War Ram - Lettre d'information sur le cyberespace et la cybersécurité - Mars 2014

  • 2,065 views
Uploaded on

Attention: pour profiter au maximum du contenu de la War R@m, un téléchargement est nécessaire. En effet, du fait de sa politique de partage, SlideShare bloque les liens des 3 premières pages. …

Attention: pour profiter au maximum du contenu de la War R@m, un téléchargement est nécessaire. En effet, du fait de sa politique de partage, SlideShare bloque les liens des 3 premières pages.

War Ram est une lettre d’information mensuelle, consacrée aux thématiques de cyberdéfense et de cybersécurité, ainsi qu’aux infrastructures (OIV, data centers…) qui sous-tendent le cyberespace. Cette publication est également disponible en ligne via le Slide Share (War Ram).

More in: News & Politics
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
2,065
On Slideshare
0
From Embeds
0
Number of Embeds
9

Actions

Shares
Downloads
27
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. La vidéo du mois « Ils ne savaient pas que c’était impossible, alors ils l’ont fait ». A bien des égards, cette citation de Mark Twain peut se rapporter à l’aventure commune qu’est la W ar R@m. Commencée dans la discrétion, notre lettre d’information a rapidement trouvé son public, nous mettant dans l’obligation de nous dépasser. Pour répondre à ces attentes, nous avons décidé d’augmenter sensiblement le volume de cette dernière qui passe de dix pages contre six auparavant :  La rubrique veille 360° se subdivise désormais en trois catégories : cybersécurité – cyberdéfense – cyberculture.  "Les Experts", "Out-of-the-Box" et "Pimp my Opsec" gagnent une page supplémentaire, portant notre lettre d’information à 10 pages au total. Une augmentation quantitative n’est pas synonyme de baisse qualitative, et les contributeurs de ce mois nous ont gâté par l’originalité de leur publication. Ainsi nous retrouvons :  Dans la rubrique Les Experts une excellente analyse sur la Syrian Electronic Army et la récupération du discours hacktiviste  Dans la rubrique Out-of-the-Box, une interview avec Thierry Berthier, du blog Cyberland sur les liens entre algorithmes et cyberarme  Dans la rubrique Pimp my Opsec, une mise à nue très intéressante du pare-feu W AF par 0x00info, propriétaire du blog éponyme. Cyberarme, hacktivisme, espionnage… Des outils et des notions qui se démocratisent, quittant le giron des élites pour mieux pénétrer les mondes de l’entreprise, de la société civile, du militaire. Aujourd’hui plus que jamais souffle un vent de changement numérique qui bouleverse les codes établis et nous pousse à nous réinventer, constamment, suivant le concept d’antifragilité, cette résilience évolutive que décrit l’un de nos contributeurs de ce mois. Ensemble, suivons les conseils de Mark Twain et ne posons pas de limites à ce qu’il nous est possible de faire : puisse cette RAM vous vous apporter une meilleure compréhension de ce qui se passe sous les circuits du cyberespace. Cyberarme en 3D Les cyberarmes sont à l’honneur pour cette RAM de mars. L’occasion de vous offrir l’une des pires scènes de construction d’un worm jamais vue au cinéma. Issue du film Opération Espadon, avec John Travolta et Hugh Jackman, cette scène ne nous épargne aucun poncif : les touches tapées à toute vitesse, le "Access Granted" en majuscule, et le malware en 3D…. Un moment magique! L’E-DITO Sommaire Les gros titres THE WAR R@M L’Edito 360° Les Experts Out-of-the-Box Pimp my Opsec #Syrian ElectronicArmy #CyberArme #WAF #DPI #DLP • Retrouvez aussi nos publications sur notre Slideshare.net/ W arRam • Envie d’en savoir plus? Contactez-nous: redaction.warram@spray.se • Les contributeurs associés à ce numéro, pour leur contribution et leur soutien, visible ou invisible : @0x0ffinfo, Emmanuel Gorand, Thierry Berthier, @leroycyber, @ncaproni @Mduqn DE L’ANTIFRAGILITE FOLLOW THE W HITE RABBIT Mars 2014
  • 2. 2 Target: « écartez ces failles que je ne saurais voir… » Nouvelle révélation dans l’affaire Target. Il semblerait que, contre toute attente, le distributeur aurait été prévenu des failles de sécurité 2 mois avant le vol massif dont il a été victime. Cette information jette un regard nouveau sur la nature du piratage. Si ce dernier a bien été rendu possible grâce au vol des identifiants d’un sous-traitant de Target, on ignorait jusqu’à présent comment les cybercriminels s’étaient introduits dans le système du distributeur. Il semblerait que la découverte des failles deux mois auparavant explique le "hack", tout en relançant l’hypothèse d’un complice au sein même de la compagnie. 360° L’Opération Snowman a-t-elle éclaboussé le secteur aéronautique français? Avis de tempête sur le secteur aéronautique français. Alors que l’Opération Snowman (Bonhomme de neige en anglais…) semble donner du fil à retordre aux vétérans militaires américains, le GIFAS (Groupement des industries françaises aéronautiques et spatiales) et la Snecma, filiale du groupe Safran, semblent avoir été touchées par une faille critique (CVE-2014-0322) du navigateur Internet Explorer. Jusqu’à présent, les circonstances du piratage restent floues. Si la méthode utilisée est “pointue techniquement” (méthode du point d’eau), on ne sait pas si l’offensive est une réussite. Pour le Figaro, citant un expert anonyme, l’attaque remonterait à janvier et utiliserait un logiciel différent de celui utilisé contre les vétérans américains, ce