War Ram - Mai 2014

Click here to load reader

  • date post

    20-Oct-2014
  • Category

    Technology

  • view

    682
  • download

    2

Embed Size (px)

description

Attention: pour profiter au maximum du contenu de la War [email protected], un téléchargement est nécessaire. En effet, du fait de sa politique de partage, SlideShare bloque les liens des 3 premières pages. War Ram est une lettre d’information mensuelle, consacrée aux thématiques de cyberdéfense et de cybersécurité, ainsi qu’aux infrastructures (OIV, data centers…) qui sous-tendent le cyberespace. Cette publication est également disponible en ligne via le Slide Share (War Ram).

Transcript of War Ram - Mai 2014

Le Galaxy S5: la biomtrie pirate

Lutilisation de la biomtr ie dans le cadre de la scur it des infrastructures IT fait encore rage chez les professionnels; sa mise disposit ion pour le grand public suscite une polmique plus grande encore. Ainsi, le Galaxy S5 a cd, tout comme liPhone avant lui. Plus inquitant, le moule dempreinte utilis est le mme que celui ayant servi pour hacker liPhone. En outre, le mcanisme permet daccder dautres applications comme PayPal et de faire des transactions! Heureusement, des alternatives de smar tphones scur iss mergent, petit petit.

La vido du mois

Pour pas grand-chose?

Cest la question quon est en droit de se poser face au dluge extravagant dinformations catastrophes sur la scur it informatique.

Dun ct, il faut se rjouir que lappareil mdiatico-polit ique se soit (enfin!) saisi des questions de cyberscur it.

Dautre par t, on ne peut que regretter les discours de postures, les cr ies dor fraie, les raccourcis rapides qui sapent plus quils ne confor tent une posture de cyberdfense per tinente tout en alimentant, dans un effet pervers, une sor te de complexe militaro-

industr iel qui ne dit pas son nom.

Le cas Heartbleed est sans nul doute lun des plus symptomatiques de cet emballement comme le montre James Andrews Lewis,

chercheur au CSIS pour Out-Of-The-Box cette semaine.

Il y a pourtant des marges damlioration pour une cyberscur it relle et prenne de nos infrastructures: celle-ci passe, comme le

montre la tr ibune de Stphane Leroy pour les Experts, aussi par la

protection des pendants physiques de lInternet.

Enfin, notre contr ibuteur Thierry Berthier de Cyberland att irera

lattention sur les communications satellites ou SATCOM , souvent oublies et pourtant extrmement vulnrables. Notre contr ibuteur

expliquera en quoi pour Pimp My Opsec.

Et toujours, notre veille mensuelle 360, qui se concentre sur lUkraine, Open SSL, les Neurogrid et les msaventures de Google en Europe qui crent un prcdent bienvenu.

Dans cette RAM de mai, puissiez-vous trouver, rebours des

informations affolantes, un clairage per tinent pour permettre

chacun de sor ienter dans la bonne direction afin dviter les piges de la prcipitation et de la panique.

Afin dviter que, comme disait Csaire, le fouet dispute au bombillement des mouches la rose sucre de nos plaies .

Bonne lecture.

LE-DITO

Sommaire

Les gros titres

THE WAR [email protected]

LEdito 360 Les Experts Out-of-the-Box Pimp my Opsec

#OpenSSL #Ukraine #Google

#DataCenters #SATCOM #HeartBleed

Retrouvez aussi nos publications sur notre Slideshare.net/ W arRam Envie den savoir plus? Contactez-nous: [email protected] Les contr ibuteurs associs ce numro, pour leur contr ibut ion et leur sout ien, visible ou

invisible: James Andrew Lewis, Thierry Berthier, @lrcyber, @00x0 info @Mduqn

BEAUCOUP DE BRUIT

FOLLOW THE W HITE RABBIT

Mai 2014

360

2 Mai 2014

Cyberscurit & Entreprises

Un malware sous Android djoue la double authentification Un malware plutt labor menace depuis peu les

ut ilisateurs de Facebook qui consultent galement

leurs banques sur leurs mobiles.

Aprs avoir diffus un message faisant tat de

plusieurs connexions frauduleuses Facebook

mobile, lut ilisateur est ensuite invit tlcharger une applicat ion gnrant des soi-disant codes de

scur it usage unique.

En acceptant cette opt ion, lutilisateur tlcharge une sorte de RAT (Remote Access Trojan) qui

rcupre toutes les donnes de connexion ut ilises

lors des processus de double authentification

dapplicat ions bancaires.

Les menaces pesant sur les mobiles concernent

un ut ilisateur sur deux en France, rappelant si

besoin est de la ncessit de smar tphones

scur iss dans les entrepr ises franaises et de

compor tements responsables des usagers.

La correction du bug Heartbleed a-t-elle fait pis que mieux? Panique et prcipitat ion sont les

ennemis du programmeur en cas de

bug majeur .

Le cas Heartbleed lillustre bien puisquil semblerait que des administrateurs auraient introduit le

bug le plus mdiat ique du moment sur

cer tains serveurs, confondant les

bonne et mauvaise versions dans la

foule.

