Scully appelle Internet
A la douce époque où Internet faisait toujours
office de technologie magique (non, pas en 2014,
no...
360°
War Ram - Juin 2014
Cybersécurité & Entreprises
Des chercheurs planchent sur la défense des
systèmes cyberphysiques
G...
360°
War Ram - Juin 2014
L’Allemagne abandonne la
poursuite de la NSA
Le gouvernement allemand connaît un
retour de flamme...
Huawei: la 4G, l’autoroute des objets connectés
Huawei veut aussi se placer sur le créneau des objets
connectés. La téléco...
TRUECRYPT ET LE DÉNI PLAUSIBLE
War Ram - Juin 2014
Coup de tonnerre dans le monde de
la sécurité informatique, la semaine
...
War Ram - Juin 2014
Truecrypt-gate : rappel des faits
Les premiers visiteurs ont pu croire (à
raison) à un défaçage, et po...
War Ram - Juin 2014
Si certaines rubriques sont dédiées à la
rencontre et à la constitution d’équipes (en
fonction des tal...
War Ram - Juin 2014
SUITE ARTICLE P.7
En tant que juriste, quelle vision as-tu
des raids des services de l’ordre
contre le...
GEROME BILLOIS: "IL FAUT PRÉPARER LA
SÉCURITÉ DES OBJETS DÈS LEUR
CONCEPTION"
War Ram - Juin 2014
PIMP MY OPSEC
Le Big dat...
Appel à contributeurs
Cette newsletter mensuelle s’adresse à une
communauté ciblée et se construit sur un
modèle collabora...
Upcoming SlideShare
Loading in...5
×

War Ram - Juin 2014

1,371

Published on

La War Ram de Juin 2014 est sortie. Au menu:
- La TrueCrypt Gate (Adrien Gévaudan, IntStrat)
- Cybercriminalité et marchés noirs (Barbara Louis-Sidney, CEIS)
- Sécurité du Big Data et des ojets connectés (Gerome Billois, Solucom)
Et toujours la veille 360 avec le danger du logiciel Computrace, la montée en puissance des objets connectés et le mariage des industriels français de la cybersécurité.

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
1,371
On Slideshare
0
From Embeds
0
Number of Embeds
4
Actions
Shares
0
Downloads
24
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Transcript of "War Ram - Juin 2014"

  1. 1. Scully appelle Internet A la douce époque où Internet faisait toujours office de technologie magique (non, pas en 2014, non), on pouvait tomber sur quelques moments de grâce. C’est le cas notamment dans cette version française de l’épisode 2Shy (Meurtres sur Internet). Dans la version anglaise, Scully appelle "the online service", mais en français, le résultat est pour le moins loufoque. Regardez. La vidéo du mois "Vous qui entrez ici, abandonnez toute espérance" (Divine Comédie, Chant III) Cette maxime célèbre de Dante pourrait inspirer plus d’un professionnel de la sécurité au vu des piratages massifs de données des derniers mois: Adobe, Target, Apple, eBay… Et que dire de la défection de TrueCrypt, qui a secoué toute la communauté cyber? La sécurité serait-elle devenue une chose du passée? La réponse est évidemment non. Certes, comme on l’a maintes fois répété, la sécurité absolue n’existe pas. Celui qui la pense "comme une forteresse" est sûr d’échouer. La sécurité est une notion globale. Changeante. Mouvante. En perpétuelle évolution. Elle naît de l’accumulation de couches de protection – avant, pendant et après les incidents, qui arriveront bien un jour. Mais tout espoir n’est pas perdu: à l’étranger (FireEye avec l’acquisition de Mandiant) et en France (Atos avec l’acquisition de Bull), des géants du secteur apparaissent avec, pour maître-mot, la vélocité, la flexibilité, l’agilité. Une industrie de la cyberdéfense suffira-t-elle à sécuriser le cyberespace? Peut-être pas, mais c’est un début. De notre côté, nous nous proposons, avec cette lettre d’information collaborative, d’apporter une pierre à l’édifice. Ce mois-ci, nous aurons donc la chance d’accueillir: - Adrien Gevaudan, géoéconomiste et fondateur d’InStrat sur le très critiquable TrueCryptGate - Barbara Louis-Sidney, juriste pénaliste à CEIS spécialisée cyber pour un point sur les marchés criminels - Gerome Billois, senior consultant à Solucom, pour nous parler de la sécurité du Big Data et des objets connectés Comme d’habitude, notre veille 360° (Cybersécurité, Cyberdéfense, Cyberculture) fait le tour des évènements du mois écoulé en se concentrant particulièrement sur la thématique des objets connectés. N’hésitez pas également à visiter notre Tumblr, qui rassemble toutes nos publications. Bonne lecture! L’E-DITO Sommaire Les gros titres THE WAR R@M L’Edito 360° Les Experts Out-of-the-Box Pimp my Opsec #M2M #BigData #CyberCrime #CompuTrace #Industrie #M2M • Retrouvez aussi nos publications sur nos plateformes: blogwarram.tumblr.com et Slideshare.net/ W arRam • Envie d’en savoir plus? Contactez-nous: redaction.warram@aol.com • Les contributeurs associés à ce numéro, pour leur contribution et leur soutien, visible ou invisible: @agevaudan @gbillois, @b_sidney, Thierry Berthier, @lrcyber, @Mduqn A NEW HOPE FOLLOW THE W HITE RABBIT War Ram - Juin 2014