qui laisserait supposer l’existence de deux groupes cybercriminels distincts. Pour les techniciens avides d’aller plus loin : Selon les informations délivrées par la société de cybersécurité FireEye à l’origine de la découverte de l’attaque, l’exploit utilise une vulnérabilité présente sur Internet Explorer 9 et 10, et utilise un langage Action Script pour contourner le mécanisme de protection ASLR. Une fois cela fait, les attaquants mettent en place un programme ROP afin de contourner un dispositif DEP (Data Execution Prevention) et permettre l’exécution de leur malware, camouflé en fichier Jpeg, à partir d’une page W eb donnée. Une attaque très complexe donc, qui met à mal des dispositifs de sécurité très élaborés. Cybersécurité & Entreprises Les plus gros piratages de données en une infographie Une infographie interactive permettant de voir les plus gros piratages de données dans le monde a été mise en ligne par un journaliste indépendant. L’infographie permet différentes méthodes de tris et de filtrage (moyen utilisé, année, secteur touché) et il suffit de cliquer sur le cercle représentant une attaque pour être redirigé vers le rapport de sécurité le concernant. Ludique et pratique! EC Council, site de hacker éthique, a été piraté Le site EC Council a été "défacé" fin février par un pirate inconnu. Les données de 60,000 professionnels de la sécurité sont potentiellement en danger et, cerise sur le gâteau, le cracker aurait eu accès à une copie du passeport d’Edward Snodwen. Dans un message, le cybercriminel déclare avoir obtenu des milliers d’identifiants de connexion, pour certains appartenant à des militaires américains. Un « pot de miel » pour protéger ses données Deux chercheurs de l’université de W isconsin auraient développé une nouvelle méthode de chiffrement basé sur le principe du leurre. Ajoutant une couche supplémentaire de protection, cette méthode de chiffrement permet de dissimuler les vraies données au milieu d’un flot de données aléatoires et générées automatiquement afin de rendre leur exploitation impossible. L’intérêt de cette méthode vient du fait qu’elle laisse croire aux attaquants qu’ils ont obtenu un accès légitime aux données en générant, à chaque tentative de craquage, de fausses données. Cette méthode a été baptisée "Honey Encryption", représenterait, selon son créateur, une ultime barrière dans le cas d’un piratage. La vitesse, clef de voûte de la protection des données Une étude de la société Ponemon vient enfoncer les portes ouvertes en disant tout haut ce que l’on pense tout bas. La vitesse serait l’élément clef de la gestion d’une cyberattaque, qu’il s’agisse de vitesse de détection ou de prise en compte d’un problème. Or, à l’heure actuelle, il semblerait que la lenteur dans la prise en compte d’un incident informatique est la norme, tout du moins aux Etats-Unis. La société suggère donc que les compagnies devraient mettre en place une résolution automatique des incidents, un système de hiérarchisation des menaces et la mise en place d’une veille en temps réel de la cybersécurité. War RAM – Mars 2014
  • 3. 3 360° Cyberdéfense L’Europe face à la cybercriminalité Après avoir été la victime insouciante d’une attaque DDoS de grande ampleur, de piratage et de ransomwares, l’Union Européenne veut relever la tête. Ainsi, lundi 10 février, celle-ci a présenté son premier rapport sur la cybercriminalité, rédigé par le centre EC3. A l’échelle européenne, le centre aspire à défendre les internautes contre les arnaques bancaires, les "sextorsions" tout en continuant à lutter contre la pédopornographie. Une initiative louable et un début de réponse plus ou moins satisfaisant. Coup de comm’ et promesses en l’air Que W ashington tremble ! Que la NSA se repente ! La chancelière allemande veut bâtir, en coopération avec la France, un réseau de communications exclusivement européen. Hélas, le concept fait jaser. Sur les plans physique, économique et technique, l’idée relève en effet du miroir aux alouettes, une sorte de marronnier un peu irréaliste qui semble pourtant séduire les sénateurs français. La preuve étant, les propositions de la chancelière au lendemain de la réunion avec Hollande entretenait l’ambigüité. Au final, il semblerait que cet Internet européen consisterait avant tout à mettre en place un cadre juridique obligeant les données à rester en Europe. Une balkanisation a minima, en somme? Le Royaume-Uni pourrait (encore) abandonner Microsoft Grande nouvelle, le gouvernement britannique pourrait de nouveau abandonner Microsoft pour des solutions open source. L’idée, séduisante sur le papier, permettrait d’économiser près de 200 millions de livres. Hélas, la promesse n’est pas nouvelle. Des tentatives de migration vers des logiciels open source en 2002 et 2010 n’avaient pas réussi à susciter l’engouement de l’administration. FARC vs Colombie: le combat se poursuit sur le Net La lutte historique entre les FARC et l’Etat colombien trouve aussi écho sur Internet. Alors même que Bogota a entamé des négociations pour obtenir une paix durable entre les forces révolutionnaires, une unité militaire colombienne (Andromeda) aurait surveillé les communications des négociateurs dans un but encore trouble. Mais les FARC ne sont pas en reste, puisque ces derniers disposeraient également d’un groupe de pirates pour espionner le gouvernement et les forces de police, selon une information relayée par le quotidien