Cest le cas des sites de Vivaldi Technologies qui, auparavant

pargns, se sont retrouvs

confronts au bug aprs une mise

jour . La piste semble mener vers une

erreur humaine, bien quil ne soit pas exclu que les premires analyses

naient pas repr Heartbleed ds le dpar t.

Quand le mieux devient lennemi du bien

Les APT sont-elles devenues la norme? Les Advanced Persistent Threats, soit

les attaques informatiques avances,

seraient devenues la norme, selon

une tude de lexper t en scur it informatique W ebsense.

Si la par t de mdiat isat ion de cette

affirmation, visant sans doute

alimenter le complexe militaro-

industr iel qui fait pet it pet it loi dans

le cyberespace, nest pas oublier , il est indniable que les cyberattaques

se sont largement peaufines.

Lachat ou la locat ion de malwares, la diffusion des code-source ou la vente

dexploits, via des circuits cybercr iminels parallles, a permis

une monte en puissance des pirates

qui fait cho lexplosion du march cybercr iminel (cf 360, W ar Ram avril

2014 ).

Lude complte est disponible via le lien ci-dessous :

http:/ / www.websense.com/ content

/ websense-2014-threat-

repor t.aspx?cmpid=prnr4 .3 .14

LES ATTAQUES DDOS DANS LE MONDE

Si la ncessit de protger votre entrepr ise des attaques DDoS ne vous avait pas encore effleur lespr it , la car te ci-dessus, reprsentant les attaques par dni de service dans le monde, pourrait bien vous faire changer davis. Produite par Google et Arbor Networks, vous pourrez la trouver cette adresse: http:/ / www.digitalattackmap.com

Mauvais score pour FireEye et AhnLab Voil bien une publicit dont FireEye et

AhnLab se seraient bien passs. Les

gants de la cyberscur it ont

rcemment obtenu un score en

dessous de la moyenne en ce qui

concerne leur systme de dtection

dattaques.

Le test, conduit par NSS Labs, sest conclu par un avertissement aux

entrepr ises envisageant lachat dun produit FireEye.

FireEye a vite rpliqu en dclarant

que le test ne tmoignait en r ien de

lefficacit vr itable de ses produits. La discussion NSS Labs et la

compagnie leader du march a

dailleurs donn lieu des changes plutt houleux sur la toile et les

rseaux sociaux.

360

3 Mai 2014

LAnssi va obliger les OIV mieux se protger Pour prserver la France dune cyberattaque potent iellement

ravageuse, lAnssi va bientt se doter dout ils lgislat ifs pour forcer les oprateurs dimportance vitale se mettre aux normes.

La nouvelle a dclench des ract ions

mit iges de la par t de cer tains

industr iels qui y voient une

augmentation des cots. Guillaume

Poupard, le nouveau chef de lAnssi, se veut rassurant en rappelant que les

points aboutissant une mise au norme

devront tre facilement applicables

pour tre respects.

La complexit du sujet r isque

nanmoins den effrayer plus dun, et il nest pas exclu que des spcialistes des systmes dinformation cr it iques comme Bull, Thals ou Sogeti (Capgemini) ne se

saisissent de ce qui pourrait tre un

march potent iel.

LIran passe loffensive: le groupe Ajax sort de lombre Ajax Security Team est le nom dun groupe de pirates iraniens qui laborent des malwares dans le but de

voler des donnes confident ielles dentrepr ises amr icaines.

Selon FireEye qui a rvl cette information, le groupe

Ajax aurait t fond par deux pirates, "Hurr!c4nE!" Et

"Cair3x", et a dj t lor igine de piratages de grande ampleur . Ajax aurait touch des entrepr ises de

la dfense amr icaine et drob des secrets

industr iels, mais aucun nom na t cit.

Cet pisode nest pas sans rappeler une suppose attaque touchant le secteur franais de la dfense, et

souligne la per t inence du renforcement des polit iques

de cyberscur it des OIV voulu par lAnssi.

La Belgique suspecte la Russie davoir espionn ses rseaux Les renseignements belges auraient dtermin que le M inistre des affaires trangres a t infect par le malware Ouroboros, que lon suspecte dtre russe dor igine. La cible des pirates serait selon toute probabilit des cbles diplomatiques traitant de la situat ion en Ukraine.

Open SSL doit-il disparatre? La faille Heartbleed relance le dbat sur

lavenir dOpenSSL. Pour JD Sherry de Trend Micro, il faut

envisager de rcompenser les

dveloppeurs talentueux qui par t iraient

la chasse au bug.

Cette prat ique du Bug Bounty qui est

dj rpandue chez les GAFA est un

aveu bienvenue que la scur it absolue

nexiste pas.

Poul-Henning Kamp de FreeBSD appelle

sans mnagement la mor t dOpenSSL, devenu obsolte, inut ilement complexe,

voire trompeur . Le vrai danger rside

aussi dans le fait que puisquOpenSSL ser t de modle beaucoup de

programmes de chiffrement, une faille

touchant le programme se rpercute

ailleurs.

