Your SlideShare is downloading. ×

War Ram - Mai 2014

1,482

Published on

Attention: pour profiter au maximum du contenu de la War R@m, un téléchargement est nécessaire. En effet, du fait de sa politique de partage, SlideShare bloque les liens des 3 premières pages. …

Attention: pour profiter au maximum du contenu de la War R@m, un téléchargement est nécessaire. En effet, du fait de sa politique de partage, SlideShare bloque les liens des 3 premières pages.

War Ram est une lettre d’information mensuelle, consacrée aux thématiques de cyberdéfense et de cybersécurité, ainsi qu’aux infrastructures (OIV, data centers…) qui sous-tendent le cyberespace. Cette publication est également disponible en ligne via le Slide Share (War Ram).

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
1,482
On Slideshare
0
From Embeds
0
Number of Embeds
6
Actions
Shares
0
Downloads
23
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Le Galaxy S5: la biométrie piratée L’utilisation de la biométrie dans le cadre de la sécurité des infrastructures IT fait encore rage chez les professionnels; sa mise à disposition pour le grand public suscite une polémique plus grande encore. Ainsi, le Galaxy S5 a cédé, tout comme l’iPhone avant lui. Plus inquiétant, le moule d’empreinte utilisé est le même que celui ayant servi pour hacker l’iPhone. En outre, le mécanisme permet d’accéder à d’autres applications comme PayPal… et de faire des transactions! Heureusement, des alternatives de smartphones sécurisés émergent, petit à petit. La vidéo du mois Pour pas grand-chose? C’est la question qu’on est en droit de se poser face au déluge extravagant d’informations catastrophées sur la sécurité informatique. D’un côté, il faut se réjouir que l’appareil médiatico-politique se soit (enfin!) saisi des questions de cybersécurité. D’autre part, on ne peut que regretter les discours de postures, les cries d’orfraie, les raccourcis rapides qui sapent plus qu’ils ne confortent une posture de cyberdéfense pertinente – tout en alimentant, dans un effet pervers, une sorte de complexe militaro- industriel qui ne dit pas son nom. Le cas Heartbleed est sans nul doute l’un des plus symptomatiques de cet emballement comme le montre James Andrews Lewis, chercheur au CSIS pour Out-Of-The-Box cette semaine. Il y a pourtant des marges d’amélioration pour une cybersécurité réelle et pérenne de nos infrastructures: celle-ci passe, comme le montre la tribune de Stéphane Leroy pour les Experts, aussi par la protection des pendants physiques de l’Internet. Enfin, notre contributeur Thierry Berthier de Cyberland attirera l’attention sur les communications satellites ou SATCOM, souvent oubliées et pourtant extrêmement vulnérables. Notre contributeur expliquera en quoi pour Pimp My Opsec. Et toujours, notre veille mensuelle 360°, qui se concentre sur l’Ukraine, Open SSL, les Neurogrid et les mésaventures de Google en Europe qui créent un précédent bienvenu. Dans cette RAM de mai, puissiez-vous trouver, à rebours des informations affolantes, un éclairage pertinent pour permettre à chacun de s’orienter dans la bonne direction afin d’éviter les pièges de la précipitation et de la panique. Afin d’éviter que, comme disait Césaire, « le fouet dispute au bombillement des mouches la rosée sucrée de nos plaies ». Bonne lecture. L’E-DITO Sommaire Les gros titres THE WAR R@M L’Edito 360° Les Experts Out-of-the-Box Pimp my Opsec #OpenSSL #Ukraine #Google #DataCenters #SATCOM #HeartBleed • Retrouvez aussi nos publications sur notre Slideshare.net/ W arRam • Envie d’en savoir plus? Contactez-nous: redaction.warram@aim.com • Les contributeurs associés à ce numéro, pour leur contribution et leur soutien, visible ou invisible: James Andrew Lewis, Thierry Berthier, @lrcyber, @00x0info @Mduqn BEAUCOUP DE BRUIT… FOLLOW THE W HITE RABBIT Mai 2014
  • 2. 360° 2 Mai 2014 Cybersécurité & Entreprises Un malware sous Android déjoue la double authentification Un malware plutôt élaboré menace depuis peu les utilisateurs de Facebook qui consultent également leurs banques sur leurs mobiles. Après avoir diffusé un message faisant état de plusieurs connexions frauduleuses à Facebook mobile, l’utilisateur est ensuite invité à télécharger une application générant des soi-disant codes de sécurité à usage unique. En acceptant cette option, l’utilisateur télécharge une sorte de RAT (Remote Access Trojan) qui récupère toutes les données de connexion utilisées lors des processus de double authentification d’applications bancaires. Les menaces pesant sur les mobiles concernent un utilisateur sur deux en France, rappelant si besoin est de la nécessité de smartphones sécurisés dans les entreprises françaises et de comportements responsables des usagers. La correction du bug Heartbleed a-t-elle fait pis que mieux? Panique et précipitation sont les ennemis du programmeur en cas de bug majeur. Le cas Heartbleed l’illustre bien puisqu’il semblerait que des administrateurs auraient introduit le bug le plus médiatique du moment sur certains serveurs, confondant les bonne et mauvaise versions dans la foulée. C’est le cas des sites de Vivaldi