Le Galaxy S5: la biométrie piratée
L’utilisation de la biométr ie dans le cadre de la sécur ité des infrastructures IT fait encore rage chez les professionnels; sa mise à disposit ion pour le grand public suscite une polémique plus grande encore. Ainsi, le Galaxy S5 a cédé, tout comme l’iPhone avant lui. Plus inquiétant, le moule d’empreinte utilisé est le même que celui ayant servi pour hacker l’iPhone. En outre, le mécanisme permet d’accéder à d’autres applications comme PayPal… et de faire des transactions! Heureusement, des alternatives de smar tphones sécur isés émergent, petit à petit.
La vidéo du mois
Pour pas grand-chose?
C’est la question qu’on est en droit de se poser face au déluge
extravagant d’informations catastrophées sur la sécur ité
informatique.
D’un côté, il faut se réjouir que l’appareil médiatico-polit ique se soit
(enfin!) saisi des questions de cybersécur ité.
D’autre par t, on ne peut que regretter les discours de postures,
les cr ies d’or fraie, les raccourcis rapides qui sapent plus qu’ils ne
confor tent une posture de cyberdéfense per tinente – tout en
alimentant, dans un effet pervers, une sor te de complexe militaro-
industr iel qui ne dit pas son nom.
Le cas Heartbleed est sans nul doute l’un des plus symptomatiques
de cet emballement comme le montre James Andrews Lewis,
chercheur au CSIS pour Out-Of-The-Box cette semaine.
Il y a pourtant des marges d’amélioration pour une cybersécur ité
réelle et pérenne de nos infrastructures: celle-ci passe, comme le
montre la tr ibune de Stéphane Leroy pour les Experts, aussi par la
protection des pendants physiques de l’Internet.
Enfin, notre contr ibuteur Thierry Berthier de Cyberland att irera
l’attention sur les communications satellites ou SATCOM , souvent
oubliées et pourtant extrêmement vulnérables. Notre contr ibuteur
expliquera en quoi pour Pimp My Opsec.
Et toujours, notre veille mensuelle 360°, qui se concentre sur
l’Ukraine, Open SSL, les Neurogrid et les mésaventures de Google
en Europe qui créent un précédent bienvenu.
Dans cette RAM de mai, puissiez-vous trouver, à rebours des
informations affolantes, un éclairage per tinent pour permettre à
chacun de s’or ienter dans la bonne direction afin d’éviter les pièges
de la précipitation et de la panique.
Afin d’éviter que, comme disait Césaire, « le fouet dispute au
bombillement des mouches la rosée sucrée de nos plaies ».
Bonne lecture.
L’E-DITO
Sommaire
Les gros titres
THE WAR R@M
L’Edito 360° Les Experts Out-of-the-Box Pimp my Opsec
#OpenSSL #Ukraine #Google
#DataCenters #SATCOM #HeartBleed
• Retrouvez aussi nos publications sur notre Slideshare.net/ W arRam
• Envie d’en savoir plus? Contactez-nous: [email protected]
• Les contr ibuteurs associés à ce numéro, pour leur contr ibut ion et leur sout ien, visible ou
invisible: James Andrew Lewis, Thierry Berthier, @lrcyber, @00x0 info @Mduqn
BEAUCOUP DE BRUIT…
FOLLOW THE W HITE RABBIT
Mai 2014
360°
2 Mai 2014
Cybersécurité & Entreprises
Un malware sous Android déjoue la double authentification Un malware plutôt élaboré menace depuis peu les
ut ilisateurs de Facebook qui consultent également
leurs banques sur leurs mobiles.
Après avoir diffusé un message faisant état de
plusieurs connexions frauduleuses à Facebook
mobile, l’ut ilisateur est ensuite invité à télécharger
une applicat ion générant des soi-disant codes de
sécur ité à usage unique.
En acceptant cette opt ion, l’utilisateur télécharge
une sorte de RAT (Remote Access Trojan) qui
récupère toutes les données de connexion ut ilisées
lors des processus de double authentification
d’applicat ions bancaires.
Les menaces pesant sur les mobiles concernent
un ut ilisateur sur deux en France, rappelant si
besoin est de la nécessité de smar tphones
sécur isés dans les entrepr ises françaises et de
compor tements responsables des usagers.
La correction du bug Heartbleed a-t-elle fait pis que mieux? Panique et précipitat ion sont les
ennemis du programmeur en cas de
bug majeur .
Le cas Heartbleed l’illustre bien
puisqu’il semblerait que des
administrateurs auraient introduit le
bug le plus médiat ique du moment sur
cer tains serveurs, confondant les
bonne et mauvaise versions dans la
foulée.
C’est le cas des sites de Vivaldi
Technologies qui, auparavant
épargnés, se sont retrouvés
confrontés au bug après une mise à
jour . La piste semble mener vers une
erreur humaine, bien qu’il ne soit pas
exclu que les premières analyses
n’aient pas repéré Heartbleed dès le
dépar t.
Quand le mieux devient l’ennemi du
bien…
Les APT sont-elles devenues la norme? Les Advanced Persistent Threats, soit
les attaques informatiques avancées,
seraient devenues la norme, selon
une étude de l’exper t en sécur ité
informatique W ebsense.
