Meltdown Prime et Spectre Prime: une nouvelle façon d’exploiter l’infernal tandem de failles Intel (et processeurs cousins). Un article de recherche a été rédigé par une équipe de l’Université de Princeton et des ingénieurs de Nvidia.
Le Washington Post rapporte que le Pentagone envisagerait la possibilité d’une riposte nucléaire face à une cyber-attaque d’importance. Article reposant sur un brouillon estampillé par le DoD et daté du mois de janvier. Zut, un virus ? chic, un ICBM ! En politique, le bon Docteur Folamour aurait apprécié ce sens subtil de la nuance et de la juste proportionnalité.
D’ailleurs, qui possède également la bombe atomique et se spécialise dans les cyberattaques d’importance ? La Corée du Nord, explique une étude Cisco-Talos à laquelle a participé notamment Paul Rascagnères. Des attaques à base de « RATs » (troyens à accès distant) qui visent en priorité la Corée du Sud. Zut, un Troyen ? Chic une « Global Thermonuclear War »).
Eux aussi possèdent le feu nucléaire, et n’ont pas toujours été blanc-bleu en termes de cyber-attaque supposées. L’on parle de la Chine bien sûr, souvent accusée de tous les maux. Les choses semblent cependant évoluer si l’on en croit les propos tenus par le général Hao Yeli de l’Armée Populaire de Libération. Le général, tout en affirmant l’importance d’une cyber-souveraineté Chinoise, estime que son pays est favorable à une gouvernance multilatérale de l’espace numérique. « Solidarité et responsabilités partagées, ouverture des réseaux, partage des informations » sont les principaux arguments avancés au fil de son plaidoyer.
Il aura fallu le concours de 6 universitaires pour redécouvrir ce que l’industrie automobile, les spécialistes du Dolby Surround et les amateurs de musique techno savent depuis longtemps : les infrasons produisent des vibrations éprouvantes pour les mécanismes délicats, qu’il s’agisse de ceux d’une montre ou d’un disque dur …
… mais dans le cas d’un disque dur (sorte de périphérique de stockage fortement utilisé avant la généralisation des SSD), on peut appeler ça une « attaque en déni de service » et en rédiger une communication, porte ouverte aux conférences situées dans les pays les plus exotiques.
L’étude de 8 pages, dont 2 dédiées aux références, explique comment utiliser un caisson de basse orienté en direction de la « gamelle », à moins d’un mètre de distance, et excité par un signal situé entre 2,5 et 10 Hz avec une pression acoustique de plus de 90dBa. La boîte à bruit secoue durement les tripes du disque (une tête de lecture flotte à quelques microns de la surface magnétique) et rend toute lecture impossible par simple désalignement mécanique provoqué par les variations de pression de l’air.
Il n’est donc pas conseillé d’installer un NAS dans l’immédiate proximité d’un woofer de boîte de nuit, dans la proche périphérie d’une presse industrielle ou d’un système de détection sous-marin. Notons au passage que s’ils sont nuisibles pour les disques durs, les infrasons à haute dose sont également néfastes pour la santé des êtres vivants, humains y compris.
Brian Krebs dresse une liste de 6 conseils de « bon sens » pour vivre avec des Objets de l’Internet (IoT). Tous ne sont pas réellement applicables …
Le consortium WiFi Alliance annonce le lancement de WPA3, protocole de sécurité des liaisons sans fil qui équipera progressivement les équipements au fil de l’année 2018. Cette nouvelle génération de système de défense est une réponse à l’attaque Krack (Key Reinstallation Attack) qui avait défrayé la chronique en octobre dernier. Comme la majorité des vulnérabilités liées aux réseaux sans fil, l’impact de ce genre de menace était limité à de rares attaques ciblées.
Selon les allégations du consortium, ce WPA new look résisterait aux attaques par dictionnaire et autres « brute force »… affirmation sans plus d’informations. Le nouveau protocole bénéficiera également d’une procédure de paramétrage et d’installation simplifiée, particulièrement destinée à l’interconnexion de périphériques dépourvus d’interface ou difficiles à relier à un terminal. On pense notamment aux IoT. Simplification et renforcement de la sécurité des points d’accès partagés ou publics, puisque WPA 3 devrait être capable de fournir un chiffrement individualisé, non lié à un mot de passe réseau général. Enfin, l’Alliance promet une entière conformité avec les recommandations du Commercial National Security Algorithm (CNSA), protocole de chiffrement 192 bits recommandé par l’Administration Fédérale dans le cadre du déploiement de réseaux sécurisés.