Technologies qui, auparavant épargnés, se sont retrouvés confrontés au bug après une mise à jour. La piste semble mener vers une erreur humaine, bien qu’il ne soit pas exclu que les premières analyses n’aient pas repéré Heartbleed dès le départ. Quand le mieux devient l’ennemi du bien… Les APT sont-elles devenues la norme? Les Advanced Persistent Threats, soit les attaques informatiques avancées, seraient devenues la norme, selon une étude de l’expert en sécurité informatique W ebsense. Si la part de médiatisation de cette affirmation, visant sans doute à alimenter le complexe militaro- industriel qui fait petit à petit loi dans le cyberespace, n’est pas à oublier, il est indéniable que les cyberattaques se sont largement peaufinées. L’achat ou la location de malwares, la diffusion des code-source ou la vente d’exploits, via des circuits cybercriminels parallèles, a permis une montée en puissance des pirates qui fait écho à l’explosion du marché cybercriminel (cf 360°, W ar Ram avril 2014). L’éude complète est disponible via le lien ci-dessous : http:/ / www.websense.com/ content / websense-2014-threat- report.aspx?cmpid=prnr4.3.14 LES ATTAQUES DDOS DANS LE MONDE Si la nécessité de protéger votre entreprise des attaques DDoS ne vous avait pas encore effleuré l’esprit, la carte ci- dessus, représentant les attaques par déni de service dans le monde, pourrait bien vous faire changer d’avis. Produite par Google et Arbor Networks, vous pourrez la trouver à cette adresse: http:/ / www.digitalattackmap.com Mauvais score pour FireEye et AhnLab Voilà bien une publicité dont FireEye et AhnLab se seraient bien passés. Les géants de la cybersécurité ont récemment obtenu un score « en dessous de la moyenne » en ce qui concerne leur système de détection d’attaques. Le test, conduit par NSS Labs, s’est conclu par un « avertissement » aux entreprises envisageant l’achat d’un produit FireEye. FireEye a vite répliqué en déclarant que le test ne témoignait en rien de l’efficacité véritable de ses produits. La discussion NSS Labs et la compagnie leader du marché a d’ailleurs donné lieu à des échanges plutôt houleux sur la toile et les réseaux sociaux.
  • 3. 360° 3 Mai 2014 L’Anssi va obliger les OIV à mieux se protéger Pour préserver la France d’une cyberattaque potentiellement ravageuse, l’Anssi va bientôt se doter d’outils législatifs pour forcer les opérateurs d’importance vitale à se mettre aux normes. La nouvelle a déclenché des réactions mitigées de la part de certains industriels qui y voient une augmentation des coûts. Guillaume Poupard, le nouveau chef de l’Anssi, se veut rassurant en rappelant que les points aboutissant à une mise au norme devront être facilement « applicables » pour être respectés. La complexité du sujet risque néanmoins d’en effrayer plus d’un, et il n’est pas exclu que des spécialistes des systèmes d’information critiques comme Bull, Thalès ou Sogeti (Capgemini) ne se saisissent de ce qui pourrait être un marché potentiel. L’Iran passe à l’offensive: le groupe Ajax sort de l’ombre Ajax Security Team est le nom d’un groupe de pirates iraniens qui élaborent des malwares dans le but de voler des données confidentielles d’entreprises américaines. Selon FireEye qui a révélé cette information, le groupe Ajax aurait été fondé par deux pirates, "Hurr!c4nE!" Et "Cair3x", et a déjà été à l’origine de piratages de grande ampleur. Ajax aurait touché des entreprises de la défense américaine et dérobé des secrets industriels, mais aucun nom n’a été cité. Cet épisode n’est pas sans rappeler une supposée attaque touchant le secteur français de la défense, et souligne la pertinence du renforcement des politiques de cybersécurité des OIV voulu par l’Anssi. La Belgique suspecte la Russie d’avoir espionné ses réseaux Les renseignements belges auraient déterminé que le Ministère des affaires étrangères a été infecté par le malware Ouroboros, que l’on suspecte d’être russe d’origine. La cible des pirates serait selon toute probabilité des câbles diplomatiques traitant de la situation en Ukraine. Open SSL doit-il disparaître? La faille Heartbleed relance le débat sur l’avenir d’OpenSSL. Pour JD Sherry de Trend Micro, il faut envisager de récompenser les développeurs talentueux qui partiraient à la chasse au bug. Cette pratique du Bug Bounty qui est déjà répandue chez les GAFA est un aveu bienvenue que la sécurité absolue n’existe pas. Poul-Henning Kamp de FreeBSD appelle sans ménagement à la mort d’OpenSSL, devenu obsolète, inutilement complexe, voire trompeur. Le vrai danger réside aussi dans le fait que puisqu’OpenSSL sert de modèle à beaucoup de programmes de chiffrement, une faille touchant le programme se répercute ailleurs. Quant à l’éditorialiste et développeur Kode Vicious d’ACM Queue, il semble avoir trouvé un compromis. Sans abandonner l’Open Source, il préconise une API plus simple d’utilisation pour éviter les erreurs, et une flexibilité qui permettrait de changer rapidement et simplement d’API en cas de bug majeur.Menaces avancées: la France gravement touchée en Europe La compagnie FireEye s’est concentrée sur les cyberattaques utilisant