Orchard 2007 - Stuxnet 2010 - Nodong 2017 ?

La Corée du Nord vient de fêter le 105ème anniversaire de la naissance de Kim-Il sung, fondateur de sa république populaire et grand-père de l'actuel dignitaire, Kim-Jong un. Les festivités organisées ce week-end dont la parade militaire géante organisée dans la capitale Pyongyang était le clou du spectacle, étaient scrutées plus ou moins anxieusement par de nombreux observateurs tant sur terre, qu'en mer ou dans l'espace. Dans un contexte de fortes tensions, attisées autant par les USA et leur nouveau président que par la rhétorique belliqueuse et atomique nord-coréenne, nombreuses étaient les inquiétudes de dérapage(s) voire d'action directe de l'un ou l'autre des protagonistes. En réalité, rhétorique et sémantique n'ont fait heureusement à cette heure aucune victime. L'échec du tir d'un missile balistique amène pourtant des questions, notamment autour de l'emploi potentiel d'un kill switch [1] qui aurait pu mener à la destruction prématurée par les USA du missile Nodong. [2]

L'information d'une possible "cyberattaque" a été révélée par le quotidien britannique "The Sun" [3] et pourrait se révéler crédible à la lumière d'opérations antérieures bien plus complexes : Orchard en Syrie 2007 [4] et Stuxnet en Iran 2010. [5] Notamment parce que "North Korea is forced to import the high-tech electronics used in its missiles, so it is likely that US hackers compromised the supply chain implanting an undetectable malware" [6]. L'absence de réaction tant de Trump que de ses chefs militaires n'est évidemment pas une preuve en soi. L'emploi d'armes modernes de type laser [7] et, bien évidemment, cyberélectroniques n'est cependant plus improbable, ces dernières faisant partie de l'arsenal dont dispose aujourd'hui les forces armées étasuniennes. L'emploi de forces et de moyens irréguliers tant par les Russes [8] que les USA devient ainsi le symptôme des prochaines guerres de basse et de moyenne intensité. En attendant la cyberguerre ? [9]

[1] http://si-vis.blogspot.fr/search?q=kill+switch

[2] https://fas.org/nuke/guide/dprk/missile/nd-1.htm

[3] https://www.thesun.co.uk/news/3342396/north-korea-missile-launch-failure-us-cyber-attack-sabotage/

[4] https://en.wikipedia.org/wiki/Operation_Orchard

[5] http://si-vis.blogspot.fr/search?q=stuxnet

[6] "La Corée du Nord est forcée d'importer les composants électroniques utilisés dans ses missiles pour lesquels il est vraisemblable que des pirates US ont pu compromettre la chaîne logistique en y implantant un virus indétectable"

[7] http://freebeacon.com/national-security/pentagon-seeks-weapons-counter-hypersonic-missiles/

[8] http://si-vis.blogspot.fr/2016/09/lintervention-russe-en-ukraine-cas.html

[9] http://si-vis.blogspot.fr/search?q=cyberguerre

Le détournement des "panneaux à messages variables" s'invite dans la campagne présidentielle US 2016

Le détournement des messages d'information des "panneaux à messages variables" (PMV) possède une forme de poésie qui confine presque à une sorte de démarche artistique si son origine n'était pas le détournement malveillant de fonctions informatives. Après notamment les zombies [1] puis un hypothétique gorille perdu [2], c'est au tour de la campagne présidentielle étasunienne de 2016 de faire les frais de cette technique rudimentaire mais somme toute efficace.

Le Sony hack 2014 ou comment des "Gardiens de la paix" ont failli déclarer la (cyber) guerre mondiale

Environ quinze secondes. C'est la durée de l'hésitation qui s'est emparée de moi avant de débuter cet article. Allais-je commencer l'année en ânonnant fièrement une liste de prévisions (1) ressemblant à un cyber-horoscope insipide ? Ou partir d'un fait récent, aussi vite disparu des Unes qu'il s'en était emparé ? Car, tout observateur attentif a sans doute pu remarquer qu'une presque énième guerre mondiale (2) avait failli éclater juste avant Noël. Et tout cela pour une énième cyberattaque. Retour mi-sérieux mi-ironique sur le piratage de Sony.

Avant Stuxnet 2010 et Aramco 2012, BTC 2008 ?

La semaine qui vient de s'écouler aura particulièrement été riche en événements cyber. Pourtant, ce n'est ni la téléconférence d'Edward Snowden (1) ni la remarquable "surprise" (2) linuxienne Turla (3) qui retiennent mon attention. C'est davantage un incident qui s'est produit en août 2008 sur un oléoduc en Turquie et qui pourrait avoir été délibérément provoqué (4). En effet, des pirates informatiques utilisant une vulnérabilité logicielle des caméras de vidéosurveillance auraient réussir à s'introduire dans le système d'information, désactivé les alarmes, les communications et surtout modifié le débit du pétrole acheminé conduisant à la rupture explosive de l'une des 101 stations de vannes d'arrêt.

