Le Galaxy S5: la biométrie piratée

L’utilisation de la biométr ie dans le cadre de la sécur ité des infrastructures IT fait encore rage chez les professionnels; sa mise à disposit ion pour le grand public suscite une polémique plus grande encore. Ainsi, le Galaxy S5 a cédé, tout comme l’iPhone avant lui. Plus inquiétant, le moule d’empreinte utilisé est le même que celui ayant servi pour hacker l’iPhone. En outre, le mécanisme permet d’accéder à d’autres applications comme PayPal… et de faire des transactions! Heureusement, des alternatives de smar tphones sécur isés émergent, petit à petit.

La vidéo du mois

Pour pas grand-chose?

C’est la question qu’on est en droit de se poser face au déluge

extravagant d’informations catastrophées sur la sécur ité

informatique.

D’un côté, il faut se réjouir que l’appareil médiatico-polit ique se soit

(enfin!) saisi des questions de cybersécur ité.

D’autre par t, on ne peut que regretter les discours de postures,

les cr ies d’or fraie, les raccourcis rapides qui sapent plus qu’ils ne

confor tent une posture de cyberdéfense per tinente – tout en

alimentant, dans un effet pervers, une sor te de complexe militaro-

industr iel qui ne dit pas son nom.

Le cas Heartbleed est sans nul doute l’un des plus symptomatiques

de cet emballement comme le montre James Andrews Lewis,

chercheur au CSIS pour Out-Of-The-Box cette semaine.

Il y a pourtant des marges d’amélioration pour une cybersécur ité

réelle et pérenne de nos infrastructures: celle-ci passe, comme le

montre la tr ibune de Stéphane Leroy pour les Experts, aussi par la

protection des pendants physiques de l’Internet.

Enfin, notre contr ibuteur Thierry Berthier de Cyberland att irera

l’attention sur les communications satellites ou SATCOM , souvent

oubliées et pourtant extrêmement vulnérables. Notre contr ibuteur

expliquera en quoi pour Pimp My Opsec.

Et toujours, notre veille mensuelle 360°, qui se concentre sur

l’Ukraine, Open SSL, les Neurogrid et les mésaventures de Google

en Europe qui créent un précédent bienvenu.

Dans cette RAM de mai, puissiez-vous trouver, à rebours des

informations affolantes, un éclairage per tinent pour permettre à

chacun de s’or ienter dans la bonne direction afin d’éviter les pièges

de la précipitation et de la panique.

Afin d’éviter que, comme disait Césaire, « le fouet dispute au

bombillement des mouches la rosée sucrée de nos plaies ».

Bonne lecture.

L’E-DITO

Sommaire

Les gros titres

THE WAR R@M

L’Edito 360° Les Experts Out-of-the-Box Pimp my Opsec

#OpenSSL #Ukraine #Google

#DataCenters #SATCOM #HeartBleed

• Retrouvez aussi nos publications sur notre Slideshare.net/ W arRam

• Envie d’en savoir plus? Contactez-nous: redaction.warram@aim.com

• Les contr ibuteurs associés à ce numéro, pour leur contr ibut ion et leur sout ien, visible ou

invisible: James Andrew Lewis, Thierry Berthier, @lrcyber, @00x0 info @Mduqn

BEAUCOUP DE BRUIT…

FOLLOW THE W HITE RABBIT

Mai 2014

360°

2 Mai 2014

Cybersécurité & Entreprises

Un malware sous Android déjoue la double authentification Un malware plutôt élaboré menace depuis peu les

ut ilisateurs de Facebook qui consultent également

leurs banques sur leurs mobiles.

Après avoir diffusé un message faisant état de

plusieurs connexions frauduleuses à Facebook

mobile, l’ut ilisateur est ensuite invité à télécharger

une applicat ion générant des soi-disant codes de

sécur ité à usage unique.

En acceptant cette opt ion, l’utilisateur télécharge

une sorte de RAT (Remote Access Trojan) qui

récupère toutes les données de connexion ut ilisées

lors des processus de double authentification

d’applicat ions bancaires.

Les menaces pesant sur les mobiles concernent

un ut ilisateur sur deux en France, rappelant si

besoin est de la nécessité de smar tphones

sécur isés dans les entrepr ises françaises et de

compor tements responsables des usagers.

La correction du bug Heartbleed a-t-elle fait pis que mieux? Panique et précipitat ion sont les

ennemis du programmeur en cas de

bug majeur .

Le cas Heartbleed l’illustre bien

puisqu’il semblerait que des

administrateurs auraient introduit le

bug le plus médiat ique du moment sur

cer tains serveurs, confondant les

bonne et mauvaise versions dans la

foulée.

C’est le cas des sites de Vivaldi

Technologies qui, auparavant

épargnés, se sont retrouvés

confrontés au bug après une mise à

jour . La piste semble mener vers une

erreur humaine, bien qu’il ne soit pas

exclu que les premières analyses

n’aient pas repéré Heartbleed dès le

dépar t.

Quand le mieux devient l’ennemi du

bien…

Les APT sont-elles devenues la norme? Les Advanced Persistent Threats, soit

les attaques informatiques avancées,

seraient devenues la norme, selon

une étude de l’exper t en sécur ité

informatique W ebsense.