Quant lditor ialiste et dveloppeur Kode Vicious dACM Queue, il semble avoir trouv un compromis. Sans

abandonner lOpen Source, il prconise une API plus simple dut ilisat ion pour viter les er reurs, et une flexibilit qui

permettrait de changer rapidement et

simplement dAPI en cas de bug majeur . Menaces avances: la France

gravement touche en Europe La compagnie FireEye sest concentre sur les cyberattaques ut ilisant les APT

(quelle dfinit comme des cyber attaques contournant les dfenses

tradit ionnelles que sont les pare-feu, les

IPS, les ant i-virus).

Le gant de la cyberscur it a pu

dmontrer que la France, lAngleter re, la Suisse et lAllemagne taient largement touches (71% des

infect ions dtectes sur le cont inent

concernent ces pays).

En outre, la France est avec le

Royaume-Uni le pays qui compte le plus

de secteurs touches par ces attaques

avances.

Ref:

ht tp:/ / www.fireeye.com/ fr / fr / news-

events/ press-releases/ read/ rapport-

europeen-atr-de-fireeye-la-france-est-le-

pays-europeen-ou-lon-compte-le-plus-de-

secteurs-touches-par -les-attaques-

avancees

Chasse aux hackers en Ukraine Alors que les fuites relat ives au conflit

ukrainien pullulent de faon plus ou

moins oppor tune (on pense notamment

ce cble diplomatique amr icain

publi par W ikileaks dvoilant les

secrets de la posit ion amr icaine), les

pirates, quils soient civils, militaires ou instrumentaliss, deviennent des cibles

de choix.

Le blog CyberW arNews, dj connu

pour la diffusion de leaks prcdents (cf

W ar Ram avril 2014 ), a t sous le

coup dune enqute du dpar tement de la just ice amr icain pour sa

collaborat ion avec des pirates

prtendant appar tenir au collect if

Anonymous Ukraine.

Ces derniers s'taient rcemment

occups de faire fuiter massivement

des documents confident iels la

Russe (voir capture dcran ci-contre), ce qui laisse planer quelques doutes sur

un possible tlguidage du Kremlin.

Cyberdfense

Lautoproclame antenne Anonymous Ukraine a dclar CyberW arNews quelle avait pirat le mail de Laurynas Jonavicius, conseillre du Prsident lituanien. Ces changes dmontreraient que Vitali Klitschko, homme polit ique ukrainien et ancien boxeur , serait manipul par les puissances occidentales. Lar ticle or iginal comme les documents ont depuis t suppr ims.

Avenir du PC, les systmes neuromorphiques Le cerveau est un ordinateur bien plus

puissant quun supercalculateur. Sinspirant du cerveau humain, les chercheurs de

Stanford aspirent donc greffer des

Neurocores sur des Neurogrids, cest --dire des processeurs maison valant 65 .536

neurones greffs sur des PCB en arbre .

Si le rsultat en termes doprat ions calcules est trs prometteur, le gouffre

nergt ique reprsent par lut ilisat ion des Neurogr ids balance limpact de la dcouver te..

360

4 Mai 2014

Google se fait retoquer en Europe La Cour europenne de justice, rebours de lavis de lavocat gnral, a conclu que Google tait responsable du traitement des donnes personnelles quil collecte. Concrtement, cela signifie quun ut ilisateur pourra sous cer taines condit ions obtenir la suppression des liens vers des pages Internet le concernant. Pour ce faire, la recherche doit concerner ses nom et prnom et des raisons par t iculires just ifiant dun intrt prpondrant du public avoir accs cette information doivent exister . La nouvelle donne un peu plus de droit au citoyen lambda, la formule reste nanmoins floue et avant quelle ne soit applicable, il faudra cer tainement attendre plusieurs procs qui feront jur isprudence. Paralllement, Google sest aussi fait retoquer par la CNIL allemande sur sa polit ique de donnes personnelles, une pomme de discorde rcur rente avec lEurope. Le gant amr icain a ainsi t condamn changer sa polit ique qui lui permet de fusionner les donnes de plus de soixante services par t ir du seul compte Gmail, permettant un profilage jug intrusif par la CNIL.

LIntelligence Artificielle, la prochaine bataille des rseaux sociaux Un rappor t de Business Intelligence montre que lavenir des rseaux sociaux passera par lintelligence ar t ificielle. Des gants comme Google, Facebook, LinkedIn ou Pinterest ont dj acquis des compagnies spcialises dans lintelligence ar t ificielle, la reconnaissance faciale, vocale ou le traitement smantique des donnes. Lobject if avou : exploiter la masse de donnes cre tous les jours par les ut ilisateurs.

Un nouvel algorithme entend "secouer la cryptographie" Le problme du logarithme discret, un

des "graals" de la thor ie

algor ithmique ut ilis dans la

cryptographie des services

informatiques, a t rsolu en par t ie

par des chercheurs franais du

Laboratoire lorrain de recherches en

informatique.

La scur it dune var iante complexe de ce logar ithme discret a t mise

mal par un algor ithme labor par les

chercheurs du laboratoire.