colombien El Tiempo. Cyberdéfense: le réveil français La cyberdéfense française va (enfin) combler son retard. Pour ce faire, le gouvernement multiplie les actions. Le réveil français a deux volets : • La mise en place d’un "pacte Cyber", et le déblocage de 1 milliard d’euros de budget dédié (dont 400 millions pour la modernisation des infrastructures). • La "relocalisation" des messageries tricolores sur le territoire et le chiffrement des réseaux de l’Etat – en bref, l’extension des protocoles SSL/ TLS, voire des clefs PGP, à toutes les messageries françaises (les "bretelles" et la "ceinture" pour paraphraser Stéphane Bortzmeyer). Une décision réaliste mais tardive qui pourrait faire sourire les experts… Ce serait oublier "qu’un voyage de mille lieues commence toujours par un pas". Bas le Mask! Le malware Careto dévoilé Après Stuxnet, Careto s’imposera certainement dans les mentalités comme l’un des malwares les plus sophistiqués jamais créés. Contrairement à Stuxnet, ce malware n’a pas pour but d’infliger des dégâts physiques (il n’entre pas donc dans la catégorie floue des "cyberarmes"). Dévoilé par les experts de Kaspersky Lab, l’objectif du Mask (son autre petit nom) serait d’espionner des cibles à haute valeur ajoutée (Etats, gouvernements, missions diplomatiques). Actif depuis 2007 environ, il aurait impacté près de 30 pays, dont la France, en interceptant tous les canaux de communication et en recueillant les informations les plus essentielles de l’ordinateur touché. Les chercheurs de Kaspersky excluent de facto l’idée que des cybercriminels seraient derrière cette action tant le degré de sécurité semble anormal. Autre facteur étrange, les pirates de Careto semblent parler espagnol, une langue très rare dans l’ADN des cyberattaques… Manœuvre de dissimulation ou vrai mystère? War RAM – Mars 2014
  • 4. Pony Pony Run Run A rebours de la dégringolade "boursière" du Bitcoin, la firme de cybersécurité TrustW ave aurait fait une découverte surprenante. Un malware, répondant au doux nom de Pony, aurait infecté un nombre faramineux d’ordinateurs dans le but de dérober les monnaies virtuelles. Plus que la complexité du logiciel, c’est l’étendue de la propagation qui interpelle les chercheurs en cybersécurité, qui parlent de centaines de milliers de machines touchées. Ne reste plus qu’aux victimes qu’à faire mauvaise fortune bon cœur : si la dépréciation du Bitcoin se poursuit, ils n’auront finalement pas tant perdu que cela. 4 360° L’Internet des objets, un marché à plusieurs zéros Et si le pétrole de demain n’était pas la Data, mais les objets connectés qui l’exploitent? Une étude très récente de BI Intelligence, la section d’études prospectives de Business Insider, prédit l’explosion de « L’Internet des objets » d’ici à 2018. Pour être précis, le marché du Machine-to-Machine sera supérieur ou égal aux marchés des smartphones, des télévisions, des tablettes, des ordinateurs et des ordinateurs portables combinés. Une manne financière de plusieurs milliards de dollars selon les estimations de BI Intelligence. Ces prospectives soulignent en réalité un phénomène de fond : l’accélération de l’hybridation réel/ virtuel, au point où les deux concepts ne soient finalement pas si éloignés que cela. Une raison de plus pour pousser le code à l’école… Memex, le Google du Web profond La DARPA, le département de l’armement américain, a lancé un appel d’offre pour l’élaboration d’un moteur de recherche du W eb profond. Une analyse de l’appel d’offre (42 pages) laisse à penser qu’il ne s’agira pas de faire des recherches sur les DarkNets, mais plutôt de faire de fouiller les recoins du W eb invisible – base de données, forums en accès fermé, etc. D’ailleurs, la DARPA insiste, le projet sera respectueux de la vie privée de tout un chacun. Si c’est eux qui le disent… La Trilogie du Bitcoin Le Bitcoin aurait-il perdu de son attrait ? Ou est-ce l’explosion de la bulle qui rend frileux les internautes? Toujours est-il que la monnaie virtuelle est dans une mauvaise passe. Si sa volatilité a toujours été au cœur de la polémique, la succession de trois catastrophes pourrait donner le coup de grâce à la devise numérique : - Premièrement, les prises de position répétées de certains Etats mettant en garde ou interdisant derechef la devise. - Deuxièmement, la découverte d'une vulnérabilité technique dans le code-source du Bitcoin qui aurait permis un vol à grande échelle – Silk Road aurait notamment été dévalisé. - Troisièmement, l’effondrement de MtGox, l’une des plus grandes plateformes d’échange de Bitcoin est une catastrophe pour le secteur. Face à cette succession de coups durs, d’aucuns prédisent déjà la fin du Bitcoin, qui n’aurait été finalement qu’une parenthèse du Net. Gardons-nous bien, toutefois, de toutes certitudes pour l’instant. Données personnelles et recherche médicale Une coalition de médecins, de scientifiques et d’universitaires monteraient au créneau à Bruxelles contre le projet de protection des données personnelles de l’UE. Selon eux, ce dernier pourrait à terme menacer les recherche et les progrès permis par les nouvelles technologies, notamment dans le domaine du Big Data. A l’heure actuelle, les scientifiques proposeraient une voie médiane qui passerait par l’anonymasiation des données et un maillage complexe de protection juridique. Cyberculture War RAM – Mars 2014