Si la par t de médiat isat ion de cette

affirmation, visant sans doute à

alimenter le complexe militaro-

industr iel qui fait pet it à pet it loi dans

le cyberespace, n’est pas à oublier , il

est indéniable que les cyberattaques

se sont largement peaufinées.

L’achat ou la locat ion de malwares, la

diffusion des code-source ou la vente

d’exploits, via des circuits

cybercr iminels parallèles, a permis

une montée en puissance des pirates

qui fait écho à l’explosion du marché

cybercr iminel (cf 360°, W ar Ram avril

2014 ).

L’éude complète est disponible via le

lien ci-dessous :

http:/ / www.websense.com/ content

/ websense-2014-threat-

repor t.aspx?cmpid=prnr4 .3 .14

LES ATTAQUES DDOS DANS LE MONDE

Si la nécessité de protéger votre entrepr ise des attaques DDoS ne vous avait pas encore effleuré l’espr it , la car te ci-

dessus, représentant les attaques par déni de service dans le monde, pourrait bien vous faire changer d’avis. Produite

par Google et Arbor Networks, vous pourrez la trouver à cette adresse: http:/ / www.digitalattackmap.com

Mauvais score pour FireEye et AhnLab Voilà bien une publicité dont FireEye et

AhnLab se seraient bien passés. Les

géants de la cybersécur ité ont

récemment obtenu un score « en

dessous de la moyenne » en ce qui

concerne leur système de détection

d’attaques.

Le test, conduit par NSS Labs, s’est

conclu par un « avertissement » aux

entrepr ises envisageant l’achat d’un

produit FireEye.

FireEye a vite répliqué en déclarant

que le test ne témoignait en r ien de

l’efficacité vér itable de ses produits.

La discussion NSS Labs et la

compagnie leader du marché a

d’ailleurs donné lieu à des échanges

plutôt houleux sur la toile et les

réseaux sociaux.

360°

3 Mai 2014

L’Anssi va obliger les OIV à mieux se protéger Pour préserver la France d’une

cyberattaque potent iellement

ravageuse, l’Anssi va bientôt se doter

d’out ils législat ifs pour forcer les

opérateurs d’importance vitale à se

mettre aux normes.

La nouvelle a déclenché des réact ions

mit igées de la par t de cer tains

industr iels qui y voient une

augmentation des coûts. Guillaume

Poupard, le nouveau chef de l’Anssi, se

veut rassurant en rappelant que les

points aboutissant à une mise au norme

devront être facilement « applicables »

pour être respectés.

La complexité du sujet r isque

néanmoins d’en effrayer plus d’un, et il

n’est pas exclu que des spécialistes des

systèmes d’information cr it iques comme

Bull, Thalès ou Sogeti (Capgemini) ne se

saisissent de ce qui pourrait être un

marché potent iel.

L’Iran passe à l’offensive: le groupe Ajax sort de l’ombre Ajax Security Team est le nom d’un groupe de pirates

iraniens qui élaborent des malwares dans le but de

voler des données confident ielles d’entrepr ises

amér icaines.

Selon FireEye qui a révélé cette information, le groupe

Ajax aurait été fondé par deux pirates, "Hurr!c4nE!" Et

"Cair3x", et a déjà été à l’or igine de piratages de

grande ampleur . Ajax aurait touché des entrepr ises de

la défense amér icaine et dérobé des secrets

industr iels, mais aucun nom n’a été cité.

Cet épisode n’est pas sans rappeler une supposée

attaque touchant le secteur français de la défense, et

souligne la per t inence du renforcement des polit iques

de cybersécur ité des OIV voulu par l’Anssi.

La Belgique suspecte la Russie d’avoir espionné ses réseaux Les renseignements belges auraient déterminé que le M inistère des affaires étrangères a été infecté par le malware Ouroboros, que l’on suspecte d’être russe d’or igine. La cible des pirates serait selon toute probabilité des câbles diplomatiques traitant de la situat ion en Ukraine.

Open SSL doit-il disparaître? La faille Heartbleed relance le débat sur

l’avenir d’OpenSSL.

Pour JD Sherry de Trend Micro, il faut

envisager de récompenser les

développeurs talentueux qui par t iraient

à la chasse au bug.

Cette prat ique du Bug Bounty qui est

déjà répandue chez les GAFA est un

aveu bienvenue que la sécur ité absolue

n’existe pas.

Poul-Henning Kamp de FreeBSD appelle

sans ménagement à la mor t d’OpenSSL,

devenu obsolète, inut ilement complexe,

voire trompeur . Le vrai danger réside

aussi dans le fait que puisqu’OpenSSL

ser t de modèle à beaucoup de

programmes de chiffrement, une faille

touchant le programme se répercute

ailleurs.

Quant à l’éditor ialiste et développeur

Kode Vicious d’ACM Queue, il semble

avoir trouvé un compromis. Sans

abandonner l’Open Source, il préconise

une API plus simple d’ut ilisat ion pour

éviter les er reurs, et une flexibilité qui

permettrait de changer rapidement et

simplement d’API en cas de bug

majeur . Menaces avancées: la France gravement touchée en Europe La compagnie FireEye s’est concentrée

sur les cyberattaques ut ilisant les APT

(qu’elle définit comme des cyber

attaques contournant les défenses

tradit ionnelles que sont les pare-feu, les

IPS, les ant i-virus…).