Passées les deux semaines nécessaires aux experts pour expliquer les détails d’une double faille complexe, une question demeure : quelle sera la persistance de ce bug ?
Fausse question au demeurant, car pratiquement tout le landernau de la sécurité est du même avis : cela prendra du temps. Si les professionnels et les grandes entreprises ont techniquement les moyens de déployer des correctifs, ce ne sera quasiment pas le cas des millions de stations de travail équipant les particuliers, les PME, une grande partie du monde du contrôle de processus industriel, des équipements médicaux, des IoT de tous poils, les bornes interactives qui vont des TPV aux DAB, en passant par les billetteries automatiques des organismes de transport ou de loisirs, sans oser mentionner les périphériques connectés et microprocessorisés que sont les imprimantes, les routeurs divers… en bref, tout ce qui intègre une cpu Intel, partiellement AMD ou ARM.
Cette prévisible résistance au déploiement de correctif est ce que l’on pourrait appeler le « syndrome T.J. Maxx ». Souvenons-nous. C’était en 2007, 45 millions d’identités clients et bancaires « fuitées » par le biais d’équipements Wifi que l’on savait vulnérables depuis plus de 6 ans, car utilisant le protocole WEP. WEP, si facile à remplacer sur une station de travail par un WPA triomphant à l’époque, mais oh combien enquiquinant à reflasher (lorsque cela était possible) sur une foultitude de routeurs, de caisses enregistreuses, d’étiquettes communicantes… Et c’est bien là le problème de la faille Meltdown/Spectre : elle concerne plusieurs familles de processeurs équipant bon nombre d’appareils connectés mais rarement, voir jamais, mis à jour car exigeant un re-flashage de Bios (opération délicate pour 98% de la population informatisé, et hors de portée pour 80% d’entre elle, faute d’outils ou de connaissances techniques). Ce n’est plus une « fenêtre de vulnérabilité », c’est le gouffre de Padirac de la SSI. Ceci sans mentionner le faible niveau de prévention, que nul média grand public, radio, TV, presse écrite quotidienne, ne peut véritablement diffuser. Car Spectre n’est jamais que la énième fin du monde informatique de ces derniers 300 jours, et que l’on aura oublié à la fin du « 20 Heure ». Une fois de plus « la sécurité (des S.I.) est un échec », car elle échappe à toute action coordonnée dans ce cas précis. Point de « patch Tuesday » salvateur hors les principaux systèmes d’exploitation, aucune signature d’antivirus fiable pour l’instant, excepté peut-être les quelques exploits publiés par les chercheurs, et encore trop de terminaux intelligents, de tablettes, de smartphones, d’instruments de mesure, d’électroniques de commande connectés en permanence sur des réseaux publics mais dépourvus de protocole de déploiement de rustines véritablement unifié.
Il faut alors se concentrer sur ce que l’industrie de la sécurité a toujours fait, la détection d’attaque plutôt que la remédiation. Le coup par coup plutôt que le définitif. La sécurité « externalisée » confiée à des logiciels, des « pizza box », des services, des réseaux d’opérateurs qui sauront -peut-être- intercepter les malwares, tout en rendant un peu plus dépendants les utilisateurs de systèmes numériques. Dépendants et toujours aussi peu informés. « Meltdown and Spectre: Security is a Systems Property » explique Steve Bellovin au fil de l’un de ses trop rares billets. La sécurité est une chaîne, qui lie à la fois le système local, les moyens de communication… et d’autres éléments dont la majorité des usagers ne soupçonne même pas l’existence et sur lesquels ce même usager n’a strictement aucune prise.
Et les exemples comparables ne manquent pas. Tout au long de l’année qui vient de s’écouler, les avalanches de fuites d’informations personnelles ont montré à quel point les précautions de chiffrement (notamment en termes de salage ou de choix d’algorithmes récents) étaient traités par-dessus la jambe par des acteurs que l’on croyait respectables et sur lesquels le fameux « utilisateur final » n’a aucun moyen de pression. Des acteurs de la part desquels ce même usager n’obtient aucune information. Tant qu’une négligence est ignorée du public, pourquoi chercher à la corriger en priorité ? D’ailleurs, quand bien même la majorité des principaux acteurs pratiquerait une politique du « meilleur effort » que l’effort en question peut être compromis par les manquements de quelques-uns. Et ce, parfois, par ignorance, par oubli… et certainement pas dans l’intention de nuire.
