mercredi 27 avril 2011

Android et les pirates (bientôt sur nos écrans)

Android est le système d'exploitation de Google qui équipe de plus en plus de smartphones,  de tablettes et de netbooks. Michael Dell pense qu'Android deviendra à moyen terme le n°1 mondial sur ce marché, et comme tout challenger qui se respecte, il taille pour le moment de belles croupières à ses deux concurrents directs, RIM (Blackberry) mais surtout Apple  (iOS). Tout et laissant loin derrière Microsoft (Windows Phone 7) et Nokia (Symbian, très mal en point).

Cette présentation synthétique faite, regardons maintenant le verso de ce succès. Car l'OS de Google est aussi un formidable aimant pour tous les aigrefins du cyber-espace. FrAndroid nous apprenait hier (d'autres l'ont fait avant lui mais j'aime bien ce site alors un peu de pub au passage :) que Doctor Web, l'un des éditeurs mondiaux d'antivirus a récemment découvert une variante du maliciel Android.Spy (apparu à l'automne 2010) qui a l'indélicate caractéristique de transformer votre terminal en machine zombie !
 
Non content d'envoyer du spam par SMS ou de récupérer et modifier vos contacts, l'Android.Spy.54 (c'est son nom) récupère puis envoie l'IMEI/IMSI...en Chine (le maliciel a été découvert sur un site chinois). Informations qui ont une certaine valeur et sont donc monnayables. Le téléphone pourrait ainsi être cloné et, soyons originaux et imaginatifs, servir dans des opérations frauduleuses, criminelles voire terroristes !
 
Je concède que ce dernier point est probablement exagéré mais l'important à retenir est qu'Android sera de plus en plus victime de son succès. Et que les cas d'utilisation de vulnérabilités embarquées fleuriront au-delà du printemps. Un peu à l'instar de Microsoft Windows en son temps. Souhaitons simplement que Google soit réactif car d'autres problèmes du même genre se sont déjà produits. 
 
Le grand ménage sur l'Android Market reste à faire même s'il ne faut pas tomber dans une paranoïa bien peu justifiée (et qui pourrait autant profiter aux concurrents qu'à certains éditeurs de solutions de sécurité). Pour les plus prudents, on ne peut que recommander ces deux actions préventives :
- Associer le monde Android dans sa veille sécurité quotidienne;
- Installer un antivirus*, gratuit ou payant.


* et un peu plus. Ce qui répond d'ailleurs au dernier paragraphe de l'article de FrAndroid : les suites Lookout Mobile Suite et NetQin intègrent également des fonctions de géolocalisation, de blocage voire de suppression des données en cas de perte du terminal. D'où le besoin d'envoyer des SMS et d'activer le GPS.

vendredi 22 avril 2011

Hacktivism, mafia et SCADA

Un article relayé ce matin qui, sans révolutionner le sujet, m'amène quelques réflexions. Publié sur Hack in the Box, on apprend que suite aux recherches d'une entreprise...de sécurité, évidemment, 52 nouvelles menaces spécifiques aux SCADA ont été découvertes en mars 2011.

Catastrophe, ces menaces sont du même acabit que Stuxnet, traité souvent sur ce blog et ailleurs. Avec une certaine ironie caractéristique (j'assume !), j'aurais tendance à dire : "et alors ?".
 
En fait, pas grand chose de nouveau de ce côté-ci de la menace. Sans prétention aucune, il parait à peu près évident que des attaques à destination de systèmes de production d'énergie, de régulation de la circulation ou, plus dramatiques, d'atteinte au système du transport aérien voire ciblées sur les unités de production nucléaires se produiront un jour.

La différence essentielle, presque philosophique puisque possiblement morale, est que les attaques connues jusqu'à présent n'induisent pas de préjudices physiques ou envers l'environnement. On limite ainsi la population criminelle intéressée à, schématiquement, deux catégories : les hacktivists (voire des écoterroristes même si cela semble paradoxal) ainsi que la grande criminalité de type banditisme ou mafieuse (chantage).