Limpact pour la cryptographie est relle et pour la cyberscur it

galement, puisque cela permet en

thor ie damoindr ir la dfense de cer tains systmes.

Les rsultats des recherches et

lalgor ithme des chercheurs seront prsents lors de la confrence

internationale Eurocrypt 2014 qui se

t iendra Copenhague jusquau 15 mai.

Null CTRL, cette enqute qui met la pression sur les objets connects Bien que les objets connects restent por teurs

de croissance cour t et moyen terme, ces

derniers suscitent nanmoins des inquitudes

quant la scur it des donnes pr ives et la

faible protection contre le piratage de ces

appareils.

Null CTRL, une enqute ralise par des

journalistes norvgiens dmontre quil nest pas ncessaire davoir des comptences informatiques pousses pour pirater des objets

connects.

La preuve tant, plusieurs milliers dentre eux taient accessibles sans mot de passe et

faciles trouver grce au moteur spcialis

Shodan.

Lincident, trs grave, dmontre que le rle de lEtat dans le renforcement des mesures les plus basiques de cyberscur it devient une

pr ior it.

Cyberculture

Le Neurogrid, cr par le chercheur Kwabena Boahen de Stanford, peut simuler plus dun millions de neurones et un milliard de connexions de synapses. Cette dcouverte pourrait surtout tre utile la robotique, avec

lintgration de Neurogrids dans des prothses de membres pour aider aux oprations complexes. Vous pouvez consulter plus en dtails les informations sur cette invention ici:

https:/ / www.youtube.com/ watch?v=D3 T1 tiVcRDs

INTERNET, ARCHITECTURES DU WEB ET ENJEUX DE PUISSANCE

5 Mai 2014

Dans La Cit des Permutants , lauteur australien Greg Egan dcr it un monde futur iste

o limmor talit est rendue possible grce une technologie sauvegardant ent irement notre

configurat ion neuronale lintr ieur dun monde vir tuel at teignant, de fait , une sor te d"immortalit". Mais lternit a un tr ibut : la survie de leur copie dpend du suppor t

informatique et des infrastructures relles.

On pourrait longuement dbattre de ce livre (qui

va en ralit bien plus loin que ce simple

postulat), mais largument fait sens. Les infrastructures du Net sont la colonne

vertbrale sur lequel sar t icule le colosse vir tuel que forme lInternet .

A loccasion de lannonce du Plan Cyber franais et la faveur des rvlat ions polmiques

dEdward Snowden, lat tent ion sest repor te sur ces infrastructures sensibles (les Data Centers,

les cbles sous-marins et les supercalculateurs)

et lintrt stratgique quelles reprsentent .

A lor igine de termes aussi for ts que "cloud souverain" ou "gouvernance de linternet", on retrouve la quest ion de technologies physiques

dont le dveloppement et la prennisation sont

dune impor tance capitale.

LES EXPERTS

Stphane Leroy, de la W ar [email protected], a eu la chance

de pouvoir publier un guest post chez Charles

Bwele, le fameux tenancier dElectrosophere et membre fondateur de lAlliance Gostratgique. Un ar ticle que lon vous propose dans la RAM de mai.

Les data centers, futurs coffre-fort numriques ?

La quest ion de la matr ise des donnes personnelles par le biais de data centers a dj t pose par Dilma Rousseff. En revanche, celle de son applicat ion technique est plus contestable quand on sait quel point les donnes personnelles (et le cloud) peuvent rebondir dun data center un autre au niveau plantaire.

Choisir de conserver la mainmise sur ses donnes, toutes ses donnes, est utopique. A lheure actuelle, la copie et lindustr ialisat ion de la copie font que le cloisonnement lchelle des donnes dun pays rvle du secret des anges. De mme que le projet dun Internet europen ou autre vu pieu : crer une autarcie numr ique est un doux rve dont cer tains devraient se dpar t ir .

En revanche, il est possible dassurer la protection des donnes sensibles via des data centers ddis, dans un pays o les condit ions gopolit iques sont stables, les avancements technologiques suffisantes et le t issu jur idique protecteur .

Cer tains tats peuvent trs vite rut iliser ces lments pour devenir des paradis data, limage de la Suisse qui se redir ige vers la

scur isation des donnes dmatr ialises. Pour un pays, devenir un coffre-fort numr ique peut reprsenter un avantage gopolit ique dterminant. Si, en France, il est peu crdible que lon se dir ige vers un disposit if aussi cadenass que le disposit if helvte, le dveloppement dun maillage et dun Cloud relat ivement scur is est une condit ion sine qua none du dveloppement des entrepr ises tr icolores sensibles.

En ce sens, elle constitue un enjeu gopolit ique et conomique for t , quil convient de soutenir en pr ivilgiant les acteurs nat ionaux et en relevant le niveau des prestataires de scur it, notamment pour bnficier aux OIV. Le rcent r isque de black out sur lInternet franais dmontre quel point cette architecture est la fois un facteur de puissance mais aussi une cible de choix.