Le géant de la cybersécur ité a pu

démontrer que la France, l’Angleter re,

la Suisse et l’Allemagne étaient

largement touchées (71% des

infect ions détectées sur le cont inent

concernent ces pays).

En outre, la France est avec le

Royaume-Uni le pays qui compte le plus

de secteurs touchées par ces attaques

avancées.

Ref:

ht tp:/ / www.fireeye.com/ fr / fr / news-

events/ press-releases/ read/ rapport-

europeen-atr-de-fireeye-la-france-est-le-

pays-europeen-ou-lon-compte-le-plus-de-

secteurs-touches-par -les-attaques-

avancees

Chasse aux hackers en Ukraine Alors que les fuites relat ives au conflit

ukrainien pullulent de façon plus ou

moins oppor tune (on pense notamment

à ce câble diplomatique amér icain

publié par W ikileaks dévoilant les

secrets de la posit ion amér icaine), les

pirates, qu’ils soient civils, militaires ou

instrumentalisés, deviennent des cibles

de choix.

Le blog CyberW arNews, déjà connu

pour la diffusion de leaks précédents (cf

W ar Ram avril 2014 ), a été sous le

coup d’une enquête du dépar tement de

la just ice amér icain pour sa

collaborat ion avec des pirates

prétendant appar tenir au collect if

Anonymous Ukraine.

Ces derniers s'étaient récemment

occupés de faire fuiter massivement

des documents confident iels « à la

Russe » (voir capture d’écran ci-contre),

ce qui laisse planer quelques doutes sur

un possible téléguidage du Kremlin.

Cyberdéfense

L’autoproclamée antenne Anonymous Ukraine a déclaré à CyberW arNews qu’elle avait piraté le mail de Laurynas Jonavicius, conseillère du Président lituanien. Ces échanges démontreraient que Vitali Klitschko, homme polit ique ukrainien et ancien boxeur , serait manipulé par les puissances occidentales. L’ar ticle or iginal comme les documents ont depuis été suppr imés.

Avenir du PC, les systèmes neuromorphiques Le cerveau est un ordinateur bien plus

puissant qu’un supercalculateur. S’inspirant

du cerveau humain, les chercheurs de

Stanford aspirent donc à greffer des

Neurocores sur des Neurogrids, c’est -à-dire

des processeurs maison valant 65 .536

neurones greffés sur des PCB en « arbre ».

Si le résultat en termes d’opérat ions

calculées est très prometteur, le gouffre

énergét ique représenté par l’ut ilisat ion des

Neurogr ids balance l’impact de la

découver te..

360°

4 Mai 2014

Google se fait retoquer en Europe La Cour européenne de justice, à rebours de l’avis de l’avocat général, a conclu que Google était responsable du traitement des données personnelles qu’il collecte. Concrètement, cela signifie qu’un ut ilisateur pourra sous cer taines condit ions obtenir la suppression des liens vers des pages Internet le concernant. Pour ce faire, la recherche doit concerner ses nom et prénom et des raisons par t iculières just ifiant d’un intérêt prépondérant du public à avoir accès à cette information doivent exister . La nouvelle donne un peu plus de droit au citoyen lambda, la formule reste néanmoins floue et avant qu’elle ne soit applicable, il faudra cer tainement attendre plusieurs procès qui feront jur isprudence. Parallèlement, Google s’est aussi fait retoquer par la CNIL allemande sur sa polit ique de données personnelles, une pomme de discorde récur rente avec l’Europe. Le géant amér icain a ainsi été condamné à changer sa polit ique qui lui permet de fusionner les données de plus de soixante services à par t ir du seul compte Gmail, permettant un profilage jugé intrusif par la CNIL.

L’Intelligence Artificielle, la prochaine bataille des réseaux sociaux Un rappor t de Business Intelligence montre que l’avenir des réseaux sociaux passera par l’intelligence ar t ificielle. Des géants comme Google, Facebook, LinkedIn ou Pinterest ont déjà acquis des compagnies spécialisées dans l’intelligence ar t ificielle, la reconnaissance faciale, vocale ou le traitement sémantique des données. L’object if avoué : exploiter la masse de données créée tous les jours par les ut ilisateurs.

Un nouvel algorithme entend "secouer la cryptographie" Le problème du logarithme discret, un

des "graals" de la théor ie

algor ithmique ut ilisé dans la

cryptographie des services

informatiques, a été résolu en par t ie

par des chercheurs français du

Laboratoire lorrain de recherches en

informatique.

La sécur ité d’une var iante complexe

de ce logar ithme discret a été mise à

mal par un algor ithme élaboré par les

chercheurs du laboratoire.

L’impact pour la cryptographie est

réelle et pour la cybersécur ité

également, puisque cela permet en

théor ie d’amoindr ir la défense de

cer tains systèmes.

Les résultats des recherches et

l’algor ithme des chercheurs seront

présentés lors de la conférence

internationale Eurocrypt 2014 qui se

t iendra à Copenhague jusqu’au 15

mai.