C'est en cela que la conclusion de l'article de Hack in the Box rééquilibre les propos du directeur technique de la société citée. Société spécialisée dans les tests de pénétration et...les bons coups de publicité !

Edit : McAfee en rajoute une couche

mardi 19 avril 2011

MKxx61GSYG : effacer, détruire, ... surveiller ?

Un peu d'innovation et, en apparence, une bonne nouvelle sur un front de la cyber-menace, surchargé en ce moment. Toshiba annonce la sortie d'un nouveau disque dur (SATA, 7200 tours/min) embarquant une fonction de chiffrement en AES-256 donc certifié FIPS-197, de quoi être agréé par de nombreux organismes institutionnels américains afin de garantir la protection des données sensibles.

Mais l'originalité réside davantage dans une sécurité physique intéressante : si le disque dur est volé et/ou détaché du boîtier (d'ordinateur, de l'imprimante) l'hébergeant, le disque peut, selon le paramétrage : 
- Empêcher les accès sur tout ou partie du disque;
- Détruire une partie ou l'ensemble des données;
- Exécuter un effacement "de type cryptographique" (bas-niveau).

Enfin, le disque peut autoriser une gestion* à distance en utilisant un outil comme AMT (Active Management Technology) d'Intel. De quoi pouvoir gérer la machine et donc les fonctions de sécurité à distance évoquées précédemment. C'est donc une solution complète qui offre un haut niveau de protection des données. Et, potentiellement, de surveillance complète et élaborée de la machine ! Donc de l'utilisateur ? :-/


* à ce niveau de fonctionnalités (création d'un tunnel direct chiffré, activable même machine à l'arrêt, par le cuivre ou en Wi-Fi, etc.) ce n'est plus de la gestion mais bien de l'intrusion légale.

lundi 18 avril 2011

Anniversaire !

Sans m'en rendre vraiment compte, ce blog a franchi son 10 000ème visiteur le mois dernier et son 100ème billet la semaine dernière. Cela fait peu puisque j'ai créé ce blog en janvier 2008 et que le rythme de publication est demeuré irrégulier les deux premières années : à peine une trentaine de billets.  Et puis soudain, l'inspiration est (re)venue, l'actualité s'est emballée et depuis, vous êtes, en moyenne, une petite centaine à passer tous les jours par ici (quelques pics à 200 cependant).

C'est à vous lecteurs, que vous veniez régulièrement ou par hasard, que je voulais dédier ce 100ème billet.

J'espère pouvoir continuer à apporter mon grain de sable en informant, vulgarisant et, parfois, en agitant les idées car...Bene diagnoscitur, bene curatur *

* Bien diagnostiquer, c'est bien soigner

vendredi 15 avril 2011

Du sentiment d’insécurité (informatique) 2/2

Le préjudice des attaques informatiques dans le monde semble pouvoir être évalué à près de 1000 milliards $. C’est ce qu’il en ressort d’un article du Figaro paru il y a quelques jours. Le chiffre est impressionnant, massif et, a priori, indiscutable puisque venant de McAfee, l’un des leaders mondiaux en solutions de sécurité logicielles.

En terme d’attractivité, les USA a été le pays le plus attaqué au monde en mars 2011, suivi de la Chine puis de la…France qui obtient une « très belle » médaille de bronze ! Viendraient ensuite la Russie, l’Allemagne puis la Corée du Sud. Le Royaume-Uni, première place financière mondiale, n’apparaît même pas dans le classement, relégué à une infamante 45ème place ! Ces informations sont relayées par le Journal du Net et basées sur le décompte effectué par Websense. On peut émettre l’hypothèse que l’actualité des dernières semaines (Libye, Côte d’Ivoire) donne une « visibilité » exceptionnelle à la France comparativement au Royaume-Uni et peut focaliser un surcroît d’attaques d’origine essentiellement partisanes et/ou politiques.