Cyberattaques et espionnage : le double-effet Nortel

Fin 2011, le ministère de la défense du Canada (The Department of National Defence - DND), sous l'égide de son gouvernement, a acquis l'ancien campus (1) de l'entreprise Nortel. Nortel, entreprise internationale emblématique, passée de la lumière aux ténèbres en une décennie et dont les fantômes continuent de hanter un douloureux épisode technico-industriel canadien.

Pwn Pad : le combo Android pour pentesteurs

Pwnie Express développe des produits de sécurité spécialisés tests de pénétration (pentests) et est en train de faire le buzz depuis quelques jours. Juste avec la conférence RSA de San Francisco qui débute ce lundi, où la société présentera son Pwn Pad. Cet équipement ultraportable est une tablette Nexus 7 avec un kit de plugs externes (USB wifi / Bluetooth / Ethernet) et d'outils que tous les pentesteurs connaissent bien : Nmap, Tcpdump, Metasploit 4, JTR, Scapy, etc.

L'originalité, au-delà de l'interopérabilité Android signifiant que le kit est transposable sur un téléphone portable, est l'intégration dans le kit soft d'Aircrack-ng et de Kismet, deux des outils parmi les populaires en ce qui concerne la découverte des réseaux wifi. Une information susceptible de donner des sueurs froides à tout RSSI un tant soit peu paranoïaque et du grain à moudre au directeur général de l'ANSSI face à la vague du BYOD !

Sources :

http://thehackernews.com/2013/02/pwn-pad-android-device-network-hacking.html

http://it.slashdot.org/story/13/02/23/0210220/pwnie-express-releases-android-based-network-hacking-kit

 

Piratages informatiques longue durée : la preuve par 4 !

En écho à l'un de mes articles du mois dernier intitulé "SSI/Cybersécurité : y a-t'il un pilote dans l'avion* ?", je vous propose une "saine" lecture vers un article de l'excellent site Dark Reading Security qui revient sur 4 piratages emblématiques et de longue durée.

S'y retrouvent l'U.S. Chamber of Commerce (la Chambre de Commerce des États-Unis ou comment truffer un réseau de portes dérobées pour lire tranquillement chez soi, chez toi - ou chi-nois :) - courriels et pièces jointes), le ministère japonais des Finances (ou 2010/2011 : deux ans d'exfiltration de données par troyen interposé) et Coca-Cola dont le célèbre breuvage pourrait avoir fait les frais en Chine (ou : comment se faire piller des secrets industriels par de méchants pirates qui se foutent royalement de la propriété intellectuelle !).

J'ai gardé le meilleur pour la fin, c'est à dire Nortel à qui je remettais symboliquement à l'époque le titre du "piratage d'or" pour s'être fait pillé durant une décennie entière ! Une malheureuse affaire qui finit par un dépôt de bilan en 2009. Mais qui aurait sûrement pu limiter ces dramatiques conséquences , comme les trois autres larrons, à travers quelques mesures techniques rabâchées depuis des années : cloisonnement des réseaux, mots de passe non codés en dur, droits administrateurs aux seuls administrateurs (avec surveillance renforcée sur ces comptes), justes droits et moindres privilèges pour les autres utilisateurs, analyse des logs et audits réguliers.

"Attention gorille échappé !" (piratage d'un panneau routier - le retour)

A peine trois semaines après l'avertissement de zombies dans l’État de New-York, c'est au tour de Sacramento, en Californie, d'être touché par un nouveau piratage de panneau routier. Il semble, cette fois-ci, que l'auteur de ce méfait inoffensif et humoristique ait agi trois nuits de rang avec trois messages différents. Le premier incitait à fumer "de la marijuana tous les jours", le suivant avertissait "un gorille échappé" et le troisième non reporté car considéré comme profane. 

Ce que l'on remarque avec cette série d'incidents similaires, c'est la possibilité qu'un mouvement spontané et non-organisé soit né. Car, coïncidence ou non, il s'agit là aussi d'un panneau routier d'information mobile.  Mes processus de veille ayant leur limite, je saurais apprécier à sa juste valeur qui me signalera tout incident similaire. J'ai le sentiment qu'une galerie des "exploits" pourrait être constituée.

"Zombies devant !" (piratage d'un panneau routier)

L'image est si parlante qu'elle ne nécessite qu'une brève ! Cela se passe à "Grèce" (Greece, si si !), l'une des banlieues de Rochester, état de New-York. L'un des panneaux routiers mobiles, utilisé pour des travaux en cours, sur la West Ridge Road. Qui affiche un message très inhabituel signalant des zombies (droit) devant !

