C’est en chantonnant l’air d’Offenbach « J’entends le bruit des boot des boot des boot… » que le FBI conseille au monde entier au pire, de redémarrer certains modèles de routeurs et NAS, au mieux, de les initialiser en « configuration usine » en prenant soin de ne pas conserver le mot de passe par défaut.
Car, explique le DoJ, 3 modèles de routeurs Linksys, 3 Mikrotik, 6 Netgear, un TP-Link et au moins deux NAS de fabrication Qnap seraient vulnérables au malware VPNFilter. Lequel est décortiqué par l’équipe de Thalos. Selon les chercheurs, la paternité de cette attaque est probablement signée par le groupe de blackhat Russes FancyBear/APT28, déjà accusés d’avoir trempé dans les attaques durant les dernières élections présidentielles US.
Toujours selon le DoJ, près d’un demi-million d’équipements seraient actuellement infectés (c’est donc encore une « petite » attaque). Ces appareils appartenant en majorité à la catégorie des périphériques grand public, il y a peu de chances que les avertissements et alarmes lancés par la presse spécialisée soient entendus. Les meilleures attaques persistantes ne dépendent pas de la subtilité de leur code, mais du choix de leurs cibles.
Mais tout « grand public » que soient ces boîtiers, VPNFilter les utilise comme plateforme d’analyse du réseau local qui y est attaché, et tente de détecter notamment toute activité Modbus, précise l’Avert Lab de McAfee. Modbus est un bus de commande essentiellement utilisé dans les infrastructures de contrôle de processus, donc des installations industrielles et OIV.
Pour l’heure, les différents OEM cités n’ont pas encore fourni de firmware de remplacement. Le « reboot » des systèmes vulnérables ne fait qu’éliminer la partie résident en mémoire du vecteur de compromission, mais ne garantit pas une éradication totale de l’infection.
« Faille Git, pensez à mettre à jour votre client Windows » prévient le blog DevOps de Microsoft. > L’annonce de la nouvelle version vient à point après l’alerte CVE 2018-11235 et qui affectait les opérations liées à un git clone.
Ce sont, encore et toujours, les vendeurs de pelles qui bénéficient de la fièvre provoquée par les mines d’or. Sauf peut être lorsque le quincailler se fait voler son stock, rapporte l’agence Associated Press. Entre les mois de décembre et janvier, au fil de trois cambriolages successifs perpétrés en Islande, près de 600 ordinateurs de « minage » de Bitcoins et autres monnaies virtuelles ont été dérobés, pour une valeur totale de plus de 2 millions de dollars. Cette formidable puissance de calcul dédiée, à base d’asics conçus dans l’unique but de calculer des condensats, a peu de chances de se retrouver sur le marché de l’occasion. L’utilisation des machines procurera aux casseurs une discrète rente tant que durera la mode des monnaies virtuelles et tant que les tarifs d’électricité au prix de gros ne seront pas liés à une enquête préalable sur la nature et l’usage de cette énergie consommée.
La part du coût de cette énergie dépensée dans la valeur des cryptomonnaies préoccupe de plus en plus quelques associations d’écologistes et la majorité des médias. Un « mineur personnel », une fois achetée(s) la ou les CPU et réglé la note d’électricité, a de moins en moins de chances d’être rentable, ce qui explique la tendance générale à la collocation des ressources de minage au sein de datacenters, eux-mêmes situés dans des régions où l’électricité n’est pas chère. Au Canada notamment, explique Oilprice.com, là où la politique tarifaire d’Hydro-Québec crée un véritable appel d’air en faveur des nouvelles technologies. A l’origine, ces tarifs préférentiels étaient pratiqués pour attirer des industries fortement énergivores, principalement la production d’aluminium. Or, l’hébergement informatique, quel que soit sa finalité, est un secteur d’activité nettement moins créateur d’emplois que la métallurgie. Plus mobile également… Qu’Hydro-Québec augmente ses tarifs, et ses clients mineurs iront s’expatrier en Chine ou en Inde, pays qui pratiquent également des tarifs attractifs estiment nos confrères Britanniques du magazine Express.
Mais alors, ça consomme combien, un Bitcoin ? le site Digiconomist fournit quelques métriques pas franchement réjouissantes (mais difficiles à vérifier : près de 400 kg de CO2 par transaction, une consommation annuelle de 53 TeraWatt.heure, un coût de fonctionnement de 2,7 milliards de dollars par an, pour une puissance de traitement de 25,5 Peta-Hash.seconde. Histoire d’illustrer cette débauche d’énergie, cela correspond à la consommation des ¾ du continent Africain explique PowerCompare.com qui y va de ses propres statistiques datées de novembre 2017. Plus gourmand que l’Irlande, l’Islande, l’Argentine ou le Danemark, le Bitcoin et ses cousins contribueraient, au même titre que les réseaux sociaux, au réchauffement de la planète, pour le plus grand profit d’une minorité de spéculateurs.
