi 4 novembre sur le thème « Europe’s Digital Economy: embracing the Data Revolution »

Rappelons que le prochain FIC (7eme édition) se déroulera à Lille Grand Palais les 20 et 21 janvier prochain. Le programme détaillé des interventions est publié sur le site de l’évènement. L’on y attend, en « guest star », Monsieur Bruce Schneier.

C’est Guillaume Poupard, patron de l’Anssi, qui ouvrait la quatorzième édition des Assises de la Sécurité. Une quasi « première prise de contact » officielle avec l’industrie infosec, un discours attendu qui devait confirmer (ou non) le cap donné par son prédécesseur Patrick Pailloux.

Un Patrick Pailloux qui s’était montré plus que prudent l’an passé, se contentant de reprendre l’air de son grand succès « Back to Basic / no to Byod », modifiant çà et là quelques paroles pour y glisser des allusions aux OIV (opérateurs d’importance vitale) et à la question des réseaux Scada. Il faut dire que le père spirituel de l’Anssi, sur le départ, ne pouvait politiquement se montrer plus précis et engager la responsabilité de son successeur.

Depuis, la Loi de Programmation Militaire (LPM) a été votée. L’Anssi a été confirmée dans sa mission de défense du Trésor de l’Empire, et naturellement, Poupard revenait sur les thèmes OIV et surtout Scada, « objet de toutes mes craintes » précisait-il. Pourtant, l’on note de subtiles différences dans le ton. Si, politiquement, le Directeur de l’Agence affirme « je m’inscris dans la continuité de Patrick Pailloux », il martèle « Nous ne sommes pas là que pour la protection de l’Etat. Nous ne sommes pas qu’une entité technique, nous ne travaillons pas qu’au profit des grands. Il faut que nous apportions des solutions adaptées pour les PME, il faut une sécurité à destination des citoyens, il faut accompagner les nouveaux usages ».

Des bulles PME et Grand Public

Cette descente des hautes sphères était jusqu’à présent inespérée. L’Anssi, même au cœur des petites collectivités territoriales, est souvent vue comme le bouclier des Ministère et la bulle de sécurité du CAC 40. L’entendre parler des PME, mieux encore envisager (sans préciser encore sous quelle forme) de s’adresser au citoyen, au particulier, dénote d’un profond changement de mentalité. Et mentionner les « nouveaux usages », autrement dit les composants intelligents, les outils de mobilité, l’Internet des Objets, c’est indiquer clairement que l’Agence (accompagnée dans ces missions par d’autres Ministères, d’autres institutions) entend globaliser la vision sécurité de tout système d’information, du plus grand au plus insignifiant. Reste à espérer que ces messages « top-down » de sensibilisation et d’information ne seront ni déformés, ni dilués par les différentes strates, et ne s’achèveront pas dans de vagues opérations de « permis de conduire Internet pour pré-ado » ou des campagnes simplistes à la sauce « Protège ton ordi ».

Si l’on en revient au rôle initial de l’Anssi, garant des fleurons de l’Industrie Nationale, Poupard explique « La loi de programmation militaire a été le bon véhicule qui passait au bon moment. Il fallait une prise en compte des OIV en passant par la loi ». Certes, dit-il en substance, ces dispositions peuvent passer de prime abord comme contraignantes, risquant d’alourdir encore plus la partie « industrielle » de l’Opérateur. Mais ces « contraintes », qui sont de toute manière techniquement définies en collaboration avec les opérateurs eux-mêmes, vont rapidement être acceptées, digérées, puis peu à peu faire tâche d’huile, et déborder sur des secteurs pourtant nettement moins critiques ou stratégiques. En d’autres termes, c’est par l’école des « opérateurs d’importance vitale » et par cette obligation légale d’un certain nombre de procédures normées et certifiées que le gène de la sécurité se transmettra, de proche en proche. Du cœur de l’OIV vers les départements moins sensibles, de ces départements vers les entreprises collaboratrices (sous-traitants, partenaires), puis de ces satellites vers d’autres entreprises de plus petite envergure et ainsi de suite. « Et nous ne serons pas les seuls affirme Guillaume Poupard. Je suis certain que l’on verra des « articles 22 » dans d’autres pays en Europe. »