Ce n’est pourtant en aucun cas une raison pour ne pas appliquer les correctifs qui sont disponibles. Cela va sans dire… cela va mieux en le déployant. Ajoutons au passage que les pertes de performances liées à l’application du patch Intel ne concernent que quelques gros serveurs de jeux en ligne et peuvent affecter, dans une faible proportion, des outils CAO sollicitant fortement les ressources CPU. L’occasion rêvée pour demander une mise à niveau matérielle ou une légère rallonge budgétaire ?
La conférence Clusif du 6 décembre s’est ouverte avec un seul mot d’ordre : « non, nous ne parlerons pas du GDPR »…
Ce fut qu’un vÅ“ux pieu, car comment aborder les « Obligations juridiques liées aux systèmes d’information » -titre du Vade-Mecum de 50 pages disponible sur l’espace téléchargement de l’association sans mentionner ne serait-ce qu’une fois de l’obligation juridique la plus importante de ces 5 dernières années.
Un Vade-Mecum qui n’est bien entendu pas centré sur le GDPR. C’est là le résultat de 2 ans de travail unissant le Clusif et Cyberlex, un groupe de spécialistes du droit (juristes, avocats, professeurs de droit, mais aussi professionnels de la sécurité). Un mariage qui vient de donner naissance à ce « livrable », sorte de manuel de première nécessité à l’usage du RSSI et du CISO, que l’on peut à l’occasion glisser dans la pile de documents à destination d’un CEO ou d’un directeur marketing qui comprendra probablement plus rapidement les implications légales d’une impasse SSI ou d’une réduction budgétaire impactant la sécurité des systèmes d’information, voir un lancement sur le marché d’un produit logiciel ou matériel imparfaitement « bordé » d’un point de vue juridique. Nul n’est besoin d’être un gourou du Pénal pour comprendre les risques de poursuite d’un objet de l’internet « fuiteux », d’un serveur de plateforme e-commerce poreux, d’un échange de documents hors de contrôle… Tout aussi rares sont ceux qui mesurent toutes les conséquences d’un échec dans ces domaines-là .
Le mémento débute, sans surprise, par une description des lasagnes de normes -ISO 27xxx en tête. Il continue sur un vaste descriptif des responsabilités de chacun : contractuelles, pénales, le tout accompagné de descriptions assez précises des prérequis de mise en œuvre et des nécessités de collectes de preuves recevables… la conservation des traces étant souvent l’un des principaux défauts en cas de conflit ou de sinistre.
L’ouvrage s’achève avec trois dossiers très documentés sur les données personnelles -thème à la mode s’il en est-, la cybersurveillance et la sécurité des contrats.
Ce serait, estime Julio Casal de 4IQ, la base d’identifiants-mots de passe la plus importante jamais mise sur le marché noir de nos jours. Il s’agit en fait d’une compilation des différents vols de données perpétrés ces derniers temps, donc parfaitement identifiés. Mais les « vendeurs » ont travaillé avec soin, et se sont livrés à un déchiffrement en règle des identifiants encore protégés (ce qui accroît le volume directement exploitable de 14 % par rapport aux bases de données concurrentes), et ont amélioré les procédures de recherche interactive de la base de données ainsi constituée, avec détails sur l’origine, la date fraîcheur de la récolte, et notes explicatives d’utilisation. Une conscience professionnelle dans le mitan de l’arnaque, en quelques sortes.
Brian Krebs revient une fois de plus sur les us et coutumes des sites de phishing afin d’en analyser les évolutions techniques.
Le niveau de présentation et de rédaction de ces « fausses pages web plus vraies que nature » s’est singulièrement perfectionné ces derniers mois. Tant d’un point de vue graphique que sur le plan de l’orthographe ou des jeux de caractères exotiques. Mais les deux améliorations les plus marquantes, explique Krebs, en reprenant une étude de Phishlabs, concernent l’adoption quasi systématique de certificats et l’usage de plus en plus courant de sites construits spécifiquement pour les besoins de l’opération.