  2. 2. 360° War Ram - Juin 2014 Cybersécurité & Entreprises Des chercheurs planchent sur la défense des systèmes cyberphysiques Grands oubliés de la cybersécurité (cf W ar Ram – Mai 2014), les systèmes cyberphysiques qui représentent l’architecture d’Internet deviennent de plus en plus critiques. Aux Etats-Unis, la question est même devenue très sensible (cf. W ar Ram – Avril 2014), ce qui a poussé le gouvernement a lancé le défi SmartAmerica aspirant à développer la défense des réseaux, principalement le réseau électrique particulièrement sensible car trop centralisé. En partant de cet état de fait, la Smart Energy CPS, une équipe de chercheurs américains provenant de différentes universités, mettent à l’épreuve le développement d’un modèle d’informatique distribuée, se reposant sur le Cloud, des machines virtuelles et la multiplication des points de contrôle. Les résultats de leur recherche devraient être disponibles cet été et pourraient servir à toutes les grandes métropoles. La porte dérobée TCP 32764 réactivée dans le plus grand secret La porte dérobée TCP-32764, présente dans plusieurs routeurs (Linksys, Netgear, Cisco, pour ne citer que les plus célèbres) et découverte par le chercheur français Eloi Vanderbeken, a été réintroduite à l’intérieur même du patch censé corriger cette grave erreur de sécurité. Eloi Vanderbeken a ainsi découvert une ligne de code permettant de réactiver la porte dérobée. Se pose désormais la question de savoir si cette dernière a été introduite intentionnellement, ou s’il s’agit à nouveau d’une erreur… Le retour du Data Center Les cibles des cyberattaques s’étendent désormais à plusieurs plateformes, et les data centers ne sont pas épargnés. Face au risque de compromission d’une infrastructure toujours aussi stratégique (cf W ar Ram – Mai 2014), Cisco a décidé d’étendre son offre de protection contre les APT et les 0-day. Cisco prétend ainsi pouvoir défendre les infrastructures d’un point à l’autre, des data centers jusqu’au cloud, tout en offrant une assistance avant, pendant et après l’attaque. Hélas, sur le papier l’offre a beau être intéressante, les récentes accusations de la Chine sur les liaisons dangereuses entre Cisco et les services de renseignement américains font planer le doute sur cette offre miraculeuse. Un supercalculateur piraté Le NIW A, l’institut néozélandais pour la recherche sur l’eau et l’atmosphère, a vu son supercalculateur piraté la semaine dernière. Il s’agit d’une première et la nouvelle a de quoi surprendre, car ce supercalculateur était uniquement consacré aux calculs météorologiques. Certains supposent que l’objectif derrière ce piratage était d’arriver à créer un "mineur" de Bitcoins. L’équipe de la NIW A a réussi à contourner le piratage en éteignant le supercalculateur. Alerte! TrueCrypt ferme ses portes Le logiciel de chiffrement le plus populaire, et une alternative sérieuse selon l’ancien consultant Edward Snowden, a jeté l’éponge mercredi 28 mai, car la fin de la mise à jour du support XP rendrait l’utilisation du programme dangereuse. Une annonce qui a provoqué un séisme dans la communauté de la cybersécurité internationale. Pris de court par cette décision brutale, les analystes fourmillent de théories réfutant la position officielle qu’ils trouvent dur à croire: influence gouvernementale, pression sur l’anonymat des développeurs... Le consultant renommé Brian Krebs a quant à lui évoqué l’idée que des développeurs externes pourraient reprendre TrueCrypt en main, tout en rappelant que la fiabilité du programme de chiffrement faisait débat. Le piratage d’eBay, sans précédent? Le piratage d’eBay est un choc pour le secteur du e-commerce. Considéré comme un des sites les plus sûrs, celui-ci a été délesté de près de 148 millions de données personnelles – et ce chiffre n’est pas définitif. Un cadre supérieur de PayPal, filiale d’eBay, a récemment donné une interview pour le site Inc. sur cette faille. Selon celui-ci, la distinction claire (tant au niveau du chiffrement que des informations) entre eBay, la plateforme de commerce, et PayPal, la plateforme d’achat, aurait épargné le vol de données financières. Une certitude qu’il est difficile de partager… Computrace : le mouchard universel révélé Korben relaye une information particulièrement importante, et bien trop peu reprise dans les média. Un mouchard universel du nom de Computrace serait installé de base sur tous les ordinateurs, selon les chercheurs de Kaspersky qui auraient fait cette découverte récemment. Ce mouchard se lancerait dans le BIOS dès le départ, et on ne saurait que trop vous recommander de lire l’article que Korben consacre à ce sujet: http:/ / korben.info/ computrace- lojack-absolute.html
  3. 3. 360° War Ram - Juin 2014 L’Allemagne abandonne la poursuite de la NSA Le gouvernement allemand connaît un retour de flamme de la part d’associations de protection des données après que le procureur ait abandonné l’enquête criminelle censée viser la NSA et le GCHQ. Le procureur fédéral avait en effet fait cette annonce, mais selon une information parue dans la presse Bull et Atos se marient Deux géants de l’informatique français sont sur le point de se marier. Atos, l’un des plus grands acteurs SSI au niveau mondial, vient en effet proposer une OPA amicale à Bull pour 620 millions d’euros. L’objectif du premier est de bénéficier de l’expertise du second dans les domaines de niche (supercalculateurs, cybersécurité, data centers). Les actionnaires sont globalement ravis et Orange, qui détient Bull à 8%, a fait savoir qu’il soutiendrait cette initiative. Atos estime quant à lui que cet achat permettrait de favoriser l’émergence d’un grand nom de la cybersécurité et du cloud à l’échelle européenne. Alcatel Lucent et Thales aussi… Parallèlement, Alcatel-Lucent et Thalès ont également noué un partenariat stratégique. La seconde a repris les activités de cybersécurité de la première. Le terme "activités" est évidemment large, et il y a fort à parier que la pose de câbles sous-marins, une activité stratégique mais sulfureuse, faisait partie du marché. Ce mariage renforcera