mars, 2016

San Francisco, RSA Conference : La mode est aux plateformes de gestion SSI, le « prix de l’innovation 2016 » attribué cette année à Phantom (un middleware SSI dans le cloud) en est un indice certain. C’est également l’un des axes de développement de ServiceNow, qui était plutôt cantonné jusqu’à présent dans la fourniture de services liés à la gouvernance d’entreprise et à l’optimisation des services. Ce n’est donc pas un « pure player » sécurité. Son « Security operation » est une plateforme cloud destinée à faciliter le travail des équipes IT confrontées aux incidents de sécurité et aux problèmes de gestion des vulnérabilités. Ce sont donc deux nouveaux services cloud distincts qui ont été présentés lors du salon de San Francisco : Security Incident Response et Vulnerability Response, qui, affirme le porte-parole de ServiceNow, « définit, structure et automatise les réponses à incident afin de diminuer le plus possible les fenêtres de vulnérabilités ». « Le but de notre plateforme est de formaliser et d’accélérer le workflow qui va de la détection de l’incident lui-même, à la remédiation, en combinant d’une part la partie « outils » vendus par les tierces parties spécialisées dans le domaine de la sécurité des systèmes d’information, et d’autre part, les bases de connaissances telles que la National Vulnerability Database US » (base CVE, CCE, CPE, CVSS, XCCDF, OVAL).

Ce discours managérial peut paraître très flou aux équipes sécurité qui sont quotidiennement confrontées à des problèmes plus techniques que structurels. Pourtant, le genre de discours tenu par des entreprises telles que ServiceNow est mieux compris par les CxO que la vision parfois trop « binaire » de la sécurité opérationnelle.

San Francisco, RSA Conference. Comme chaque année, Verizon publie son inévitable « Data Breach Digest », lequel n’apprendra strictement rien aux RSSI et chercheurs du sérail, mais qui aidera ceux-ci à faire comprendre les dangers numériques. Langage clair, absence totale de termes techniques, illustrations colorées, résumés simples mais non simplistes, ce sont là de bons vecteurs de sensibilisation.

Le « digest » de cette année passe en revue les grands classiques des risques NTIC : l’arnaque à l’ordre de virement émis par un faux patron, les cryptovirus, la trahison de « l’insider » (Verizon revient mollement minimiser celui qui, il n’y a pas si longtemps, représentait pour lui la pire des engeances), les trous de sécurité provoqués par les équipements personnels, les routeurs Wifi intrus, les compromissions par réseaux sociaux, tous les risques, ou presque, y sont décrits, parfois même les plus fantasmés.

L’un d’eux, cependant, sort du lot : le piratage par des pirates. Des vrais, ceux qui sévissent dans le détroit de Malacca, la passe de Formose et les côtes de Somalie. Malgré leur peu de compétences techniques, plus habitués à manier le fusil-mitrailleur que le clavier, les pirates s’attaquent en général aux CMS des sites Web des transporteurs. Attaques de faible niveau, simplifiées par le fait que rarement la communication de la nature du fret est chiffrée ou protégée. Cet inventaire (le Bill of Lading, ou « connaissement maritime») est accessible sur les applications métier des compagnies maritimes. Elles étaient autrefois même émises par radio, sans le moindre chiffrement, à l’aide de protocoles simples (sitor/telex etc.). Désormais, elles facilitent la vie des flibustiers en leur indiquant rapidement le contenu des chargements, et ainsi les butins les plus intéressants. Appelons-ça de l’optimisation des ressources tactiques. Après abordage, les bandits des mers recherchent le container qui les intéresse, effectuent le transbordement puis quittent le bâtiment sans autre forme de procès. Et c’est cette précision quasi chirurgicale qui a mis la puce à l’oreille des enquêteurs. Un tel niveau de renseignement ne pouvait que provenir d’une fuite de la chaîne d’information. Et les « communicants » de Verizon de conclure « le CMS une fois mis à niveau et les protections périmétriques renforcées, toute attaque est devenue impossible ». Reste à savoir si la fermeture progressive des moyens de renseignements n’ira pas renforcé des pratiques plus traditionnelles et plus agressives.

Le Pentagone organise un grand concours de hack –ou plus exactement une campagne de pentesting gratuit- afin de tester la solidité de ses réseaux et sites Web. Inscription obligatoire avant début des hostilités, précise le communiqué.

RSA 2016 : Comment cloner un badge d’entrée à la RSA Conference sur un RFID Mifare Ultralight cousu dans une serviette de toilette de chambre d’hôtel ? Une aventure signée Jerry Gamblin et sponsorisée par Ford Prefect et Arthur Dent.

Mark Yason d’IBM a découvert une faille affectant la bibliothèque de fonction chargée de l’ouverture des fichiers PDF dans le navigateur Edge de Windows 10. Une preuve d’attaque via un fichier forgé est détaillée sur le site Security Intelligence

Google lance officiellement ProjectShield, service de protection anti-Ddos gratuit (en chantier depuis 2013). L’offre s’adresse en priorité aux médias en ligne, associations de défense des droits de l’homme et organismes de contrôle électoraux, précise le formulaire d’inscription.

Pop3 fait encore des victimes. Robert Graham raconte l’histoire d’un journaliste dont les emails Earthlink ont été piratés par un autre passager lors d’un voyage en avion alors qu’il rédigeait un article sur l’affaire Apple/FBI. Ni SSL ni Starttls.