Si la par t de médiat isat ion de cette
affirmation, visant sans doute à
alimenter le complexe militaro-
industr iel qui fait pet it à pet it loi dans
le cyberespace, n’est pas à oublier , il
est indéniable que les cyberattaques
se sont largement peaufinées.
L’achat ou la locat ion de malwares, la
diffusion des code-source ou la vente
d’exploits, via des circuits
cybercr iminels parallèles, a permis
une montée en puissance des pirates
qui fait écho à l’explosion du marché
cybercr iminel (cf 360°, W ar Ram avril
2014 ).
L’éude complète est disponible via le
lien ci-dessous :
http:/ / www.websense.com/ content
/ websense-2014-threat-
repor t.aspx?cmpid=prnr4 .3 .14
LES ATTAQUES DDOS DANS LE MONDE
Si la nécessité de protéger votre entrepr ise des attaques DDoS ne vous avait pas encore effleuré l’espr it , la car te ci-
dessus, représentant les attaques par déni de service dans le monde, pourrait bien vous faire changer d’avis. Produite
par Google et Arbor Networks, vous pourrez la trouver à cette adresse: http:/ / www.digitalattackmap.com
Mauvais score pour FireEye et AhnLab Voilà bien une publicité dont FireEye et
AhnLab se seraient bien passés. Les
géants de la cybersécur ité ont
récemment obtenu un score « en
dessous de la moyenne » en ce qui
concerne leur système de détection
d’attaques.
Le test, conduit par NSS Labs, s’est
conclu par un « avertissement » aux
entrepr ises envisageant l’achat d’un
produit FireEye.
FireEye a vite répliqué en déclarant
que le test ne témoignait en r ien de
l’efficacité vér itable de ses produits.
La discussion NSS Labs et la
compagnie leader du marché a
d’ailleurs donné lieu à des échanges
plutôt houleux sur la toile et les
réseaux sociaux.
360°
3 Mai 2014
L’Anssi va obliger les OIV à mieux se protéger Pour préserver la France d’une
cyberattaque potent iellement
ravageuse, l’Anssi va bientôt se doter
d’out ils législat ifs pour forcer les
opérateurs d’importance vitale à se
mettre aux normes.
La nouvelle a déclenché des réact ions
mit igées de la par t de cer tains
industr iels qui y voient une
augmentation des coûts. Guillaume
Poupard, le nouveau chef de l’Anssi, se
veut rassurant en rappelant que les
points aboutissant à une mise au norme
devront être facilement « applicables »
pour être respectés.
La complexité du sujet r isque
néanmoins d’en effrayer plus d’un, et il
n’est pas exclu que des spécialistes des
systèmes d’information cr it iques comme
Bull, Thalès ou Sogeti (Capgemini) ne se
saisissent de ce qui pourrait être un
marché potent iel.
L’Iran passe à l’offensive: le groupe Ajax sort de l’ombre Ajax Security Team est le nom d’un groupe de pirates
iraniens qui élaborent des malwares dans le but de
voler des données confident ielles d’entrepr ises
amér icaines.
Selon FireEye qui a révélé cette information, le groupe
Ajax aurait été fondé par deux pirates, "Hurr!c4nE!" Et
"Cair3x", et a déjà été à l’or igine de piratages de
grande ampleur . Ajax aurait touché des entrepr ises de
la défense amér icaine et dérobé des secrets
industr iels, mais aucun nom n’a été cité.
Cet épisode n’est pas sans rappeler une supposée
attaque touchant le secteur français de la défense, et
souligne la per t inence du renforcement des polit iques
de cybersécur ité des OIV voulu par l’Anssi.
La Belgique suspecte la Russie d’avoir espionné ses réseaux Les renseignements belges auraient déterminé que le M inistère des affaires étrangères a été infecté par le malware Ouroboros, que l’on suspecte d’être russe d’or igine. La cible des pirates serait selon toute probabilité des câbles diplomatiques traitant de la situat ion en Ukraine.
Open SSL doit-il disparaître? La faille Heartbleed relance le débat sur
l’avenir d’OpenSSL.
Pour JD Sherry de Trend Micro, il faut
envisager de récompenser les
développeurs talentueux qui par t iraient
à la chasse au bug.
Cette prat ique du Bug Bounty qui est
déjà répandue chez les GAFA est un
aveu bienvenue que la sécur ité absolue
n’existe pas.
Poul-Henning Kamp de FreeBSD appelle
sans ménagement à la mor t d’OpenSSL,
devenu obsolète, inut ilement complexe,
voire trompeur . Le vrai danger réside
aussi dans le fait que puisqu’OpenSSL
ser t de modèle à beaucoup de
programmes de chiffrement, une faille
touchant le programme se répercute
ailleurs.
Quant à l’éditor ialiste et développeur
Kode Vicious d’ACM Queue, il semble
avoir trouvé un compromis. Sans
abandonner l’Open Source, il préconise
une API plus simple d’ut ilisat ion pour
éviter les er reurs, et une flexibilité qui
permettrait de changer rapidement et
simplement d’API en cas de bug
majeur . Menaces avancées: la France gravement touchée en Europe La compagnie FireEye s’est concentrée
sur les cyberattaques ut ilisant les APT
(qu’elle définit comme des cyber
attaques contournant les défenses
tradit ionnelles que sont les pare-feu, les
IPS, les ant i-virus…).