certainement l’importance de Thalès en temps qu’acteur majeur de la cybersécurité des télécoms. A quel prix, diront certains? L’Iran et le point d’eau L’Iran aurait réussi à espionner le secteur de la défense américain en mettant au point une campagne d’ ingénierie sociale avancée. Cette dernière consistait à mettre en place un faux site Internet d’information, relayant des informations pertinentes. Par ce biais, les "journalistes", en réalité des espions, menaient des campagnes d’espionnage se reposant sur des techniques d’ingénierie sociale dans le but d’obtenir des informations sensibles de la part de leurs cibles. Les tactiques utilisées étaient avancées, comme le spear phishing (harponnage) ou le "trou d’eau", une technique déjà employée dans le piratage de sous- traitants de la défense française et privilégiée par des hackers d’Etat. La valeur d’une donnée Le maître de conférences Thierry Berthier, contributeur régulier pour la W ar Ram, a publié en collaboration avec la chaire de cyberdéfense et de cybersécurité de Saint-Cyr un article sur la valeur des données. Cet article, plutôt technique, revient sur l’importance des données en prenant l’exemple du piratage du compte Twitter d’Associated Press (et du fameux tweet à 136 milliards de dollars). L’article entier est disponible à cette adresse: http:/ / www.chaire- cyber.fr/ IMG/ pdf/ article_4_3_- _chaire_cyberdefense.pdf Cyberguerre froide entre la Chine et les Etats-Unis Alors que depuis peu, les tensions semblaient s’être calmées entre les Etats-Unis et la Chine avec la mise en place d’une collaboration sur les questions de cyberdéfense, l’arrestation de six ressortissants chinois accusés de piratage a remis de l’huile sur le feu. La hache de guerre définitivement déterrée et les premières victimes de ces échanges sont les entreprises américaines. Ainsi, Cisco et IBM n’auront plus droit de cité auprès des entreprises sensibles ou des infrastructures publiques, ni près des banques. Le gouvernement chinois a fait une déclaration officielle, rappelant l’importance stratégique et primordiale de la cyberdéfense pour la nation. Cyberdéfense L’Estonie veut créer des ambassades de données Très inquiète par l’évolution de la situation ukrainienne et tirant probablement les leçons de la cyberattaque de 2007, l’Estonie a décidé de mettre en place des "ambassades" de données qui lui permettraient d’opérer dans le cloud, même en cas de cyberattaques. L’idée serait d’assurer la continuité et l’accessibilité du gouvernement même en cas d’occupation militaire. L’idée ne serait pas nouvelle, selon Jaan Priisalu, directeur général du SSI de l’Etat estonien, mais l’"invasion" russe aurait précipité les plans. allemande, l’absence de preuves formelles et la difficulté technique d’une telle enquête ont poussé les services juridiques à abandonner les charges. Exaspérée par cette nouvelle, Rena Tangens, du groupe Digitalcourage, a dénoncé une situation "grotesque". Cinq hackers chinois ont été arrêtés par le FBI pour le piratage informatique et le vol de données sensibles d’entreprises américaines. L’arrestation de ces cyberespions a déclenché une grave crise diplomatique entre la Chine et les Etats-Unis.
  4. 4. Huawei: la 4G, l’autoroute des objets connectés Huawei veut aussi se placer sur le créneau des objets connectés. La télécom chinoise vient de publier une étude, qui peine un peu à se médiatiser, présentant la 4G comme une "autoroute" de connexion. En réalité, le concept est assez similaire à celui de Sigfox, utiliser la 4G comme réseau pour connecter les objets entre eux. Hélas pour Huawei, Sigfox, la start-up toulousaine, est beaucoup plus en avance sur cette thématique: le réseau de connectivité à bas débit semble d’ore et déjà plus fiable. 360° War Ram - Juin 2014 Anne Lauvergeon préside dans l’Internet des objets Anne Lauvergeon rejoint la start-up Sigfox, spécialiste des objets connectés. Celle qui a dirigé Areva pendant près de dix ans s’intéresse depuis longtemps à la question. Symbole de la réflexion sur le Big Data et le M2M (Machine to Machine), présidente du rapport sur la Commission Innovation 2030, Lauvergeon a depuis longtemps déclaré qu’il ne fallait surtout pas manquer le virage des Big Data. La particularité de Sigfox est que la start-up prévoit de déployer un réseau de connectivité à bas débit, basé sur la technologie Ultra Narrow Band, qui permettrait d’assurer un lien fiable et peu gourmand en octets entre les différents objets connectés. C’est dire, vu l’importance du marché du M2M, si Sigfox est stratégique… L’arrivée d’Anne Lauvergeon est donc symbolique pour cette start-up qui se prépare à entrer en bourse: serait-on en train d’assister à la genèse d’un géant des objets connectés? L’UPnP veut créer un pont entre l’Internet des objets et le Cloud L’Universal Plug and Play (UPnP), le protocole réseau promulgué par le groupe d’entreprises de l’UPnP Forum, veut harmoniser le réseau très fragmenté de l’Internet des objets. Pour ce faire, cet "UPnP+" prône le concept d’un produit type pont de capteurs, capables de stocker et de traduire les données provenant de différents objets connectés afin de les lier avec d’autres services, comme le Cloud par exemple. Google veut de la pub dans les objets connectés Google veut de la pub sur tous les objets connectés. C’est du moins ce qu’il a écrit noir sur blanc au gendarme de la bourse américaine dans une lettre dénichée par le W all Street Journal. On remerciera 01Net pour la