les APT (qu’elle définit comme des cyber attaques contournant les défenses traditionnelles que sont les pare-feu, les IPS, les anti-virus…). Le géant de la cybersécurité a pu démontrer que la France, l’Angleterre, la Suisse et l’Allemagne étaient largement touchées (71% des infections détectées sur le continent concernent ces pays). En outre, la France est avec le Royaume-Uni le pays qui compte le plus de secteurs touchées par ces attaques avancées. Ref: http:/ / www.fireeye.com/ fr/ fr/ news- events/ press-releases/ read/ rapport- europeen-atr-de-fireeye-la-france-est-le- pays-europeen-ou-lon-compte-le-plus-de- secteurs-touches-par-les-attaques- avancees Chasse aux hackers en Ukraine Alors que les fuites relatives au conflit ukrainien pullulent de façon plus ou moins opportune (on pense notamment à ce câble diplomatique américain publié par W ikileaks dévoilant les secrets de la position américaine), les pirates, qu’ils soient civils, militaires ou instrumentalisés, deviennent des cibles de choix. Le blog CyberW arNews, déjà connu pour la diffusion de leaks précédents (cf W ar Ram avril 2014), a été sous le coup d’une enquête du département de la justice américain pour sa collaboration avec des pirates prétendant appartenir au collectif Anonymous Ukraine. Ces derniers s'étaient récemment occupés de faire fuiter massivement des documents confidentiels « à la Russe » (voir capture d’écran ci-contre), ce qui laisse planer quelques doutes sur un possible téléguidage du Kremlin. Cyberdéfense L’autoproclamée antenne Anonymous Ukraine a déclaré à CyberW arNews qu’elle avait piraté le mail de Laurynas Jonavicius, conseillère du Président lituanien. Ces échanges démontreraient que Vitali Klitschko, homme politique ukrainien et ancien boxeur, serait manipulé par les puissances occidentales. L’article original comme les documents ont depuis été supprimés.
  • 4. Avenir du PC, les systèmes neuromorphiques Le cerveau est un ordinateur bien plus puissant qu’un supercalculateur. S’inspirant du cerveau humain, les chercheurs de Stanford aspirent donc à greffer des Neurocores sur des Neurogrids, c’est-à-dire des processeurs maison valant 65.536 neurones greffés sur des PCB en « arbre ». Si le résultat en termes d’opérations calculées est très prometteur, le gouffre énergétique représenté par l’utilisation des Neurogrids balance l’impact de la découverte.. 360° 4 Mai 2014 Google se fait retoquer en Europe La Cour européenne de justice, à rebours de l’avis de l’avocat général, a conclu que Google était responsable du traitement des données personnelles qu’il collecte. Concrètement, cela signifie qu’un utilisateur pourra sous certaines conditions obtenir la suppression des liens vers des pages Internet le concernant. Pour ce faire, la recherche doit concerner ses nom et prénom et des raisons particulières justifiant d’un intérêt prépondérant du public à avoir accès à cette information doivent exister. La nouvelle donne un peu plus de droit au citoyen lambda, la formule reste néanmoins floue et avant qu’elle ne soit applicable, il faudra certainement attendre plusieurs procès qui feront jurisprudence. Parallèlement, Google s’est aussi fait retoquer par la CNIL allemande sur sa politique de données personnelles, une pomme de discorde récurrente avec l’Europe. Le géant américain a ainsi été condamné à changer sa politique qui lui permet de fusionner les données de plus de soixante services à partir du seul compte Gmail, permettant un profilage jugé intrusif par la CNIL. L’Intelligence Artificielle, la prochaine bataille des réseaux sociaux Un rapport de Business Intelligence montre que l’avenir des réseaux sociaux passera par l’intelligence artificielle. Des géants comme Google, Facebook, LinkedIn ou Pinterest ont déjà acquis des compagnies spécialisées dans l’intelligence artificielle, la reconnaissance faciale, vocale ou le traitement sémantique des données. L’objectif avoué : exploiter la masse de données créée tous les jours par les utilisateurs. Un nouvel algorithme entend "secouer la cryptographie" Le problème du logarithme discret, un des "graals" de la théorie algorithmique utilisé dans la cryptographie des services informatiques, a été résolu en partie par des chercheurs français du Laboratoire lorrain de recherches en informatique. La sécurité d’une variante complexe de ce logarithme discret a été mise à mal par un algorithme élaboré par les chercheurs du laboratoire. L’impact pour la cryptographie est réelle et pour la cybersécurité également, puisque cela permet en théorie d’amoindrir la défense de certains systèmes. Les résultats des recherches et l’algorithme des chercheurs seront présentés lors de la conférence internationale Eurocrypt 2014 qui se tiendra à Copenhague jusqu’au 15 mai. Null CTRL, cette enquête qui met la pression sur les objets connectés Bien que les objets connectés restent porteurs de croissance à court et moyen terme, ces derniers suscitent néanmoins des inquiétudes quant à la sécurité des données privées et à la faible protection contre le piratage de ces appareils. Null CTRL, une enquête réalisée par des journalistes norvégiens