Alors que, depuis des mois, des années durant, le troyen bancaire Dridex zombifie allègrement des armées de PC et pille de la donnée à octets-raccourcis depuis 2010, voilà que soudainement l’ensemble de la presse Britannique titre sur cette attaque virale. Pourquoi maintenant ? Parce que la NCA, National Crime Agency, vient de publier un bulletin d’alerte affirmant que ce malware est responsable, à lui seul, de l’évaporation de plus de 20 millions de Livres Sterling des coffres des banques de Sa Gracieuse Majesté.
C’est pas en France que ça risquerait d’arriver, pays aimé des Dieux et protégé par ses frontières impénétrables aux cyberattaques, surtout du côté des Grands Argentiers, Assureurs et Administrations.
Du coup, la presse en ligne titre « au vol ! » comme un seul homme, de Finextra à Infosec Buzz, de HackBuster à The Express, sans oublier Mashable ou l’inévitable billet de Graham Clueley.
Le résumé qui semble le plus abordable (quoiqu’un peu trop anxiogène) reste une courte vidéo réalisée par l’équipe sécurité de Fujitsu diffusée sur Youtube. On est loin, très loin, de la tentative d’humour proposée par le Cigref avec sa « hack accadémie ».
Très récemment, Andrei Ghinkul, la tête pensante de Dridex a été mise sous les verrous et le DoD US estime avoir coupé court à l’évolution de l’infection. Mais très souvent les grands botnets renaissent de leurs cendres. La mort définitive de Dridex risque de prendre encore quelques mois.
Schocking ! Ken Munro révèle qu’il peut, sans grande difficulté, pirater les e-bouilloires WiFi Londoniennes de la marque iKettle, lesquelles donneraient accès à l’entièreté du réseau local de la victime. Et notre chercheur en sécurité à 85 °C très précisément (pardon, 185 Fahrenheit) de se livrer à un véritable Wardriving des bouilloires situées dans un périmètre allant de Canary Wharf à Wembley. Dame, l’on boit du thé à Londres aussi bien dans les foyers les plus modestes que dans les plus fermés des Gentlemen’s Club, et l’on imagine très bien qu’il doit être plus intéressant d’attaquer une iKettle de la City plutôt qu’à Brixton. L’Internet des Menaces ne respecte même pas des institutions tutélaires telles que celle des scones et du five o’clock.
Précisons toutefois que cette attaque n’est possible que via des bouilloires non encore configurées. Et que dans les maisons respectables, il est hors de question d’utiliser ces choses électroniques, Parole de Jeeves.
Le lendemain de la mise à jour de l’édition 19.0.0.207 (touché, pas coulé), Adobe alerte ses clients de l’existence d’une vulnérabilité non corrigée et portant l’immatriculation CVE-2015-7645 (touché-coulé).
La parade consiste simplement à désinstaller Flash, qui ne sert plus à grand monde, hormis dans le secteur de quelques publicités en ligne et sites web mal conçus.
Cette élimination radicale a du sens, puisque le défaut serait exploité « dans la nature » par un groupe de pirates qui se surnomme le « Pawn Storm » (source Trend Micro).
Le HNS publie un article qui décrit un « fusil anti-drone civil » fabriqué et vendu à prix d’or par la société Batelle. Les « buzzwords » du marketing moderne sont quasiment tous présents « jamming circuitry », « software defined radio » (pas vraiment nécessaire dans ce cas précis) « Immediate response against immediate threats » et autres caractéristiques techniques (que l’on pourrait qualifier de « montées en épingle » …) : « Directionality: 30° cone » … oui, c’est l’angle moyen d’une antenne yagi hors groupement en phase ; « Cold start time:
Petite suggestion de la rédaction …
Techniquement parlant, pour fabriquer un appareil équivalent, il suffit d’installer deux oscillateurs, et d’amplifier le tout de la manière la moins coûteuse qui soit (en classe C) avec moins de 30 euros de transistors. Le premier émetteur se situe aux environs de 1,5 GHz (antenne du bas) et 2,4 GHz (antenne du haut). La première émission perturbe les données GPS de l’appareil en vol, la seconde bloque toute réception émise par la télécommande du propriétaire du drone. Si l’on souhaite perfectionner le fonctionnement du flingue à drones, on peut même faire travailler l’amplificateur HF en mode impulsionnel, ce qui permet de disposer d’un peu plus de puissance et qui, au passage, économise légèrement les accus. Ceci bien entendu dans le respect de l’article 89 du code des PTT et du 226 du CP, cela va sans dire.