traduction ci-dessous de Google: « Nous pensons que la notion même de "mobile" va évoluer à mesure que les "appareils intelligents" vont gagner du terrain sur le marché. Par exemple, d’ici quelques années, nous et d’autres entreprises pourrions fournir des publicités et d’autres contenus sur des réfrigérateurs, des tableaux de bords de voitures, des thermostats, des lunettes et des montres pour ne citer que quelques possibilités (…). Nous nous attendons à ce que nos utilisateurs utilisent nos services et voient nos publicités sur un nombre grandissant et diversifié d’appareils dans le futur ». Cyberculture La répartition d’Internet dans le monde par Geonames.org. Cette data vizualisation a été réalisée en croisant les données démographiques et les adresses IP. Le marché français des objets connectés 500 millions d’euros. C’est le montant que pèsera le marché français des objets connectés d’ici 2016, selon Xerfi et le journal du Net, soit quasiment une augmentation de 500%. Il s’agit donc d’une véritable opportunité économique, mais aussi technologique. En effet, se joue aujourd’hui la question de l’OS des objets connectés. Le constructeur canadien BlackBerry y voit le salut après une traversée du désert économique. Mais c’est un OS français vers lesquels tous les regards. Emmanuel Baccelli, chercheur à l’Inria, a porté ce système d’exploitation open source qui se veut être le "Linux" de l’Internet des objets. A la création, un public de hackers et de chercheurs, ce qui promet un rendu probablement excellent. Bataille d’OS dans le M2M L’Universal Plug and Play (UPnP), le protocole réseau promulgué par le groupe d’entreprises de l’UPnP Forum, veut harmoniser le réseau très fragmenté de l’Internet des objets. Pour ce faire, cet "UPnP+" prône le concept d’un produit type pont de capteurs, capables de stocker et de traduire les données provenant de différents objets connectés afin de les lier avec d’autres services, comme le Cloud par exemple.
  5. 5. TRUECRYPT ET LE DÉNI PLAUSIBLE War Ram - Juin 2014 Coup de tonnerre dans le monde de la sécurité informatique, la semaine dernière, avec l’annonce extravagante de la fin du développement de Truecrypt. Ce logiciel de chiffrement, utilisé depuis des années aussi bien par les professionnels que les utilisateurs avertis, était l’exemple type prouvant la supériorité, en matière de sécurité des systèmes d’information, des logiciels libres sur les solutions propriétaires. Depuis les révélations Snowden (et bien avant pour ceux s’y connaissant un peu), il est devenu de notoriété publique que des agences gouvernementales n’hésitent pas à utiliser certaines méthodes afin d’accéder à ce à quoi elles ne devraient normalement pas avoir accès, les principales étant les suivantes :  1) Insertion d’une porte dérobée (logicielle ou matérielle) ;  2) Accès aux serveurs et à leurs bases de données ;  3) Installation de malwares (type keyloggers et/ ou troyens) ;  4) Pressions directes et indirectes sur des personnes-clés. LES EXPERTS Adrien Gévaudan, fondateur d’IntStrat et géoéconomiste, revient sur la TrueCrypt Gate, cet évènement qui a secoué la communauté de la cybersécurité. En effet, les développeurs anonymes du célèbre logiciel de chiffrement ont jeté l’éponge. Pourquoi? C’est à cette question que notre contributeur se propose de répondre Truecrypt répondait à toutes ces méthodes de la façon suivante : 1) Son code source est disponible, ce qui signifie que tout un chacun peut compiler soit même le logiciel, et que des audits externes peuvent être tenus permettant d’en assurer la sécurité (un audit était d’ailleurs en cours lors de la bombe du 29 mai). L’insertion d’une porte dérobée dans le code source (en l’occurrence un raccourci mathématique permettant un déchiffrement rapide) était donc impossible, au risque de se faire choper le premier audit venu ; 2) Truecrypt s’installe en local, et rien n’est stocké sur des serveurs ou des bases de données externes ; 3) Cf. : 2). En effet, il aurait fallu agir directement sur tous les systèmes ayant installé Truecrypt ce qui, vu la popularité du logiciel et l’immensité des moyens alors nécessaire, n’est ni rentable ni probable ; 4) Deux personnes-clés sont susceptibles de pressions : les développeurs du logiciel et les utilisateurs. Les premiers ont toujours souhaité conserver leur anonymat (c’est pourtant ce point-ci le plus susceptible à pressions) ; quant aux seconds, ils avaient la possibilité d’avoir recours à un concept brillantissime intitulé le Déni Plausible (pour Plausible Deniability). Le principe est simple : Truecrypt offre la possibilité de configurer une “fausse phrase de passe”, qui, dans le cas où certaines autorités (comme les britanniques) forceraient l’utilisateur à donner l’accès à ses données, servirait à ouvrir un volume Truecrypt pré- configuré contenant d’autres fichiers que ceux que l’on souhaitait protéger. Ainsi, plus besoin d’avoir peur de devoir révéler sa phrase de passe véritable, car rien ne permet aux autorités de prouver l’existence d’autres fichiers que ceux que l’on avait pu préparer au préalable. Pour toutes ces raisons, Truecrypt a été, pendant longtemps, le fer de lance des logiciels de sécurité, recommandés même par des entités publiques (comme l’ANSSI). … et tout s’est arrêté le 29 mai dernier. (Suite p. 6)