La Loi de Programmation M ilitaire na dailleurs pas suffisamment creus la quest ion essentielle des standards de scur it [1 ], mais lANSSI viendra cer tainement jouer les rgulateurs sur ce point .

(Suite p. 6 )

La Prsidente brsilienne Dilma Rhousseff a finalement fait volte-face et abandonn lide de data centers locaux, face la fronde conjointe des exper ts, analystes et compagnies qui cr it iquaient linutilit dune telle dcision.

Comme nous le soulignions dj dans la RAM davr il, la possibilit dun trou noir (soit une coupure brutale dInternet), pour rait subvenir aux Etats-Unis la suite dattaques sur les infrastructures sensibles, comme les centrales lectr iques(ci-haut, en photo). Il suffirait de 9 destructions de centrales pour plonger le pays dans le black-out pour 3 ans, selon un rappor t publi par le gouvernement amr icain.

6 Mai 2014

Cbles sous-marins et

supercalculateurs: vitesse et

puissance des infrastructures

Paralllement, la France a un

ascendant technologique net dans deux

domaines : les cbles sous-mar ins

(Alcatel-Lucent) et les

supercalculateurs (Bull).

Les premiers ont gagn une notor it

imprvue loccasion de laffaire Snowden, pour leurs liens avrs avec

la surveillance des rseaux. Pour

autant, disposer de la technologie

permettant la pose, lentret ien et la sollicitat ion des cbles, clef de vote du

cyber espace, demeure une activit

stratgique car elle revient contrler

ses lignes de communication, un

facteur essentiel de la stratgie de

puissance (si lon accepte lanalogie avec les thories navales de lamiral Corbett [2 ]). Le projet de Dilma

Rousseff aurait -il t possible sans

cette technologie ? La rponse est

clairement non bien que l encore, la faisabilit du projet en soi fait dbat.

Paralllement, les supercalculateurs

sont moins connus, mais appar t iennent

ces technologies en avance sur leur

temps et potent iellement

dterminantes. Un supercalculateur,

cest un ordinateur capable deffectuer en quelques secondes des oprat ions

qui ncessiteraient 150 ans un

ordinateur classique. La France est la

premire en Europe pour ces

technologies, mais la course au niveau

mondial est acharne.

Pour tant, les quest ions de Big Data et

de Cloud sont inluctablement lies la

puissance de calcul, et si lon par t du pr incipe, trs galvaud mais qui t ient

une par t de vr it, que la data sera le

ptrole de ce sicle, il faut des

supercalculateurs. Sur ce point, il faut

admettre que ltat a pr is la mesure de limpor tance stratgique de ces derniers [3 ].

SUITE ARTICLE P.5

Pourquoi il importe de conserver

et prenniser ses savoirs ? Lactualit rcente a dmontr limpor tance de conserver des technologies souveraines ou, dfaut,

de remplacer ces dernires par des

technologies open source (encore une

fois, cette solut ion de rechange est

sous-exploite). Lomniprsence des GAFA et lhgmonie de M icrosoft dans les systmes dexploitat ion sapent encore la conduite doprat ions sensibles et la protection des donnes

des entrepr ises, premires vict imes

de lespionnage industr iel tat ique (je nvoque pas ici dessein la surveillance des citoyens, car

lespionnage de la tentaculaire NSA a moins comme object if de connatre

Madame M ichu que de piller les

secrets technologiques).

Il devient dterminant pour nous de

pouvoir dire que lon sait faire . Il est impossible de revenir en ar r ire.

On ne peut pas rcr ire lhistoire. Mais tout comme nous possdons des

avions de chasse, des sous-marins

nuclaires ou des units spcialises

comme le GIGN, il faut cult iver nos

savoir -faire dans le cyber , car dans dix

ans il sera trop tard.

A lheure de services liant ralit et cyberespace comme les technologies

de Machine to Machine ou le Cloud et

de vers informatiques capables de

dtruire des centr ifugeuses, on sait

dsormais que le rel et le

vir tuel ne sont plus deux mondes

dissocis.

Le numr ique change profondment

tous les aspects de notre vie : une

dclarat ion sous forme de lapalissade

qui rendrait notre inact ion que plus

dommageable.

Par Stphane Leroy

@LRCyber

Source: [1 ] OIV : Protger les Oprateurs dImportance Vitale : une ambition nationale , Mag Securs n4 1 1 er trimestre 2 0 1 4 [2 ] Lire aussi Mahan and Corbett on Maritime Strategy , OLavin, Brian, Naval W ar College, 2 0 0 9 [3 ] Rapport gouvernemental sur la France en 2 0 2 0

Ci-haut, une car te des cbles sous-mar ins europens, ralise par la socit dtudes TeleGeography. Ces derniers sont les ar tres de lInternet mondial, et leur impor tance fait que Internet ne peut quasiment jamais tomber . Notez par ailleurs comment le Royaume-Uni est devenu le point nodal en Europe des cbles sous-mar ins.