démontre qu’il n’est pas nécessaire d’avoir des compétences informatiques poussées pour pirater des objets connectés. La preuve étant, plusieurs milliers d’entre eux étaient accessibles sans mot de passe et faciles à trouver grâce au moteur spécialisé Shodan. L’incident, très grave, démontre que le rôle de l’Etat dans le renforcement des mesures les plus basiques de cybersécurité devient une priorité. Cyberculture Le Neurogrid, créé par le chercheur Kwabena Boahen de Stanford, peut simuler plus d’un millions de neurones et un milliard de connexions de synapses. Cette découverte pourrait surtout être utile à la robotique, avec l’intégration de Neurogrids dans des prothèses de membres pour aider aux opérations complexes. Vous pouvez consulter plus en détails les informations sur cette invention ici: https:/ / www.youtube.com/ watch?v=D3T1tiVcRDs
  • 5. INTERNET, ARCHITECTURES DU WEB ET ENJEUX DE PUISSANCE 5 Mai 2014 Dans « La Cité des Permutants », l’auteur australien Greg Egan décrit un monde futuriste où l’immortalité est rendue possible grâce à une technologie sauvegardant entièrement notre configuration neuronale à l’intérieur d’un monde virtuel – atteignant, de fait, une sorte d’"immortalité". Mais l’éternité a un tribut : la survie de leur copie dépend du support informatique et des infrastructures réelles. On pourrait longuement débattre de ce livre (qui va en réalité bien plus loin que ce simple postulat), mais l’argument fait sens. Les infrastructures du Net sont la colonne vertébrale sur lequel s’articule le colosse virtuel que forme « l’Internet ». A l’occasion de l’annonce du Plan Cyber français et à la faveur des révélations polémiques d’Edward Snowden, l’attention s’est reportée sur ces infrastructures sensibles (les Data Centers, les câbles sous-marins et les supercalculateurs) et l’intérêt stratégique qu’elles représentent. A l’origine de termes aussi forts que "cloud souverain" ou "gouvernance de l’internet", on retrouve la question de technologies physiques dont le développement et la pérennisation sont d’une importance capitale. LES EXPERTS Stéphane Leroy, de la W ar R@m, a eu la chance de pouvoir publier un guest post chez Charles Bwele, le fameux tenancier d’Electrosophere et membre fondateur de l’Alliance Géostratégique. Un article que l’on vous propose dans la RAM de mai. Les data centers, futurs coffre- fort numériques ? La question de la maîtrise des données personnelles par le biais de data centers a déjà été posée par Dilma Rousseff. En revanche, celle de son application technique est plus contestable quand on sait à quel point les données personnelles (et le cloud) peuvent rebondir d’un data center à un autre au niveau planétaire. Choisir de conserver la mainmise sur ses données, toutes ses données, est utopique. A l’heure actuelle, la copie et l’industrialisation de la copie font que le cloisonnement à l’échelle des données d’un pays révèle du secret des anges. De même que le projet d’un « Internet européen » ou autre vœu pieu : créer une autarcie numérique est un doux rêve dont certains devraient se départir. En revanche, il est possible d’assurer la protection des données sensibles via des data centers dédiés, dans un pays où les conditions géopolitiques sont stables, les avancements technologiques suffisantes et le tissu juridique protecteur. Certains États peuvent très vite réutiliser ces éléments pour devenir des paradis à data, à l’image de la Suisse qui se redirige vers la sécurisation des données dématérialisées. Pour un pays, devenir un coffre-fort numérique peut représenter un avantage géopolitique déterminant. Si, en France, il est peu crédible que l’on se dirige vers un dispositif aussi cadenassé que le dispositif helvète, le développement d’un maillage et d’un Cloud relativement sécurisé est une condition sine qua none du développement des entreprises tricolores sensibles. En ce sens, elle constitue un enjeu géopolitique et économique fort, qu’il convient de soutenir en privilégiant les acteurs nationaux et en relevant le niveau des prestataires de sécurité, notamment pour bénéficier aux OIV. Le récent risque de black out sur l’Internet français démontre à quel point cette architecture est à la fois un facteur de puissance mais aussi une cible de choix. La Loi de Programmation Militaire n’a d’ailleurs pas suffisamment creusé la question essentielle des standards de sécurité [1], mais l’ANSSI viendra certainement jouer les régulateurs sur ce point. (Suite p. 6) La Présidente brésilienne Dilma Rhousseff a finalement fait volte-face et abandonné l’idée de data centers locaux, face à la fronde conjointe des experts, analystes et compagnies qui critiquaient l’inutilité d’une telle décision. Comme nous le soulignions déjà dans la RAM d’avril, la possibilité d’un trou noir (soit une coupure brutale d’Internet), pourrait subvenir aux Etats-Unis à la suite d’attaques sur les infrastructures sensibles, comme les centrales électriques(ci- haut, en photo). Il suffirait de 9 destructions de centrales pour plonger le pays dans le black-out pour 3 ans, selon un rapport publié par le gouvernement américain.