Entre les pessimistes, qui estiment que les monnaies virtuelles consommeront la totalité de l’énergie planétaire d’ici deux ans (comme le confirme le Forum Economique Mondial ) et ceux qui pensent le contraire, il faut savoir aller chercher les vrais morceaux d’enfumage, d’alarmisme ou d’arguments spécieux. Les uns se basent sur une croissance linéaire du phénomène, les autres sur un abaissement brutal de la consommation des processeurs (selon quels arguments techniques ?). D’autres, enfin, tablent sur un tassement de la valeur des cryptomonnaies, phénomène qui « calmerait le jeu ». Mais un tassement incite à ne pas changer de parc informatique (un mineur milieu de gamme coûte entre 6000 et 10 000 USD) et aucun fournisseur d’énergie ne semble vouloir officiellement annoncer une augmentation de ses tarifs. A ceci doit-on remarquer que les seuls experts qui donnent leurs avis sont… des gourous financiers, dont on peut douter des compétences en matière de microélectronique, de thermodynamique… et d’économie, car ce sont en général les mêmes qui n’ont su deviner la crise des subprimes ou les chaînes de Ponzi de l’entreprise Madoff.
C’est l’histoire d’un stockage Cloud qui expose 50 Go de données d’un compte appartenant à un spécialiste de la Business Intelligence Cloud et provenant probablement d’une banque de l’Etat de Virginie. Une affaire révélée par Upguard, dont le fond de commerce médiatique repose sur les fuites cloud et qui, depuis, a retiré son article.
Dans le rôle du stockage fuiteux l’omniprésent S3 d’Amazon Web Services. Dans celui du client Amazon, la société Birst, laquelle commercialise un service de « cloud-based business intelligence platform ». Et dans le rôle de la victime… ce n’est pas très clair. Upguard désigne tout d’abord la banque Capital One, et affirme avoir retrouvé les noms de quelques clients et des condensats de mots de passe. En d’autres termes, le sésame nécessaire pour pénétrer dans le système de B.I. de Birst… en admettant que l’on puisse trouver moyen d’accéder au-dit système via le réseau interne reliant la banque et son prestataire de service. Voilà qui est moins évident.
Le magazine en ligne HackRead bondit sur l’information, mais rapidement, le banquier dément.« Les seules données qui ont pu être récupérées appartiennent à Birst, les informations concernant nos clients demeurent inviolées » rapporte Silicon Angle. Exploitation fantasmatique, origine des fichiers discutée, le sensationnalisme initial retombe comme un soufflet.
De l’autre côté de l’Atlantique, nos confrères de ZDNet, dans un article signé notamment par Rayna « maliciarogue » Stamboliyska, narrent la mise à nue très discrète de quelques 700 000 identités de lecteurs de l’Express (60 Go au total), retrouvées par le plus grand des hasards sur une machine abandonnée… mais en ligne, dans une base de données accessible sans mot de passe… mais inutilisée. Les informations sont sauvegardées « au cas où » par un bon samaritain résidant en Floride, lequel prévient illico les responsables du média… en vain semble-t-il, car de multiples attaques et tentatives de chantage au « cryptovirus » se succèdent par la suite. « Données antiques, serveur inutilisé depuis longtemps » réplique la direction du journal, ce que démentent nos confrères, preuves à l’appui. Et puis, antique ou pas, le nom d’un abonné ne s’altère pas dans le temps.
Ces deux histoires sans morale ne sont pas sans enseignement.
Les « experts en sécurité », considérés comme source fiable (tel Upguard) bâtissent leur célébrité sur des effets d’annonce, quitte parfois à exagérer certains faits ou avancer des hypothèses fantaisistes. Les habitués de la chasse aux données exposées jouent sur le flou qui existe entre une ressource accessible et une ressource effectivement piratée. La majorité des médias grand public ne font pas cette différence, et la peur fait vendre du papier, voir accessoirement des contrats et des licences logiciel.
D’autres experts en sécurité (Birst, Deloitte …) commettent des erreurs que l’on pourrait parfois qualifier de débutant. C’est d’ailleurs ce genre d’étourderie que chassent quotidiennement les équipes d’Upguard, dans le but de rédiger un billet dans le plus pur style YACSF (Yet Another Cloud Security Failure).