  • 5. LA RÉCUPÉRATION DU DISCOURS HACKTIVISTE Les ennemis de l’extérieur, d’abord. Depuis le début de la révolution, Bachar El-Assad cherche à la présenter comme une offensive venue de l’étranger. Si, depuis l’arrivée en force de djihadistes, cette affirmation n’est plus tout à fait fausse, elle vise à cacher que la révolution syrienne est née à l’intérieur même du pays. SEA a tout fait pour accréditer cette thèse du “complot de l’étranger”, avec deux pays en cause : l’Arabie Saoudite et le Qatar. L’hypothèse peut faire sourire, tant il est peu probable que ces deux rivaux agissent de concert. En janvier 2013, SEA publiait le site “Qatar leaks”, une série de documents que le groupe affirme avoir dérobés sur le ministère des affaires étrangères du Qatar. En octobre 2013, le groupe attaquait le registraire de premier niveau du pays. En mai de la même année, c’était le ministère de la défense saoudien que les pirates affirmaient avoir infiltré. On peut aussi rappeler, en avril 2012, la prise de contrôle temporaire des comptes de la chaîne saoudienne Al- Arabiya sur Facebook et Twitter. Nous passons rapidement sur d’autres ennemis habituels évoqués par Bachar El-Assad : Israël et les Etats-Unis, qui sont les cibles régulières d’hacktivistes venus du monde musulman (on peut penser au groupe AnonGhost, par exemple). A l’inverse, au crédit de ceux qui analysent la situation géopolitique syrienne en affirmant que les groupes djihadistes sont les alliés objectifs de Bachar El-Assad, SEA ne s’est pas distingué par l’attaque de sites liés à Al- Qaïda ou aux djihadistes. Les ennemis de l’intérieur, ensuite ; autrement dit, les rebelles syriens. Sur ce point, la collusion entre le régime et SEA est plus difficile à établir. On me pardonnera donc quelques conjectures. SEA a attaqué 4 éditeurs d’applications liées à la communication mobile ou à la VoIP : Tango, Viber, True Caller et Skype. Pour les trois premiers, le groupe serait parvenu à dérober tout ou partie de la base de données des utilisateurs des services. Informations précieuses pour un régime qui cherche à identifier les moyens de communication des opposants, dans un pays où le principal opérateur téléphonique du pays est dirigé par un cousin du président Assad, Rami Makhlouf. L’équipe dirigeante en Syrie a décelé très tôt l’intérêt économique des technologies de la communication : qu’elle voit l’usage politique qu’on peut en tirer ne devrait pas nous surprendre. (Suite p.6) 5 L’histoire politique contemporaine de la Syrie offre un cas d’école d’opportunisme idéologique. Le régime a été socialiste laïque ; il a pris un tournant libéral, aussi bien en matière économique que religieuse; et au début de la révolution, Bachar El-Assad tentait sans succès de se présenter en réformiste. Ces postures cachaient une autre réalité : la domination de la secte Alaouite sur le pays ; la construction d’un empire économique aux mains de la famille au pouvoir ; une révolte écrasée dans le sang. Bref, la famille Assad s’empare du discours à la mode, dans le but de charmer les opinions du monde arabe et du monde occidental à la fois. L’hacktivisme pourrait être l’une des nouvelles facettes de cet opportunisme. Deux mots d’abord sur l’hacktivisme, souvent jugé sans intérêt par les observateurs. Les techniciens seront les premiers à rire des script kiddies. Le journal Reflet est tombé en plein dans cette erreur, en posant la question : “Sont-ils aussi forts qu’ils le disent et que leurs cibles le laissent entendre ?” Les géopolitologues se concentreront plutôt sur les réseaux sociaux. Les analystes en sécurité, enfin, s’en désintéresseront au profit des menaces étatiques, à l’heure où l’espionnage venu de Chine ou des Etats-Unis sont plus vendeurs. On peut répondre qu’un piratage ne se juge pas à sa qualité technique, mais à ses effets ; que les réseaux sociaux sont pilotés par des minorités actives ; qu’enfin, l’hacktivisme est parfois le masque commode employé pour dissimuler les actions d’un Etat. Le célèbre “APT-1” décrit par Mandiant était d’abord connu dans les milieux pirates comme le groupe “Comment Crew”. Le groupe Syrian Electronic Army (SEA) est un bon exemple d’hacktivisme au service d’un État. Beaucoup a déjà été écrit sur la collusion entre SEA et le régime syrien. Nous voulons simplement montrer comment, le masque de l’hacktivisme sert trois objectifs de ce régime: la lutte contre les ennemis de l’extérieur, celle contre les ennemis de l’intérieur et enfin la propagande. LES EXPERTS Capture d’écran du fichier leaké par la SEA contenant le vol des données des utilisateurs de Forbes War RAM – Mars 2014
  • 6. 6 L’Electronic Frontier Fondation et Citizen Lab étudient depuis deux ans l’espionnage informatique dont sont victimes les rebelles syriens et les ONG qui plaident leur cause. Leur dernier rapport ne laisse aucun doute sur l’existence de campagnes d’espionnages. On ne peut prouver que SEA contrôle les RAT distribué par phishing ou via des commentaires laissés sur les pages Facebook ou sur des vidéos YouTube de révolutionnaires. Cependant, dès juin 2011, Citizen Lab attirait l’attention sur le fait que SEA était derrière l’attaque de plusieurs pages Facebook d’insurgés. De même, le phishing semble être la technique privilégiée de SEA. La propagande, enfin. C’est sans doute là où SEA est le plus efficace. Une intervention contre le régime dépend avant tout de l’opinion occidentale, mais celle-ci est toujours prompte à imaginer que la dictature