Les escroqueries au virement se suivent et ne se ressemblent pas
Lorsque les cyber-pandores gagnent, il faut admettre qu’ils le font avec superbe. 74 arrestations dont 42 sur le sol US, 29 au Nigéria, et trois autres au Canada, ile Maurice et Pologne. Au total, ce coup de filet international a permis de saisir un trésor de guerre de 2,4 millions de dollars. Les administrations US fiscales, postales et de la justice ont pu ainsi, en Floride, mettre fin à une filière de blanchiment d’argent qui aurait écoulé plus de 10 millions de dollars, arrêté 8 personnes soupçonnées d’escroquerie pour un montant de près de 5 M$ dont 1,4 M$ détourné d’une entreprise située dans l’Etat de Washington. Les autres inculpés, dont une forte proportion de citoyens Nigérians habitant aux USA, ont été inculpés d’escroquerie et de détournement de virements bancaires. Tous les détails sur Databreaches.net, l’un des derniers sites indépendants spécialisés dans l’inventaire des accidents informatiques depuis la quasi occultation de Dataloss.db.
Mais parfois, les cybercasses sont couronnés de succès. Après une première tentative infructueuse ciblant Bankomext au Mexique, que l’on soupçonne d’avoir été orchestré depuis la Corée du Nord, voilà qu’un groupe de techno-braqueurs s’est attaqué aux ordinateurs de la banque du Chili, et a pu partir avec l’équivalent de 10 millions de dollars, rapporte la presse US, dont nos confrères de Computing. Le braquage s’est déroulé en deux temps : un virus (KillMBR) a tout d’abord frappé les quelques 9000 machines réparties dans l’infrastructure de la banque, détournant l’attention de l’équipe sécurité. Profitant de la confusion, les truands ont alors pu récupérer leur butin via les systèmes connectés au réseau interbancaires Swift explique le site d’informations Ahora Noticia.
Spamhaus publie son classement des dix pires TLD (suffixes des noms de domaines) commercialisés à ce jour. En tête, l’extension . men, dont plus de 64 % des sites se classe dans la catégorie « mauvais ». Suivi de . loan 59,4%), . gq (53%) et . cf (52%). L’on peut également citer les . click (66%, mais le nombre de domaines enregistrés est faible), . work (52%) et . top (47%).
Pour Spamhaus, un « mauvais » domaine diffuse soit des malwares, soit du spam. Il faut préciser que ce taux de compromission ou de corruption des Top Level Domain est plus marqué sur la nouvelle génération (les gtld) que dans le cadre des traditionnels .com, .org, .net ou .edu.
La cupidité de bien des registrars explique que beaucoup d’entre eux se montrent de moins en moins regardant, et acceptent de vendre un nom de domaine à des personnes dont l’identité, les coordonnées, l’activité ne sont jamais vérifiées. Pour couronner le tout, effet pervers du RGPD, cette vérification devient même de plus en plus difficile depuis l’occultation des données des administrateurs considérées comme informations à caractère personnel.
Malgré ce portrait relativement pessimiste dressé par l’un des porte-drapeaux de la lutte anti-pourriel, il faut admettre que ces nouveaux tld sont assez peu courus, et leur nocivité très relative. Le fameux .men compte moins de 70 000 domaines actifs, .click plafonne à 7500 sites, et .gdn regroupe à peine plus de 1800 enregistrements.
Dans une lettre adressée à ses usagers, Erin Egan, Chief Privacy Officer de Facebook, reconnaît officiellement que la fuite (ou partage automatique par défaut) d’informations F.B. publiées a bien touché 14 millions de personnes. Utilisateurs à qui il est demandé de vérifier leurs contenus et surtout les paramètres des partages automatiques.
Ce souci de transparence doit probablement beaucoup aux efforts prodigués il y a peu par Cambridge Analytica, qui fit son possible pour sensibiliser les internautes en matière de protection de la vie privée.
Ce n’est pas la première fois qu’un système de surveillance de locaux à distance se fait p0wner par quelque chercheur un peu curieux. Ce n’est pas la première fois que le matériel Simplisafe en particulier est pris en défaut (une marque très répandue aux USA utilisées pour la protection par deux millions de foyers). Par le passé, Andrew Zonenberg, puis Michael Ossmann (le père de HackRF) ont déjà mis à mal les systèmes de cette marque.
Les travaux d’Adam Callis n’ont de prime abord rien d’original… si ce n’est d’avoir su profiter des recherches antérieures et les avoir optimisées de manière à ne mettre en œuvre qu’une clef USB de réception DVBT vendue 8 dollars sur n’importe quel site de vente en ligne. Autre détail technique intéressant, l’auteur de cette « preuve de faisabilité » utilise un outil de démodulation d’informations radio dont l’apprentissage et la maîtrise sont d’une simplicité extrême : RTL_433 (https://github.com/merbanan/rtl_433). Lequel, avec de légers ajouts de code, est capable de lire directement les modulations PiPWM utilisées par ces appareils de surveillance qui ont fait les frais de l’expérience. L’alerte de sécurité et l’explication du processus mis en œuvre constituent une excellente leçon sur l’analyse et l’ingénierie inverse des signaux, sans même qu’il ne soit nécessaire de dégainer des armes plus lourdes telles que GRC.
La morale de cette histoire (car il y en a une), c’est qu’il faut se méfier des « protocoles inviolables » associés à un équipement absolument pas prévu pour assurer des communications sécurisées, qui plus est utilisant des canaux ISM ouverts à tous et donc écoutables par tous. Dans bien des cas, les miracles de l’IoT ne sont que le fruit d’un empilement de produits de provenances diverses plus ou moins bien intégrés à grand coup de colle logicielle doublée d’une couche marketing.