Après enquête et réinitialisation du système, le bureau local des Transports a expliqué que le système était "difficile à pirater" car il était doublement protégé : un cadenas et un mot de passe ! A quelques jours d'Halloween, le mystère demeure entier ! Le (ou les) coupable, s'il est retrouvé, risque des poursuites pour "vandalisme".

PS : notons le caractère de cet acte qui confine à l'oeuvre artistique car sans aucun impact. Avec, peut-être, un hommage éphémère aux grands maîtres de l'horreur (Romero, Craven, etc.)

Article en rapport (et vidéo, en anglais) :

http://www.13wham.com/news/local/story/The-Sign-Says-Zombies-Ahead/INiJ6sYK80u0v50-b-B4Fg.cspx 

Power Pwn : la Hack machine infernale !

Cyber Fast Track (CFT) est un programme de la DARPA dont l'objectif ambitieux est de développer des projets cyber à bas-coût et en un temps record (démonstration des résultats en moins de 12 mois). L'un de ces projets, Power Pwn, arrive en phase d'industrialisation puisqu'il est possible de commander cette sorte de "module étrange" et d'être livré aux alentours du 30 septembre 2012.

D'aspect anodin car ressemblant à une sorte de multiprise parafoudre, il est quasiment invisible dans un bureau mais surtout une salle informatique et/ou de serveurs. Réellement impressionnant, c'est tout simplement une plate-forme ultra-complète de tests de pénétration puisque les tests partent de la couche ISO la plus basse, la couche physique, jusqu'à la couche applicative. Il peut être préalablement configuré puis déposé en mode "verrouillé et armé".

Fondamentaux de la sécurité et défense en profondeur

Les praticiens de la sécurité ne le répéteront jamais assez : assurer un niveau de sécurité acceptable d'un (ou de plusieurs) Système d'Information ne peut et ne doit désormais plus reposer sur l'erreur originelle consistant à uniquement établir puis à se reposer sur une défense aux frontières.

Plus couramment connue sous le nom de défense périmétrique, celle-ci peut être considérée comme l'une des causes majeures de ce qui apparait comme l'échec (1) patent de l'industrie de l'informatique (au sens large). Cette industrie a imposé un modèle, non-remis en cause jusqu'à présent, truffé de vulnérabilités et d'interactions logicielles, souvent non-maîtrisées, accompagnées d'errements technologiques. L'ensemble concourant à conforter un juteux business. 

Ces dernières années, nombre de responsables d'entreprises et de conseils d'administration ont appris à leurs dépens que traiter la sécurité comme la 5ème roue du carrosse ou comme une variable d'ajustement, au profit d'autres départements (2), pouvait causer un tort en terme d'image de marque ou, pire, leur coûter beaucoup d'argent (3). De fait, l'alpha et l'oméga gravitent quelque part du côté de ces deux règles : 1) le retour aux fondamentaux ("Back to basics") souligné par le Directeur général de l'ANSSI en 2011 aux Assises de Monaco 2) la défense en profondeur indispensable pour empêcher de se faire "trouer" son S.I. même et peut-être surtout par un script-kiddie.

A l'heure actuelle, c'est peut-être ce que se disent les responsables de l'entreprise Blue Cross Blue Shield of Tennessee (espérons-le) ?! Cette compagnie d'assurance médicale américaine n'a rien trouvé de mieux que de se faire voler une cinquantaine de disques durs, évidemment non chiffrés, contenant les dossiers de plus de 1 million d'assurés. Ces disques étaient, là aussi évidemment, stockés dans une pièce sans aucune mesure d'accès restreint ou protégé. Nous ferons ici l'économie d'évoquer des mesures organisationnelles, complémentaires aux deux mesures techniques précitées et qui, mises en œuvre, auraient probablement pu éviter ce type d'incident. Qui, sachez-le, se produit plusieurs fois par jour et dans de nombreux pays...

(1) le lecteur averti s'en référera à l'excellente série consacrée au sujet sur le site de l'Alliance Géostratégique
(2) probablement utiles voire stratégiques mais pas nécessairement vitaux (au contraire du S.I., justement
(3) Sony appréciera sans doute !

Concept Taplogger sous Android : une récupération de données frauduleuse mais originale

Android étant devenu le système d'exploitation ouvert pour smartphone le plus utilisé au monde, nombreux sont aussi les exploits ou les "preuves de concept" (PoC - Proof of Concept) accompagnant sa marche vers le succès.