Null CTRL, cette enquête qui met la pression sur les objets connectés Bien que les objets connectés restent por teurs

de croissance à cour t et moyen terme, ces

derniers suscitent néanmoins des inquiétudes

quant à la sécur ité des données pr ivées et à la

faible protection contre le piratage de ces

appareils.

Null CTRL, une enquête réalisée par des

journalistes norvégiens démontre qu’il n’est pas

nécessaire d’avoir des compétences

informatiques poussées pour pirater des objets

connectés.

La preuve étant, plusieurs milliers d’entre eux

étaient accessibles sans mot de passe et

faciles à trouver grâce au moteur spécialisé

Shodan.

L’incident, très grave, démontre que le rôle de

l’Etat dans le renforcement des mesures les

plus basiques de cybersécur ité devient une

pr ior ité.

Cyberculture

Le Neurogrid, créé par le chercheur Kwabena Boahen de Stanford, peut simuler plus d’un millions de neurones

et un milliard de connexions de synapses. Cette découverte pourrait surtout être utile à la robotique, avec

l’intégration de Neurogrids dans des prothèses de membres pour aider aux opérations complexes.

Vous pouvez consulter plus en détails les informations sur cette invention ici:

https:/ / www.youtube.com/ watch?v=D3 T1 tiVcRDs

INTERNET, ARCHITECTURES DU WEB ET ENJEUX DE PUISSANCE

5 Mai 2014

Dans « La Cité des Permutants », l’auteur

australien Greg Egan décr it un monde futur iste

où l’immor talité est rendue possible grâce à une

technologie sauvegardant ent ièrement notre

configurat ion neuronale à l’intér ieur d’un monde

vir tuel – at teignant, de fait , une sor te

d’"immortalité". Mais l’éternité a un tr ibut : la

survie de leur copie dépend du suppor t

informatique et des infrastructures réelles.

On pourrait longuement débattre de ce livre (qui

va en réalité bien plus loin que ce simple

postulat), mais l’argument fait sens. Les

infrastructures du Net sont la colonne

vertébrale sur lequel s’ar t icule le colosse vir tuel

que forme « l’Internet ».

A l’occasion de l’annonce du Plan Cyber français

et à la faveur des révélat ions polémiques

d’Edward Snowden, l’at tent ion s’est repor tée sur

ces infrastructures sensibles (les Data Centers,

les câbles sous-marins et les supercalculateurs)

et l’intérêt stratégique qu’elles représentent .

A l’or igine de termes aussi for ts que "cloud

souverain" ou "gouvernance de l’internet", on

retrouve la quest ion de technologies physiques

dont le développement et la pérennisation sont

d’une impor tance capitale.

LES EXPERTS

Stéphane Leroy, de la W ar R@m, a eu la chance

de pouvoir publier un guest post chez Charles

Bwele, le fameux tenancier d’Electrosophere et

membre fondateur de l’Alliance Géostratégique.

Un ar ticle que l’on vous propose dans la RAM de

mai.

Les data centers, futurs coffre-fort numériques ?

La quest ion de la maîtr ise des données personnelles par le biais de data centers a déjà été posée par Dilma Rousseff. En revanche, celle de son applicat ion technique est plus contestable quand on sait à quel point les données personnelles (et le cloud) peuvent rebondir d’un data center à un autre au niveau planétaire.

Choisir de conserver la mainmise sur ses données, toutes ses données, est utopique. A l’heure actuelle, la copie et l’industr ialisat ion de la copie font que le cloisonnement à l’échelle des données d’un pays révèle du secret des anges. De même que le projet d’un « Internet européen » ou autre vœu pieu : créer une autarcie numér ique est un doux rêve dont cer tains devraient se dépar t ir .

En revanche, il est possible d’assurer la protection des données sensibles via des data centers dédiés, dans un pays où les condit ions géopolit iques sont stables, les avancements technologiques suffisantes et le t issu jur idique protecteur .

Cer tains États peuvent très vite réut iliser ces éléments pour devenir des paradis à data, à l’image de la Suisse qui se redir ige vers la

sécur isation des données dématér ialisées. Pour un pays, devenir un coffre-fort numér ique peut représenter un avantage géopolit ique déterminant. Si, en France, il est peu crédible que l’on se dir ige vers un disposit if aussi cadenassé que le disposit if helvète, le développement d’un maillage et d’un Cloud relat ivement sécur isé est une condit ion sine qua none du développement des entrepr ises tr icolores sensibles.

En ce sens, elle constitue un enjeu géopolit ique et économique for t , qu’il convient de soutenir en pr ivilégiant les acteurs nat ionaux et en relevant le niveau des prestataires de sécur ité, notamment pour bénéficier aux OIV. Le récent r isque de black out sur l’Internet français démontre à quel point cette architecture est à la fois un facteur de puissance mais aussi une cible de choix.

La Loi de Programmation M ilitaire n’a d’ailleurs pas suffisamment creusé la quest ion essentielle des standards de sécur ité [1 ], mais l’ANSSI viendra cer tainement jouer les régulateurs sur ce point .