Si Simplisafe n’est pas franchement répandu en France, il n’en va pas de même pour d’autres appareils équipant les habitations, dont beaucoup utilisent des couches de transport impossibles à sécuriser car fabriquées en grande série par des sous-traitants asiatiques et qui émettent dans les bandes « sans licence ». Ce sont autant de signaux radio qui clament haut et fort « je me trouve là, je suis vulnérable, et, dans le moindre des cas, incapable de résister à une attaque en dénis de service ».
Trois chercheurs Chinois de l’Université Columbia ont mis au point une forme de… palimpseste numérique, une sorte de « texte écrit sur du texte » capable de contenir un message caché sans que l’un ne perturbe l’autre. Son nom de guerre : FontCode
Techniquement parlant, le principe de codage repose sur de très légères variations dans les longueurs des empattements, le délié des courbes, les dimensions des jambages d’une fonte de caractère. Une seule lettre d’une même fonte peut, selon des dizaines de très légères variations, prendre autant de valeurs numériques différentes que l’on pourrait assimiler à un chiffrement calligraphique.
Et c’est quasiment tout. Il ne reste plus qu’à utiliser un texte quelconque, de le découper en blocs de 5, 6 ou n lettres contiguës en utilisant un jeu de ces fontes « codées », afin que la somme des valeurs de chaque lettre d’un bloc corresponde à la valeur d’une lettre du message codé. Ainsi, « Aujourd’hui, maman est morte » se décompose en « Aujou »=54 « rd’hu »= 117 « i, mam »=15, « an est »=218, « morte »= 32, le chiffre 54, 117, 15, 218 et 32 correspondant aux lettres p,a,r, i et s par exemple. C’est là un code à tiroir relativement classique dans le domaine du chiffre. Le poids numérique de chaque lettre du texte de transport est bien entendu tiré d’un codex (d’une casse typographique stéganographique) qui permettra de choisir le « poids » numérique de chaque caractère. Jusqu’à présent, les chiffrements utilisant une logique semblable ne reposaient que sur des suites numériques, difficiles à anonymiser.
L’avantage de ce procédé de camouflage, c’est que tant que la définition graphique du texte est élevée et ne trahit pas ces légères variations de graisse et d’empâtement, il sera toujours possible qu’un logiciel d’OCR associé à un moteur itératif genre « computer vision » parvienne à extraire le message numérique caché derrière chaque graphisme de lettre. Cet enfant hybride de la stéganographie et du palimpseste peut dont utiliser des moyens de diffusion relativement variés : photographie, format pdf, photocopie… mais en aucun cas un code ascii, ebcdic, chunky ou tout autre alphabet fondamentalement numérique. FontCode est un chiffrement essentiellement lié à un support en logique floue. Rien n’interdit d’imaginer son adaptation en code morse d’ailleurs.
C’est donc un accessoire parfait pour les barbouzes qui ont encore du mal à se passer de télécopieurs, de photocopieuses et de leur Minox. Les trois chercheurs ajoutent que le procédé peut être utilisé pour marquer d’un DRM tout document écrit. Un DRM qui garantirait l’absence de modification du texte contenu, mais en aucun cas son unicité et son originalité, puisqu’une bonne photocopie ou photographie dudit document sera certifié conforme de la même manière.
FontCode est également capable d’associer à un texte non plus un message secret, mais une URL masquée ou des métadonnées qui ne nécessiteraient plus la présence d’un QRcode ou d’un « zebra » à la sauce EAN.
Les plus paranoïaques y verront également un moyen d’instiller un lien malveillant, prélude à une attaque en drive by download, qui échapperait à toute analyse antivirale effectuée au niveau du document lui-même. Encore faut-il que le logiciel de décodage puisse être installé préalablement et camouflé avec subtilité. Ajoutons à cela que le décodage du contenu caché peut dépendre d’une clef de déchiffrement dont le rôle est de déterminer l’ordre de décodage des blocs… la lecture du palimpseste ne suit pas obligatoirement le sens conventionnel et progressif de la lecture du texte de transport.
Infaillible ? La méthode, de l’aveu même des trois universitaires, comporte certaines limitations. Elle ne porte actuellement que sur un nombre limité de fontes, et l’insertion d’une nouvelle « sorte » (italique, gras italique, caractères barrés par exemple) n’est pas encore pris en compte. Et le nombre de fontes utilisées en imprimerie et en PAO va nécessiter encore pas mal de travail avant que chaque agent 007 puissent utiliser qui son Lucida, qui son Janson, qui son Handscript ou son Baskerville.
L’on pourrait également ajouter que, puisqu’un bloc détermine une et une seule lettre « codée », la longueur du texte de transport sera toujours plus importante que celle du message camouflé, d’une magnitude proportionnelle à la longueur du bloc. Enfin, la performance du système de codage tient précisément dans l’étendue du dictionnaire de « lettres déformées ». Plus les variations sur l’ensemble des lettres de l’alphabet sont possibles, plus la taille des blocs peut être réduite, moins long sera le texte « porteur ». Corolaire de cette condition, plus l’étendu du dictionnaire sera étendu et intègrera un nombre élevé de fontes, plus il occupera de place en mémoire et verra ses performances s’écrouler. Ceci sans présumer de l’overhead du moteur d’analyse lié à l’OCR.