  • 6. 6 Mai 2014 Câbles sous-marins et supercalculateurs: vitesse et puissance des infrastructures Parallèlement, la France a un ascendant technologique net dans deux domaines : les câbles sous-marins (Alcatel-Lucent) et les supercalculateurs (Bull). Les premiers ont gagné une notoriété imprévue à l’occasion de l’affaire Snowden, pour leurs liens avérés avec la surveillance des réseaux. Pour autant, disposer de la technologie permettant la pose, l’entretien et la sollicitation des câbles, clef de voûte du cyber espace, demeure une activité stratégique car elle revient à contrôler ses lignes de communication, un facteur essentiel de la stratégie de puissance (si l’on accepte l’analogie avec les théories navales de l’amiral Corbett [2]). Le projet de Dilma Rousseff aurait-il été possible sans cette technologie ? La réponse est clairement non – bien que là encore, la faisabilité du projet en soi fait débat. Parallèlement, les supercalculateurs sont moins connus, mais appartiennent à ces technologies en avance sur leur temps et potentiellement déterminantes. Un supercalculateur, c’est un ordinateur capable d’effectuer en quelques secondes des opérations qui nécessiteraient 150 ans à un ordinateur classique. La France est la première en Europe pour ces technologies, mais la course au niveau mondial est acharnée. Pourtant, les questions de Big Data et de Cloud sont inéluctablement liées à la puissance de calcul, et si l’on part du principe, très galvaudé mais qui tient une part de vérité, que la data sera le pétrole de ce siècle, il faut des supercalculateurs. Sur ce point, il faut admettre que l’État a pris la mesure de l’importance stratégique de ces derniers [3]. SUITE ARTICLE P.5 Pourquoi il importe de conserver et pérenniser ses savoirs ? L’actualité récente a démontré l’importance de conserver des technologies souveraines ou, à défaut, de remplacer ces dernières par des technologies open source (encore une fois, cette solution de rechange est sous-exploitée…). L’omniprésence des GAFA et l’hégémonie de Microsoft dans les systèmes d’exploitation sapent encore la conduite d’opérations sensibles et la protection des données des entreprises, premières victimes de l’espionnage industriel étatique (je n’évoque pas ici à dessein la surveillance des citoyens, car l’espionnage de la tentaculaire NSA a moins comme objectif de connaître Madame Michu que de piller les secrets technologiques). Il devient déterminant pour nous de pouvoir dire que l’on « sait faire ». Il est impossible de revenir en arrière. On ne peut pas récrire l’histoire. Mais tout comme nous possédons des avions de chasse, des sous-marins nucléaires ou des unités spécialisées comme le GIGN, il faut cultiver nos savoir-faire dans le cyber, car dans dix ans il sera trop tard. A l’heure de services liant réalité et cyberespace comme les technologies de Machine to Machine ou le Cloud et de vers informatiques capables de détruire des centrifugeuses, on sait désormais que le « réel » et le « virtuel » ne sont plus deux mondes dissociés. Le numérique change profondément tous les aspects de notre vie : une déclaration sous forme de lapalissade qui rendrait notre inaction que plus dommageable. Par Stéphane Leroy @LRCyber Source: [1]« OIV : Protéger les Opérateurs d’Importance Vitale : une ambition nationale », Mag Securs n°41 – 1er trimestre 2014 [2] Lire aussi « Mahan and Corbett on Maritime Strategy », O’Lavin, Brian, Naval W ar College, 2009 [3] Rapport gouvernemental sur la France en 2020 Ci-haut, une carte des câbles sous-marins européens, réalisée par la société d’études TeleGeography. Ces derniers sont les “artères” de l’Internet mondial, et leur importance fait que Internet ne peut quasiment jamais “tomber”. Notez par ailleurs comment le Royaume-Uni est devenu le point nodal en Europe des câbles sous-marins.