Conseil d’utilisation : une efficacité maximale est obtenue lorsque le « fusil » est éloigné de toute masse métallique importante, contrairement à ce que laisse entendre la photo ci-dessus. Il n’est pas non plus obligatoire de « viser » avec toute l’attention d’un tireur d’élite compte tenu du diagramme de rayonnement des aériens. Enfin, installer les deux antennes sur un mât situé au centre de la zone à protéger sera plus discret, se fondra dans le paysage urbain, et aura moins de chance de faire passer le propriétaire pour un forcené voulant faire Fort Chabrol*. Peu recommandé aux électro-sensibles, aux installateurs de réseaux Wifi et aux amoureux des standards de fréquence pilotée par horloge GPS.
NdlC Note de la Correctrice : En référence à l’un des premier forcenés nationalistes qui a tenu la police en joue un mois durant depuis un appartement du 51 de la rue Chabrol, à Paris.
… mais ceux de la Toussaint sont de moins bonne qualité. Preuve en est, cette énième édition de la clef USB qui massacre l’alimentation d’un ordinateur grâce à un doubleur de tension en cascade. L’auteur, alias Dark Purple (http://habrahabr.ru/post/268421/), perfectionne péniblement un montage qu’il avait déjà présenté en mars dernier. La communauté s’interroge encore sur ses motivations et l’enseignement que l’on pourrait tirer de ce genre de bricolage.
Un autre type d’attaque, en déni de service WiFi cette fois, a été présenté lors de la dernière BruCon. HNS ou PC Perspective s’en font l’écho. Le jeu consiste à convaincre une clef Wifi à émettre en permanence, histoire de perturber le réseau local, en invoquant force explications techniques. Rien de nouveau sous le soleil, les attaques en « evil twin » qui utilisent un brouillage momentané de la fréquence pour installer un « rogue client » ou attaquer des clefs de chiffrement ne datant pas d’hier. En moins compliqué et plus efficace, il peut être plus pratique d’utiliser un oscillateur 50 MHz par exemple, multiplié par 48 et 49 et amplifié par un transistor dans le régime le moins linéaire possible pour bloquer toute liaison Wifi dans un rayon de plus de 1000 à 2000 mètres.
Rappelons toutefois que ce genre d’activité est fortement réprimé par la loi.
« Les coups, oui ça fait mal » affirmait le philosophe Jean Philippe Smet en 1966, résumant en cette formule lapidaire le désarroi ontologique du responsable sécurité face à l’infini des exploits « in the wild ». Cette lente progression vers l’acmé de la sécurité passe nécessairement par le bulletin d’alertes de Microsoft qui, ce mois-ci, est composé de 34 CVE, un presque rien résumé en un je-ne-sais-quoi de 6 correctifs, dont un particulièrement lourd. Est-il nécessaire de préciser qu’il s’agit de celui destiné à Internet Explorer et à ses 15 nouvelles failles dont certaines grandement exploitables ? Détail remarquable, en cette collection automnale, aucune alerte n’est liée à un « zéro day »… et c’est la première fois depuis le début de l’année. Il faut bien que les services de renseignements et autres officines de vente d’exploits puissent vivre.
L’application rapide des bouchons est vivement recommandée, une grande partie des alertes étant qualifiée de critique, y compris par le Sans Institute. Selon l’avis d’expert donné par Wolfgang Kandek, le CTO de Qualys, la rustine I.E. est à déployer en premier, suivie immédiatement par la série destinée à Office, en raison d’une série de trous exploitables à distance.