(Suite p. 6 )

La Présidente brésilienne Dilma Rhousseff a finalement fait volte-face et abandonné l’idée de data centers locaux, face à la fronde conjointe des exper ts, analystes et compagnies qui cr it iquaient l’inutilité d’une telle décision.

Comme nous le soulignions déjà dans la RAM d’avr il, la possibilité d’un trou noir (soit une coupure brutale d’Internet), pour rait subvenir aux Etats-Unis à la suite d’attaques sur les infrastructures sensibles, comme les centrales électr iques(ci-haut, en photo). Il suffirait de 9 destructions de centrales pour plonger le pays dans le black-out pour 3 ans, selon un rappor t publié par le gouvernement amér icain.

6 Mai 2014

Câbles sous-marins et

supercalculateurs: vitesse et

puissance des infrastructures

Parallèlement, la France a un

ascendant technologique net dans deux

domaines : les câbles sous-mar ins

(Alcatel-Lucent) et les

supercalculateurs (Bull).

Les premiers ont gagné une notor iété

imprévue à l’occasion de l’affaire

Snowden, pour leurs liens avérés avec

la surveillance des réseaux. Pour

autant, disposer de la technologie

permettant la pose, l’entret ien et la

sollicitat ion des câbles, clef de voûte du

cyber espace, demeure une activité

stratégique car elle revient à contrôler

ses lignes de communication, un

facteur essentiel de la stratégie de

puissance (si l’on accepte l’analogie

avec les théories navales de l’amiral

Corbett [2 ]). Le projet de Dilma

Rousseff aurait -il été possible sans

cette technologie ? La réponse est

clairement non – bien que là encore, la

faisabilité du projet en soi fait débat.

Parallèlement, les supercalculateurs

sont moins connus, mais appar t iennent

à ces technologies en avance sur leur

temps et potent iellement

déterminantes. Un supercalculateur,

c’est un ordinateur capable d’effectuer

en quelques secondes des opérat ions

qui nécessiteraient 150 ans à un

ordinateur classique. La France est la

première en Europe pour ces

technologies, mais la course au niveau

mondial est acharnée.

Pour tant, les quest ions de Big Data et

de Cloud sont inéluctablement liées à la

puissance de calcul, et si l’on par t du

pr incipe, très galvaudé mais qui t ient

une par t de vér ité, que la data sera le

pétrole de ce siècle, il faut des

supercalculateurs. Sur ce point, il faut

admettre que l’État a pr is la mesure de

l’impor tance stratégique de ces

derniers [3 ].

SUITE ARTICLE P.5

Pourquoi il importe de conserver

et pérenniser ses savoirs ? L’actualité récente a démontré

l’impor tance de conserver des

technologies souveraines ou, à défaut,

de remplacer ces dernières par des

technologies open source (encore une

fois, cette solut ion de rechange est

sous-exploitée…). L’omniprésence des

GAFA et l’hégémonie de M icrosoft

dans les systèmes d’exploitat ion

sapent encore la conduite d’opérat ions

sensibles et la protection des données

des entrepr ises, premières vict imes

de l’espionnage industr iel état ique (je

n’évoque pas ici à dessein la

surveillance des citoyens, car

l’espionnage de la tentaculaire NSA a

moins comme object if de connaître

Madame M ichu que de piller les

secrets technologiques).

Il devient déterminant pour nous de

pouvoir dire que l’on « sait faire ». Il

est impossible de revenir en ar r ière.

On ne peut pas récr ire l’histoire. Mais

tout comme nous possédons des

avions de chasse, des sous-marins

nucléaires ou des unités spécialisées

comme le GIGN, il faut cult iver nos

savoir -faire dans le cyber , car dans dix

ans il sera trop tard.

A l’heure de services liant réalité et

cyberespace comme les technologies

de Machine to Machine ou le Cloud et

de vers informatiques capables de

détruire des centr ifugeuses, on sait

désormais que le « réel » et le

« vir tuel » ne sont plus deux mondes

dissociés.

Le numér ique change profondément

tous les aspects de notre vie : une

déclarat ion sous forme de lapalissade

qui rendrait notre inact ion que plus

dommageable.

Par Stéphane Leroy

@LRCyber

Source: [1 ]« OIV : Protéger les Opérateurs d’Importance Vitale : une ambition nationale », Mag Securs n°4 1 – 1 er trimestre 2 0 1 4 [2 ] Lire aussi « Mahan and Corbett on Maritime Strategy », O’Lavin, Brian, Naval W ar College, 2 0 0 9 [3 ] Rapport gouvernemental sur la France en 2 0 2 0

Ci-haut, une car te des câbles sous-mar ins européens, réalisée par la société d’études TeleGeography. Ces derniers sont les “ar tères” de l’Internet mondial, et leur impor tance fait que Internet ne peut quasiment jamais “tomber ”. Notez par ailleurs comment le Royaume-Uni est devenu le point nodal en Europe des câbles sous-mar ins.