  6. 6. War Ram - Juin 2014 Truecrypt-gate : rappel des faits Les premiers visiteurs ont pu croire (à raison) à un défaçage, et pourtant non! Un message des développeurs affirme : “Attention : utiliser Truecrypt n’est pas sécurisé car le logiciel pourrait contenir des problèmes de sécurité non-résolus” S'ensuit une explication lapidaire, pouvant être résumée ainsi : le développement de Truecrypt a été arrêté en Mai 2014, après que Microsoft ait intégré à ses récents systèmes d’opérations une solution propriétaire notoirement vérolée : BitLocker. Ainsi, il est conseillé d’abandonner Truecrypt. Les précédentes version du logiciel ont toutes été remplacées par une ne permettant que de déchiffrer des données Truecrypt (et donc plus de chiffrer), et un tutoriel détaillé explique comment migrer vers BitLocker. W TF ?! L’absurde comme pseudo-déni plausible : une solution de communication? Au final, qu’un logiciel libre cesse d’être développé, rien de plus commun ; après tout, les mecs sont bénévoles, ils ont sans doute d’excellentes raisons. Mais cesser de développer un logiciel open source en invoquant l’existence de solutions propriétaires et intégrées, là, on tombe dans l’absurde! Des mecs ayant intégré à leur logiciel une solution de Déni plausible n’auraient-ils pas pu trouver un moyen de communication leur permettant, de façon absurde et ironique, de transmettre un message à la communauté? C’est la thèse qui domine, évidemment ; après l’affaire Lavabit, chat échaudé craint l’eau froide. Et si d’autres pistes sont également envisagées (notamment une éventuelle volonté de responsabiliser la communauté en lui foutant la trouille), elle demeure la plus plausible à ce jour . SUITE ARTICLE P.5 Par une communication aussi absurde, les développeurs ont peut -être souhaité faire comprendre qu’ils ont été mis dans une situation telle qu’ils ont été obligé de cesser le développement du logiciel, ou d’abandonner certaines des valeurs et garanties qui l’ont définies pendant des années (anonymat des développeurs, code source ouvert, etc.). En gros : déchiffrez l’absurdité de nos actes ; de notre côté, nous pouvons plausiblement affirmer que nous avons respecté la loi. Et si, temporairement, ceux qui ont pu souhaiter la fin de Truecrypt ont pu se frotter les mains, force est de constater qu’ils risquent de se prendre un sérieux retour de bâton. La communauté réagit assez mal aux tentatives de pression, et de nouveaux projets (comme Truecrypt.ch) sont déjà en pôle pour reprendre le flambeau. Pour nous autres, utilisateurs avertis, rien ne change : il faut continuer à suivre l’actualité du secteur, soutenir certains projets dans la limite de nos moyens, et faire preuve de pédagogie auprès du public non-averti. Par Adrien Gevaudan Géoéconomiste spécialisé Cyber, Fondateur d’IntStrat @agevaudan TrueCrypt a publié un “communiqué de presse” sur SourceForge explicquant que sa solution n’était plus sécurisée et livrant un guide pour migrer vers BitLocker, un logiciel propriétaire de Microsoft: truecrypt.sourceforge.net
  7. 7. War Ram - Juin 2014 Si certaines rubriques sont dédiées à la rencontre et à la constitution d’équipes (en fonction des talents de chacun), d’autres sont dédiées à la mise en vente des lots de numéros de cartes et de comptes. Ces forums sont consultés par les propriétaires de shops qui vont acheter auprès de ces grossistes leurs lots de données, en spécifiant bien le type de carte (Gold, Premier, Amex, etc.), la zone géographique, etc. qui les intéressent. Le gérant du shop prendra bien garde à n’acheter qu’un échantillon la première fois, afin d’évaluer la fiabilité du grossiste. Une fois en confiance, il récupère le lot de cartes et les met en vente sur son shop, site de vente de numéros de cartes bancaires similaire à n’importe quel site de e-commerce, avec des critères de tri, un panier et un porte-monnaie virtuel. Le gérant de shop peut également se fournir sur certains chats en ligne (IRC, jabber). Le contact est alors direct. Une fois cela fait, démarre la phase de monétisation qui implique d’autres acteurs (mules, etc.). L’actualité du mois, c’est évidemment le piratage massif d’eBay, une entreprise autrement plus médiatisée et connue que Target. Les sociétés civiles semblent se rendre compte que le cybercrime est devenu industriel. N’est-ce pas un peu tard ? Il n’est jamais trop tard pour ce type de prise de conscience ! Il est triste de l’admettre, mais seules des affaires bruyantes aux conséquences graves seront susceptibles, en créant un précédent, de générer cette prise de conscience chez les principaux acteurs. La cybercriminalité est trop souvent considérée comme un délit « indolore ». Difficile de convaincre ou de sensibiliser sur une criminalité qui reste de basse intensité. Les précédents tels qu’eBay et Target ont le mérite de rendre la menace plus « réelle », palpable aux yeux des non-initiés qui, ne voulant certainement pas se retrouver dans des situations similaires, sont désormais plus susceptibles d’engager des budgets sur ces problématiques. (Suite p.8) OUT-OF-THE-BOX Bonjour Barbara. Tu as récemment publié une étude sur les marchés cybercriminels avec l’équipe Secu-Insight de CEIS, une démarche bienvenue car plus que rare en France ! Quelles sont les conclusions les plus marquantes que tu tires de votre enquête ? Bonjour Stéphane. Tout d’abord merci pour cet entretien pour la W ar Ram. Cette étude s’est concentrée sur l’usage que font les cybercriminels des monnaies virtuelles. Elle est complémentaire de notre premier livre blanc sur le sujet (cf. Les marchés noirs de la cybercriminalité, 2011), où l’on