Cette fois-ci, le concept d'attaque sort un peu des sentiers battus puisqu'il repose sur la capacité d'utiliser les données enregistrées des capteurs qui permettent d'interpréter les mouvements de changement de position de l'appareil dans l'espace ! Pour cela sont utilisées les faibles variations liées à la pression du doigt sur le clavier tactile. Un troyen permet de récupérer les informations des différents capteurs que sont les gyroscopes, l'accéléromètre ou les détecteurs d'orientation. Des algorithmes sont ensuite utilisés pour la corrélation des données utiles et permettent de reconstituer, en fonction du modèle de téléphone, le symbole ou le code PIN de déverrouillage du clavier, un numéro de téléphone composé, un numéro de carte bancaire saisi, etc.

C'est le travail d'une petite équipe de chercheurs qui a permis de valider ce concept appelé TapLogger et, pour plus de détails, on s'en référera à l'article de PCInpact. Ce qui a été moins commenté, c'est que l'équipe de chercheurs propose également des solutions pour empêcher (ou du moins limiter) la réussite de ce type d'attaque si elle venait à être utilisée. Au chapitre 7.3 intitulé "contre-mesures" se trouvent les préconisations.

En premier lieu, les chercheurs recommandent de s'intéresser aux systèmes de gestion de senseurs qui ne semblent pas exister. Un guide de bonnes pratiques (et plus tard pourquoi pas normatif) serait donc une première réponse intéressante. Il faudrait ensuite considérer les données des capteurs comme étant des données sensibles de même niveau que les données privées de l'utilisateur et les protéger en conséquence. Mais puisque malgré des permissions restrictives sur ces données rien n'empêchera un attaquant d'y accéder au bout d'un certain temps, l'amélioration de la gestion des UID est une piste sérieuse pour lui compliquer la tâche (reposant sur des travaux antérieurs). Enfin, des mesures "d'hygiène" standards comme un changement régulier du (ou des) mot de passe (de préférence robuste) ou l'augmentation du nombre de chiffres du code PIN sont aussi rappelés.

Sykipot, le troyen qui utilisait une smartcard comme monture

Nom : Sykipot

Type : code malveillant de type Troyen

Naissance : aux alentours de 2006, résurgence en 2010 et 2011

Origine : inconnue

Vecteur : mail avec fichier pdf attaché et piégé

Mode d'action :  ouverture de la pièce jointe par le destinataire

Cibles : Pentagone, DHS, Affaires Etrangères (State Department) et de nombreuses autres agences gouvernementales

Particularité : utilise comme complice un dispositif de sécurité !

L'affaire est tout simplement ÉNORME !

De nombreux ministères et agences gouvernementales américaines utilisent les cartes sécurisées dites smartcards d'ActivIdentity, l'un des leaders mondiaux de ce type de produits. Utilisés, soit dit en passant, à travers le monde y compris en France dans de grandes entreprises et administrations (je dis ça je dis rien !). Matériel (la carte) et logiciel (ses fonctionnalités), ce dispositif permet autant les accès physiques aux sites et bâtiments ainsi qu'au Système d'Information de l'entité  et sert de sésame à la PKI (fonctions d'identification forte de l'utilisateur, usage d'un mot de passe unique OTP, chiffrement des mails et des données, etc.).

Jusqu'à présent, le troyen Sykipot était considéré comme une menace de faible niveau, du moins sur ses variantes connues. Le problème ici, c'est que la variante découverte, apparemment originaire de Chine (restons prudent mais ça n'est pas surréaliste), n'était elle pas connue. Du point de vue principes de l'attaque, le code malveillant s'emparait du code PIN de la carte grâce à un module de type keylogger puis utilisait ce code pour s'authentifier à des ressources protégées, avec pour seule contrainte que la smartcard soint insérée. L'ensemble des opérations pouvait être piloté à distance depuis un serveur.

Il sera sans doute difficile de connaître l'étendue des dégâts, mais on peut supposer qu'ils existent, puisque la version compilée de cette variante date de mars 2011 tandis que sa découverte semble récente. Pour qui est intéressé, les détails de l'attaque sont mis à disposition par AlienVault (ici), un laboratoire spécialisé en sécurité, par qui l'affaire a été découverte.

Même si ce type de code malveillant utilisant une smartcard n'est pas nouveau, notons quand même le ciblage bien spécifique d'un dispositif de sécurité largement répandu au sein du Pentagone et de nombreuses autres agences, avec pour dernier ressort d'exfiltrer des informations évidemment sensibles et classifiées vers une zone géographique tiers. Si besoin était, cette affaire illustre gravement le cyber-espionnage intensif (voire extensif) qui a cours.

Le Japon teste une cyberarme

L'année 2011 aura été marquée par un nombre record d'actes de cyber-espionnage et d'attaques informatiques réussies, au moins pour celles qui auront été révélées. L'une de ces séries, passée relativement inaperçue, concernait le Japon : ambassades ou consulats durant l'été, parlement en octobre mais surtout une série d'attaques, détectées tardivement, ayant visé l'un des principaux fournisseurs des Forces japonaises d'autodéfense, MHI (Mitsubishi Heavi Industries). 