Le géant de la cybersécur ité a pu
démontrer que la France, l’Angleter re,
la Suisse et l’Allemagne étaient
largement touchées (71% des
infect ions détectées sur le cont inent
concernent ces pays).
En outre, la France est avec le
Royaume-Uni le pays qui compte le plus
de secteurs touchées par ces attaques
avancées.
Ref:
ht tp:/ / www.fireeye.com/ fr / fr / news-
events/ press-releases/ read/ rapport-
europeen-atr-de-fireeye-la-france-est-le-
pays-europeen-ou-lon-compte-le-plus-de-
secteurs-touches-par -les-attaques-
avancees
Chasse aux hackers en Ukraine Alors que les fuites relat ives au conflit
ukrainien pullulent de façon plus ou
moins oppor tune (on pense notamment
à ce câble diplomatique amér icain
publié par W ikileaks dévoilant les
secrets de la posit ion amér icaine), les
pirates, qu’ils soient civils, militaires ou
instrumentalisés, deviennent des cibles
de choix.
Le blog CyberW arNews, déjà connu
pour la diffusion de leaks précédents (cf
W ar Ram avril 2014 ), a été sous le
coup d’une enquête du dépar tement de
la just ice amér icain pour sa
collaborat ion avec des pirates
prétendant appar tenir au collect if
Anonymous Ukraine.
Ces derniers s'étaient récemment
occupés de faire fuiter massivement
des documents confident iels « à la
Russe » (voir capture d’écran ci-contre),
ce qui laisse planer quelques doutes sur
un possible téléguidage du Kremlin.
Cyberdéfense
L’autoproclamée antenne Anonymous Ukraine a déclaré à CyberW arNews qu’elle avait piraté le mail de Laurynas Jonavicius, conseillère du Président lituanien. Ces échanges démontreraient que Vitali Klitschko, homme polit ique ukrainien et ancien boxeur , serait manipulé par les puissances occidentales. L’ar ticle or iginal comme les documents ont depuis été suppr imés.
Avenir du PC, les systèmes neuromorphiques Le cerveau est un ordinateur bien plus
puissant qu’un supercalculateur. S’inspirant
du cerveau humain, les chercheurs de
Stanford aspirent donc à greffer des
Neurocores sur des Neurogrids, c’est -à-dire
des processeurs maison valant 65 .536
neurones greffés sur des PCB en « arbre ».
Si le résultat en termes d’opérat ions
calculées est très prometteur, le gouffre
énergét ique représenté par l’ut ilisat ion des
Neurogr ids balance l’impact de la
découver te..
360°
4 Mai 2014
Google se fait retoquer en Europe La Cour européenne de justice, à rebours de l’avis de l’avocat général, a conclu que Google était responsable du traitement des données personnelles qu’il collecte. Concrètement, cela signifie qu’un ut ilisateur pourra sous cer taines condit ions obtenir la suppression des liens vers des pages Internet le concernant. Pour ce faire, la recherche doit concerner ses nom et prénom et des raisons par t iculières just ifiant d’un intérêt prépondérant du public à avoir accès à cette information doivent exister . La nouvelle donne un peu plus de droit au citoyen lambda, la formule reste néanmoins floue et avant qu’elle ne soit applicable, il faudra cer tainement attendre plusieurs procès qui feront jur isprudence. Parallèlement, Google s’est aussi fait retoquer par la CNIL allemande sur sa polit ique de données personnelles, une pomme de discorde récur rente avec l’Europe. Le géant amér icain a ainsi été condamné à changer sa polit ique qui lui permet de fusionner les données de plus de soixante services à par t ir du seul compte Gmail, permettant un profilage jugé intrusif par la CNIL.
L’Intelligence Artificielle, la prochaine bataille des réseaux sociaux Un rappor t de Business Intelligence montre que l’avenir des réseaux sociaux passera par l’intelligence ar t ificielle. Des géants comme Google, Facebook, LinkedIn ou Pinterest ont déjà acquis des compagnies spécialisées dans l’intelligence ar t ificielle, la reconnaissance faciale, vocale ou le traitement sémantique des données. L’object if avoué : exploiter la masse de données créée tous les jours par les ut ilisateurs.
Un nouvel algorithme entend "secouer la cryptographie" Le problème du logarithme discret, un
des "graals" de la théor ie
algor ithmique ut ilisé dans la
cryptographie des services
informatiques, a été résolu en par t ie
par des chercheurs français du
Laboratoire lorrain de recherches en
informatique.
La sécur ité d’une var iante complexe
de ce logar ithme discret a été mise à
mal par un algor ithme élaboré par les
chercheurs du laboratoire.
L’impact pour la cryptographie est
réelle et pour la cybersécur ité
également, puisque cela permet en
théor ie d’amoindr ir la défense de
cer tains systèmes.
Les résultats des recherches et
l’algor ithme des chercheurs seront
présentés lors de la conférence
internationale Eurocrypt 2014 qui se
t iendra à Copenhague jusqu’au 15
mai.