Concrètement, la grande majorité des grandes opérations d’hameçonnage s’affichent donc désormais sur les pages « https:// », arborant un cadenas vert et tous les signes d’une navigation protégée. La mode, continue Krebs, n’est plus à l’hébergement sauvage utilisant des sites légitimes piratés, mais à des domaines réellement hébergés sur des serveurs loués par les gangs mafieux. Le choix judicieux du nom de domaine et de la page contenant le formulaire de vol d’information rend encore plus difficile la détection de l’escroquerie.
Vers un Cloud de Confiance ?
Enjeux – Analyses – Méthodologies
La sécurité du Cloud : un enjeu stratégique pour la France !
La question de l’utilisation du Cloud se pose t-elle encore dans les entreprises et les services publics ? Les fonctions métiers et les responsables financiers y voient un indéniable attrait et considèrent le multi-cloud comme une composante de leur stratégie business. Mais qu’en est-il des Responsables Sécurité des Systèmes d’Information qui voient le Cloud transformer en profondeur toute l’infrastructure du SI et bouleverser la manière d’appréhender la mise en place et le contrôle de la politique de sécurité ?
Car si le Cloud est devenu, sans conteste, un outil de compétitivité pour tous, beaucoup ont à perdre d’une interruption de services et d’un vol de données. Les risques sont souvent mal évalués et de nombreuses questions restent en suspens à l’aube de l’application des sanctions du RGPD…
Les enjeux sont, ici, cruciaux.
Qu’en est-il de la responsabilité du client ou des fournisseurs de service Cloud en matière de gestion des données dans le Cloud public? Comment s’appuyer sur une architecture sécurisée ? Que faire face à une attaque ? Quelles sont les dernières technologies proposées en matière de sécurité du Cloud ? Quelles solutions choisir ? Le Cloud peut-il être un facilitateur de conformité avec le RGPD ? Faut-il chiffrer les données dans le Cloud et si oui, comment faire ? Quid de la sécurité IoT… ?
Au delà de ces questions, l’association du mot sécurité à celui du Cloud suscite de nombreux débats entre les deux communautés. Il était temps d’y consacrer un Forum. Cela sera le cas les 21 et 22 mars prochains à l’occasion du salon Cloud Computing World Expo en réunissant les meilleurs experts et spécialistes pendant les deux jours de notre événement.
Si la sécurité du Cloud est un enjeu pour notre pays, l’enjeu de notre forum sera de vous apporter les réponses aux questions que vous êtes en droit de vous poser et de laisser une grande part aux témoignages utilisateurs.
Devenez acteur de ce Forum en posant vos questions. Nous avons les réponses !
Caroline Moulin-Schwartz, Directrice du Forum
Vous souhaitez intervenir ? Rien de plus simple !
Envoyez-nous un email en indiquant la demi-journée qui vous intéresse et le sujet de votre intervention. Nous vous préciserons les modalités de participation.
Contact :
Caroline Moulin-Schwartz
06 20 91 84 55
c.moulin-schwartz@cherchemidi-expo.com
@forumsecucloud
Les thématiques par demi-journée :
Mercredi 21 mars 2018 Â Â Â Â Â Â Â Â Â Â Â Â Â Â Â Jeudi 22 mars 2018
Matin Quelles mesures de sécurité prendre pour migrer vers le Cloud et y rester en toute sérénité ? |
Matin Le Cloud : accélérateur de conformité avec le RGPD ? |
Après-midi Le Cloud : « coût » versus « niveau de sécurité » ? |
Après-midi Préparation et réaction aux incidents de sécurité : apports et complexité du Cloud. Rançongiciels – Continuité – Résilience |
Suggestions de thèmes du mercredi 21 mars : matin
Quelles mesures de sécurité prendre pour migrer vers le Cloud et y rester en toute sérénité ?
Enjeux – Méthodologies – Outils d’analyses
Disponibilité des données : valeur ajoutée du Cloud ? Le prestataire protège t-il efficacement ses matériels et logiciels contre les indisponibilités ? Est-il capable d’assurer la continuité d’activité ?
De quoi parle t-on lorsqu’on parle d’intégrité des données ? Quelles sont les mesures de sécurité contre les altérations ou pertes de données ? Le prestataire Cloud est-il capable de restaurer les données ?
Peut-on parler de confidentialité dans le Cloud ? Qui a accès aux données ? A quelles conditions ? Quelles sont les mesures de sécurité ?
Qu’en est-il de la notion de réversibilité ? Est-il possible de récupérer l’intégralité des données et de leurs métadonnées en fin de prestation ? Le format de récupération est-il exploitable ?