7 Mai 2014

Les agences de renseignement sintressent au SSL, mais pas dans le but de pirater vos comptes Amazon ou eBay. Aprs 2001 , des groupes comme Al Quaida ont dvelopp des techniques pour chapper la surveillance sur le net. Lune de cette technique consistait ut iliser des VPN (Rseaux Pr ivs Vir tuels). Cer tains VPN ut ilisent Open SSL. Etre capable de pntrer un VPN reprsente pour tout service de renseignement majeur un intrt indniable et on peut logiquement simaginer que de nombreux VPN ont t pirats, pas juste par la grande mchante NSA, mais par dautres pays disposant galement de capacits solides en cyberdfense et en techniques de chiffrement. De la mme manire que des pirates peuvent exploiter un code source, les agences de renseignement en font de mme. Si cer taines personnes ont choisi de casser le SSL, ils lont fait aprs 2002 et avant 2010 , ce qui suppose que Heartbleed na r ien de nouveau et nest cer tainement pas synonyme de fin du monde. Allez-y, changez vos mots de passe si cela vous rassure, mais le recours ces derniers comme moyens de protection a chou il y a des annes de cela. Les autor its des marchs financiers prcisaient dj en 2005 que les banques devaient ar rter de se reposer sur lut ilisat ion de mots de passe, et la plupar t des tablissements ont adopt la double authentification (le mot de passe coupl un code numr ique envoy par la banque). Se reposer uniquement sur les mots de passe pour sa scur it est simplement r isible. Il y a aussi eu des cr is dor fraie quant au fait que la NSA connaissait ou non la faille Heartbleed, et sur le fait que cette dernire naurait pas communiqu sur le sujet. La Maison Blanche et lagence de renseignement ont fermement dmenti ces accusations. Un dmenti aussi ferme est inhabituel et laisse penser que la NSA na pas gard Heartbleed secrte. Cer tes, lagence de renseignement trouve ou achte des vulnrabilits dans un programme (il y en a tant) et elle prvient aussi lentrepr ise qui produit ce programme mais pas toujours, et pas immdiatement.

(Suite p.8 )

OUT-OF-THE-BOX

La dcouver te de Heartbleed, du nom de cette vulnrabilit dans Open SSL, un protocole grand public de chiffrement, vient complter une longue liste dhistoires toutes plus r idicules que les autres sur la cyberscur it. Il y a une vraie quest ion quil faut se poser . Ler reur de programmation a t ralise il y a plus de deux ans. Depuis, il y a plus dune dizaine dattaques majeures de sites web dentrepr ises, causant plus dune centaine de millions de dollars de per tes et dvoilant les informations personnelles de centaines de millions de consommateurs. A votre avis, combien de ces attaques impliquaient Heartbleed ? Bravo si vous avez rpondu zro. Des millions de donnes compromises et aucune dentre elles ont t obtenues cause de Heartbleed. Il sagit du meilleur indicateur de la dangerosit de la faille. Pour prendre lexemple le plus rcent, les personnes lor igine du piratage de Target ont ut ilis quelque chose de plus sophist iqu que Heartbleed. Les cybercr iminels sont des pirates qui veulent se faire de largent, autant dargent que possible. Pour se faire une ide de lut ilit de Heartbleed pour les cr iminels, il suffit de faire un tour sur les sites o ils changent, o des millions de donnes personnelles sont disponibles la vente. Heartbleed nest quune vulnrabilit parmi tant dautres, et les cr iminels ont de meilleurs moyens dextorquer de largent des entrepr ises. Il y a de nombreuses tapes entre le piratage et le retour sur invest issement. Les cybercr iminels, pour la plupar t des professionnels, ont recours aux techniques les plus efficaces. Il sagit de personnes qui cherchent se faire des millions de dollars. Elles prennent par t des cr imes dampleur industr ielle, pas au piratage au cas par cas de comptes individuels.

A rebours des dclarations alarmistes sur le

bug Heartbleed, James Andrew Lewis,

chercheur pour le Center for Strategic and

International Studies, a publi une tr ibune

assassine sur ce quil qualifie de mauvais mlodrame.

Avec sa permission, nous retranscr ivons, en

franais et sans altration, son point de vue.

Voler votre mot de passe, accder votre compte, rcuprer les informations de votre car te de crdit , t rouver un moyen dindustr ialiser ce processus jusqu le raliser des centaines de milliers de fois et, enfin, trouver un moyen pour finalement en t irer profit est beaucoup trop chronophage. Heartbleed est une vulnrabilit dans le protocole open source SSL. Le code open-source (en termes simples) est un modle reprsentant les instructions qui doivent tre excutes pour ar r iver un programme comme le SSL. Laccs au code-source est une tape cruciale pour dcrypter ou pirater un programme. Puisque le code est open source, nimpor te qui, hackers ou agences de renseignements, peut lobtenir . Lopen source ne permet pas un piratage facile pour autant. Il fut un temps o la vulnrabilit de celui-ci faisait dbat, alors que des entrepr ises vendaient des programmes pr ivs en prtendant que lopen source ntait pas fiable. Ce temps est rvolu. Les bnfices dun logiciel open source lempor tent largement sur les r isques, mme si cela ne suppose pas que le r isque est devenu inexistant. Il y aura toujours un programmeur pour faire une er reur, et tout programme, libre, open source ou propr itaire est sensible aux exploits . Open SSL ne fait pas exception la rgle.