Null CTRL, cette enquête qui met la pression sur les objets connectés Bien que les objets connectés restent por teurs
de croissance à cour t et moyen terme, ces
derniers suscitent néanmoins des inquiétudes
quant à la sécur ité des données pr ivées et à la
faible protection contre le piratage de ces
appareils.
Null CTRL, une enquête réalisée par des
journalistes norvégiens démontre qu’il n’est pas
nécessaire d’avoir des compétences
informatiques poussées pour pirater des objets
connectés.
La preuve étant, plusieurs milliers d’entre eux
étaient accessibles sans mot de passe et
faciles à trouver grâce au moteur spécialisé
Shodan.
L’incident, très grave, démontre que le rôle de
l’Etat dans le renforcement des mesures les
plus basiques de cybersécur ité devient une
pr ior ité.
Cyberculture
Le Neurogrid, créé par le chercheur Kwabena Boahen de Stanford, peut simuler plus d’un millions de neurones
et un milliard de connexions de synapses. Cette découverte pourrait surtout être utile à la robotique, avec
l’intégration de Neurogrids dans des prothèses de membres pour aider aux opérations complexes.
Vous pouvez consulter plus en détails les informations sur cette invention ici:
https:/ / www.youtube.com/ watch?v=D3 T1 tiVcRDs
INTERNET, ARCHITECTURES DU WEB ET ENJEUX DE PUISSANCE
5 Mai 2014
Dans « La Cité des Permutants », l’auteur
australien Greg Egan décr it un monde futur iste
où l’immor talité est rendue possible grâce à une
technologie sauvegardant ent ièrement notre
configurat ion neuronale à l’intér ieur d’un monde
vir tuel – at teignant, de fait , une sor te
d’"immortalité". Mais l’éternité a un tr ibut : la
survie de leur copie dépend du suppor t
informatique et des infrastructures réelles.
On pourrait longuement débattre de ce livre (qui
va en réalité bien plus loin que ce simple
postulat), mais l’argument fait sens. Les
infrastructures du Net sont la colonne
vertébrale sur lequel s’ar t icule le colosse vir tuel
que forme « l’Internet ».
A l’occasion de l’annonce du Plan Cyber français
et à la faveur des révélat ions polémiques
d’Edward Snowden, l’at tent ion s’est repor tée sur
ces infrastructures sensibles (les Data Centers,
les câbles sous-marins et les supercalculateurs)
et l’intérêt stratégique qu’elles représentent .
A l’or igine de termes aussi for ts que "cloud
souverain" ou "gouvernance de l’internet", on
retrouve la quest ion de technologies physiques
dont le développement et la pérennisation sont
d’une impor tance capitale.
LES EXPERTS
Stéphane Leroy, de la W ar R@m, a eu la chance
de pouvoir publier un guest post chez Charles
Bwele, le fameux tenancier d’Electrosophere et
membre fondateur de l’Alliance Géostratégique.
Un ar ticle que l’on vous propose dans la RAM de
mai.
Les data centers, futurs coffre-fort numériques ?
La quest ion de la maîtr ise des données personnelles par le biais de data centers a déjà été posée par Dilma Rousseff. En revanche, celle de son applicat ion technique est plus contestable quand on sait à quel point les données personnelles (et le cloud) peuvent rebondir d’un data center à un autre au niveau planétaire.
Choisir de conserver la mainmise sur ses données, toutes ses données, est utopique. A l’heure actuelle, la copie et l’industr ialisat ion de la copie font que le cloisonnement à l’échelle des données d’un pays révèle du secret des anges. De même que le projet d’un « Internet européen » ou autre vœu pieu : créer une autarcie numér ique est un doux rêve dont cer tains devraient se dépar t ir .
En revanche, il est possible d’assurer la protection des données sensibles via des data centers dédiés, dans un pays où les condit ions géopolit iques sont stables, les avancements technologiques suffisantes et le t issu jur idique protecteur .
Cer tains États peuvent très vite réut iliser ces éléments pour devenir des paradis à data, à l’image de la Suisse qui se redir ige vers la
sécur isation des données dématér ialisées. Pour un pays, devenir un coffre-fort numér ique peut représenter un avantage géopolit ique déterminant. Si, en France, il est peu crédible que l’on se dir ige vers un disposit if aussi cadenassé que le disposit if helvète, le développement d’un maillage et d’un Cloud relat ivement sécur isé est une condit ion sine qua none du développement des entrepr ises tr icolores sensibles.
En ce sens, elle constitue un enjeu géopolit ique et économique for t , qu’il convient de soutenir en pr ivilégiant les acteurs nat ionaux et en relevant le niveau des prestataires de sécur ité, notamment pour bénéficier aux OIV. Le récent r isque de black out sur l’Internet français démontre à quel point cette architecture est à la fois un facteur de puissance mais aussi une cible de choix.
La Loi de Programmation M ilitaire n’a d’ailleurs pas suffisamment creusé la quest ion essentielle des standards de sécur ité [1 ], mais l’ANSSI viendra cer tainement jouer les régulateurs sur ce point .