identifiait déjà l’importance de la monnaie virtuelle comme outil du cybercrime. Nos conclusions sont que les cybercriminels sont passés à la vitesse supérieure ; les monnaies virtuelles de type Liberty Reserve étant délaissée au profit des crypto-monnaies. Les avantages de ces crypto-monnaies sont utilisés à des fins malveillantes dans le cadre de la cybercriminalité. Et, surtout, les crypto-monnaies ayant pour finalité première de renforcer l’anonymat et la difficile traçabilité, là où Bitcoin est moins « fiable », sont désormais au centre de leurs préoccupations (ZeroCoin, DarkCoin, etc.). On dit que les cybercriminels russes sont des précurseurs et de véritables « leaders » dans le domaine. C’est ton avis ? Les cybercriminels russes sont précurseurs sur de nombreux points. Ils se sont illustrés lors de conflits interétatiques (avec la Géorgie en 2008, par exemple). Très présents (le russe est la seconde langue la plus utilisée, après l’anglais, sur les forums cybercriminels), ils sont leaders également dans leur domaine en raison de la tolérance existant à leur égard, dès lors qu’ils ne s’attaquent pas à des intérêts nationaux. D’autant que le degré de contrôle des autorités russes sur ces hackers reste flou. Pour ce mois de Juin, l’équipe de la W ar Ram s’entretient avec Barbara Louis-Sidney, qui a co- écrit un excellent rapport sur la cybercriminalité (voir en fin d’article), sur la montée en puissance des cybercriminels. Une question prégnante, à l’heure où eBay et Target se remettent péniblement de leur piratage massif. Ils ont également très rapidement segmenté et professionnalisé les tâches sur les marchés noirs de la cybercriminalité ; faisant de l’économie de la cybercriminalité un écosystème au fonctionnement relativement classique. A titre d’exemple, ils ont fortement contribué au CaaS ou Crime as a Service, proposant des outils clés en main à destination d’autres cybercriminels. Enfin, puisqu’on parle de monnaies virtuelles, il faut noter que le précurseur W ebMoney, monnaie virtuelle la plus importante (après e- Gold et avant Liberty Reserve) sur les black markets est implantée en Russie. Son succès a longtemps reflété l’importance de la cybercriminalité dans cette région du monde. Un point particulier, qui continue encore et toujours de perturber les néophytes, c’est l’utilisation que font les cybercriminels de ces données piratées en masse. Pourrais-tu nous éclairer ? Comme je l’explique plus haut, les marchés noirs sont organisés et structurés par une stricte division des tâches. Les résultats d’une grande campagne de vol de données (numéros de cartes bancaires ou comptes en ligne, par exemple), sont vendus « en gros » sur des forums. Ces forums sont divisés par rubriques afin que les cybercriminels s’y retrouvent. BARBARA LOUIS-SIDNEY "LA CYBERCRIMINALITÉ EST TROP SOUVENT CONSIDÉRÉE COMME INDOLORE"
  8. 8. War Ram - Juin 2014 SUITE ARTICLE P.7 En tant que juriste, quelle vision as-tu des raids des services de l’ordre contre les cybercriminels ? Est-ce que les Etats se sont enfin résolus à contre-attaquer ? Il est très frustrant, en tant que juriste pénaliste, de voir que les condamnations de cybercriminels en tant qu’individus, n’ont que très peu d’impact sur le démantèlement de filières entières. Les actions visant à démanteler leurs infrastructures semblent bien plus efficaces à court et moyen termes. La combinaison des deux méthodes (démantèlement des infrastructures associé à des condamnations fermes) peut alors être dissuasive à long terme. Cette vision dynamique de la lutte contre la cybercriminalité marque un signal résolument positif pour le monde judiciaire. Elle place l’étude des infrastructures et des outils des cybercriminels au cœur de la démarche. « Les marchés noirs de la cybercriminalité » (juin 2011) http:/ / www.secuinsight.fr/ livre- blanc-blackmarkets/ lb.pdf « Monnaies virtuelles et cybercriminalité - Etat des lieux et perspectives » (janvier 2014) http:/ / www.ceis.eu/ fr/ actu/ note-strategique- monnaies-virtuelles-et-cybercriminalite-etat-des- lieux-et-perspectives Téléchargements : Dernière question : dans cette RAM nous nous intéressons particulièrement aux objets connectés. Représentent-ils une cible idéale dans le futur ? Les objets connectés sont bien évidemment une cible idéale déjà aujourd’hui, et cela s’amplifiera dans le futur. L’augmentation du nombre d’objets connectés élargit la surface d’attaque à disposition des cybercriminels (nouveaux points d’entrée, de vulnérabilité). De nouvelles données, de plus en plus proches des utilisateurs, sont collectées ; elles peuvent être la cible de vols de données et être, pourquoi pas, revendues. Les objets connectés peuvent également être source de vulnérabilités, s’ils fonctionnent avec un système d’exploitation non mis à jour : il s’agit-là d’une simple transposition des problématiques existant déjà sur les PCs. Il n’est donc pas exclut que les objets connectés servent à la création de botnets. Le rôle d’IPv6 est également à analyser. Reste à voir comment les cybercriminels en parlent sur les marchés noirs, et les forums de discussion. C’est un sujet que CEIS pourrait étudier ! Par Barbara Louis-Sidney Consultante en cybersécurité, CEIS @B_Sidney Les condamnations de cybercriminels en tant qu’individus n’ont que très peu d’impact sur le démantèlement de filières entières. Démanteler les infrastructures semblent plus efficaces à court et moyen termes. Le poids du cybercrime en une infographie. CEIS est une société de conseil en stratégie et management des risques qui assiste ses clients dans leur développement à l’étranger et à l’international. Depuis plusieurs années, leurs compétences reconnues en cybersécurité leur ont permis de nouer des partenariats stratégiques avec la Défense, notamment la gendarmerie. Ils organisent depuis deux ans le Forum International de la Cybercriminalité. Site: http:/ / www.ceis.eu/ Twitter: @ceis_strat CEIS