Une semaine toujours placée sous le signe du malware et de la publicité. Après l’article de Neil Krawetz (Hacker Factor) qui déplorait les pratiques de plusieurs médias refusant les lecteurs protégés par un logiciel de blocage de publicité, (voir CNIS-Mag « Les pratiques douteuses de la réclame en ligne » ), c’est au tour de Graham Clueley de dresser le bilan désastreux des méthodes des cyber-publicitaires. Clueley cite notamment une étude du Guardian qui estime à 9 millions le nombre de sujets de sa Gracieuse Majesté utilisant des « ad-blockers ». L’anti fils de pub archétypal se situe entre 18 et 24 ans, fatigué par la lente dégradation des performances des accès Internet, par les scripts écrits à la diable et les pop-up vantant les mérites d’un dentifrice, d’une automobile ou d’un appareil électroménager.

En réaction, de plus en plus nombreux sont les sites qui détectent la présence des filtres de blocage et exigent de leurs visiteurs la désactivation du logiciel en question.

Mais il y a pire. Le coup de grâce est porté par Randy Westergren, dont les récentes recherches laissent entendre que les principaux médias en ligne (cbsnews, nbcnews, newyorktimes.com, msn.com, washingtonpost.com, bbc.com etc.) et sites de vente servent littéralement de vecteurs de « diffusion de vulnérabilités ». Lorsque la publicité en ligne se transforme en usine à XSS, que peut bien faire la victime ? Peu, très peu de choses explique le chercheur en sécurité. Tout d’abord parce que les publicités statiques n’existent plus depuis belle lurette. La position géographique, les sites « référents », le sexe ou l’âge de la cible sont autant de paramètres qui font qu’une réclame affichée à l’écran n’est jamais deux fois la même, et peut très bien n’être vue que par un nombre restreint de personnes. Ce qui rend très difficile la détection des publicités vulnérables. Et l’on ne peut également exiger du site « diffuseur » (le journal, le site de vente) de filtrer ces publicités. Non seulement parce que celles-ci ne sont que rarement stockées sur les serveurs dudit média, mais en outre parce que les contrats liant régies et diffuseurs interdisent généralement toute ingérence dans le contenu du message. Et par conséquent tout sandboxing et analyse.

Il ne reste alors qu’un seul espoir, c’est que les régies fassent elles-mêmes ce nettoyage, un appel à une sorte d’Owasp du pop-up mercantile. Certaines accepteront de travailler plus proprement, d’autres continueront de se moquer comme d’une guigne de la sécurité de leurs « cibles », pour ne pas dire leurs « victimes ». Peu est aujourd’hui fait, au sein même des grandes régies, pour que le marché des « ad-blockers » ne se développe pas, résultat la publicité en ligne deviendra de plus en plus insupportable, et l’image de marque des annonceurs se dégradera du fait même du manque de contrôle de ces pratiques.

Critique ? Les commutateurs Nexus 3000 et 3500 de Cisco acceptent la connexion à distance d’un attaquant avec des droits « root ». Le coupable ? Un compte utilisateur avec un mot de passe statique. Une mise à jour du firmware est disponible, qui corrige également au passage deux défauts pouvant faciliter un déni de service.

Une toute autre mise à jour est également disponible depuis le 25 janvier. Elle concerne les serveurs d’automatisme d’immeuble de Schneider, série « Automation Server » AS et AS-P V1.7 et antérieurs. Là encore, il s’agissait d’une authentification « par défaut ». Mais comme l’entretien de ces cerveaux du bâtiment n’est pas toujours effectué avec attention et que le mauvais fonctionnement de ces automates pose de sérieux risques de sécurité physique, le Cert ISC émet à son tour une alerte.

Tout risque est donc écarté… jusqu’à la prochaine fois.

Lucas Mearian, de Computerworld, se demande si les responsables du FBI ont encore toute leur raison. Questions que l’on pourrait également se poser concernant MM Ciotti et Galut qui, dans un grand élan atlantiste, se sont faits les rapporteurs de l’agence à trois lettres.

Car, fait remarquer Mearian, durant ces quatre dernières années, les fonctionnaires de l’Administration Fédérale (et l’on pourrait affirmer à peu près la même chose pour ce qui concerne les fonctionnaires Français) ont peu à peu laissé tomber les noyaux Blackberry au profit de terminaux sous IOS. Et ce précisément pour des raisons de pure sécurité et de solidité des outils de chiffrement.

En exigeant d’Apple la fabrication d’un outil de régression, le FBI se tire une balle dans le pied, estime l’auteur. En France comme aux USA, aucun élu ne peut ignorer avec quels outils travaillent les services d’urgence, un nombre élevé de fonctionnaires de police et de gendarmerie (génération ante-NewGend ), les responsables d’entreprises stratégiques ou classées OIV/Scada. Et l’on peut probablement ajouter à cette liste les agents de renseignement en opération poussant la discrétion et le « paraître normal » jusque dans les moindres détails, téléphone portable y compris. Dans cette perspective, exiger la fragilisation des outils de chiffrement attachés aux terminaux ou aux moyens de communication pourrait être interprété par des esprits chagrins comme une tentative d’intelligence avec des puissances extérieures ou de la haute trahison, à moins que ces propositions et amendement n’aient été que de simples rodomontades à finalité électorale, classiques propos d’homme politique.