reste la meilleure façon d’empêcher l’arrivée au pouvoir de groupes religieux extrémistes. D’où le storytelling de Bachar El-Assad et de Vladimir Poutine qui vend l’image d’une Syrie mise à feu et à sang par des groupes islamistes. Il faut pour cela détourner l’attention sur les exactions du régime et mettre l’accent sur les rebelles les plus radicaux. SEA est le relais fidèle de cette stratégie, montrant que l’hacktivisme est un ressort majeur du soft power. En novembre 2013, SEA prenait le contrôle de la page Facebook du journaliste et activiste Matthew Van Dyke, connu pour son soutien à la révolution syrienne. Si on avait pu voir, par le passé, SEA s’en prendre à des journaux, une attaque aussi ciblée montre bien un effort calculé d’attaquer en priorité à leurs adversaires idéologiques les plus motivés. Plus généralement, tout média qui met en avant le non-respect des droits de l’homme par le régime s’attire l’attention de SEA. Le piratage de CNN en janvier faisait suite à la diffusion d’un reportage sur la torture et les exécutions dans les prisons du gouvernement. Le groupe présentait l’attaque contre Forbes le 21 février dernier comme une réponse au côté « anti-syrien » de la ligne éditoriale du magazine. Se présenter comme un groupe d’hacktiviste sert bien évidemment la propagande. Les observateurs ont tous soulignés la mutation de SEA. En mai 2011, c’était un groupe hiérarchisé agissant essentiellement dans l’orbite du registraire de premier niveau syrien, organisme jadis présidée par Bachar El-Assad. Quelques mois plus tard, le groupe ressemblait bien plus à Anonymous : organisation décentralisée, niant systématiquement tout lien avec le régime, mettant en avant son côté international (la diaspora syrienne expliquant pourquoi ses membres ne sont pas tous en Syrie). Les vidéos postées sur YouTube par le groupe reprennent les codes d’Anonymous: musique exagérément dramatique, surabondance de couleurs bleutés et métalliques, etc. Or l’hacktiviste bénéficie d’un biais positif auprès des populations. Comme tout underdog, il tend à attirer la sympathie du public. Bref, SEA contribue au retournement des rôles qui vise à faire de Bachar El-Assad une victime plutôt qu’un bourreau. Cette propagande s’adresse aussi bien au grand public qu’aux autres hacktivistes, alliés potentiels. Dans un milieu aussi porté sur la théorie du complot, SEA pouvait compter sur des oreilles attentives en affirmant que le régime syrien était la victime de l’alliance, si improbable soit-elle !, du Qatar, de l’Arabie Saoudite et d’Israël. Quand bien même, aujourd’hui, de nombreux « Anonymous » condamnent SEA et l’attaquent, le groupe peut maintenir aux yeux de beaucoup l’image d’une petite équipe de franc-tireur arrivant à prendre brièvement le contrôle de la communication d’Associated Press, du New York Times ou de CNN ; de pourfendeurs de la “pensée unique”. On retrouve dans toutes ses actions aussi bien la volonté de développer une ethos d’hacktiviste (attaquer Microsoft parce qu’on le soupçonne d’espionner ses clients) que les buts de guerre que nous avons présentés ici (chez Microsoft, attaquer Skype, outil apprécié des insurgés). Plus encore, d’autres groupes de la région s’en inspirent. Le groupe Islamic Cyber Resistance (ICR) a fondé un site “wikileak.ir”, imitant cette fois le discours de l’association fondée par Julian Assange, et derrière lequel on devine facilement les intérêts de Téhéran. Il nous paraît donc probable que les Etats n’ayant pas les moyens techniques des Etats-Unis ou de la Chine vont se tourner vers l’hacktivisme sur le modèle de SEA comme moyen de peser dans le cyberespace. En plus de la cybercriminalité mafieuse et des campagnes d’espionnages ou de sabotages, il paraît nécessaire d’inscrire, sur la liste des menaces à surveiller de près, l’apparition de ce qu’on pourrait qualifier de “soft power low-tech”. Alors que le coût économique et technique des intrusions informatiques diminue et que l’accès à des outils toujours plus puissants devient de plus en plus facile, minimiser le risque que pose l’émergence de groupes hacktivistes nous paraît très imprudent. Les attaques de SEA ne sont pas d’une grande sophistication, c’est un fait. Et comme la majorité des groupes d’hacktivistes, leur communication est pleine d’exagérations et de rodomontades. Mais les résultats sont là. Voyez le tableau de chasse de SEA ces deux derniers mois: détournements de Microsoft, CNN, eBay, PayPal ; 17 défacements en Arabie Saoudite ; fuite des données de plus d’un million d’abonnés à Forbes. Par Emmanuel Gorand, Analyste en cybersécurité. SUITE ARTICLE P.5 "Online Social Media in the Syria Conflict: Encompassing the Extremes and the In- Betweens« Cette cartographie des groupes en présence en Syrie, élaborée à partir des réseaux sociaux, souligne une situation complexe. Légende: Djihadiste – Or Kurdes – Rouge Pro-Assad – Violet Modéré – Bleu Communautés multiples – Noir Ref: arxiv.org/ abs/ 1401.7 535 War RAM – Mars 2014