Bug Bounty : meilleure approche de l’audit de ses applications dans le Cloud ?
Suggestions de thèmes du mercredi 21 mars : après-midi
Le Cloud : « coût » versus « niveau de sécurité » ?
Apport des dernières technologies
Intégration de nouvelles technologies pour contrer de nouvelles menaces : une nécessité ?
Cloud Brokering et Cloud Access Security Brokers : quelle valeur ajoutée ? Cette approche est-elle mature en France ? Quels sont les apports concrets ? Quels retours d’expériences ?
IoT : est-il envisageable de chiffrer de bout en bout en matière de sécurité IoT ?
Quelles sont les apports de la Blockchain en matière de sécurité dans le Cloud ?
Le sécurité des Cloud Workloads, nouveau challenge pour l’entreprise ?
Quand le Cloud est une décision de la DG ou de la direction financière, la sécurité est- elle la grande oubliée ?
La sécurité dans le Cloud est-elle plus ou moins chère que celle faite en interne ?
Suggestions de thèmes du jeudi 22 mars : matin
Le Cloud : accélérateur de conformité avec le RGPD ?
25 mai 2018 – Normes – Juridiques
Qu’en est-il de la responsabilité du client ou du fournisseur de service Cloud en matière de protection des données ?
Peut-on utiliser sa certification ISO 27001 pour sa conformité au RGPD ?
Quelles sont les autres normes en matière de Cloud ?
Une certification ISO 9001 peut-elle contribuer à la conformité au RGPD ?
Peut-on avoir confiance dans la certification ISO 27001 + ISO 27018 ? Cela représente- t-il réellement une garantie pour les données personnelles ?
Table ronde : retour d’expérience.
Suggestions de thèmes du jeudi 22 mars : après-midi
Préparation et réaction aux incidents de sécurité : apport et complexité du Cloud.
Rançongiciels – Continuité – Résilience
A quels types d’attaques devons-nous nous préparer ?
Réaction aux incidents de sécurité : dépôt de plainte …. Les 10 mesures après une attaque (techniques, organisationnelles, réglementaires…)
Faut-il un PCA avec le Cloud ?
Quels sont les enjeux pour la mise en place d’un dispositif de continuité d’activité ? .
Pourquoi doit-on garder une duplication des données chez soi quand tout est dans le Cloud ?
Y-a-t-il des rançongiciels dans le Cloud ?
Table ronde : retour d’expérience.
Le Forum Sécurité@Cloud est organisé par la société Cherche-Midi Expo, dans le cadre du salon Cloud Computing World Expo.
Il sera en accès gratuit pour les visiteurs se préenregistrant sur les sites : www.cloudcomputing-world.com
ou
www.iot-world.fr
Ouverture du pré-enregistrement le 15 janvier 2018.
Pour information :
La 9ème édition des salons Cloud Computing World Expo et Solutions Datacenter Management réunit les principaux acteurs de l’économie numérique du Cloud, de la virtualisation et des Datacenters. Cet événement professionnel accueille, à la Porte de Versailles, 170 exposants français et internationaux et 7000 visiteurs professionnels. En complément de la partie exposition, un cycle important de conférences applicatives mais aussi prospectives donne la parole aux experts et aux retours d’expérience en matière de modernisation du système d’information à travers le Cloud.
La 3ème édition du salon IoT World se déroulera également en parallèle du Forum Sécurité@Cloud dans le Hall 5 de la Porte de Versailles.
A propos du Groupe Solutions :
Plus de 20 manifestations BtoB organisées par an :
Solutions Demat’, IoT World, Blockchain et IAI, Cloud Computing World Expo, Solutions Data Center Management, Forum Sécurité@Cloud, MtoM et Objets Connectés, Intelligent Building Systems, SmartCity + SmartGrid, Mobility for Business, Solutions RH Paris & Lyon, Elearning Expo Paris & Lyon, Salons Solutions, I-Expo, Intranet Collaboratif Digital Workplace & RSE et Documation & Data Intelligence Forum)
Une expertise reconnue et un véritable savoir-faire dans la mise en place d’évènements au cÅ“ur des problématiques des entreprises depuis 35 ans.
La première base de données visiteurs et de cadres dirigeants dans les fonctions DSI, DRH, DAF, DG et Formation en France.
Cherche Midi Expo – Groupe Solutions – 15 rue de l’Abbé Grégoire 75006 Paris – Tél : +33 1 44 78 99 36