(Suite p. 6 )
La Présidente brésilienne Dilma Rhousseff a finalement fait volte-face et abandonné l’idée de data centers locaux, face à la fronde conjointe des exper ts, analystes et compagnies qui cr it iquaient l’inutilité d’une telle décision.
Comme nous le soulignions déjà dans la RAM d’avr il, la possibilité d’un trou noir (soit une coupure brutale d’Internet), pour rait subvenir aux Etats-Unis à la suite d’attaques sur les infrastructures sensibles, comme les centrales électr iques(ci-haut, en photo). Il suffirait de 9 destructions de centrales pour plonger le pays dans le black-out pour 3 ans, selon un rappor t publié par le gouvernement amér icain.
6 Mai 2014
Câbles sous-marins et
supercalculateurs: vitesse et
puissance des infrastructures
Parallèlement, la France a un
ascendant technologique net dans deux
domaines : les câbles sous-mar ins
(Alcatel-Lucent) et les
supercalculateurs (Bull).
Les premiers ont gagné une notor iété
imprévue à l’occasion de l’affaire
Snowden, pour leurs liens avérés avec
la surveillance des réseaux. Pour
autant, disposer de la technologie
permettant la pose, l’entret ien et la
sollicitat ion des câbles, clef de voûte du
cyber espace, demeure une activité
stratégique car elle revient à contrôler
ses lignes de communication, un
facteur essentiel de la stratégie de
puissance (si l’on accepte l’analogie
avec les théories navales de l’amiral
Corbett [2 ]). Le projet de Dilma
Rousseff aurait -il été possible sans
cette technologie ? La réponse est
clairement non – bien que là encore, la
faisabilité du projet en soi fait débat.
Parallèlement, les supercalculateurs
sont moins connus, mais appar t iennent
à ces technologies en avance sur leur
temps et potent iellement
déterminantes. Un supercalculateur,
c’est un ordinateur capable d’effectuer
en quelques secondes des opérat ions
qui nécessiteraient 150 ans à un
ordinateur classique. La France est la
première en Europe pour ces
technologies, mais la course au niveau
mondial est acharnée.
Pour tant, les quest ions de Big Data et
de Cloud sont inéluctablement liées à la
puissance de calcul, et si l’on par t du
pr incipe, très galvaudé mais qui t ient
une par t de vér ité, que la data sera le
pétrole de ce siècle, il faut des
supercalculateurs. Sur ce point, il faut
admettre que l’État a pr is la mesure de
l’impor tance stratégique de ces
derniers [3 ].
SUITE ARTICLE P.5
Pourquoi il importe de conserver
et pérenniser ses savoirs ? L’actualité récente a démontré
l’impor tance de conserver des
technologies souveraines ou, à défaut,
de remplacer ces dernières par des
technologies open source (encore une
fois, cette solut ion de rechange est
sous-exploitée…). L’omniprésence des
GAFA et l’hégémonie de M icrosoft
dans les systèmes d’exploitat ion
sapent encore la conduite d’opérat ions
sensibles et la protection des données
des entrepr ises, premières vict imes
de l’espionnage industr iel état ique (je
n’évoque pas ici à dessein la
surveillance des citoyens, car
l’espionnage de la tentaculaire NSA a
moins comme object if de connaître
Madame M ichu que de piller les
secrets technologiques).
Il devient déterminant pour nous de
pouvoir dire que l’on « sait faire ». Il
est impossible de revenir en ar r ière.
On ne peut pas récr ire l’histoire. Mais
tout comme nous possédons des
avions de chasse, des sous-marins
nucléaires ou des unités spécialisées
comme le GIGN, il faut cult iver nos
savoir -faire dans le cyber , car dans dix
ans il sera trop tard.
A l’heure de services liant réalité et
cyberespace comme les technologies
de Machine to Machine ou le Cloud et
de vers informatiques capables de
détruire des centr ifugeuses, on sait
désormais que le « réel » et le
« vir tuel » ne sont plus deux mondes
dissociés.
Le numér ique change profondément
tous les aspects de notre vie : une
déclarat ion sous forme de lapalissade
qui rendrait notre inact ion que plus
dommageable.
Par Stéphane Leroy
@LRCyber
Source: [1 ]« OIV : Protéger les Opérateurs d’Importance Vitale : une ambition nationale », Mag Securs n°4 1 – 1 er trimestre 2 0 1 4 [2 ] Lire aussi « Mahan and Corbett on Maritime Strategy », O’Lavin, Brian, Naval W ar College, 2 0 0 9 [3 ] Rapport gouvernemental sur la France en 2 0 2 0
Ci-haut, une car te des câbles sous-mar ins européens, réalisée par la société d’études TeleGeography. Ces derniers sont les “ar tères” de l’Internet mondial, et leur impor tance fait que Internet ne peut quasiment jamais “tomber ”. Notez par ailleurs comment le Royaume-Uni est devenu le point nodal en Europe des câbles sous-mar ins.