  • 7. 7 Tout d’abord, parlez-nous un peu de votre parcours. Ce n’est pas très fréquent qu’un enseignant chercheur en mathématiques à l'université se retrouve à publier sur les questions de cyberguerre ! En tant que Maitre de conférences en mathématiques, j'enseigne au sein d'un département informatique universitaire les mathématiques pour l'informatique (cryptographie, théorie des graphes, complexité, théorie algorithmique de l'information, algèbre pour l'informatique). J'ai commencé mes recherches par un doctorat en théorie algébrique des nombres puis, j'ai assez vite évolué vers la théorie algorithmique de l'information. Je m'intéresse en particulier aux situations de concurrences et de duels algorithmiques. Elles se multiplient rapidement et façonnent finalement les reliefs du cyberespace. On les rencontre dans un cadre ludique (le jeu de combat en ligne, le jeu d'échec contre la machine), dans un cadre commercial (les stratégies des vendeurs-acheteurs sur eBay, le Trading haute fréquence HFT) ou encore dans le cadre de la cyberconflictualité, c'est-à-dire de la projection algorithmique d'un conflit armé sur l'espace numérique. J'ai introduit très récemment le formalisme inédit de projection algorithmique d'un opérateur(* ). Cette notion projective fournit une approche systémique efficace des situations de concurrences ou duels et s'inscrit pleinement dans le mouvement rapide de la convergence NBIC (Nanotechnologies, Biotechnologies, Informatique, sciences Cognitives) qui déforme le cyberspace. C'est donc très naturellement que je me suis dirigé vers les problématiques relatives à la cyberstratégie, la cybersécurité, et la cyberdéfense. L'approche transversale me semble être alors la meilleure : discuter avec le militaire, le gendarme, le juriste, le sociologue, le spécialiste des sciences cognitives, le psychologue, l'informaticien, ou le spécialiste des infrastructures réseaux permet d'embrasser les problématiques cyber avec des optiques distinctes et complémentaires. Dans votre Cyberchronique pour la Chaire Castex, vous évoquez souvent la nature algorithmique d’une cyberarme et son entrelacement avec le biologique (l’humain derrière la machine). Pouvez-vous préciser les termes ? Faut-il être bon en maths pour construire une cyberarme de qualité ? Entrelacement est véritablement le bon terme ! En effet, la convergence NBIC rapproche à grande vitesse les différents prismes d'analyse et ce n'est que le début. La croissance exponentielle du progrès va bouleverser les lignes et faire voler en éclats le cloisonnement des disciplines académiques, c'est une évidence que l'on a tendance à sous-estimer ou, pire, à occulter. Nous devons nous préparer et en particulier préparer la jeunesse actuelle aux changements technologiques disruptifs qu'elle devra assumer, intégrer ou subir; La montée en puissance globale de l’IA (Intelligence Artificielle, ndlr) et la fusion de l'espace réel avec le cyberespacevont s'accompagner de fortes turbulences qui impacteront directement nos existences à toutes échelles. Nous devons donc préparer ces changements aujourd'hui et surtout ne pas nous laisser distancer. De nombreuses nations ont parfaitement intégré les enjeux sous- jacents et adaptent déjà leurs systèmes éducatifs, leurs tissus industriels et leurs infrastructures de défense. La Silicon Valley en Californie, la siliconwadi en Israël, les pôles technologiques chinois, préfigurent les modèles de « Start-Up Nations » . Pour répondre à votre question, à mon avis, non, il ne faut pas être bon en mathématiques pour construire une cyberarme de qualité. A mon sens, il faut être malicieux, astucieux, débrouillard, il faut faire preuve de sagacité et d'un sens pratique développé: savoir “sentir” les réactions de sa future proie et s'intéresser aux petites faiblesses humaines tout en profitant des biais et des automatismes biologiques qui faciliteront l'attaque. (Suite p.8) W ar R@m s’est entretenu avec Thierry Berthier, tenancier du blog CyberLand et maître de conférences en mathématiques. Une rencontre riche en enseignements! THIERRY BERTHIER, CYBERLAND "POUR CONSTRUIRE UNE CYBERARME, IL FAUT ÊTRE MALICIEUX, ASTUCIEUX, DÉBROUILLARD… " OUT-OF-THE-BOX Modèle de décomposition systémique d’une cyberattaque par Thierry Berthier • Formulation d’une intention et définition d’une ciblePhase 1 • Analyse des fragilités de la cible Phase 2 • Choix et construction d’une cyberarme adaptéePhase 3 • Activation de la cyberarme sur la ciblePhase 4 • Impact de l’attaque sur les espaces physique et numériquePhase 5 • Retour du système à l’état initial Phase 6 War RAM – Mars 2014
  • 8. 8 Dernière question : peut-on imaginer, à long terme ou dans un futur proche, qu’une machine (supercalculateur, ordinateur quantique) puisse réagir aux attaques pour se renforcer elle-même et ce de façon automatique ? Ou est-ce impensable technologiquement ? C'est une hypothèse qui me semble tout à fait raisonnable à court terme ! La société israélienne Aorato créée en 2011 vient d'ailleurs de développer le premier firewall doté d'une « intelligence artificielle » (je place des guillemets de prudence car il faudrait s'entendre sur la définition précise du terme IA...). Cette Start-Up vient de construire une solution d'analyse et de surveillance strictement dédiée à l'Active Directory. Le pare-feu d'Aorato détecte et analyse les comportements suspects, ce qui permet de repérer avec succès les intrusions hostiles et de contrôler le trafic réseau entre les serveurs et les utilisateurs de l'annuaire. Le Firewall est capable d'apprendre à détecter des comportements anormaux qui sortent du cadre d'une utilisation licite et qui révèlent l'attaque. Le système apprend et s'améliore. On sait construire depuis longtemps de tels systèmes basés sur des architectures en réseau de neurones (le Perceptron multicouche a été