7 Mai 2014

Les agences de renseignement s’intéressent au SSL, mais pas dans le but de pirater vos comptes Amazon ou eBay. Après 2001 , des groupes comme Al Quaida ont développé des techniques pour échapper à la surveillance sur le net. L’une de cette technique consistait à ut iliser des VPN (Réseaux Pr ivés Vir tuels). Cer tains VPN ut ilisent Open SSL. Etre capable de pénétrer un VPN représente pour tout service de renseignement majeur un intérêt indéniable et on peut logiquement s’imaginer que de nombreux VPN ont été piratés, pas juste par la grande méchante NSA, mais par d’autres pays disposant également de capacités solides en cyberdéfense et en techniques de chiffrement. De la même manière que des pirates peuvent exploiter un code source, les agences de renseignement en font de même. Si cer taines personnes ont choisi de casser le SSL, ils l’ont fait après 2002 et avant 2010 , ce qui suppose que Heartbleed n’a r ien de nouveau et n’est cer tainement pas synonyme de fin du monde. Allez-y, changez vos mots de passe si cela vous rassure, mais le recours à ces derniers comme moyens de protection a échoué il y a des années de cela. Les autor ités des marchés financiers précisaient déjà en 2005 que les banques devaient ar rêter de se reposer sur l’ut ilisat ion de mots de passe, et la plupar t des établissements ont adopté la double authentification (le mot de passe couplé à un code numér ique envoyé par la banque). Se reposer uniquement sur les mots de passe pour sa sécur ité est simplement r isible. Il y a aussi eu des cr is d’or fraie quant au fait que la NSA connaissait ou non la faille Heartbleed, et sur le fait que cette dernière n’aurait pas communiqué sur le sujet. La Maison Blanche et l’agence de renseignement ont fermement démenti ces accusations. Un démenti aussi ferme est inhabituel et laisse à penser que la NSA n’a pas gardé Heartbleed secrète. Cer tes, l’agence de renseignement trouve ou achète des vulnérabilités dans un programme (il y en a tant) et elle prévient aussi l’entrepr ise qui produit ce programme – mais pas toujours, et pas immédiatement.

(Suite p.8 )

OUT-OF-THE-BOX

La découver te de Heartbleed, du nom de cette vulnérabilité dans Open SSL, un protocole grand public de chiffrement, vient compléter une longue liste d’histoires toutes plus r idicules que les autres sur la cybersécur ité. Il y a une vraie quest ion qu’il faut se poser . L’er reur de programmation a été réalisée il y a plus de deux ans. Depuis, il y a plus d’une dizaine d’attaques majeures de sites web d’entrepr ises, causant plus d’une centaine de millions de dollars de per tes et dévoilant les informations personnelles de centaines de millions de consommateurs. A votre avis, combien de ces attaques impliquaient Heartbleed ? Bravo si vous avez répondu zéro. Des millions de données compromises et aucune d’entre elles ont été obtenues à cause de Heartbleed. Il s’agit du meilleur indicateur de la dangerosité de la faille. Pour prendre l’exemple le plus récent, les personnes à l’or igine du piratage de Target ont ut ilisé quelque chose de plus sophist iqué que Heartbleed. Les cybercr iminels sont des pirates qui veulent se faire de l’argent, autant d’argent que possible. Pour se faire une idée de l’ut ilité de Heartbleed pour les cr iminels, il suffit de faire un tour sur les sites où ils échangent, où des millions de données personnelles sont disponibles à la vente. Heartbleed n’est qu’une vulnérabilité parmi tant d’autres, et les cr iminels ont de meilleurs moyens d’extorquer de l’argent des entrepr ises. Il y a de nombreuses étapes entre le piratage et le retour sur invest issement. Les cybercr iminels, pour la plupar t des professionnels, ont recours aux techniques les plus efficaces. Il s’agit de personnes qui cherchent à se faire des millions de dollars. Elles prennent par t à des cr imes d’ampleur industr ielle, pas au piratage au cas par cas de comptes individuels.

A rebours des déclarations alarmistes sur le

bug Heartbleed, James Andrew Lewis,

chercheur pour le Center for Strategic and

International Studies, a publié une tr ibune

assassine sur ce qu’il qualifie de mauvais

mélodrame.

Avec sa permission, nous retranscr ivons, en

français et sans altération, son point de vue.

Voler votre mot de passe, accéder à votre compte, récupérer les informations de votre car te de crédit , t rouver un moyen d’industr ialiser ce processus jusqu’à le réaliser des centaines de milliers de fois et, enfin, trouver un moyen pour finalement en t irer profit est beaucoup trop chronophage. Heartbleed est une vulnérabilité dans le protocole open source SSL. Le code open-source (en termes simples) est un « modèle » représentant les instructions qui doivent être exécutées pour ar r iver à un programme comme le SSL. L’accès au code-source est une étape cruciale pour décrypter ou pirater un programme. Puisque le code est open source, n’impor te qui, hackers ou agences de renseignements, peut l’obtenir . L’open source ne permet pas un piratage facile pour autant. Il fut un temps où la vulnérabilité de celui-ci faisait débat, alors que des entrepr ises vendaient des programmes pr ivés en prétendant que l’open source n’était pas fiable. Ce temps est révolu. Les bénéfices d’un logiciel open source l’empor tent largement sur les r isques, même si cela ne suppose pas que le r isque est devenu inexistant. Il y aura toujours un programmeur pour faire une er reur, et tout programme, libre, open source ou propr iétaire est sensible aux « exploits ». Open SSL ne fait pas exception à la règle.