  • 7. 7 Mai 2014 Les agences de renseignement s’intéressent au SSL, mais pas dans le but de pirater vos comptes Amazon ou eBay. Après 2001, des groupes comme Al Quaida ont développé des techniques pour échapper à la surveillance sur le net. L’une de cette technique consistait à utiliser des VPN (Réseaux Privés Virtuels). Certains VPN utilisent Open SSL. Etre capable de pénétrer un VPN représente pour tout service de renseignement majeur un intérêt indéniable et on peut logiquement s’imaginer que de nombreux VPN ont été piratés, pas juste par la grande méchante NSA, mais par d’autres pays disposant également de capacités solides en cyberdéfense et en techniques de chiffrement. De la même manière que des pirates peuvent exploiter un code source, les agences de renseignement en font de même. Si certaines personnes ont choisi de casser le SSL, ils l’ont fait après 2002 et avant 2010, ce qui suppose que Heartbleed n’a rien de nouveau et n’est certainement pas synonyme de fin du monde. Allez-y, changez vos mots de passe si cela vous rassure, mais le recours à ces derniers comme moyens de protection a échoué il y a des années de cela. Les autorités des marchés financiers précisaient déjà en 2005 que les banques devaient arrêter de se reposer sur l’utilisation de mots de passe, et la plupart des établissements ont adopté la double authentification (le mot de passe couplé à un code numérique envoyé par la banque). Se reposer uniquement sur les mots de passe pour sa sécurité est simplement risible. Il y a aussi eu des cris d’orfraie quant au fait que la NSA connaissait ou non la faille Heartbleed, et sur le fait que cette dernière n’aurait pas communiqué sur le sujet. La Maison Blanche et l’agence de renseignement ont fermement démenti ces accusations. Un démenti aussi ferme est inhabituel et laisse à penser que la NSA n’a pas gardé Heartbleed secrète. Certes, l’agence de renseignement trouve ou achète des vulnérabilités dans un programme (il y en a tant) et elle prévient aussi l’entreprise qui produit ce programme – mais pas toujours, et pas immédiatement. (Suite p.8) OUT-OF-THE-BOX La découverte de Heartbleed, du nom de cette vulnérabilité dans Open SSL, un protocole grand public de chiffrement, vient compléter une longue liste d’histoires toutes plus ridicules que les autres sur la cybersécurité. Il y a une vraie question qu’il faut se poser. L’erreur de programmation a été réalisée il y a plus de deux ans. Depuis, il y a plus d’une dizaine d’attaques majeures de sites web d’entreprises, causant plus d’une centaine de millions de dollars de pertes et dévoilant les informations personnelles de centaines de millions de consommateurs. A votre avis, combien de ces attaques impliquaient Heartbleed ? Bravo si vous avez répondu zéro. Des millions de données compromises et aucune d’entre elles ont été obtenues à cause de Heartbleed. Il s’agit du meilleur indicateur de la dangerosité de la faille. Pour prendre l’exemple le plus récent, les personnes à l’origine du piratage de Target ont utilisé quelque chose de plus sophistiqué que Heartbleed. Les cybercriminels sont des pirates qui veulent se faire de l’argent, autant d’argent que possible. Pour se faire une idée de l’utilité de Heartbleed pour les criminels, il suffit de faire un tour sur les sites où ils échangent, où des millions de données personnelles sont disponibles à la vente. Heartbleed n’est qu’une vulnérabilité parmi tant d’autres, et les criminels ont de meilleurs moyens d’extorquer de l’argent des entreprises. Il y a de nombreuses étapes entre le piratage et le retour sur investissement. Les cybercriminels, pour la plupart des professionnels, ont recours aux techniques les plus efficaces. Il s’agit de personnes qui cherchent à se faire des millions de dollars. Elles prennent part à des crimes d’ampleur industrielle, pas au piratage au cas par cas de comptes individuels. A rebours des déclarations alarmistes sur le bug Heartbleed, James Andrew Lewis, chercheur pour le Center for Strategic and International Studies, a publié une tribune assassine sur ce qu’il qualifie de mauvais mélodrame. Avec sa permission, nous retranscrivons, en français et sans altération, son point de vue. Voler votre mot de passe, accéder à votre compte, récupérer les informations de votre carte de crédit, trouver un moyen d’industrialiser ce processus jusqu’à le réaliser des centaines de milliers de fois et, enfin, trouver un moyen pour finalement en tirer profit est beaucoup trop chronophage. Heartbleed est une vulnérabilité dans le protocole open source SSL. Le code open-source (en termes simples) est un « modèle » représentant les instructions qui doivent être exécutées pour arriver à un programme comme le SSL. L’accès au code-source est une étape cruciale pour décrypter ou pirater un programme. Puisque le code est open source, n’importe qui, hackers ou agences de renseignements, peut l’obtenir. L’open source ne permet pas un piratage facile pour autant. Il fut un temps où la vulnérabilité de celui-ci faisait débat, alors que des entreprises vendaient des programmes privés en prétendant que l’open source n’était pas fiable. Ce temps est révolu. Les bénéfices d’un logiciel open source l’emportent largement sur les risques, même si cela ne suppose pas que le risque est devenu inexistant. Il y aura toujours un programmeur pour faire une erreur, et tout programme, libre, open source ou propriétaire est sensible aux « exploits ». Open SSL ne fait pas exception à la règle. HEARTBLEED, QUAND LA CYBERSÉCURITÉ FAIT DANS LE MÉLO