HEARTBLEED, QUAND LA CYBERSCURIT FAIT DANS LE MLO

8 Mai 2014

SUITE ARTICLE P.7

Bien quil soit la mode et plutt commode daccuser la NSA pour tous les problmes que connait

internet, ce nest pas toujours pertinent. Il y a un march noir en

pleine expansion dexploits, avec de nombreuses compagnies et

des tats comme clients. La NSA

mesure la menace que ces

r isques posent pour la socit et

la scur it nat ionale, avant de

prendre la dcision de not ifier ou

pas la vulnrabilit aux

dveloppeurs du programme

concern.

De nombreuses compagnies

rappor tent ainsi que la NSA (ou

une autre agence fdrale) les a

dj aler ts pour faire tat dune faille dans leur produit . Nous ne

savons pas en revanche si chaque

faille est not ifie, et cela ne se fait

pas en fanfare parce que cela

donnerait un avantage aux

cybercr iminels.

Lexpression, pjorat ive et inadquate, stocker des

vulnrabilits est souvent

avance pour donner du poids

une cause polit ique. Le phras ne

dcr it pas avec prcision

comment les vulnrabilits sont

ut ilises. On stocke des armes

nuclaires. On stocke des

missiles. Associer ce terme aux

"exploits" consiste renvoyer une

image dforme et sinistre de la

ralit, ajoutant par l-mme aux

opposants de la militar isat ion du

cyberespace une touche

motionnelle leurs arguments.

Lmotion ne doit pourtant pas prendre le pas sur lanalyse. Rappelons que lor igine du cyberespace est militaire : il

sagissait dun projet du M inistre de la dfense amr icain, et la

Chine, la Russie et les Etats-Unis

ont commenc dvelopper des

out ils militaires ds les annes

90 . Plusieurs autres Etats font

dsormais de mme. Par ler dun cyberespace dmilitar is revient

dire que si les Etats-Unis

abandonnaient les avions de

guerre, lespace ar ien mondial deviendrait un havre de paix.

Lobject if a beau tre noble, il nen demeure pas moins ir raliste et

inatteignable. Ceux qui savent

comment les vulnrabilits sont

ut ilises pour crer des exploits

par lent dailleurs dune bibliothque douvrages de rfrence plutt que dun stock de missiles , mais le terme est

loin dtre suffisamment menaant pour avoir un impact motionnel.

Que le programme SSL puisse

tre pirat na pour tant r ien de surprenant. Celui-ci a t cr en

1994 : malgr des amliorat ions

et des mises jour , les pirates

ont eu tout le loisir de ltudier . SSL (et ses successeurs) ne sont

au final que des protocoles de

chiffrement de niveau moyen

pr incipalement dest ins au e-

commerce des millions de transactions faible valeur

marchande.

La force du protocole SSL a t

de permettre aux personnes de se

lancer dans le commerce en ligne

tout en permettant un contrle

relat if des r isques. Heartbleed na pas vr itablement rvolut ionn cet

tat de fait , comme labsence de piratages vr itablement nocifs la dmontr. SSL na pas limin les r isques, il les a simplement

rduits un niveau acceptable

pour les transactions individuelles.

Le piratage de Digi-Notar en

Septembre 2011 (probablement

par lIran) impliquait dj une brche des cer t ificats SSL. Il sagit l dun hack autrement plus sophist iqu que celui de

Heartbleed qui dmontre que

cette dernire faille ntait finalement pas la plus nuisible des

failles SSL, seulement la plus

mdiat ise.

On peut toujours cont inuer se fourvoyer en faisant de Heartbleed une cr ise majeure. De sor te que si les pirates amateurs du monde ent ier ignoraient tout des vulnrabilits SSL, ce nest plus le cas dsormais. Les hackers sont des gens cur ieux : la plupar t seront tents dessayer ce hack pour voir sil fonct ionne. Si toute lagitat ion autour de Heartbleed aboutit une amliorat ion du SSL, le progrs sera indniable. Mais le chemin sera long, et entre temps, il faudra sattendre plus de bruit et plus de r isques. Par James Andrew Lewis @Center for Strategic and International Studies. Tous droits rservs. http:/ / csis.org/ publication/ heartbleed-cybersecurity-melodrama

VULNERABILITES SUR LE SYSTME SATELLITAIRE SATCOM

9 Mai 2014

PIMP MY OPSEC

Lorsque l'at taquant parvient prendre le

contrle de pr iphr iques physiques

SATCOM ut iliss pour communiquer avec

les satellites en orbite, il est en mesure de

per turber le droulement d'une oprat ion

ou d'avoir accs l'ensemble de

communications associes la mission.

On les retrouve sur des navires, des avions

civils et militaires, des services d'urgence,

des grands mdias tlvisuels, de

nombreuses installat ions industr ielles, des

plate-forme ptrolires ou gazires, des

rseaux de pipelines, des usines de

traitement d'eau, des centrales oliennes,

des centres de tlcommunication) la liste

est longue et concerne cer taines

infrastructures cr it iques.