  9. 9. GEROME BILLOIS: "IL FAUT PRÉPARER LA SÉCURITÉ DES OBJETS DÈS LEUR CONCEPTION" War Ram - Juin 2014 PIMP MY OPSEC Le Big data nécessite de se poser des questions sur les données en tant que telles. Comment les a-t-on collectées ? Quelles sont leur niveau de qualité (n'oublions pas l’adage anglo-saxon "Garbage In / Garbage Out") ? Comment gérer les contrôles d'accès sur des lacs de données non structurés alors que la situation est déjà compliquée avec des bases bien délimitées ? Comment séparer et chiffrer les données sensibles alors qu'il va y avoir une grande diversité d'utilisateurs et un besoin de rapidité d’accès et de traitement ? Autant de questions qu'aujourd'hui nous commençons seulement à toucher du doigt. Les principales solutions de Big Data ont été conçues sans intégrer la sécurité (et oui encore une fois...). Mais des outils additionnels commencent à apparaître pour gérer les droits d'accès et le chiffrement à l'échelle des données unitaires ("cell based security"). Ces solutions sont jeunes et doivent encore faire leurs preuves mais il faut dès aujourd'hui les intégrer dans les pilotes. L'autre risque du Big Data est règlementaire, en particulier sur les sujets liés à la protection des données à caractère personnel. Aujourd'hui la loi est structurée autour de traitements de données bien définis, qui dispose d'une finalité claire. Mais le Big Data vise justement à créer des lacs de données sur lesquelles on peut réaliser tous les recoupements et les traitements imaginables a posteriori. Un vrai casse-tête à résoudre sur lequel les juristes, les avocats et la CNIL sont en première ligne. Pour les objets connectés, une des difficultés réside dans la capacité à les maîtriser et à les maintenir à jour dans la durée. Imaginons un instant devoir réagir suite à une faille comme Heartbleed. Les problèmes seraient immenses : qui possèdent les objets ? Comment les contacter ? Quels risque à les mettre à jour avec des taux de défaillance qui peuvent être élevés (le risque de "brickage") ? Comment gérer l'obsolescence de ces objets et de leur OS souvent particulier ? Comment maîtriser l'identité de ces objets dans son SI ou en tant que constructeur alors que l'on n'est pas encore capable aujourd'hui de gérer correctement l'identité de ses employés ou clients ? Mais aussi, et peut-être surtout, comment concevoir des objets connectés simples à utiliser mais suffisamment sûrs pour ne pas être attaqués en masse ? Face à cette situation, malheureusement, la plupart des constructeurs penchent vers la simplicité : mot de passe par défaut, ouverture automatique des flux dans les box grâce à l’UPNP, services cloud interconnectés... (Suite p.10) Aujourd’hui, les concepts des objets connectés et de Big Data sont largement remis en cause, entre catastrophe annoncée et or noir potentiel.Quelle est votre position ? Ces deux concepts sont pressentis pour transformer notre quotidien dans les années à venir, et c'est fort probable qu'ils y arrivent ! Les objets connectés entrent déjà dans beaucoup de foyers ou d'entreprises de tous les secteurs. Le Big Data fait en parallèle l'objet de nombreuses expérimentations, en particulier dans des entreprises B2C. L’efficacité doit encore être démontrée concrètement mais les attentes sont fortes. À mon sens, il ne faut pas considérer ces évolutions comme des catastrophes à venir, d'autant plus lorsque l'on travaille dans la sécurité. Il est nécessaire de les prendre en compte et d'apporter des réponses pour réduire les risques. Ne rien faire serait la vraie catastrophe ! Interdire en bloc serait également contreproductif, la sécurité serait contournée rapidement. Mais cela ne veut pas dire qu'il faut tout laisser passer : il faut définir les frontières acceptables pour ces nouveaux concepts et c'est bien là que sur ce plan que le débat se situe. Quelles sont les principales menaces informatiques que représentent (ou qui pèsent) sur les objets connectés et le Big Data ? Ce sont deux concepts différents, qui se recoupent sur un thème : la protection de la vie privée. Il s’agit d’un des principaux risques, en alliant une collecte massive d'information sur notre quotidien grâce aux objets connectes avec une capacité d'analyse fine issue du Big Data, nous pouvons rapidement envisager des scénarios « catastrophes ». La règlementation doit s’adapter à ces nouveaux concepts, mais le bon sens de tout un chacun reste essentiel. L'expérience montre malheureusement que l'attrait des nouvelles technologies peut souvent faire oublier les risques associés. Au-delà de ses aspects sociétaux, chaque concept porte ses propres risques. Sans avoir la prétention d’être exhaustif, voici ceux que nous identifions comme les plus complexes à traiter. Gérôme Billois, est senior manager en cybersécurité au cabinet Solucom, le cabinet de conseil en management d’information auprès des grands comptes. Il revient pour nous sur les défis de sécurité posés par le Big Data et les objets connectés. Un sujet vaste… et enrichissant!