HEARTBLEED, QUAND LA CYBERSÉCURITÉ FAIT DANS LE MÉLO

8 Mai 2014

SUITE ARTICLE P.7

Bien qu’il soit à la mode et plutôt

commode d’accuser la NSA pour

tous les problèmes que connait

internet, ce n’est pas toujours

pertinent. Il y a un marché noir en

pleine expansion d’exploits, avec

de nombreuses compagnies et

des États comme clients. La NSA

mesure la menace que ces

r isques posent pour la société et

la sécur ité nat ionale, avant de

prendre la décision de not ifier ou

pas la vulnérabilité aux

développeurs du programme

concerné.

De nombreuses compagnies

rappor tent ainsi que la NSA (ou

une autre agence fédérale) les a

déjà aler tés pour faire état d’une

faille dans leur produit . Nous ne

savons pas en revanche si chaque

faille est not ifiée, et cela ne se fait

pas en fanfare parce que cela

donnerait un avantage aux

cybercr iminels.

L’expression, péjorat ive et

inadéquate, « stocker des

vulnérabilités » est souvent

avancée pour donner du poids à

une cause polit ique. Le phrasé ne

décr it pas avec précision

comment les vulnérabilités sont

ut ilisées. On stocke des armes

nucléaires. On stocke des

missiles. Associer ce terme aux

"exploits" consiste à renvoyer une

image déformée et sinistre de la

réalité, ajoutant par là-même aux

opposants de la militar isat ion du

cyberespace une touche

émotionnelle à leurs arguments.

L’émotion ne doit pourtant pas

prendre le pas sur l’analyse.

Rappelons que l’or igine du

cyberespace est militaire : il

s’agissait d’un projet du M inistère

de la défense amér icain, et la

Chine, la Russie et les Etats-Unis

ont commencé à développer des

out ils militaires dès les années

90 . Plusieurs autres Etats font

désormais de même. Par ler d’un

cyberespace démilitar isé revient à

dire que si les Etats-Unis

abandonnaient les avions de

guerre, l’espace aér ien mondial

deviendrait un havre de paix.

L’object if a beau être noble, il n’en

demeure pas moins ir réaliste et

inatteignable. Ceux qui savent

comment les vulnérabilités sont

ut ilisées pour créer des exploits

par lent d’ailleurs d’une

« bibliothèque d’ouvrages de

référence » plutôt que d’un « stock

de missiles », mais le terme est

loin d’être suffisamment menaçant

pour avoir un impact émotionnel.

Que le programme SSL puisse

être piraté n’a pour tant r ien de

surprenant. Celui-ci a été créé en

1994 : malgré des améliorat ions

et des mises à jour , les pirates

ont eu tout le loisir de l’étudier .

SSL (et ses successeurs) ne sont

au final que des protocoles de

chiffrement de niveau moyen

pr incipalement dest inés au e-

commerce – des millions de

transactions à faible valeur

marchande.

La force du protocole SSL a été

de permettre aux personnes de se

lancer dans le commerce en ligne

tout en permettant un contrôle

relat if des r isques. Heartbleed n’a

pas vér itablement révolut ionné cet

état de fait , comme l’absence de

piratages vér itablement nocifs l’a

démontré. SSL n’a pas éliminé les

r isques, il les a simplement

réduits à un niveau acceptable

pour les transactions individuelles.

Le piratage de Digi-Notar en

Septembre 2011 (probablement

par l’Iran) impliquait déjà une

brèche des cer t ificats SSL. Il s’agit

là d’un « hack » autrement plus

sophist iqué que celui de

Heartbleed qui démontre que

cette dernière faille n’était

finalement pas la plus nuisible des

failles SSL, seulement la plus

médiat isée.

On peut toujours cont inuer à se fourvoyer en faisant de Heartbleed une cr ise majeure. De sor te que si les pirates amateurs du monde ent ier ignoraient tout des vulnérabilités SSL, ce n’est plus le cas désormais. Les « hackers » sont des gens cur ieux : la plupar t seront tentés d’essayer ce « hack » pour voir s’il fonct ionne. Si toute l’agitat ion autour de Heartbleed aboutit à une améliorat ion du SSL, le progrès sera indéniable. Mais le chemin sera long, et entre temps, il faudra s’attendre à plus de bruit et plus de r isques. Par James Andrew Lewis @Center for Strategic and International Studies. Tous droits réservés. http:/ / csis.org/ publication/ heartbleed-cybersecurity-melodrama

VULNERABILITES SUR LE SYSTÈME SATELLITAIRE SATCOM

9 Mai 2014

PIMP MY OPSEC

Lorsque l'at taquant parvient à prendre le

contrôle de pér iphér iques physiques

SATCOM ut ilisés pour communiquer avec

les satellites en orbite, il est en mesure de

per turber le déroulement d'une opérat ion

ou d'avoir accès à l'ensemble de

communications associées à la mission.

On les retrouve sur des navires, des avions

civils et militaires, des services d'urgence,

des grands médias télévisuels, de

nombreuses installat ions industr ielles, des

plate-forme pétrolières ou gazières, des

réseaux de pipelines, des usines de

traitement d'eau, des centrales éoliennes,

des centres de télécommunication) la liste

est longue et concerne cer taines

infrastructures cr it iques.