MHI est un zaibatsu, c'est à dire un conglomérat industriel multi-sectoriel : spatial, aéronautique, énergie, construction navale, transport, environnement, etc. Les piratages qu'il a subi étaient ciblés car les attaques ne touchaient que certains centres de R&D et de production : un qui construit des sous-marins à propulsion classique, un autre qui fournit des composants pour la construction de réacteurs nucléaires, ou bien le chantier ayant construit le Kongo, un destroyer de classe Aegis utilisable pour la défense balistique antimissile exo-atmosphérique (la Chine mais surtout la Corée de Nord sont proches), ou des systèmes de guidage de missiles et autres systèmes propulsifs.

Autant dire que le gouvernement japonais et MHI ont tout fait pour limiter la publicité du fait de l'ampleur de ce qui n'est rien d'autre que de l'espionnage industriel, les chemins des attaques conduisant tous vers la Chine. Depuis cet événement, le Japon a décidé, à l'instar des USA ou de la Chine, de développer des outils que d'aucuns qualifieraient de cyberarmes. Je me bornerai à parler de moyens cyber de protection et de défense, bien que l'on puisse s'interroger sur l'incohérence qu'il y aurait à développer un outil censé remonter jusqu'à la source d'une attaque et s'arrêter en si bon chemin ?!

On peut donc supposer qu'a été également développé un volet offensif chargé, au minimum, de "neutraliser" la source offensive une fois qu'elle est localisée. On notera que la charge logicielle est pour le moment testée en environnement confiné, autant pour éviter de la rétro-ingénierie que de possibles effets indésirables. De plus, certains experts considèrent que la loi devra être modifiée, le développement de code malveillant étant interdit.

De l'usage d'une imprimante laser comme...cyberarme ?!

Si le titre de cet article est volontairement provocateur et utilise sans vergogne le sensationnalisme apparent de certains, le cas récent de l'affaire des imprimantes HP Laserjet n'est peut-être pas si caricatural et soulève de bonnes questions.

On ne le répètera peut-être jamais assez mais la sécurité commence déjà par de l'information : savoir qu'il existe des enjeux voire surtout des risques, même avec une imprimante, est la base d'une protection sérieuse si ce n'est bonne. De ce point de vue, les gens de HP semblent traiter la problématique avec sérieux, depuis plusieurs années.

Du Scud au calendrier Maya !

Le Scud journalistique tiré le 29 novembre 2011 sur le site "Redtape chronicles" a probablement pris par surprise la direction de HP. Comme le reste du monde, ils y apprennent qu'une équipe de chercheurs en sécurité de l'Université de Columbia aurait découvert une vulnérabilité pouvant compromettre des millions d'imprimantes par des piratages dévastateurs ! A se demander si le calendrier Maya ne se serait pas trompé de 387 jours ! 

Plus sérieusement, le problème soulevé est le suivant : la majorité des imprimantes  collectives en entreprise sont reliées au réseau informatique et, si le droit leur est donné ou laissé (attention aux paramètres par défaut !), peuvent se connecter via Internet pour effectuer les mises à jour de leur firmware. Les chercheurs ont donc forcé la mise à jour à distance du firmware sachant qu'aucun certificat n'est demandé pour l'authentification (le cas semble uniquement valable pour les Laserjet antérieures à 2009). Une fois introduits, ils disent avoir pu modifier certaines instructions afin d'augmenter continuellement la température du four. D'après eux et même s'ils ne sont pas allés jusqu'au bout, leur attaque peut conduire à la surchauffe de l'imprimante qui finirait par s'enflammer !

HP a été réactif en publiant un démenti le jour même, expliquant que le four dispose d'une sécurité ("thermal breaker") qui empêche, justement, un début d'incendie. Il reconnaît cependant qu'une vulnérabilité existe bien mais qu'elle ne peut être exploitée qu'en cas d'absence d'un firewall entre l'imprimante et Internet (encore faut-il que le firewall soit bien configuré, autre problème) ou que sur un réseau privé, un acte malveillant soit mis en œuvre pour tenter de modifier le firmware. Enfin, les modèles post 2009 utilisent un certificat afin de garantir l'authenticité du site d'où est effectuée la mise à jour.

Que retenir de cette affaire ?

1) En premier lieu, l'équipe du professeur Stolfo a bien découvert une faille logicielle exploitable, donnant corps à l'idée que, depuis des années, les imprimantes sont à considérer comme des équipements à risque et doivent être protégés comme tels. L'imprimante comme avant-poste d'une attaque (avec un sniffer réseau, pas exemple) ou encore pour transférer "à l'extérieur" l'ensemble des impressions est une menace discrète mais néanmoins efficace. Dans les deux cas, c'est le jackpot assuré pour l'attaquant !