Chez Adobe, la probabilité d’exploitation de certaines failles est tellement élevée que le Cert US s’est fendu d’un bulletin concis mais pressant. Il faut dire que l’éditeur a dénombré la bagatelle de 56 défauts dans son « Reader », éditions Windows ou Macintosh et, pour faire bonne mesure, a accompagné ce dernier par quelques 13 fissures qui fendillent Flash Player.
5 novembre 2015, Rendez-vous à l’Intercontinental Paris Avenue Marceau
Plus de SI sans technologie de virtualisation. Un Cloud omniprésent au sein de toutes les entreprises et les dernières à y adhérer se privent d’un élément concurrentiel vital dans le business. Et le Big Data ? Etude des habitudes et profils des utilisateurs, clients, partenaires ou employés. Utilisation de masses de donnés pour créer du business ou tout simplement se protéger. Les nouvelles technologies et architectures sont à double tranchant, elles peuvent autant générer des failles qu’être un pilier de la politique de sécurité. Tout est une question de dosage et bonne connaissance de son infrastructure et de son parc. Quels sont les dangers des technologies de virtualisation ou de Big Data, des infrastructures Cloud ? Comment s’en prémunir ? Comment la virtualisation, le Cloud, le Big Data et/ou le Software Defined Sécurité permettent à une entreprise de se protéger, anticiper et échapper aux incessantes attaques contre le SI ?
Autant de questions et sujets auxquels répondront des experts de tout bord le 5 novembre matin : Experts Sécurité reconnus, Consultants, Avocats, Acteurs, Chercheurs, Responsables sécurité ou DSI. De la théorie à la pratique, des risques et menaces aux conseils ou solutions potentielles : une matinée d’Informations concrètes, de Sensibilisation et de Networking
CNIS Event a choisi un endroit en plein cœur de Paris, à deux pas des champs Elysées et de l’Arc de Triomphe. A deux pas des endroits business les plus stratégiques de Paris (Porte Maillot, Palais des congrès, La Défense…) comme facile d’accès pour ceux de l’extérieur qui viennent tout spécialement assister à la matinée CNIS Event (aéroports Orly et Roissy, accès aisé aux trains grandes lignes via la station de RER Charles de Gaulle-Etoile à proximité, parking).
InterContinental Paris avenue Marceau
64, avenue Marceau,
75008 Paris
Tél : +33 (0)1 44 43 36 36
Pour s’y rendre : métro George V (ligne 1), RER Charles de Gaulle-Etoile (Ligne A),Bus Arrêt Bassano (Ligne 92 Porte de Champerret – gare Montparnasse), parking 75 avenue Marceau, Paris 8
Les Responsables sécurité, les DSI, les décisionnaires d’une façon générale que ce soit de l’infrastructure ou de l’entreprise en ce qui concerne les PME-PMI, les CIL, les avocats et juristes de l’entreprise, les consultants bien entendu. Tous sont concernés par la question de Sécurité du SI… Il faut connaître et comprendre à qui, à quoi on a à faire pour pouvoir envisager et organiser la protection de son système d’information. Un discours d’expertise et de sensibilisation qui concerne tout le monde.
Le QNH sécu est en chute libre, le point de rosée élevé, et la visibilité proche de zéro dans ces histoires de piratage possible ou non des avions de ligne. Selon Patrick Ky, directeur de l’Agence européenne de la sécurité aérienne (Aesa), les aéronefs modernes sont vulnérables, c’est désormais Photos indiscutable, puisqu’une série de tests de pénétration auraient confirmé cette possibilité. Cinq minutes pour truander le système Acars, avouent les responsables de l’Aesa. Acars n’est rien d’autre qu’un système de télédiagnostic évolué. Mais il est également chargé d’expédier des données de mise à jour du sol vers l’aéronef en mouvement (données météo notamment) donc la falsification pourrait inciter l’équipage à prendre de mauvaises décisions. En aucun cas, Acars ne donne accès aux commandes de vol… à moins d’un cas particulier et d’une négligence d’intégration éventuelle. En trois jours de travail, l’équipe de pentest serait parvenue à« pénétrer dans le système de contrôle de l’avion », sans autre forme de précision technique.