Des milliers de disposit ifs SATCOM sont

concerns par cette aler te de scur it.

Les vulnrabilits affectent les terminaux

suivants :

Harris BGAN Hughes BGAN M2M Cobham BGAN Marine VSAT and FB Cobham AVIATOR Cobham GMDSS

Selon le journal Guardian, les fabr icants

br itanniques Cobham et Inmarsat, et

amr icains Harris Corporation, Hugues et

Iridium commercialisent des systmes

SATCOM fragiliss par ces vulnrabilits.

L'tude mene par IOActive insiste sur le

terminal Harris RF-7800 B, offrant une

solut ion satellite haute per formance en

voix et donnes ses clients militaires qui

cont ient plusieurs vulnrabilits.

L'attaquant qui les exploite peut installer un

firmware malveillant ou excuter du code

arbitraire sur le systme. On imagine sans

peine les oppor tunits de

cybermanipulat ion ou de cybersubversion

accessibles par t ir de ces faiblesses.

L'tude souligne galement le cas d'avions

militaires amr icains quips du systme

SATCOM Cobham AVIATOR qui assure les

communications en vol de l'appareil.

L encore, une cyberattaque sur le

systme permettrait de per turber et de

compromettre les changes et les ordres

durant le vol.

Des patchs cor rectifs sont en cours de

construction et seront systmatiquement

proposs aux diffrents clients impacts

par ces dfauts de scur it proccupants.

Par Thierry Berthier

Matre de confrences en mathmatiques,

Professeur au sein d'un dpar tement

informatique universitaire

CyberLand

Les cyberattaques ne se limitent plus aux infrastructures ter restres et peuvent toucher aujourd'hui un systme de communication par satellite comme SATCOM . Les oprateurs satellitaires sont alors confronts des dfis de scur it croissants puisque leurs installat ions jouent un rle stratgique dans les secteurs militaires et civils. Une socit spcialise en cyberscur it (IOActive) vient de publier une tude aprs la dcouver te de plusieurs vulnrabilits cr it iques affectant les terminaux satellitaires SATCOM . L'tude complte est disponible par t ir du lien ci-dessous (ndlr : consultez la page suivante pour obtenir la liste des vulnrabilits dcouver tes par IOActive) : http:/ / www.ioactive.com/ pdfs/ IOActive_SATCOM_Security_W hitePaper .pdf Selon cette tude, les terminaux SATCOM prsentent des informations d'ident ificat ion codes en dur , des protocoles de connexions non scur iss et des Backdoor permettant de prendre le contrle du systme. Lorsque l'on sait que ce systme satellitaire est rgulirement ut ilis par les armes, les services gouvernementaux et les grands groupes industr iels, on imagine aisment les r isques associs ces vulnrabilits. En les exploitant, un attaquant pourrait intercepter, manipuler ou bloquer des communications sensibles et, dans cer taines circonstances, prendre le contrle distance de disposit ifs lis aux infrastructures SATCOM ut iliss l'occasion d'oprat ions militaires.

Thierry Berthier, matre de

confrences en mathmatiques et

propr itaire du blog Cyber land, revient

sur les vulnrabilits des

communications satellites (SATCOM)

loccasion des rvlations de la socit de cyberscur it IOActive.

Sur ce schma, on constate quel point les satellites demeurent au centre des disposit ifs de communication militaires. A la faon dune attaque MITM, toucher un satellite permet ds lors de toucher tout les disposit ifs, humains ou matr iels, qui se reposent sur les communications par satellite.

Appel contributeurs Cette newsletter mensuelle

sadresse une communaut cible et se

construit sur un modle

collaboratif, sinspirant dune dmarche open source dans

le souci dun par tage de connaissances.

De fait , elle vit et senr ichit de ses contr ibuteurs, pour

la plupar t des exper ts dans

leurs domaines respect ifs,

et de fait nous sommes

toujours la recherche de

contr ibutions diverses.

Si publier par notre biais

vous intresse, nhsitez pas nous contacter pour en

discuter plus en dtails.

Cordialement,

La Rdact ion

War [email protected] vous est propose le dernier vendredi de chaque mois et est disponible en ligne. Cest une publicat ion libre, vous pouvez donc la par tager sans rserves, condit ion de respecter la

propr it intellectuelle des personnes qui y publient.

Vous pouvez aussi suivre notre actualit et bnficier de nos

ressources en ligne par le biais de notre compte Slide Share : http://fr.slideshare.net/WarRam

War [email protected] Mai 2014

RESUME DES VULNERABILITES TROUVEES PAR IOACTIVE

Attention: Le tableau ci-dessous est extrait du rappor t dIOActive sur la vulnrabilit des tlcommunications satellites. Celui-ci dtaille toutes les vulnrabilits trouves chez les prestataires

de services satellites en les listant selon les vendeurs, les produits, le type de vulnrabilit, le service

qui les produit et le dgr dimpor tance de la faille. Ce tableau est la propr it dIOActive, Inc et de CERT Coordination Center.