2) HP n'a pas attendu cette découverte pour se pencher sur la question et la traiter du mieux possible. Quels que soient les efforts déployés, des vulnérabilités exploitables seront  toujours découvertes. Simple question de temps, de compétences et de moyens.

3) Même si aucune imprimante ne semble avoir été détruite par "combustion spontanée", une plainte en class-action a immédiatement (!) été enregistrée en Californie, celle-ci se basant sur le fait qu'un rapport publié en 2010 mettait en garde contre les risques de modification d'un firmware à des fins malveillantes. Et donc que HP n'avait pas fait le nécessaire pour informer ses clients.

Il va sans dire que cette partie juridique de l'affaire sera à suivre attentivement, même s'il semble difficile pour les plaignants de remporter ce match facilement. Sauf évidemment, si l'on se place uniquement dans l'objectif de toucher quelques dizaines de milliers de dollars afin d'éteindre la procédure. A choisir, je penche pour cette solution, les enjeux financiers et industriels pour HP et consorts étant bien trop importants !

Entreprises : les conseils d'un (ex) hacker (2/2)

Ces dérives, postulées depuis plusieurs années et avérées au fil des derniers mois, concernent en particulier le sentiment de sécurité perçu par la direction (d'une entreprise) de son S.I. parce qu'existe une Politique de Sécurité, éventuellement une certification ISO 27001 (rare en France) et, la plupart du temps, une "bonne vieille infrastructure à la papa" avec DMZ "reverse-proxyfiée/firewallée", sondes (bon point) et passerelles anti-spam/anti-virus. 

Cette description caricaturale voire anachronique pourra peut-être faire sourire mais, pourtant, un certain conformisme angélisme régente encore trop souvent certaines DSI et/ou Directions. Et encore, je me garderai bien d'aborder  les délicates problématiques de l'outsourcing, le blog ami CIDRIS s'en chargeant parfaitement par ailleurs !

Mais puisque jusqu'ici tout allait bien, quelle pouvait être la raison  impérieuse de faire évoluer la vision, parfois éculée, de la sécurité : un centre de coût en lieu et place d'un investissement pour le présent et l'avenir ? Mais le temps technologique file également à toute allure et nous sommes en 2011. Les menaces ont profondément évolué ces derniers mois, elles sont devenues permanentes et protéiformes, avec de moins en moins en filigrane cette guerre économique globale anticipée puis vérifiée et enfin accélérée. 

Tous ces éléments se vérifient quotidiennement et ne sortent pas d'un énième rapport ou de fumeuses recherches universitaires où des têtes bien faites (et certains services étatiques, louons les tous !) entretiendraient des discussions de salon ou pousseraient des cris d'orfraies, bien loin d'une réalité que seuls certains  vaniteux décideurs maîtriseraient ?

Je me veux mordant et (légèrement ?) provocateur mais le monde, ces derniers mois, n'a pas évolué qu'à la télévision ou seulement du Maghreb à la côte est du Japon ! Changements brusques et accélération de l'histoire (catastrophes naturelles, évolutions politiques majeures, aléas économiques) portent en eux des effets qui se prolongent dans le cyberespace qui, lui aussi, possède la particularité de disposer de caractéristiques bivalentes : outils et armes sans distinction de protocole, seul l'usage tend à en indiquer la nature.

Plus clairement, le monde de l'entreprise a la fâcheuse (coupable ?) tendance d'utiliser des schémas et des recettes techniques (et parfois organisationnelles) qui sont de moins en moins adaptés aux menaces actuelles et émergentes. Les conseils délivrés par SparkyBlaze, issus de son expérience avérée et "(very) up to date" (à jour), impliquent sans aucun doute une profonde remise en cause de la stratégie* appliquée et des moyens mis en œuvre pour l'atteindre. Avec un investissement associé, plus ou moins important selon que l'on parle d'une TPE/PME ou d'une multinationale. Selon le secteurs d'activité et l'exposition aux risques, cet investissement se révélera probablement générateur d'économies à long terme. Pour les plus frileux, une bonne assurance peut aussi être le début d'une certaine sagesse...

Les conseils proposés par SparkyBlaze :

- Déployer une défense en profondeur

- Appliquer une politique stricte en matière de sécurité de l'information

- Faire des audits de sécurité réguliers par une expertise extérieure

- Utiliser des sondes IDS/IPS

- Sensibiliser vos dirigeants sur la sécurité de l'information

- Sensibiliser vos dirigeants sur l'ingénierie sociale

- Effectuer les mises à jour en temps et en heure (soft + hard)

- Disposer d'une veille sécurité quotidienne

- Laisser vos spécialistes se rendre à des conférences spécialisées en sécurité

- Embaucher des spécialistes qui connaissent réellement la sécurité

- Généraliser l'utilisation du chiffrement des données (avec de l'AES-256, par exemple)

- Utiliser efficacement des filtres/outils anti-spam

- Garder un œil sur les informations laissées dans le domaine public (nota : à mon sens, le tri est à effectuer en amont)

- S'assurer que la sécurité physique (des sites et des locaux) est au niveau requis (sur le principe du "pourquoi blinder la porte d'entrée tandis que la fenêtre du salon reste ouverte ? :)

* ce changement de paradigme doit nécessairement commencer par une douloureuse mais salutaire remise en cause de certains schémas (sclérosés) de pensée.  D'où la probable utopie de ce billet. Donc la moindre désillusion de son auteur !

