La Maison Blanche via le DoJ US continue sa politique de frappes diplomatiques incessantes à l’encontre de la Chine… laquelle rend coup pour coup. Après, en mai dernier, une série d’inculpations « par contumace » de nombreux officiers Chinois soupçonnés d’appartenir à la très secrète Unité 61398 de l’Armée Populaire de Libération, c’est au tour de deux barbouzes de l’Empire de Milieu, Zhu Hua et Zhang Shilong de faire les frais d’une inculpation dans l’affrontement provoqué par la politique isolationniste de Washington et de celle, expansionniste, de Pékin.
De quoi accuse-t-on ces deux vaillants défenseurs de la Pensée Maozedong et de l’économie de l’Oncle Xi ? ni plus ni moins d’être la cheville ouvrière du groupe de hackers APT10, d’avoir infiltré, dans le cadre d’une campagne de hacking baptisée « cloudhopper », de grands prestataires de services managés tels que HP ou IBM, puis de s’être introduits, par cet intermédiaire, dans les systèmes d’information de « plusieurs douzaines »d’entreprises clientes de ces grands de la (in)sécurité. La Nasa, le JPL, la Navy, des organismes financiers, de la santé, de l’industrie électronique… auraient fait les frais de ces intrusions, sans plus de précision tant sur le nombre exact des victimes, leur nationalité et leur identité.
Depuis l’arrestation au Canada de Meng Wanzhou, CFO de Huawei, au moment même où se déroulaient les pourparlers Américano-Chinois relatifs au commerce extérieur, il ne se passe plus une semaine sans qu’une affaire de cyber-espionnage ne vienne défrayer la chronique. Des affaires qui, en temps normal, ne font pas, ou rarement la première page des journaux, et n’ont pas pour origine une communication officielle du Département de la Justice US. Cette publicité opportuniste a été relayée sans trop de recul par la quasi-totalité de la presse US, de Wired à l’agence Reuter en passant par le DoJ lui-même, la chaine CNBC ou le New York Times.
Jamais il ne s’est publié en aussi peu de temps autant d’articles de presse à propos de Facebook. Jamais, non plus, réseau social n’a provoqué une telle campagne de critiques, voir de remarques parfois haineuses sur les réseaux sociaux. Ni Microsoft, ni même Yahoo lors de la crise des « fuites massives d’identités » n’ont créé une telle unanimité.
Le premier tir de missile a été lancé par nos confrères du New York Times, avec un article révélant la légèreté et les largesses de la Zuckerberg Company en matière d’exploitation des données à caractère personnel des utilisateurs de ses services. Le scandale Cambridge Analytica, découvert en mars dernier, n’est qu’une infime entorse comparée à la politique « open bar » de Facebook pratiquée avec plus de 150 « partenaires commerciaux » explique le quotidien New Yorkais. Des partenaires parmi lesquels on compte Microsoft, Amazon, Yahoo (sic !), Spotify, Netflix, Sony, la Royal Bank of Canada, certains de ces clients pouvant avoir accès en lecture et déléature aux contenus personnels des abonnés Facebook.
Des accusations totalement biaisées, voir erronées estime Ime Archibong, VP of Product Partnerships, dans un billet de blog rédigé à la hâte et expliquant en substance que tout le monde était prévenu, que ces communications d’information étaient clairement précisées au fil des CLUF et autres discussions publiques… alors, où est le mal ? de son côté, Konstantinos Papamiltiadis, Director of Developer Platforms and Programs reprend l’air et la chanson : « We’ve been public about these features and partnerships over the years because we wanted people to actually use them ». Les arguments méritent de figurer dans le « manuel du parfait promoteur immobilier/vendeur de voitures d’occasion ». La légitimation par la transparence auprès de « journalistes et analystes réputés »… mais certainement pas auprès des institutions régaliennes semble-t-il.
Ce n’est donc pas un hasard si le Procureur Général du District de Columbia entame, cette même semaine, une procédure en violation des lois sur la protection des consommateurs, conséquence directe de l’affaire Cambridge Analytica. Une affaire, rappelons-le, qui ne porte « que » sur 87 millions d’usagers des services Facebook, une portion infime des quelques 2,2 milliards de comptes qui pourraient être concernés par les coups de canifs dans le contrat de confiance révélés par l’article du NYT. Ceci sans même mentionner les conséquences de plusieurs failles de sécurité régulièrement découvertes puis colmatées, telle celle qui, il y a un peu plus d’une semaine, nous apprenait que 6 8 millions de photographies personnelles et non publiques étaient accessibles par le simple usage de plus de 1500 « apps » de tierces parties.
« Abandonnons Facebook, revenons aux sites web personnels » s’exclame Jason Koebler dans les colonnes de Motherboard. Un cri du cœur qui ne tient pas compte du fait que si Facebook a connu un tel succès, c’est précisément en raison d’une part de la simplicité avec laquelle il était possible de mettre en ligne n’importe quel écrit, et d’autre part de la promesse de propagation de ces écrits grâce à la structure en réseau des millions de pages personnelles ainsi créées. La puissance et l’intelligence de Zuckerberg est d’avoir su exploiter l’hubris et l’égotisme des « digital native », sa faiblesse et son erreur est de n’avoir su en deviner les limites.