7 Mai 2014
Les agences de renseignement s’intéressent au SSL, mais pas dans le but de pirater vos comptes Amazon ou eBay. Après 2001 , des groupes comme Al Quaida ont développé des techniques pour échapper à la surveillance sur le net. L’une de cette technique consistait à ut iliser des VPN (Réseaux Pr ivés Vir tuels). Cer tains VPN ut ilisent Open SSL. Etre capable de pénétrer un VPN représente pour tout service de renseignement majeur un intérêt indéniable et on peut logiquement s’imaginer que de nombreux VPN ont été piratés, pas juste par la grande méchante NSA, mais par d’autres pays disposant également de capacités solides en cyberdéfense et en techniques de chiffrement. De la même manière que des pirates peuvent exploiter un code source, les agences de renseignement en font de même. Si cer taines personnes ont choisi de casser le SSL, ils l’ont fait après 2002 et avant 2010 , ce qui suppose que Heartbleed n’a r ien de nouveau et n’est cer tainement pas synonyme de fin du monde. Allez-y, changez vos mots de passe si cela vous rassure, mais le recours à ces derniers comme moyens de protection a échoué il y a des années de cela. Les autor ités des marchés financiers précisaient déjà en 2005 que les banques devaient ar rêter de se reposer sur l’ut ilisat ion de mots de passe, et la plupar t des établissements ont adopté la double authentification (le mot de passe couplé à un code numér ique envoyé par la banque). Se reposer uniquement sur les mots de passe pour sa sécur ité est simplement r isible. Il y a aussi eu des cr is d’or fraie quant au fait que la NSA connaissait ou non la faille Heartbleed, et sur le fait que cette dernière n’aurait pas communiqué sur le sujet. La Maison Blanche et l’agence de renseignement ont fermement démenti ces accusations. Un démenti aussi ferme est inhabituel et laisse à penser que la NSA n’a pas gardé Heartbleed secrète. Cer tes, l’agence de renseignement trouve ou achète des vulnérabilités dans un programme (il y en a tant) et elle prévient aussi l’entrepr ise qui produit ce programme – mais pas toujours, et pas immédiatement.
(Suite p.8 )
OUT-OF-THE-BOX
La découver te de Heartbleed, du nom de cette vulnérabilité dans Open SSL, un protocole grand public de chiffrement, vient compléter une longue liste d’histoires toutes plus r idicules que les autres sur la cybersécur ité. Il y a une vraie quest ion qu’il faut se poser . L’er reur de programmation a été réalisée il y a plus de deux ans. Depuis, il y a plus d’une dizaine d’attaques majeures de sites web d’entrepr ises, causant plus d’une centaine de millions de dollars de per tes et dévoilant les informations personnelles de centaines de millions de consommateurs. A votre avis, combien de ces attaques impliquaient Heartbleed ? Bravo si vous avez répondu zéro. Des millions de données compromises et aucune d’entre elles ont été obtenues à cause de Heartbleed. Il s’agit du meilleur indicateur de la dangerosité de la faille. Pour prendre l’exemple le plus récent, les personnes à l’or igine du piratage de Target ont ut ilisé quelque chose de plus sophist iqué que Heartbleed. Les cybercr iminels sont des pirates qui veulent se faire de l’argent, autant d’argent que possible. Pour se faire une idée de l’ut ilité de Heartbleed pour les cr iminels, il suffit de faire un tour sur les sites où ils échangent, où des millions de données personnelles sont disponibles à la vente. Heartbleed n’est qu’une vulnérabilité parmi tant d’autres, et les cr iminels ont de meilleurs moyens d’extorquer de l’argent des entrepr ises. Il y a de nombreuses étapes entre le piratage et le retour sur invest issement. Les cybercr iminels, pour la plupar t des professionnels, ont recours aux techniques les plus efficaces. Il s’agit de personnes qui cherchent à se faire des millions de dollars. Elles prennent par t à des cr imes d’ampleur industr ielle, pas au piratage au cas par cas de comptes individuels.
A rebours des déclarations alarmistes sur le
bug Heartbleed, James Andrew Lewis,
chercheur pour le Center for Strategic and
International Studies, a publié une tr ibune
assassine sur ce qu’il qualifie de mauvais
mélodrame.
Avec sa permission, nous retranscr ivons, en
français et sans altération, son point de vue.
Voler votre mot de passe, accéder à votre compte, récupérer les informations de votre car te de crédit , t rouver un moyen d’industr ialiser ce processus jusqu’à le réaliser des centaines de milliers de fois et, enfin, trouver un moyen pour finalement en t irer profit est beaucoup trop chronophage. Heartbleed est une vulnérabilité dans le protocole open source SSL. Le code open-source (en termes simples) est un « modèle » représentant les instructions qui doivent être exécutées pour ar r iver à un programme comme le SSL. L’accès au code-source est une étape cruciale pour décrypter ou pirater un programme. Puisque le code est open source, n’impor te qui, hackers ou agences de renseignements, peut l’obtenir . L’open source ne permet pas un piratage facile pour autant. Il fut un temps où la vulnérabilité de celui-ci faisait débat, alors que des entrepr ises vendaient des programmes pr ivés en prétendant que l’open source n’était pas fiable. Ce temps est révolu. Les bénéfices d’un logiciel open source l’empor tent largement sur les r isques, même si cela ne suppose pas que le r isque est devenu inexistant. Il y aura toujours un programmeur pour faire une er reur, et tout programme, libre, open source ou propr iétaire est sensible aux « exploits ». Open SSL ne fait pas exception à la règle.