Quelles hypothèses peut-on poser à la lecture de ces deux informations choc ? Premièrement que le cyber-crime devient une activité extrêmement rentable, générant un chiffre d’affaire annuel compris entre celui des dépenses militaires (chiffres 2009) et le trafic de drogues ! A cela, il convient de distinguer les activités délictueuses « classiques » qu’elles soient d’origine mafieuses, col blanc ou de la petite délinquance vis à vis d’opérations considérées comme non-conventionnelles de guerre économique et d’espionnage. Difficile de quantifier ce dernier ratio, qui recherche l’invisibilité la plus complète et dispose pour se faire de moyens techniques et organisationnels bien supérieurs à quiconque.

Les chiffres étant énoncés, le décor planté et les acteurs présentés, il convient maintenant d’introduire un paramètre sous-jacent qui possède un effet de levier non-négligeable : le marketing ! En effet, le marché mondial de la sécurité de l’information, des infrastructures de transport et de communication est un marché en forte croissance depuis plusieurs années. Tout en étant loin d’avoir atteint sa maturité. Les éditeurs de solutions de sécurité sont donc en première ligne et ont tout intérêt à surligner, avec plus ou moins de discrétion, l’ensemble des actes délictueux que l'on peut qualifier de cyber-insécurité. Entretenir ce sentiment d’insécurité informationnelle, avéré ou non, rend plus attentif toute entreprise ou particulier qui prend conscience dès lors qu'il est préférable de (bien) protéger ses données.

Le procédé en soi n'est pas choquant mais, ce qui rend par contre doublement vigilant c’est de constater que les attaques sont permanentes, nombreuses et souvent ciblées. Et, bien-sûr, qu’elles réussissent. Dans ce cadre, combien de temps encore les éditeurs de solutions et nombre d’acteurs spécialisés vont-ils rester crédibles vis-à-vis de leurs clients ? Comment expliquer qu’une entreprise comme RSA ou HBGary se fassent trouer et mette, potentiellement, en danger certains (ou la plupart ?) de leurs clients ?

Bref, qui peut encore assurer aujourd’hui que le triptyque « magique » ISO 27k + DMZ Proxy/Firewallée/VPNisée + SSO / chiffrement me garantit une protection élevée et que je peux dormir sur mes deux oreilles ? Personne ! Personne de sérieux et de bien informé, en tout cas.

Que faire alors ? Il n'y a pas de solutions «clé en main » mais je crois qu’il devient nécessaire d'arrêter cette hypocrisie tandis que les faits viennent contredire les beaux discours. Et chaque jour un peu plus. Sauf à penser, bien-sûr, que ce qui est vendu se rapporte davantage à des éléments entretenant le sentiment de sécurité. Dans ce cas, l'objectif est atteint mais autant s'assurer que la police d'assurance nous couvre contre ce type de préjudice.

lundi 11 avril 2011

Du sentiment d’insécurité (informatique) 1/2

Stuxnet, Bercy, RSA. Depuis ce week-end, l'on peut même rajouter Safran.

Si le grand public ne se préoccupe pas quotidiennement de l’état des attaques informatiques, et ce à juste titre, il va sans dire que la sphère security n’aura pas attendu l’accélération médiatique des derniers mois pour appréhender un environnement de menaces qu’elle sait hétérogènes, adaptatives et préjudiciables. L'environnement (le cyberespace pour faire simple) et son évolution sont connus, étudiés et projetés depuis plus d’une décennie. A priori les prévisions les plus pessimistes de cette époque pourraient presque être considérées comme optimistes aujourd'hui vue la gravité des attaques (Epsilon, RSA) et leur nombre. Et encore, nous ne parlons là que des affaires qui sont connues et qui représentent probablement la partie émergée de l'iceberg.

Passons rapidement le caractère hétérogène du point de vue de l’origine géographique tout comme du mode opératoire, même s’il faut noter qu’environ 2 fois sur 3, la Chine est citée. Avec plus ou moins de bonheur comme avec l'affaire Renault. Ce seul point mériterait une étude complète et approfondie qui sort de mon champ d’actions (mais pas forcément de compétences, question de priorités).