Détecter, renseigner, gagner du terrain : l’ère post-passi

A peine achevée la première fournée d’entreprises « certifiées » compétentes dans le domaine de l’audit de sécurité (les Passi, prestataires d’audit de la sécurité des systèmes d’information) que l’Anssi entame un nouveau Grand Chantier, celui des spécialistes de la détection. Il y aura donc des « prestataires es-sondes » portant un label Anssi, dont le rôle sera d’installer des systèmes permanents de surveillance, de détection et d’alerte en cas d’attaque. « Il faut améliorer les systèmes de détection, et non plus seulement faire confiance au périmétrique » insiste Poupard. Et de continuer « il ne faut plus pouvoir entendre « l’intrusion doit remonter au moins à trois ans… parce qu’avant, on n’avait pas encore de log ». Allusion transparente aux déboires d’Areva. Détecter mais aussi signaler, remonter l’information à destination des « savants » de l’Agence, pour que le risque puisse être analysé et signalé aux autres entreprises nationales. « Une attaque n’est jamais réellement unique. Les techniques d’intrusion sont employées parfois avec quelques variantes, et en connaître l’empreinte facilitera le déploiement de protections sur d’autres sites ». En d’autres termes, même s’il n’est jamais agréable d’avouer, il faut que les industriels, OIV en tête, divulguent chaque tentative de piratage, par solidarité industrielle et nationale.

Solidarité également du côté des différents professionnels de la sécurité Français qui doivent apprendre à coordonner leurs efforts, aplanir leurs différents pour mieux s’imposer sur les marchés étrangers, Européens tout d’abord, mondiaux ensuite. L’industrie de la protection des S.I. « made in France » est performante, mais ne dispose pas de la même force de frappe que ses homologues d’Outre-Atlantique par exemple. Pour progresser et conquérir réellement des parts de marché, il faut, dit en substance le patron de l’Anssi, que nous cessions de débarquer sur des côtes étrangères comme une tribu gauloise, dans un désordre qui nous dessert.

Etendre le périmètre de l’Agence, multiplier les filières certifiées, protéger les grands vecteurs de recherche et développement, sécuriser le tissus industriel du sol au plafond, développer une « furia francese » de l’industrie infosec tant en France que sur les marchés étrangers, inventorier et protéger les secteurs sensibles, établir des relations « de confiance sans illusion » avec des puissances amies afin d’enrichir les bases de connaissance en matière de sécurité… les missions de l’Anssi deviennent tellement variées qu’il devient parfois difficile de les embrasser toutes.

Mehari (MEthod for Harmonized Analysis of Risk) est une méthode Française destinée à accompagner pas à pas le responsible sécurité dans l’identification et l’analyse de risque. Née au milieu des années 90 sous l’égide du Clusif, elle adopte le modèle Open Source en 2010 pour mieux faciliter son adoption et surtout se montrer l’égale d’approches concurrentes et/ou complémentaires (eBios, Iso 27005, Nist 800, Marion, Octave…).

Disponible en téléchargement gratuit sur le site du Clusif, Mehari fait partie des méthodes retenues et conseillées par l’Enisa.

En cette seconde moitié 2014, un nouveau pas vient d’être franchi, avec la parution de Mehari Pro, une version de la méthode spécifiquement destinée aux PME. Tout comme les autres variantes de Mehari plus orientées “grande entreprise”, cet outil d’analyse de risques des S.I. propose la même approche méthodologique : identification des situations, évaluation des conséquences possibles, évaluation des probabilités d’occurrence, évaluation de la qualité et de l’efficacité des mesures préexistantes.

Cette technique décrite sur le blog de Dr Web n’est pas sans rappeler ce « proof of concept » très visionnaire développé en 2010 par Itzik Kotler et Ziv Gadot : le botnet qui prend ses ordres d’une publication en ligne ou d’un réseau social. Mais celui découvert par les chasseurs de virus Russes n’est pas un « botnet en chambre ». Il existe bel et bien dans la nature, a infecté près de 17 000 machines sous OSX, se nomme Mac.BackDoor.iWorm et prend ses ordre en lisant les commentaires publiés via ReddIt. La suppression du compte du Botnet est sans le moindre effet, puisqu’il ne faudra que quelques minutes au gardien de troupeau pour créer un nouveau compte de commande.

La solution miracle consisterait peut-être à fermer l’intégralité des réseaux sociaux… ou pas.