La vérification de l’information et du niveau d’expertise de la source par les médias relève de l’exploit. En toute logique, l’opinion d’un spécialiste de la SSI ne peut être contredite que par un autre spécialiste aussi compétent dans le domaine d’investigation considéré. Et par habitude corporatiste, il est rare qu’un spécialiste SSI se risque à critiquer un confrère. Quant à l’avis de la « victime », il a de fortes chances d’être biaisé, elle-même cherchant à minimiser les risques vis-à -vis de ses propres clients, qu’ils soient lecteurs d’un magazine ou, à plus forte raison, clients d’un organisme bancaire vendeur de « confiance ».
Enfin, les prestataires de services Cloud fonctionnent encore sur le mode « vos données sont nos données à tous », laissant aux exploitants, sous prétexte de souplesse d’utilisation, la responsabilité de gestion des différentes couches de protection, à commencer par le chiffrement systématique des informations hébergées.
C’est par une annonce publique sur le forum Mozilla/dev/Sec ainsi que par un billet de Blog que DigiCert annonce la répudiation de près de 23000 certificats SSL commercialisés par l’un de ses revendeurs Britanniques, Trustico.
Initialement, c’est le revendeur lui-même qui demande à DigiCert, en début du mois de février, la révocation de plus de 50 000 certificats provenant de l’ancienne infrastructure C.A. de Symantec. Or, les PKI de Symantec, tout comme celles de Tawte, RapidSSL, Verisign et Geotrust, ont été rachetées par DigiCert courant 2017. La demande est légitime et s’adresse bien aux bonnes personnes.
Mais est-elle justifiée ? s’interroge l’Autorité. Car en général, une demande de répudiation relève de la responsabilité de son possesseur (ou du C.A. pour des raisons techniques), et non d’un intermédiaire. Les administrateurs de DigiCert exigent des explications et des preuves, ce à quoi la société Britannique répond en expédiant, par email, quelques 23000 clefs privées, lesquelles ne sont a priori jamais détenues par un intermédiaire. Fut-il de confiance. Le courrier électronique n’étant pas particulièrement répertorié au nombre des procédures de transmissions sécurisées et la possession des clefs privées prouvant la vulnérabilité de la chaîne de confiance, les 23000 certificats en question font l’objet d’une procédure d’immolation immédiate. Ce qui place au passage quelques administrateurs de serveur Web https dans un certain embarras.
Si l’on en croit les responsables de Trustico, il n’y a jamais eu compromission de leurs propres serveurs, la révocation n’étant justifiée que par le manque de confiance envers l’infrastructure Symantec qui avait, par le passé, connu quelques problèmes de sécurité. Ce que n’explique pas en revanche ces mêmes responsables, c’est la manière avec laquelle ils sont entrés en possession des clefs privées.
Le bilan annuel 2017 de la Commission chargée de la protection des données en Irlande fait état d’une augmentation des plaintes de 79% et d’un accroissement de 26% des cas de compromission de données personnelles.
Sophistication du ransomware Thanatos . Selon Bleeping Computer , il chiffre chaque fichier avec une clef différente… mais oublie de stocker ladite clef. Déchiffrement impossible hors brute-force des fichiers un à un.
Xi Jinping plus fort que le FBI : Apple, rapporte Guizmodo , a accepté de stocker les clefs de chiffrement iCloud sur le territoire Chinois, donnant ainsi aux autorités le pouvoir d’intensifier la surveillance de son Internet.
Le « Rapport global 2018 sur les menaces » de Crowdstrike laisse entendre que les techniques et stratégies adoptées par les « cyber-combattants » des Etats-Nation s’apparentent de plus en plus avec celles adoptées et mises au point par les délinquants numériques (ransomwares par exemple citent les rédacteurs du rapport), tandis que du côté obscur, les attaquants utilisent des vecteurs plus ciblés, plus sophistiqués que par le passé, et dignes des cyber-armes qu’utilisent les services régaliens des différents pays.
Il faut dire que les fuites de certains outils utilisés par les barbouzes des agences US à trois lettres ont grandement contribué à cette évolution. A vouloir jouer avec des outils de truands, on finit par leur ressembler, à force d’accroître l’usage risqué desdits outils, on s’expose également au risque de les voir se retourner contre leurs auteurs.