Idem pour les menaces adaptatives avec l’apparition très techno-marketée d’un type de menaces « spécifiques » avec les APT. Personnellement, je préfère considérer qu’une attaque bien conçue est une attaque réussie, qu’elle peut être effectuée par un unique individu (ou plusieurs), et qu’elle peut représenter un coût temporel variant de quelques minutes (attaques triviales à la Script Kiddies, force brute, voire DDoS) à plusieurs mois. 

Pour ce dernier type d’attaque sera utilisée la palette à disposition la plus complète, allant évidemment de l’ingénierie sociale à l’utilisation de maliciels de type keyloggers ou troyens (cas plutôt courants) en passant par la pose de sniffers  qu'ils soient logiques ou physiques. Ces techniques opératoires sont complémentaires et souvent séquencées et ont comme finalité la mise en œuvre de reconnaissances ultra discrètes du réseau puis de l’infrastructure cible. Avec l'objectif final l'aspect offensif proprement dit comme l'envoi d'une pièce jointe piégée à des destinataires sélectionnés (cas de l'attaque de Bercy, par exemple). Tout cela est relativement schématique et ne balaye que les modus operandi les plus couramment usités.

Enfin, nous arrivons aux préjudices qui est l’objet principal de ma réflexion car il est, in fine, le nerf de la guerre. J’aurais tendance à dire que les moyens et les techniques importent peu et que seuls comptent les résultats, mais ce serait gravement insulter l’ensemble de mes collègues férus de reverse engineering et autres exploits et oublier que j’ai aussi débuté dans le métier en « pissant de la ligne de code ». Mais ceci est une autre histoire ! :)

(la suite dans le prochain billet)

vendredi 8 avril 2011

Recrutement et cybersécurité

L'occasion faisant généralement le larron*, il m'aura fallu un bon article sur National Defense pour réinvestir l'un des domaines qui m'a toujours plu du fait de sa position centrale et essentielle en security : le facteur humain et, particulièrement, le recrutement.

Sans vouloir jouer les rabat-joies ou défoncer à coup d'épaule une porte déjà ouverte (!), on notera tout de même le peu d'empressement mis par la majorité des entreprises à investir dans son capital humain (sensibilisation, formations, rappels, évaluations). Entreprises qui préfèrent, encore et toujours, investir dans de coûteuses technologies qui n'apportent plus/pas grand chose en terme de protections. Il suffit de voir combien ces dispositifs techniques sont contournés  ces dernières semaines (Bercy, RSA, Epsilon pour ne citer qu'eux) et servent à d'audacieuses attaques, réussies de surcroît, pour envisager une approche un peu plus pragmatique. 

Le dire n'est pas insulter la communauté security et l'ensemble de ses servants qui oeuvrent à faire leur boulot du mieux possible. J'ai d'ailleurs une pensée amicale envers certaines de mes connaissances, RSSI de leur état, et très souvent en position délicate entre leur connaissance approfondie de la menace et des risques (et de leur réalité) et des contraintes - budgétaires, financières voire politiques - imposées par leur direction.

Mais, revenons à nos moutons qui ne sont pas de Panurge, mais se cachent peut-être parmi eux ! Changement de paradigme et pragmatisme anglo-saxon quand il s'agit d'aller chercher les talents d'aujourd'hui dans la security. Le témoignage de Lynn Dugle, directrice de la division Systèmes d'Information et renseignement chez Raytheon (excusez du peu) mérite qu'on le cite, qu'on le lise, l'imprime et le transmette à qui vous semble allergique à cette approche ! 