HEARTBLEED, QUAND LA CYBERSÉCURITÉ FAIT DANS LE MÉLO
8 Mai 2014
SUITE ARTICLE P.7
Bien qu’il soit à la mode et plutôt
commode d’accuser la NSA pour
tous les problèmes que connait
internet, ce n’est pas toujours
pertinent. Il y a un marché noir en
pleine expansion d’exploits, avec
de nombreuses compagnies et
des États comme clients. La NSA
mesure la menace que ces
r isques posent pour la société et
la sécur ité nat ionale, avant de
prendre la décision de not ifier ou
pas la vulnérabilité aux
développeurs du programme
concerné.
De nombreuses compagnies
rappor tent ainsi que la NSA (ou
une autre agence fédérale) les a
déjà aler tés pour faire état d’une
faille dans leur produit . Nous ne
savons pas en revanche si chaque
faille est not ifiée, et cela ne se fait
pas en fanfare parce que cela
donnerait un avantage aux
cybercr iminels.
L’expression, péjorat ive et
inadéquate, « stocker des
vulnérabilités » est souvent
avancée pour donner du poids à
une cause polit ique. Le phrasé ne
décr it pas avec précision
comment les vulnérabilités sont
ut ilisées. On stocke des armes
nucléaires. On stocke des
missiles. Associer ce terme aux
"exploits" consiste à renvoyer une
image déformée et sinistre de la
réalité, ajoutant par là-même aux
opposants de la militar isat ion du
cyberespace une touche
émotionnelle à leurs arguments.
L’émotion ne doit pourtant pas
prendre le pas sur l’analyse.
Rappelons que l’or igine du
cyberespace est militaire : il
s’agissait d’un projet du M inistère
de la défense amér icain, et la
Chine, la Russie et les Etats-Unis
ont commencé à développer des
out ils militaires dès les années
90 . Plusieurs autres Etats font
désormais de même. Par ler d’un
cyberespace démilitar isé revient à
dire que si les Etats-Unis
abandonnaient les avions de
guerre, l’espace aér ien mondial
deviendrait un havre de paix.
L’object if a beau être noble, il n’en
demeure pas moins ir réaliste et
inatteignable. Ceux qui savent
comment les vulnérabilités sont
ut ilisées pour créer des exploits
par lent d’ailleurs d’une
« bibliothèque d’ouvrages de
référence » plutôt que d’un « stock
de missiles », mais le terme est
loin d’être suffisamment menaçant
pour avoir un impact émotionnel.
Que le programme SSL puisse
être piraté n’a pour tant r ien de
surprenant. Celui-ci a été créé en
1994 : malgré des améliorat ions
et des mises à jour , les pirates
ont eu tout le loisir de l’étudier .
SSL (et ses successeurs) ne sont
au final que des protocoles de
chiffrement de niveau moyen
pr incipalement dest inés au e-
commerce – des millions de
transactions à faible valeur
marchande.
La force du protocole SSL a été
de permettre aux personnes de se
lancer dans le commerce en ligne
tout en permettant un contrôle
relat if des r isques. Heartbleed n’a
pas vér itablement révolut ionné cet
état de fait , comme l’absence de
piratages vér itablement nocifs l’a
démontré. SSL n’a pas éliminé les
r isques, il les a simplement
réduits à un niveau acceptable
pour les transactions individuelles.
Le piratage de Digi-Notar en
Septembre 2011 (probablement
par l’Iran) impliquait déjà une
brèche des cer t ificats SSL. Il s’agit
là d’un « hack » autrement plus
sophist iqué que celui de
Heartbleed qui démontre que
cette dernière faille n’était
finalement pas la plus nuisible des
failles SSL, seulement la plus
médiat isée.
On peut toujours cont inuer à se fourvoyer en faisant de Heartbleed une cr ise majeure. De sor te que si les pirates amateurs du monde ent ier ignoraient tout des vulnérabilités SSL, ce n’est plus le cas désormais. Les « hackers » sont des gens cur ieux : la plupar t seront tentés d’essayer ce « hack » pour voir s’il fonct ionne. Si toute l’agitat ion autour de Heartbleed aboutit à une améliorat ion du SSL, le progrès sera indéniable. Mais le chemin sera long, et entre temps, il faudra s’attendre à plus de bruit et plus de r isques. Par James Andrew Lewis @Center for Strategic and International Studies. Tous droits réservés. http:/ / csis.org/ publication/ heartbleed-cybersecurity-melodrama
VULNERABILITES SUR LE SYSTÈME SATELLITAIRE SATCOM
9 Mai 2014
PIMP MY OPSEC
Lorsque l'at taquant parvient à prendre le
contrôle de pér iphér iques physiques
SATCOM ut ilisés pour communiquer avec
les satellites en orbite, il est en mesure de
per turber le déroulement d'une opérat ion
ou d'avoir accès à l'ensemble de
communications associées à la mission.
On les retrouve sur des navires, des avions
civils et militaires, des services d'urgence,
des grands médias télévisuels, de
nombreuses installat ions industr ielles, des
plate-forme pétrolières ou gazières, des
réseaux de pipelines, des usines de
traitement d'eau, des centrales éoliennes,
des centres de télécommunication) la liste
est longue et concerne cer taines
infrastructures cr it iques.