On pense immédiatement aux travaux de Hugo Teso (HITB, 2013) et aux twitts de Chris Roberts affirmant qu’il avait pu modifier le régime moteur et le cap d’un avion de ligne sans bouger de son siège, par simple exploitation d’une faille du système vidéo passagers. Affirmation qui a provoqué une vive réaction du FBI. Le chercheur a donc passé quelques nuits au bloc à se faire interroger, entouré par un concert de dénégations de la part des constructeurs et des compagnies aériennes. Pour le landerneau Infosec, la seule chose sur lesquelles les parties sont toute tombées d’accord, c’est sur la nécessité de ne publier aucune preuve technique, sous prétexte que « ce serait trop dangereux ». La possibilité d’un tel hack ne serait pas franchement étonnante lorsque l’on constate avec quelle légèreté l’audit de la plupart des systèmes vitaux dans le domaine de l’automobile se réalise : à savoir pas d’audit. Mais, en matière de sécurité, le monde de l’aviation s’est toujours montré bien plus prudent que les fabricants de voitures, vendeurs d’occasions et réseaux de concessionnaires.
Pas un hasard difficilement croyable, cette même semaine, l’entreprise fondée par Chris Roberts, One World Labs Inc, est placée en redressement judiciaire (Chapitre 11 selon la loi fiscale US). Le déficit serait de 720 000USD, et l’entreprise aurait déclaré 3M$ de net l’an passé. Roberts, qui avait déjà démissionné de son poste de CIO, est toujours actionnaire majoritaire de OWL. Son arrestation est-elle en rapport avec ces mauvais résultats, en raison d’une soudaine défiance de la clientèle ? La chose ne peut être prouvée. En revanche, l’entreprise possède un fichier de clients très « bankable », ce qui laisse présager, dans le pire des cas, un rachat par un géant de la sécurité (du type Dell ou IBM).
La Cour Européenne de Justice a invalidé la décision de la Commission relative à la politique de Safe Arbor US. La première conséquence de cet acte, c’est qu’en théorie, la totalité des prestataires de services « en ligne » devront maintenir les données de leurs clients Européens « en conformité » pour prévenir toute intrusion ou exploitation de la part d’une organisation étrangère… la NSA est directement désignée. C’est le second effet Snowden, qui succède au premier effet Patriot Act.
Trois jours durant, les médias de la Communauté ont chanté Victoire.
Mais de l’autre côté de l’Atlantique, on s’interroge sur le réalisme d’une telle exigence. La mise en conformité fait déjà l’objet de tractations directes entre l’Europe et des grandes entreprises US. Une mise en conformité qui passera par exemple par un chiffrement plus strict des données Européennes devant transiter ou être stockées aux USA. Reste à savoir qui chiffrera, dans quelles conditions, avec quel niveau de résistance face aux outils des services de renseignement.
Une autre solution consisterait, pensent beaucoup, à interdire en partie ces transferts de données, et imposer aux opérateurs une garantie de stockage et de traitement au sein même des frontières d’Europe. Mais il faut rappeler que le Patriot Act est applicable à toute entreprise US, et s’étend aux données de ces entreprises même situées « à l’étranger ». Le patron technique de Microsoft Irlande avait osé rappeler ce genre d’évidence il y a quelques années, et ces propos avaient choqué bon nombre de défenseurs des libertés individuelles. Mais peu avait été fait, seule une eurodéputée du Parlement Européen avait osé publiquement parler de l’affaire.