Entreprises : les conseils d'un (ex) hacker (1/2)

2011 aura probablement marqué l'émergence des Anonymous sur la scène médiatique. J'ai beaucoup de mal à les qualifier de cyber-criminels ou, à l'opposé, de chevaliers blancs puisque leur objectif politique navigue entre utopie, hacktivisme, apolitisme (= hors partis traditionnels) et un petit côté Robin des bois numérique qui n'a pas pour but essentiel de renverser un système (economico-financier et politique) mais bien d'essayer de dénoncer certaines pratiques ou de les rendre plus transparentes. L'affaire HB Gary demeure d'ailleurs leur fait d'arme le plus intéressant, techniquement et de par les révélations produites.

Pour autant, des erreurs voire des errements ont aussi eu lieu et, après quelques mois d'observation, les autorités en charge de la lutte contre la cybercriminalité, particulièrement au Royaume-Uni et aux États-Unis ont décidé de combattre ce mouvement, plusieurs arrestations intervenant depuis le début d'année sans discontinuer depuis. Bien que ne comportant pas officiellement de leaders, les Anonymous ont su se reposer sur quelques figures charismatiques venant, pour l'essentiel, du hacking.

Ce milieu, underground par essence plus que par posture, reste extrêmement mystérieux pour le grand public mais aussi difficilement joignable par tout un chacun. Hormis quelques connectés dans le milieu de la recherche ou certains mouvements politiques (les libertaires/libertariens, par exemple), il n'y a que les forces de l'ordre (spécialisées) et la mise en œuvre de moyens (techniques et humains) conséquents pour les traquer et, souvent, les débusquer. Les journalistes, eux, ne semblent pas les bienvenus car partie intégrante du système décrit plus haut.

Aussi, est-il toujours intéressant et généralement utile d'écouter ou de lire ce qu'un ex-pilier de l'organisation comme SparkyBlaze recommande aux entreprises pour réduire les risques face à des tentatives de piratage. L'interview qui a inspiré ce billet comprend de nombreux autres éléments de valeur mais c'est ce point qui m'a semblé emblématique d'une certaine tendance. Tendance qui est à rapprocher avec l'analyse de Cédric "Sid" Blancher ,que je partage entièrement, quant à certaines dérives liées à la "mise en œuvre des certifications et autres audits de conformité".

Cybersécurité USA : les propositions du CNAS

Ah ! L'Amérique. Ou plutôt les États-Unis d'Amérique. Ses hamburgers, Hollywood, Apple et ses...think-tanks ! Les USA, donc, possèdent le plus grand nombre mondial de ces "laboratoires d'idées" avec cette particularité toute pragmatique qu'ils ne "pondent" pas que du papier et de belles idées mais que celles-ci sont souvent déployées dans la vie politique, économique et sociale du pays.

L'un de ces think-tank, le CNAS (the Center for a New American Security) vient de publier deux tomes concentrant un panorama complet et à jour des enjeux et des problématiques en cybersécurité. Ce panorama s'adresse avant tout aux décideurs politiques américains : le législatif donc la chambre des représentants à travers ses sénateurs/sénatrices mais surtout l'exécutif actuel, le président Obama et son administration.

Il va m'être très compliqué d'en faire un résumé puisque je viens tout juste de commencer à survoler l'un des deux tomes publiés (plusieurs centaines de pages) mais quelques idées fortes peuvent ici être résumées :

- La cyber-insécurité est en train de devenir l'une des menaces principales pour le gouvernement fédéral et la sécurité nationale;

- Les entreprises américaines en général et celles de défense en particulier sont des cibles de choix qu'il faut protéger en priorité;

- Le CNAS recense 1,8 milliards d'attaques par mois sur les réseaux fédéraux (!);

Le CNAS salue les mesures annoncées par l'administration Obama le mois dernier mais considère qu'elles n'apportent principalement que des réponses à finalité "militaires" (comprendre guerrières). En complément, il propose d'adresser également les problématiques de protection de la propriété intellectuelle (dont le vol "sape la puissance américaine"), et de développer les moyens d'assurer un cyberespace ouvert et interopérable.