  • 8. 8 Mai 2014 SUITE ARTICLE P.7 Bien qu’il soit à la mode et plutôt commode d’accuser la NSA pour tous les problèmes que connait internet, ce n’est pas toujours pertinent. Il y a un marché noir en pleine expansion d’exploits, avec de nombreuses compagnies et des États comme clients. La NSA mesure la menace que ces risques posent pour la société et la sécurité nationale, avant de prendre la décision de notifier ou pas la vulnérabilité aux développeurs du programme concerné. De nombreuses compagnies rapportent ainsi que la NSA (ou une autre agence fédérale) les a déjà alertés pour faire état d’une faille dans leur produit. Nous ne savons pas en revanche si chaque faille est notifiée, et cela ne se fait pas en fanfare parce que cela donnerait un avantage aux cybercriminels. L’expression, péjorative et inadéquate, « stocker des vulnérabilités » est souvent avancée pour donner du poids à une cause politique. Le phrasé ne décrit pas avec précision comment les vulnérabilités sont utilisées. On stocke des armes nucléaires. On stocke des missiles. Associer ce terme aux "exploits" consiste à renvoyer une image déformée et sinistre de la réalité, ajoutant par là-même aux opposants de la militarisation du cyberespace une touche émotionnelle à leurs arguments. L’émotion ne doit pourtant pas prendre le pas sur l’analyse. Rappelons que l’origine du cyberespace est militaire : il s’agissait d’un projet du Ministère de la défense américain, et la Chine, la Russie et les Etats-Unis ont commencé à développer des outils militaires dès les années 90. Plusieurs autres Etats font désormais de même. Parler d’un cyberespace démilitarisé revient à dire que si les Etats-Unis abandonnaient les avions de guerre, l’espace aérien mondial deviendrait un havre de paix. L’objectif a beau être noble, il n’en demeure pas moins irréaliste et inatteignable. Ceux qui savent comment les vulnérabilités sont utilisées pour créer des exploits parlent d’ailleurs d’une « bibliothèque d’ouvrages de référence » plutôt que d’un « stock de missiles », mais le terme est loin d’être suffisamment menaçant pour avoir un impact émotionnel. Que le programme SSL puisse être piraté n’a pourtant rien de surprenant. Celui-ci a été créé en 1994 : malgré des améliorations et des mises à jour, les pirates ont eu tout le loisir de l’étudier. SSL (et ses successeurs) ne sont au final que des protocoles de chiffrement de niveau moyen principalement destinés au e- commerce – des millions de transactions à faible valeur marchande. La force du protocole SSL a été de permettre aux personnes de se lancer dans le commerce en ligne tout en permettant un contrôle relatif des risques. Heartbleed n’a pas véritablement révolutionné cet état de fait, comme l’absence de piratages véritablement nocifs l’a démontré. SSL n’a pas éliminé les risques, il les a simplement réduits à un niveau acceptable pour les transactions individuelles. Le piratage de Digi-Notar en Septembre 2011 (probablement par l’Iran) impliquait déjà une brèche des certificats SSL. Il s’agit là d’un « hack » autrement plus sophistiqué que celui de Heartbleed qui démontre que cette dernière faille n’était finalement pas la plus nuisible des failles SSL, seulement la plus médiatisée. On peut toujours continuer à se fourvoyer en faisant de Heartbleed une crise majeure. De sorte que si les pirates amateurs du monde entier ignoraient tout des vulnérabilités SSL, ce n’est plus le cas désormais. Les « hackers » sont des gens curieux : la plupart seront tentés d’essayer ce « hack » pour voir s’il fonctionne. Si toute l’agitation autour de Heartbleed aboutit à une amélioration du SSL, le progrès sera indéniable. Mais le chemin sera long, et entre temps, il faudra s’attendre à plus de bruit et plus de risques. Par James Andrew Lewis @Center for Strategic and International Studies. Tous droits réservés. http:/ / csis.org/ publication/ heartbleed-cybersecurity- melodrama