inventé en 1957!). Ils sont aujourd'hui de plus en plus performants en profitant des puissances de calcul grandissantes. L'analyse bayésienne, les réseaux bayésiens permettent également d'effectuer des analyses rétro-actives en temps réel pour ensuite renforcer les réponses du système. Enfin , et c'est certainement l'horizon le plus prometteur, les futures architectures neuromorphiques risquent fort de révolutionner le calcul dans son exécution. Il faudra rester particulièrement attentif aux premiers résultats issus du programme Human Brain Project conduit par l'EPFL. Ces duels algorithmiques aboutissent parfois à des « Flash Crashs » boursiers qui restent imprévisibles et spectaculaires. Une notion qui a retenu notre attention est la notion d’antifragilité, que vous opposez à celle de résilience. Pouvez-vous la préciser pour nos lecteurs ? En simplifiant un peu, l'antifragilité introduite récemment par Nassim Nicholas Taleb (le théoricien du "Cygne Noir", ndlr) est une "super résilience", plus dynamique, et plus intrusive sur le système que la résilience classique. L'antifragilité peut contraindre le système à des mises à l'écart de certaines de ses composantes jugées plus vulnérables à un instant donné et peut aller jusqu'à la neutralisation ou la destruction de ces composantes qui globalement nuisent au système. L'antifragilité tire bénéfice des effets de bruits aléatoires dans la formulation des réactions du système; c'est là aussi une caractéristique qui ne figure pas en tant que telle dans la définition basique de la résilience. Vous avez élaboré une typologie des dissymétries dans le cyberespace (intentions, informations, temporalité, etc.) : à vous entendre, l’avantage semble être forcément du côté de l’attaquant… Effectivement, l'avantage est souvent du côté de l'attaquant, c'est un constat systémique qui est valable aujourd'hui, c'est-à-dire juste avant que les systèmes ne gagnent en autonomie et en capacité d'analyse sémantique. Lorsque les attaques seront décidées et initiées par les machines sans influence humaine (ou seulement lointaine) alors les rapports de force pourront être modifiés car les systèmes de défense réagiront sur les mêmes échelles temporelles et « computationelles ». On commence d'ailleurs à ressentir ce type de turbulences dans le trading automatisé lorsque deux codes HFT rentrent en concurrence sur des échelles temporelles excluant la possibilité d'une réaction humaine. Ci-haut, un supercaculateur (calculteur CURIE). Ce type d’ordinateur devient indispensable dans le cadre d’initiatives telles que l’Human Brain Project ou pour aboutir à un renforcement automatique de la cybersécurité. SUITE ARTICLE P.7 Retrouvez plus d’analyses détaillées de ce contributeur sur son blog dédié à la cyberdéfense : CyberLand War RAM – Mars 2014
  • 9. LE WAF, CHIEN DE GARDE OU POUDRE AUX YEUX? PIMP MY OPSEC Le W AF, mode d’emploi Concrètement, à quoi sert un W AF? Ce genre de solutions offre une florilège de possibilités pour renforcer la sécurité d’une infrastructure: vérifier que les cookies n’ont pas été modifiés par le client, s’assurer que vos paramètres HTTP (GET et POST) ne contiennent aucune chaîne de caractères suspecte de type ../ .. ou SELECT UNION… Pour faire simple un W AF permet de faire le travail que devraient faire les développeurs de l’application pour assainir les données qui transitent par ses points d’entrées. La controverse soulevée par ce nouveau paradigme technologique est née de l’eccéité de l’outil. Celui-ci n’est à priori ni bon ni mauvais, seul l’usage qui en est fait peut être jugé moralement et éthiquement. Hélas, un W AF peut être employé de façon hautement contestable... Ce genre d’équipement permet d’enregistrer, sous couverts de bonnes intentions, les requêtes émises vers une page quelconque en fonction de critères arbitraires. Les moins scrupuleux pourraient tout aussi aisément ordonner la modification à la volée de certaines données saisies par l'utilisateur lorsqu’elles traversent le W AF... Votes en ligne, transactions bancaires, forums et tribunes d'expressions, le champ d'action est large. Inutile de préciser que bon nombre de constructeurs ont déjà saisi l’importance de ces questions et se méfient des législations qui poussent comme du chiendent et qui pourraient bien leur couper l’herbe sous le pied. Prévoyants et enclins à ne pas être montrés du doigt, ces derniers ont d’ores et déjà intégré tout un ensemble de fonctionnalités permettant (théoriquement) de protéger les données personnelles des utilisateurs. (Suite p. 10) Si vous lisez régulièrement W ar R@m, il est vraisemblable que les mots Data Leak Prevention (DLP) ou Deep Packet Inspection (DPI) ne vous soient pas inconnus. Depuis les révélations de M. Snowden, les débats, dossiers et enquêtes traitant des implications législatives, éthiques et géopolitiques inhérent à ces deux concepts fleurissent un peu partout sur la toile. Mais malgré cette grande visibilité, il est possible de s'instruire sur le sujet sans jamais entrevoir le visage de ces technologies complexes. Qu’est-ce que le W AF? Au cœur des concepts de DLP et de DPI, on retrouve une technologie qui a du chien: la W eb Application Firewall, couramment appelée W AF. Désigné comme un pare-feu (à tort ou à raison), ce type d'équipement permet de fouiller l'intérieur des paquets transportant vos données. Il n’y a pas si longtemps, le terme pare-feu recouvrait