La situation ne semble pas franchement s’améliorer à court terme, si l’on se réfère aux propos du patron de la NSA, Mike Rogers (rapportés notamment par le Register ), lequel patron semble presque regretter que la Maison Blanche n’ait pas autorisé ses services spéciaux pour lancer une contre-attaque visant la Russie, en réponse aux tentatives d’interférence de Moscou durant la campagne électorale présidentielle. Tempête sous un crâne d’amiral. D’une part, le désir de riposter, ce qui pourrait s’apparenter au pire à un acte de guerre, au mieux à une provocation pouvant entraîner une escalade de la cyber-violence. D’autre part, la nécessité, le devoir d’obéir à l’exécutif, et de passer pour un faible vis-à -vis de l’adversaire, torture insoutenable pour un militaire.
Une troisième voie tactique consisterait à employer des supplétifs, des mercenaires numériques, avec la fameuse formule « si vous ou l’un de vos agents étiez capturé ou tué, le Département d’État nierait avoir eu connaissance de vos agissements. Bonne chance Mr Phelps ». C’est d’ailleurs un sport que pratiquent avec adresse tant le Kremlin que Pékin. En cas d’attaque reprochée, tirez à boulet (rouge bien entendu) sur quelques « gangsters social-traîtres révisionnistes et nihilistes qui seront impitoyablement pourchassés ». Personne n’est dupe, mais l’attribution d’une APT relevant plus du probable que de la certitude, les apparences sont sauves et la voie diplomatique intacte.
Il n’existe que deux certitudes en ce monde, dit-on : la mort et les impôts. Avec un Bitcoin à plus de 9000 USD (après un coup de fièvre à 17 000 $), et à la lumière des différentes escroqueries qui ont émaillé le petit monde des monnaies virtuelles, il était logique que les administrations fiscales des différents pays commencent à fouiner dans les portefeuilles des mineurs. Et pour s’éviter du travail, lesdites administrations bousculent un peu les responsables de plateformes d’échange. Ainsi, l’IRS (USA), après une partie de bras de fer juridique, a convaincu Coinbase de lui communiquer les détails des 13 000 clients possédant plus de 20 000 équivalents dollars. Coinbase a dû prévenir ses usagers en tentant de faire bonne figure.
Un percepteur peut en cacher un autre. Pour preuve, cet article du Guardian intitulé « Les patrons de l’économie Européenne veulent règlementer le Bitcoin si les risques ne sont pas maitrisés ». Cette décision de la Banque Centrale Européenne aurait des conséquences comparables à ce qui se passe de l’autre côté de l’Atlantique. Dans le but avoué de contrôler les inflations spéculatives et surtout de lutter contre les circuits de blanchiment d’argent ou les réseaux de financement du terrorisme, les administrations fiscales des 28 auraient la possibilité d’exiger l’identité des clients des plateformes d’échange situées en Europe. Et le Guardian de reprendre l’expression d’AgustÃn Carstens, patron de la Banque des Règlements Internationaux : « Le Bitcoin est un mélange de bulle économique et de chaîne de Ponzi, et sa demande énergétique en matière de calcul de chaîne de blocs est un désastre écologique ».
Le MineFi, pour sa part, nommait récemment un « monsieur Bitcoin » en la personne de l’ancien gouverneur de la Banque de France Jean-Pierre Landau. Lui aussi semble éprouver une certaine défiance envers les crypto-monnaies. Il déclarait, avant même de se voir confier cette mission, que « les cryptomonnaies étaient la tulipe des temps modernes ».
Quant à la DGfip, elle rappelait, mi-janvier, que s’il n’y avait peut-être pas d’imposition sur la plus-value des monnaies virtuelles (puisqu’il ne s’agit pas d’un bien mobilier), leur possession était soumise aux 17,2% de CSG ainsi qu’à l’impôt sur le revenu… avec des taux d’imposition pouvant atteindre 45% pour les tranches les plus élevées. Les centres de recette peuvent également jouer les prolongations, classant le « happy taxpayer » soit sous le statut de particulier soumis aux « bénéfices non-commerciaux », soit sous celui des bénéfices industriels et commerciaux en fonction de la fréquence et du volume des mouvements. L’imposition de la plus-value est encore entourée d’un flou administratif, mais il est utile de se rappeler que le ministre des Comptes publics, Gérald Darmanin, avait demandé, courant décembre dernier à l’Administration Fiscale d’appliquer cette taxe. La règlementation en matière d’imposition est probablement plus complexe qu’un calcul de blockchain.
Si les inspecteurs des contributions sont capables de tracer « certaines » transactions, on peut émettre des doutes quant à leur capacité à retrouver un contrevenant réellement impliqué dans des activités illégales. Les portefeuilles sont souvent hors de portée juridique et la traçabilité quasiment impossible si les transactions ont été filtrées par des « mixers ».