Des milliers de disposit ifs SATCOM sont

concernés par cette aler te de sécur ité.

Les vulnérabilités affectent les terminaux

suivants :

Harris BGAN

Hughes BGAN M2M

Cobham BGAN

Marine VSAT and FB

Cobham AVIATOR

Cobham GMDSS

Selon le journal Guardian, les fabr icants

br itanniques Cobham et Inmarsat, et

amér icains Harris Corporation, Hugues et

Iridium commercialisent des systèmes

SATCOM fragilisés par ces vulnérabilités.

L'étude menée par IOActive insiste sur le

terminal Harris RF-7800 B, offrant une

solut ion satellite haute per formance en

voix et données à ses clients militaires qui

cont ient plusieurs vulnérabilités.

L'attaquant qui les exploite peut installer un

firmware malveillant ou exécuter du code

arbitraire sur le système. On imagine sans

peine les oppor tunités de

cybermanipulat ion ou de cybersubversion

accessibles à par t ir de ces faiblesses.

L'étude souligne également le cas d'avions

militaires amér icains équipés du système

SATCOM Cobham AVIATOR qui assure les

communications en vol de l'appareil.

Là encore, une cyberattaque sur le

système permettrait de per turber et de

compromettre les échanges et les ordres

durant le vol.

Des patchs cor rectifs sont en cours de

construction et seront systématiquement

proposés aux différents clients impactés

par ces défauts de sécur ité préoccupants.

Par Thierry Berthier

Maître de conférences en mathématiques,

Professeur au sein d'un dépar tement

informatique universitaire

CyberLand

Les cyberattaques ne se limitent plus aux infrastructures ter restres et peuvent toucher aujourd'hui un système de communication par satellite comme SATCOM . Les opérateurs satellitaires sont alors confrontés à des défis de sécur ité croissants puisque leurs installat ions jouent un rôle stratégique dans les secteurs militaires et civils. Une société spécialisée en cybersécur ité (IOActive) vient de publier une étude après la découver te de plusieurs vulnérabilités cr it iques affectant les terminaux satellitaires SATCOM . L'étude complète est disponible à par t ir du lien ci-dessous (ndlr : consultez la page suivante pour obtenir la liste des vulnérabilités découver tes par IOActive) : http:/ / www.ioactive.com/ pdfs/ IOActive_SATCOM_Security_W hitePaper .pdf Selon cette étude, les terminaux SATCOM présentent des informations d'ident ificat ion codées en dur , des protocoles de connexions non sécur isés et des Backdoor permettant de prendre le contrôle du système. Lorsque l'on sait que ce système satellitaire est régulièrement ut ilisé par les armées, les services gouvernementaux et les grands groupes industr iels, on imagine aisément les r isques associés à ces vulnérabilités. En les exploitant, un attaquant pourrait intercepter, manipuler ou bloquer des communications sensibles et, dans cer taines circonstances, prendre le contrôle à distance de disposit ifs liés aux infrastructures SATCOM ut ilisés à l'occasion d'opérat ions militaires.

Thierry Berthier, maître de

conférences en mathématiques et

propr iétaire du blog Cyber land, revient

sur les vulnérabilités des

communications satellites (SATCOM) à

l’occasion des révélations de la société

de cybersécur ité IOActive.

Sur ce schéma, on constate à quel point les satellites demeurent au centre des disposit ifs de communication militaires. A la façon d’une attaque MITM, toucher un satellite permet dès lors de toucher tout les disposit ifs, humains ou matér iels, qui se reposent sur les communications par satellite.

Appel à contributeurs Cette newsletter mensuelle

s’adresse à une

communauté ciblée et se

construit sur un modèle

collaboratif, s’inspirant d’une

démarche open source dans

le souci d’un par tage de

connaissances.

De fait , elle vit et s’enr ichit

de ses contr ibuteurs, pour

la plupar t des exper ts dans

leurs domaines respect ifs,

et de fait nous sommes

toujours à la recherche de

contr ibutions diverses.

Si publier par notre biais

vous intéresse, n’hésitez pas

à nous à contacter pour en

discuter plus en détails.

Cordialement,

La Rédact ion

War R@M vous est proposée le dernier vendredi de chaque mois

et est disponible en ligne. C’est une publicat ion libre, vous pouvez

donc la par tager sans réserves, à condit ion de respecter la

propr iété intellectuelle des personnes qui y publient.

Vous pouvez aussi suivre notre actualité et bénéficier de nos

ressources en ligne par le biais de notre compte Slide Share : http://fr.slideshare.net/WarRam

War R@m – Mai 2014

RESUME DES VULNERABILITES TROUVEES PAR IOACTIVE

Attention: Le tableau ci-dessous est extrait du rappor t d’IOActive sur la vulnérabilité des

télécommunications satellites. Celui-ci détaille toutes les vulnérabilités trouvées chez les prestataires

de services satellites en les listant selon les vendeurs, les produits, le type de vulnérabilité, le service

qui les produit et le dégré d’impor tance de la faille.

Ce tableau est la propr iété d’IOActive, Inc et de CERT Coordination Center.