Cette décision s’étendra-t-elle aux réseaux d’information et de transfert de données grand public ? C’est peu probable. Les systèmes Cloud genre Siri, Cortana, Google Now, qui constituent autant d’outils de profilage et d’alimentation de flux « big data » ne sont qu’un exemple des « cas impossibles » qui échapperont à la décision de la CJUE. Cette décision sera-t-elle accompagnée d’une définition claire de ce qu’elle appelle « un niveau adéquat de protection » des données transférées en dehors de la C.E. ? C’est là chose impossible, car ledit niveau dépend directement de notre connaissance sur la capacité de nos « alliés mais pas nécessairement amis » en matière de déchiffrement et d’extraction de données sensibles par simple recoupement et analyse Big Data. Enfin, il est difficilement réaliste, à l’heure où la notion de coût d’exploitation l’emporte systématiquement sur l’idée même de sécurité, d’imaginer que du jour au lendemain la totalité des contrats de télé administration, SOC, infogérance soit s’installe en Europe, soit que lesdites sociétés interdisent à leurs employés de « voir » le contenu des données situées sur les systèmes qu’ils sont censés maintenir à distance.
Ce qui ne signifie pas que cet arrêté ne serve à rien. Il constitue à la fois un premier pas vers une normalisation des échanges numériques avec le reste du monde, ainsi qu’une mise au pas du Parlement qui peut parfois aller à l’encontre des intérêts économiques et des libertés des citoyens d’Europe.
5 novembre 2015, Rendez-vous à l’Intercontinental Paris Avenue Marceau
Plus de SI sans technologie de virtualisation. Un Cloud omniprésent au sein de toutes les entreprises et les dernières à y adhérer se privent d’un élément concurrentiel vital dans le business. Et le Big Data ? Etude des habitudes et profils des utilisateurs, clients, partenaires ou employés. Utilisation de masses de donnés pour créer du business ou tout simplement se protéger. Les nouvelles technologies et architectures sont à double tranchant, elles peuvent autant générer des failles qu’être un pilier de la politique de sécurité. Tout est une question de dosage et bonne connaissance de son infrastructure et de son parc. Quels sont les dangers des technologies de virtualisation ou de Big Data, des infrastructures Cloud ? Comment s’en prémunir ? Comment la virtualisation, le Cloud, le Big Data et/ou le Software Defined Sécurité permettent à une entreprise de se protéger, anticiper et échapper aux incessantes attaques contre le SI ?
Autant de questions et sujets auxquels répondront des experts de tout bord le 5 novembre matin : Experts Sécurité reconnus, Consultants, Avocats, Acteurs, Chercheurs, Responsables sécurité ou DSI. De la théorie à la pratique, des risques et menaces aux conseils ou solutions potentielles : une matinée d’Informations concrètes, de Sensibilisation et de Networking
CNIS Event a choisi un endroit en plein cœur de Paris, à deux pas des champs Elysées et de l’Arc de Triomphe. A deux pas des endroits business les plus stratégiques de Paris (Porte Maillot, Palais des congrès, La Défense…) comme facile d’accès pour ceux de l’extérieur qui viennent tout spécialement assister à la matinée CNIS Event (aéroports Orly et Roissy, accès aisé aux trains grandes lignes via la station de RER Charles de Gaulle-Etoile à proximité, parking).
InterContinental Paris avenue Marceau
64, avenue Marceau,
75008 Paris
Tél : +33 (0)1 44 43 36 36
Pour s’y rendre : métro George V (ligne 1), RER Charles de Gaulle-Etoile (Ligne A),Bus Arrêt Bassano (Ligne 92 Porte de Champerret – gare Montparnasse), parking 75 avenue Marceau, Paris 8
Les Responsables sécurité, les DSI, les décisionnaires d’une façon générale que ce soit de l’infrastructure ou de l’entreprise en ce qui concerne les PME-PMI, les CIL, les avocats et juristes de l’entreprise, les consultants bien entendu. Tous sont concernés par la question de Sécurité du SI… Il faut connaître et comprendre à qui, à quoi on a à faire pour pouvoir envisager et organiser la protection de son système d’information. Un discours d’expertise et de sensibilisation qui concerne tout le monde.