Gourmand comme je suis et êtes sûrement aussi, on notera : les grands Groupes recherchent généralement leurs nouveaux talents dans les écoles prestigieuses (universités aux USA, ça mériterait un billet sur l'Education nationale en France mais ça n'est pas le sujet !). Mais ces lieux ne sont pas forcément les bons pour trouver les esprits les plus brillants quand il s'agit de la cybersécurité ! Preuve en est, sur les 3 premières campagnes de recrutement ciblées cybersécurité et effectuées par Raytheon, aucun des recrutés ne possède le baccalauréat ! L'un d'eux s'était même fait virer d'une grande école et mettait des gélules dans des boîtes pour une usine pharmaceutique le jour tandis qu'il survolait des compétitions de hacking la nuit !

Lynn Dugle conclut par ce coup de canon : "Nous recherchons les talents aux mauvais endroits !". Le reste de l'article est à lire car il insiste sur l'aspect désuet  et de moins en moins attractif des entreprises d'aujourd'hui pour cette catégorie un peu particulière de (futurs ?) salariés : codes vestimentaires (implicites ou explicites), hiérarchiques, temporels ou de localisation.

On notera cependant que Cassidian, la division Défense et Sécurité d'EADS, a  dernièrement utilisé une approche similaire en parrainant le CySec Challenge UK qui a permis de détecter des talents "atypiques" en security.

* Aucun lien direct avec la période de Pâques approchant ! :)

mercredi 6 avril 2011

Quand CINDER nous sidère

Plusieurs mois après, l'onde de choc Wikileaks et les actions de rétorsion menées dans ce cadre par les Anonymous continuent de se propager. C'est en particulier les révélations d'après l'affaire HBGary qui alimentent presque chaque semaine les (bonnes) chroniques autour de la cybersécurité.

C'est au détour de cet article sur Wired que je me suis rappelé avoir déjà lu le nom de Cinder l'année dernière. Ce qui finalement était plutôt normal puisque l'appel d'offre de la DARPA avait été publié en août 2010. Là où la machine s'emballe un peu c'est quand on retrouve Cinder, la DARPA et...HBGary ensemble (dans la même galère ? :).

Ce qui est plutôt fascinant c'est, une fois de plus, de mesurer combien les forces armées américaines sont en train de se créer une expertise unique au monde dans le cyber espace. "On" aura beau mettre en avant la Chine et son armée de "millions" de pirates :) , ne nous leurrons cependant pas sur une réalité probable face à une réalité subtilement orientée.

En clair, les USA avancent plus ou moins masqués à travers les écrans de fumée qu'eux et d'autres propagent mais ils possèdent probablement une avance de plusieurs années dans le domaine. Et même si leurs réseaux étatiques (militaires comme civils) se font attaquer quelques millions de fois par jour (!), et même si la Chine a des ambitions qu'elle peut difficilement nier, et même si quelques pays entretiennent ou développent des moyens cyber-offensifs qu'il va de plus en plus falloir intégrer dans la balance des forces.

Au fait, me direz-vous, c'est quoi ce programme Cinder ? Rien d'autre qu'un programme de surveillance automatisé chargé de débusquer les méchants de l'intérieur. C'est à dire toute personne civile ou militaire travaillant pour la Défense et dont le comportement pourrait s'apparenter à Bradley Manning. Sauf que là, le système aura pour objectif de détecter tout comportement numérique anormal avant qu'une fuite éventuelle ou une trahison n'ait lieue !

A côté de cela, le filtrage des salariés dans l'entreprise me paraît gravement laxiste et libertaire !

lundi 4 avril 2011

Si vis pacem sur Twitter

Vous pouvez dorénavant suivre l'actualité de ce blog (et un peu au-delà si je RT :) via le fil Twitter CyvispaSec que j'ai créé la semaine dernière. Le rythme de publication du blog va probablement devenir plus erratique, le temps que je puisse trouver un équilibre entre mes différentes activités.

Une simple remarque sur Twitter : je trouve que c'est un moyen extrêmement puissant pour démultiplier les possibilité de veille informationnelle. Le pendant étant une plus grande addiction, surtout couplé avec un outil de type smartphone.