Une faille activement exploitée affecte plusieurs versions d’Internet Explorer et a justifié, estime l’équipe sécurité de Microsoft, la publication d’un correctif hors calendrier, quelques jours à peine après le « patch Tuesday » officiel. Sont concernés les utilisateurs d’I.E. 11 sous Windows 7, 10, et Server 2012, 2016 et 2019, ainsi qu’I.E. 9 sur Server 2008 et I.E. 10 sous Server 2012. L’attaque est généralement conduite via une injection lancée depuis un site compromis.
La rustine a été diffusée par le système de mise à jour automatique de l’éditeur. Les machines isolées ou soumises à un système de déploiement autonome peuvent utiliser le service de vérification automatique en ligne conçu pour le parc de machines sous Windows 10.
Nos confrères de l’Express révèlent qu’un fichier appartenant au syndicat de police Alliance a fuité et se retrouverait sur le (sic) « darknet ». Moins de 500 identités se retrouvent « dans la nature », ce qui classe ce sinistre dans la tranche basse des accidents de cette nature, mais les données contenues sont véritablement compromettantes : noms, emails, numéro de téléphone, parfois même affectations.
Alliance, syndicat historiquement situé à droite et généralement assez favorable au fichage et à l’exploitation de ce genre d’outil, devient à son tour victime des dangers immédiats que peuvent provoquer la mauvaise gestion de ces bases de données. Le secrétaire général adjoint de l’organisation, Frédéric Lagache, explique aux journalistes que « …nos fichiers sont maintenant entièrement chiffrés et sécurisés ». Ce qui laisserait entendre qu’il y avait un «avant » dépourvu de la moindre protection. D’autres indices permettent d’imaginer qu’une bonne lecture des recommandations Owasp auraient pu éviter cet accident. En pleine polémique sur la pertinence du fameux « fichier S », un an après l’hémorragie des 2600 identités d’agents du Renseignement Français, cette mésaventure rappelle que ces « cyber-armes » sont à double tranchant, et que les deux côtés sont aussi bien aiguisés l’un que l’autre.
Certificats périmés, infrastructure hétéroclite entravant l’application de processus de sécurité cohérents, politique de déploiement de correctifs imparfaite, accumulation d’initiatives personnelle et de « shadow IT », le tout baignant dans une totale désorganisation managériale, telles sont en substance les conclusions de l’enquête conduite par une délégation de la Chambre des Représentants des Etats-Unis. 96 pages de faits et chiffres, des dizaines d’auditions devant le Sénat, après la fuite de près de 148 millions d’identités détenues par cette entreprise de notification de crédit.
En filigrane, ce rapport demande que les élus travaillent à l’élaboration d’une loi fédérale qui contraigne les entreprises et organisations à respecter un « délais de colmatage » des failles une fois que ledit trou de sécurité a été signalée à leurs services techniques.
Pas de spyware matériel sur les cartes Supermicro, conclut un audit commandité par la direction de l’entreprise.
En octobre dernier, une rumeur avait été répandue par Bloomberg Business Week laissant entendre qu’un sous-traitant Chinois aurait modifié l’électronique des cartes fabriquées pour le compte de Supermicro, afin d’y ajouter des composants capables d’espionnage. Cette hypothèse, qui semblait déjà totalement fantaisiste à l’époque, s’est pourtant répandue comme une traînée de poudre, à tel point que certaines administrations fédérales US l’ont prise au pied de la lettre, sans même chercher à vérifier la source de l’information et la plausibilité d’une telle assertion. Les rares dénégations, à l’époque, ont été émises par les utilisateurs de machines Supermicro, Apple et Amazon principalement, plus pour écarter les risques d’une atteinte à leur propre image de marque que pour rétablir une vérité technique.
Cette mésaventure a coûté cher au constructeur de super-ordinateurs, les audits en ce domaine n’étant pas particulièrement gratuits. Cette mésaventure est l’occasion, pour Supermicro, de rappeler, à l’aide d’une séquence vidéo pédagogique, qu’un processus de fabrication électronique est soumis à une succession de contrôles qualité et de tests statiques et dynamiques qui ne peuvent « laisser passer » l’ajout d’une « puce espion ».
Fuite de fichier des serveurs du Ministère de l’Europe et des Affaires Etrangères. La twittosphère (notamment Nicolas Arpagian @cyberguerre) s’interroge sur les méthodes de communication du Quai d’Orsay, lequel a prévenu les intéressés via un courriel. En effet, le service Arianne, qui répertorie les coordonnées des personnes à prévenir en cas de difficulté rencontrée par toute personne voyageant dans un pays « à risque », aurait été siphonné. Noms, prénoms, numéros de mobile, adresse email, il y a là matière à conduire une belle attaque en spear phishing ou une campagne d’intoxication.
Il faudra attendre deux bonnes heures avant que ne soit publiée une communication officielle. La manière dont le premier courriel a été rédigé laisse entendre que le mot chiffrement ne fait pas partie des éléments de langage compatibles avec l’exercice quotidien de la diplomatie.