Des milliers de disposit ifs SATCOM sont
concernés par cette aler te de sécur ité.
Les vulnérabilités affectent les terminaux
suivants :
Harris BGAN
Hughes BGAN M2M
Cobham BGAN
Marine VSAT and FB
Cobham AVIATOR
Cobham GMDSS
Selon le journal Guardian, les fabr icants
br itanniques Cobham et Inmarsat, et
amér icains Harris Corporation, Hugues et
Iridium commercialisent des systèmes
SATCOM fragilisés par ces vulnérabilités.
L'étude menée par IOActive insiste sur le
terminal Harris RF-7800 B, offrant une
solut ion satellite haute per formance en
voix et données à ses clients militaires qui
cont ient plusieurs vulnérabilités.
L'attaquant qui les exploite peut installer un
firmware malveillant ou exécuter du code
arbitraire sur le système. On imagine sans
peine les oppor tunités de
cybermanipulat ion ou de cybersubversion
accessibles à par t ir de ces faiblesses.
L'étude souligne également le cas d'avions
militaires amér icains équipés du système
SATCOM Cobham AVIATOR qui assure les
communications en vol de l'appareil.
Là encore, une cyberattaque sur le
système permettrait de per turber et de
compromettre les échanges et les ordres
durant le vol.
Des patchs cor rectifs sont en cours de
construction et seront systématiquement
proposés aux différents clients impactés
par ces défauts de sécur ité préoccupants.
Par Thierry Berthier
Maître de conférences en mathématiques,
Professeur au sein d'un dépar tement
informatique universitaire
CyberLand
Les cyberattaques ne se limitent plus aux infrastructures ter restres et peuvent toucher aujourd'hui un système de communication par satellite comme SATCOM . Les opérateurs satellitaires sont alors confrontés à des défis de sécur ité croissants puisque leurs installat ions jouent un rôle stratégique dans les secteurs militaires et civils. Une société spécialisée en cybersécur ité (IOActive) vient de publier une étude après la découver te de plusieurs vulnérabilités cr it iques affectant les terminaux satellitaires SATCOM . L'étude complète est disponible à par t ir du lien ci-dessous (ndlr : consultez la page suivante pour obtenir la liste des vulnérabilités découver tes par IOActive) : http:/ / www.ioactive.com/ pdfs/ IOActive_SATCOM_Security_W hitePaper .pdf Selon cette étude, les terminaux SATCOM présentent des informations d'ident ificat ion codées en dur , des protocoles de connexions non sécur isés et des Backdoor permettant de prendre le contrôle du système. Lorsque l'on sait que ce système satellitaire est régulièrement ut ilisé par les armées, les services gouvernementaux et les grands groupes industr iels, on imagine aisément les r isques associés à ces vulnérabilités. En les exploitant, un attaquant pourrait intercepter, manipuler ou bloquer des communications sensibles et, dans cer taines circonstances, prendre le contrôle à distance de disposit ifs liés aux infrastructures SATCOM ut ilisés à l'occasion d'opérat ions militaires.
Thierry Berthier, maître de
conférences en mathématiques et
propr iétaire du blog Cyber land, revient
sur les vulnérabilités des
communications satellites (SATCOM) à
l’occasion des révélations de la société
de cybersécur ité IOActive.
Sur ce schéma, on constate à quel point les satellites demeurent au centre des disposit ifs de communication militaires. A la façon d’une attaque MITM, toucher un satellite permet dès lors de toucher tout les disposit ifs, humains ou matér iels, qui se reposent sur les communications par satellite.
Appel à contributeurs Cette newsletter mensuelle
s’adresse à une
communauté ciblée et se
construit sur un modèle
collaboratif, s’inspirant d’une
démarche open source dans
le souci d’un par tage de
connaissances.
De fait , elle vit et s’enr ichit
de ses contr ibuteurs, pour
la plupar t des exper ts dans
leurs domaines respect ifs,
et de fait nous sommes
toujours à la recherche de
contr ibutions diverses.
Si publier par notre biais
vous intéresse, n’hésitez pas
à nous à contacter pour en
discuter plus en détails.
Cordialement,
La Rédact ion
War R@M vous est proposée le dernier vendredi de chaque mois
et est disponible en ligne. C’est une publicat ion libre, vous pouvez
donc la par tager sans réserves, à condit ion de respecter la
propr iété intellectuelle des personnes qui y publient.
Vous pouvez aussi suivre notre actualité et bénéficier de nos
ressources en ligne par le biais de notre compte Slide Share : http://fr.slideshare.net/WarRam
War R@m – Mai 2014
RESUME DES VULNERABILITES TROUVEES PAR IOACTIVE
Attention: Le tableau ci-dessous est extrait du rappor t d’IOActive sur la vulnérabilité des
télécommunications satellites. Celui-ci détaille toutes les vulnérabilités trouvées chez les prestataires
de services satellites en les listant selon les vendeurs, les produits, le type de vulnérabilité, le service
qui les produit et le dégré d’impor tance de la faille.
Ce tableau est la propr iété d’IOActive, Inc et de CERT Coordination Center.