Il propose enfin de créer une nouvelle agence chargée de coordonner les efforts en terme de protection du cyberespace, de la rattacher directement au bureau exécutif (la présidence) sous l'égide d'un conseiller spécial reconnu également par le Sénat. Cette agence devra rester de petite taille, réactive et maintenir un lien proche avec le Conseil National de Sécurité et le Conseil National Économique et devra éviter une duplication des fonctions déjà existantes.  

Pour ce dernier point, il serait vain de penser que le DHS n'est pas visé : ministère à part entière, il lui est également conseillé d'augmenter ses capacités en matière d'évaluation des risques et de traitement des incidents. Ce qui est plutôt cocasse quand on sait les moyens dont dispose le DHS avec, en particulier, l'ICS-CERT dont l'objectif premier, justement, est de réagir préventivement ou curativement aux incidents et/ou attaques.

Ces éléments me semblent confirmer une tendance qui se dessine depuis le début de l'année 2011 : la cybersécurité est devenue un sujet "à la mode" du côté de Washington. Un sujet politique également puisque le CNAS ne sera pas le seul think-tank à publier son étude mais surtout à essayer d'influencer les arcanes du pouvoir. Enfin, rappelons-le si besoin est : les budgets consacrés, déjà importants, vont probablement encore augmenter dans les mois et les années qui viennent. Le sujet devient donc également économique. Ah ! L'Amérique. Ses dollars, son business, etc.

DHS + Siemens = TakeDownCon - SCADA

C'est de nouveau grâce à Twitter qui, une fois encore prouve sa pertinence comme outil pointu de veille, que l'on a appris l'annulation d'une présentation lors des sessions Security TakeDownCon à Dallas. Il faut d'abord remercier Jason E. Street avant de se pencher sur le pourquoi du comment.
 

Deux chercheurs en sécurité, l'un semi-indépendant Dillon Beresford (déjà relayé sur ce blog), l'autre Brian Meixell travaillant pour NSS Labs devaient présenter mais surtout faire une démonstration physique aujourd'hui autour du thème "Réactions en chaîne - Hacking SCADA". L'idée semblait être de démontrer comment des attaquants motivés (et non-étatiques) pourraient pénétrer tout système industriel même le plus protégé du monde ! Et comment il serait possible d'écrire le code malveillant sans avoir accès physiquement à la cible. En clair, reprendre les principes ayant conduit à la création de Stuxnet et, a priori, sa réussite opérationnelle.
 

Mais une discussion, quelques heures avant la présentation, avec des représentants de l'ICS-CERT...du DHS (qui a préalablement discuté avec Siemens) semble avoir convaincu les deux chercheurs qu'il était dans "l'intérêt national" de ne pas se produire devant les plus de 300 participants. Les choses ne sont pas exactement dites comme cela mais il faut ainsi comprendre l'exercice "langue de bois" qui s'en est suivi. A lire ici pour quelques précisions supplémentaires et les commentaires, passablement remontés.

On notera simplement qu'il ne peut y avoir de coïncidence entre les mesures annoncées cette semaine par l'administration Obama sur la cybersécurité et cet événement, confiné au petit monde de la sécurité et de ses chercheurs. Le fait que la cybersécurité soit officiellement devenue un enjeu de sécurité nationale trouve ici sa première concrétisation. Il y en aura d'autres...

Hacking SCADA en Lettonie ?

Latvenergo est la première entreprise d'électricité Lettone qui produit environ 70% de l'électricité du pays. Mélangeant énergie d'origine hydraulique et de cogénération, elle s'appuie, pour  cette dernière, sur deux unités de production : Riga TEC-1 et Riga TEC-2.

Riga TEC-2 est localisée aux abords de la ville de Salaspils, à 18km environ au sud-est de la capitale, Riga. Mise en service en 2008, elle fournit 20% des besoins électriques du pays et a été construite par l'opérateur espagnol Iberdrola. Pour un pays à l'échelle de la Lettonie, cette unité peut être qualifiée d'infrastructure critique et vitale.

Jeudi 3 mai, un hacker chinois connu (et qui serait à la tête de l'unité qui se nomme « China Youth Hackers Alliance ») a publié l'exploit de la compromission des deux routeurs de TEC-2. On notera au passage que les mots de passe sont d'origine et/ou d'une trivialité coupable : « cisco » « sunset », « henry50 » ou « henriks ». J'ignore la réaction des autorités lettones mais le CERT LV (letton) mettait, quelques jours avant,  le pays en garde contre une augmentation des attaques envers les sites de l'État et des autorités ! Qui devraient remercier l'auteur chinois de contribuer à l'amélioration du niveau de sécurité de certaines de ses installations :) et qui semble posséder quelques compétences en la matière (à moins que ce ne soit un leurre ?). D'autant plus que certains forums lettons sont, disons-le, plutôt  réservés sur l'origine et la véracité de l'exploit.