La dernière fournée 2018 des correctifs Microsoft est épurée : à peine 38 CVE, dont seulement 9 qualifiés de « critique » par Microsoft et 10 selon le Sans. Citons, par degré d’urgence de déploiement, CVE-2018-8611 qui pourrait autoriser une élévation de privilèges, CVE-2018-8626, un heap overflow dans le serveur DNS (lequel donne des droits LocalSystem). C’est là probablement la faille la plus aisément exploitable, sa remédiation est donc pressante. Potentiellement exploitables également, CVE-2018-8631(Internet Explorer) et CVE-2018-8624 (Edge).
Adobe ferme également une douzaine de défauts qui viennent compléter le « hors calendrier » du début de semaine, émis en urgence en raison de la découverte d’un exploit actif dans la nature. CVE-2018-19716, inclus dans le lot mensuel Adobe, est exploitable et emporte les honneurs d’une analyse signée par Aleksandar Nikolic, de l’équipe de recherche Talos.
Non, il ne s’agit pas d’une attaque capable de déchiffrer et de permettre l’écoute des conversations téléphoniques « mobiles ». Mais un collectif de chercheurs Helvético-Germano-Norvégiens vient de découvrir une faille dans le protocole « Authentication and Key Agreement » (AKA). Lequel, malgré de récentes améliorations et notamment l’abandon d’un chiffrement symétrique, utilise toujours un SQN (SeQuence Number) vulnérable. Et c’est ce SQN qu’ont exploité les 4 chercheurs, non seulement parce que ce SQN ne dépasse pas 48 bits de longueur, mais qu’en outre son changement à chaque nouvelle séquence se limite à une incrémentation (+1).
En pratique, la fuite d’information résultante concerne la localisation du mobile attaqué, ainsi que le nombre d’appels et de SMS échangés. Et, par voie de conséquence, la possibilité de voir refleurir la fièvre des « Imsi-catchers » à laquelle succombent à période régulière les forces de l’ordre. Et c’est précisément ce qu’en théorie la nouvelle version du protocole AKA cherchait à éviter, en supprimant l’émission non-chiffrée de cet Imsi. Mais un trou colmaté peut en cacher un autre.
Concrètement, l’exploitation de la faille et la récupération des données nécessitent un ordinateur de faible puissance (qui peut être remplacé par un Raspberry Pi précise l’article), une compilation d ’OpenLTE et d’un SDR. Pour les besoins de la cause et un certain confort, c’est un Usrp B210 qui a été utilisé : 1200 USD pièce, un fpga Spartan 6, un composant « tout intégré » ( AD9361 ) avec un ADC 12 bits 110 MSPS… une approche plus ciblée pourrait aisément diviser ce coût par 10.
Cette attaque serait, de l’avis même des chercheurs, plus « intrusive » que celle menée par les Imsi-catchers, car une fois lancée, le fait de s’éloigner de la cellule intruse ne fait pas disparaître la compromission. Certes, la localisation et l’historique des activités ne sont plus transmis tant que le terminal est hors de portée de l’OpenLTE espion, mais les informations sont stockées et peuvent être récupérées dès que le téléphone repasse à portée de ses antennes. La criticité de l’exploitation est donc bien plus élevée que celle des Imsi-catchers, qui ne récupèrent des données que de manière temporaire et ne peuvent obtenir le moindre indice sur ce qui a pu se passer hors de leur couverture.
En attendant une remise à plat par le 3GPP de cet AKA un peu trop indiscret (en soumettant l’incrémentation du SQN à un générateur d’aléa par exemple), les terminaux mobiles de nouvelle génération seront « potentiellement vulnérables » à ce genre d’attaque assez peu probable.
Faisant écho aux récentes recommandation du BSI concernant la sécurisation des routeurs Soho, voici que Akamai, dans un billet plutôt désabusé, revient sur les statistiques d’Upnproxy, un vecteur d’attaque génétiquement dérivé d’un exploit conçu par les équipes de la NoSuchAgency. Un exploit qui vise une faille dans le mécanisme « universal plug and play » installé sur la plupart des routeurs d’entrée de gamme. Depuis l’affaire des fuites massives des cyber-armes de la NSA et de la CIA (mises sur le marché par le gang Shadow Brokers), bon nombre de ces outils sont réapparus sous de virus variés, exploités cette fois non plus par des barbouzes, mais par des cyber-truands… la différence est subtile, les conséquences ne le sont pas du tout.
Il y aurait actuellement, affirment les techniciens d’Akamai, 277 000 équipements vulnérables « visibles sur Internet », dont 45 000 déjà compromis. Lesquelles donnent accès aux ports 139 et 445 du protocole SMB. Sur ces 45 000 foyers, il est probable que moins de 5 à 10% des propriétaires aient connaissance des procédures nécessaires à la désactivation de Upnp et à la mise à jour du microcode. Ce qui permettra à Akamai de relancer un cri d’alarme fin 2019 sur le même air et les mêmes paroles.