  10. 10. Appel à contributeurs Cette newsletter mensuelle s’adresse à une communauté ciblée et se construit sur un modèle collaboratif, s’inspirant d’une démarche open source dans le souci d’un partage de connaissances. De fait, elle vit et s’enrichit de ses contributeurs, pour la plupart des experts dans leurs domaines respectifs, et de fait nous sommes toujours à la recherche de contributions diverses. Si publier par notre biais vous intéresse, n’hésitez pas à nous à contacter pour en discuter plus en détails. Cordialement, La Rédaction War Ram vous est proposée chaque mois et est disponible en ligne. C’est une publication libre, vous pouvez donc la partager sans réserves, à condition de respecter la propriété intellectuelle des personnes qui y publient. Vous pouvez aussi suivre notre actualité et bénéficier de nos ressources en ligne par le biais de notre compte Slide Share : http://fr.slideshare.net/WarRam blowarram.tumblr.com War Ram - Juin 2014 SUITE ARTICLE P.9 Tout cela crée des situations à risque, peut-être encore limitées aujourd'hui, mais qui demain pourraient provoquer des effets larges et importants. Nous pouvons même imaginer des scénarios de risques qui s'éloignent du "classique" vol de données. L'utilisation de failles par des cambrioleurs est largement possible, par exemple pour désactiver les mécanismes de protection liés à la domotique ou encore pour observer une présence dans le domicile via le compteur électrique ou les caméras de surveillance. Encore pire, mais ne souhaitons pas que ces scenarios existent, si des failles permettent de mettre en défaut la sécurité électrique des objets et par exemple de déclencher leur destruction, voire des incendies dans certaines conditions. Il ne faut pas tomber dans le catastrophisme mais bien savoir de quels risques on veut se prémunir. Comment pourrait-on remédier à ces problématiques de sécurité ? Il serait possible de consacrer un ouvrage entier sur le sujet, mais une pratique clé me vient à l'esprit immédiatement : « security by design ». Même si cela est difficile à mettre en place et parfois coûteux, réfléchir aux mesures de sécurité nécessaire est essentiel. L’ajout de la sécurité ultérieurement, sera au mieux plus couteux, au pire impossible ! Il faut donc préparer des réponses adéquates, dès la genèse des projets, aux risques possibles, aux limites et aux contournements. Il faut également tenir compte de la typologie des attaquants, très variés comme le montre l'actualité récente, allant des Etats aux script kiddies en passant par des groupes de cybercriminels mafieux. Des principes forts doivent guider ces études : protéger la vie privée "par défaut" et prévoir la capacité à maintenir la sécurité dans le temps. De nombreuses solutions techniques sont possibles mais il n'y a pas de solutions magiques. Comme évoqué le Big Data dispose de solutions innovantes à tester. Pour les objets connectés, la situation est plus complexe car les systèmes sont très variés en termes d'usage (du compteur électrique à la voiture en passant par les brosses à dents…) et les contraintes très fortes (systèmes embarqués avec peu de mémoire/ CPU, technologies propriétaires, consommation énergétique limitée...). Il est possible de réutiliser les bonnes pratiques de l'embarqué mais en le considérant comme connecté à Internet par défaut. Revenons au Big Data. Est-ce que l’hypothèse que celui-ci pourrait véritablement apporter une troisième couche de protection à la sécurité informatique vous semble crédible ? Il est évident que nous atteignons une limite sur les capacités des outils de surveillance des SI. La logique actuelle de la plupart des outils est de chercher des scénarios d'attaques connus dans le SI. Tous les cas récents le montrent, les attaquants font évoluer en continu ces scénarios. Il faut alors se concentrer sur la recherche d'anomalie et les signaux faibles. Dans ce contexte, l’application des principes du Big Data peut-être une solution. Il permet en effet des traitements statistiques suffisamment rapides pour pouvoir être efficaces. Reste encore à le mettre à l'épreuve du terrain et à gérer l’épineux problème des faux positifs. Les "anciens" se souviendront des moteurs "heuristiques" des antivirus qui malheureusement n'ont pas été très efficaces. Affaire à suivre dans les mois qui viennent ! Par Gérome Billois Senior Manager à Solucom @gbillois Solucom est un cabinet de conseil en management et IT consulting s’orientant autour de six « practices »: - Business Transformation Energie Transports - Business Transformation Banque Assurance - Excellence opérationnelle et IT - Innovation digitale - Architecture des SI - Risk management et sécurité de l’information Le cabinet intervient sur l’ensemble des sujets de la cybersécurité avec plus de 200 personnes spécialisées dans les domaines suivants: gouvernance, analyses de risques, études d’architecture, conduite d’appels d’offre, tests d’intrusion, réponse à incident (CERT – Solucom). Vous pouvez trouver plus d’informations sur Solucom en allant consulter leur site internet: www.solucom.fr ou en suivant leur fil Twitter: @cabinet_solucom ou @solucomINSIGHT SoluCom – Cabinet de conseil

×