  • 9. VULNERABILITES SUR LE SYSTÈME SATELLITAIRE SATCOM 9 Mai 2014 PIMP MY OPSEC Lorsque l'attaquant parvient à prendre le contrôle de périphériques physiques SATCOM utilisés pour communiquer avec les satellites en orbite, il est en mesure de perturber le déroulement d'une opération ou d'avoir accès à l'ensemble de communications associées à la mission. On les retrouve sur des navires, des avions civils et militaires, des services d'urgence, des grands médias télévisuels, de nombreuses installations industrielles, des plate-forme pétrolières ou gazières, des réseaux de pipelines, des usines de traitement d'eau, des centrales éoliennes, des centres de télécommunication) la liste est longue et concerne certaines infrastructures critiques. Des milliers de dispositifs SATCOM sont concernés par cette alerte de sécurité. Les vulnérabilités affectent les terminaux suivants :  Harris BGAN  Hughes BGAN M2M  Cobham BGAN  Marine VSAT and FB  Cobham AVIATOR  Cobham GMDSS Selon le journal Guardian, les fabricants britanniques Cobham et Inmarsat, et américains Harris Corporation, Hugues et Iridium commercialisent des systèmes SATCOM fragilisés par ces vulnérabilités. L'étude menée par IOActive insiste sur le terminal Harris RF-7800 B, offrant une solution satellite haute performance en voix et données à ses clients militaires qui contient plusieurs vulnérabilités. L'attaquant qui les exploite peut installer un firmware malveillant ou exécuter du code arbitraire sur le système. On imagine sans peine les opportunités de cybermanipulation ou de cybersubversion accessibles à partir de ces faiblesses. L'étude souligne également le cas d'avions militaires américains équipés du système SATCOM Cobham AVIATOR qui assure les communications en vol de l'appareil. Là encore, une cyberattaque sur le système permettrait de perturber et de compromettre les échanges et les ordres durant le vol. Des patchs correctifs sont en cours de construction et seront systématiquement proposés aux différents clients impactés par ces défauts de sécurité préoccupants. Par Thierry Berthier Maître de conférences en mathématiques, Professeur au sein d'un département informatique universitaire CyberLand Les cyberattaques ne se limitent plus aux infrastructures terrestres et peuvent toucher aujourd'hui un système de communication par satellite comme SATCOM. Les opérateurs satellitaires sont alors confrontés à des défis de sécurité croissants puisque leurs installations jouent un rôle stratégique dans les secteurs militaires et civils. Une société spécialisée en cybersécurité (IOActive) vient de publier une étude après la découverte de plusieurs vulnérabilités critiques affectant les terminaux satellitaires SATCOM. L'étude complète est disponible à partir du lien ci-dessous (ndlr: consultez la page suivante pour obtenir la liste des vulnérabilités découvertes par IOActive) : http:/ / www.ioactive.com/ pdfs/ IO Active_SATCOM_Security_W hitePap er.pdf Selon cette étude, les terminaux SATCOM présentent des informations d'identification codées en dur, des protocoles de connexions non sécurisés et des Backdoor permettant de prendre le contrôle du système. Lorsque l'on sait que ce système satellitaire est régulièrement utilisé par les armées, les services gouvernementaux et les grands groupes industriels, on imagine aisément les risques associés à ces vulnérabilités. En les exploitant, un attaquant pourrait intercepter, manipuler ou bloquer des communications sensibles et, dans certaines circonstances, prendre le contrôle à distance de dispositifs liés aux infrastructures SATCOM utilisés à l'occasion d'opérations militaires. Thierry Berthier, maître de conférences en mathématiques et propriétaire du blog Cyberland, revient sur les vulnérabilités des communications satellites (SATCOM) à l’occasion des révélations de la société de cybersécurité IOActive. Sur ce schéma, on constate à quel point les satellites demeurent au centre des dispositifs de communication militaires. A la façon d’une attaque MITM, toucher un satellite permet dès lors de toucher tout les dispositifs, humains ou matériels, qui se reposent sur les communications par satellite.
  • 10. Appel à contributeurs Cette newsletter mensuelle s’adresse à une communauté ciblée et se construit sur un modèle collaboratif, s’inspirant d’une démarche open source dans le souci d’un partage de connaissances. De fait, elle vit et s’enrichit de ses contributeurs, pour la plupart des experts dans leurs domaines respectifs, et de fait nous sommes toujours à la recherche de contributions diverses. Si publier par notre biais vous intéresse, n’hésitez pas à nous à contacter pour en discuter plus en détails. Cordialement, La Rédaction War R@M vous est proposée le dernier vendredi de chaque mois et est disponible en ligne. C’est une publication libre, vous pouvez donc la partager sans réserves, à condition de respecter la propriété intellectuelle des personnes qui y publient. Vous pouvez aussi suivre notre actualité et bénéficier de nos ressources en ligne par le biais de notre compte Slide Share : http://fr.slideshare.net/WarRam War R@m – Mai 2014 RESUME DES VULNERABILITES TROUVEES PAR IOACTIVE Attention: Le tableau ci-dessous est extrait du rapport d’IOActive sur la vulnérabilité des télécommunications satellites. Celui-ci détaille toutes les vulnérabilités trouvées chez les prestataires de services satellites en les listant selon les vendeurs, les produits, le type de vulnérabilité, le service qui les produit et le dégré d’importance de la faille. Ce tableau est la propriété d’IOActive, Inc et de CERT Coordination Center.

×