uniquement le contrôle de flux de données, en se basant sur l’information des couches basses (jusqu’à la couche transport du modèle OSI - voir schéma ci- contre), ce qui pour caricaturer permettait d’interdire à l’accès à certains réseaux et services en se basant uniquement sur les adresses mac (ACL) de niveau deux, les adresses IP de niveau trois, et les ports de niveau quatre. Le W AF est en somme un firewall ayant pour but de protéger l’accès aux ressources; on comprend aisément ce qui est passé par la tête des ingénieurs l’ayant baptisé "W AF". Car le but final de cette technologie est bien l’interdiction de certains flux en fonction de critères de plus hauts niveaux que ceux utilisés par les Firewall classiques (cf schéma p.10). Cette technologie nouvelle n'est ni rare, ni hors de prix, et c'est ainsi que le DPI et le contrôle de nos données s'installent petit à petit dans toutes nos entreprises… Modèle OSI (Open Systems Interconnection) War RAM – Mars 2014 9 Source: W ikipedia Type de Donnée Couche Fonction 7. Application Point d'accès aux services réseaux 6. Présentation Gère le chiffrement et le déchiffrement des données, convertit les données machine en données exploitables par n'importe quelle machine 5. Session Communication Interhost, gère les sessions entre les différentes applications Segments 4. Transport Connexion bout à bout, connectabilité et contrôle des flux. Intervient la notion de port Paquet/Datagram me 3. Réseau Détermine le parcours des données et l'adresse logique (IP) Trame 2. Liaison Adresse physique (MAC) Bit 1. Physique Transmission des signaux sous forme binaire Modèle OSI Donnée Couches Hautes Couches matérielles (ou basses)
  • 10. Cependant, le problème demeure, car vous aurez toujours une ou plusieurs équipes en charge de l’infrastructure sur laquelle transitent vos données. Ainsi les employés chargés du W AF, du réseau portant ses flux de log, les serveurs traitant ces informations, et ceux dédiés à leur stockage, etc… auront accès à cette infrastructure, et donc à vos données et donc à votre vie… Et je ne parle ici que de la récupération d'informations en utilisant le travail du W AF... Vous l'aurez compris, aujourd'hui récupérer en masse les données utilisateurs n’est plus un challenge technique pour les entreprises. Ni pour un individu d'ailleurs, car finalement il suffit d’intégrer quelques semaines une équipe exploitant l'infrastructure ciblée et de ne pas se faire choper en plein copier -coller. Par 0x0ff.Info @0x0ff.Info Retrouvez plus d’analyses détaillées de ce contributeur sur son blog dédié à la cybersécurité: www.0x0ff.info Appel à contributeurs Cette newsletter mensuelle s’adresse à une communauté ciblée et se construit sur un modèle collaboratif, s’inspirant d’une démarche open source dans le souci d’un partage de connaissances. De fait, elle vit et s’enrichit de ses contributeurs, pour la plupart des experts dans leurs domaines respectifs, et de fait nous sommes toujours à la recherche de contributions diverses. Si publier par notre biais vous intéresse, n’hésitez pas à nous à contacter pour en discuter plus en détails. Cordialement, La Rédaction War R@M vous est proposée le dernier vendredi de chaque mois et est disponible en ligne. C’est une publication libre, vous pouvez donc la partager sans réserves, à condition de respecter la propriété intellectuelle des personnes qui y publient. Vous pouvez aussi suivre notre actualité et bénéficier de nos ressources en ligne par le biais de notre compte Slide Share : http://fr.slideshare.net/WarRam 0 Attaque "suspecte" de type HTTP Attaque sur les Couches Basses Pare-feu Standard Pare-feu WAF Requête légitime Réponse d’un WAF à une attaqueAinsi en identifiant certains points d’entrées sensibles, il est possible d’interdire l’enregistrement de ces données par le W AF – en remplaçant par exemple le contenu des paramètres "telephone", "adresse" ou "motdepasse" par des astérisques lorsque la requête se retrouve dans les logs. Mais encore faut-il que ces fonctionnalités soient configurées correctement… Quid du DLP ? Le DLP marche dans l’autre sens. Le DLP est une branche du DPI, il fait référence au contrôle des informations sortantes. Cette technologie permet par exemple d'effacer ou modifier les réponses émises par les serveurs contenant des informations qui ne devraient pas se trouver là. Où plus prosaïquement, de bloquer les pages demandées par l'utilisateur lorsqu’elles contiennent ces fameuses données sensibles. Et HTTPS dans tout ça? Ne vous leurrez pas, ce n'est que poudre aux yeux ! En fait ce que vous garantit un protocole HTTPS, c’est qu’entre votre ordinateur et le frontend (frontière entre internet et l'infrastructure portant l'application ou le site auquel vous accédez) le trafic est chiffré, ce qui est déjà pas mal vous me direz. De fait, cette configuration immunise plus ou moins contre les attaques de type MITM, mais une fois que vos données atteignent cette frontière... celles-ci sont potentiellement déchiffrées et lues. Et c’est là où le bât blesse. L’outsourcing et le risque (éternel) de l’Inside Job Qui contrôle le frontend ? Qui peut lire vos données? L’entreprise fournissant le service auquel vous accédez pardi ! Celle-là même qui vous garantit une parfaite confidentialité. Mettons que cette dernière soit moralement irréprochable et n’utilise donc pas les données de leurs utilisateurs… War R@m – Mars 2014 SUITE ARTICLE P.9