Attention: pour profiter au maximum du contenu de la War R@m, un téléchargement est nécessaire. En effet, du fait de sa politique de partage, SlideShare bloque les liens des 3 premières pages. War Ram est une lettre d’information mensuelle, consacrée aux thématiques de cyberdéfense et de cybersécurité, ainsi qu’aux infrastructures (OIV, data centers…) qui sous-tendent le cyberespace. Cette publication est également disponible en ligne via le Slide Share (War Ram).

1. La vidéo du mois
« Ils ne savaient pas que c’était impossible, alors ils l’ont fait ».
A bien des égards, cette citation de Mark Twain peut se rapporter
à l’aventure commune qu’est la W ar R@m. Commencée dans la
discrétion, notre lettre d’information a rapidement trouvé son
public, nous mettant dans l’obligation de nous dépasser.
Pour répondre à ces attentes, nous avons décidé d’augmenter
sensiblement le volume de cette dernière qui passe de dix pages
contre six auparavant :
 La rubrique veille 360° se subdivise désormais en trois
catégories : cybersécurité – cyberdéfense – cyberculture.
 "Les Experts", "Out-of-the-Box" et "Pimp my Opsec" gagnent une
page supplémentaire, portant notre lettre d’information à 10
pages au total.
Une augmentation quantitative n’est pas synonyme de baisse
qualitative, et les contributeurs de ce mois nous ont gâté par
l’originalité de leur publication. Ainsi nous retrouvons :
 Dans la rubrique Les Experts une excellente analyse sur la
Syrian Electronic Army et la récupération du discours hacktiviste
 Dans la rubrique Out-of-the-Box, une interview avec Thierry
Berthier, du blog Cyberland sur les liens entre algorithmes et
cyberarme
 Dans la rubrique Pimp my Opsec, une mise à nue très
intéressante du pare-feu W AF par 0x00info, propriétaire du
blog éponyme.
Cyberarme, hacktivisme, espionnage… Des outils et des notions qui
se démocratisent, quittant le giron des élites pour mieux pénétrer
les mondes de l’entreprise, de la société civile, du militaire.
Aujourd’hui plus que jamais souffle un vent de changement
numérique qui bouleverse les codes établis et nous pousse à nous
réinventer, constamment, suivant le concept d’antifragilité, cette
résilience évolutive que décrit l’un de nos contributeurs de ce mois.
Ensemble, suivons les conseils de Mark Twain et ne posons pas de
limites à ce qu’il nous est possible de faire : puisse cette RAM vous
vous apporter une meilleure compréhension de ce qui se passe
sous les circuits du cyberespace.
Cyberarme en 3D
Les cyberarmes sont à l’honneur pour cette RAM
de mars. L’occasion de vous offrir l’une des pires
scènes de construction d’un worm jamais vue au
cinéma.
Issue du film Opération Espadon, avec John
Travolta et Hugh Jackman, cette scène ne nous
épargne aucun poncif : les touches tapées à toute
vitesse, le "Access Granted" en majuscule, et le
malware en 3D….
Un moment magique!
L’E-DITO
Sommaire
Les gros titres
THE WAR R@M
L’Edito
360°
Les Experts
Out-of-the-Box
Pimp my Opsec
#Syrian
ElectronicArmy
#CyberArme
#WAF
#DPI
#DLP
• Retrouvez aussi nos publications sur notre Slideshare.net/ W arRam
• Envie d’en savoir plus? Contactez-nous: redaction.warram@spray.se
• Les contributeurs associés à ce numéro, pour leur contribution et leur soutien, visible ou invisible
: @0x0ffinfo, Emmanuel Gorand, Thierry Berthier, @leroycyber, @ncaproni @Mduqn
DE L’ANTIFRAGILITE
FOLLOW THE W HITE RABBIT
Mars 2014

2. 2
Target: « écartez ces failles que je ne saurais
voir… »
Nouvelle révélation dans l’affaire Target. Il semblerait que, contre
toute attente, le distributeur aurait été prévenu des failles de
sécurité 2 mois avant le vol massif dont il a été victime.
Cette information jette un regard nouveau sur la nature du
piratage. Si ce dernier a bien été rendu possible grâce au vol des
identifiants d’un sous-traitant de Target, on ignorait jusqu’à
présent comment les cybercriminels s’étaient introduits dans le
système du distributeur. Il semblerait que la découverte des failles
deux mois auparavant explique le "hack", tout en relançant
l’hypothèse d’un complice au sein même de la compagnie.
360°
L’Opération Snowman a-t-elle éclaboussé le secteur
aéronautique français?
Avis de tempête sur le secteur aéronautique français. Alors que
l’Opération Snowman (Bonhomme de neige en anglais…) semble
donner du fil à retordre aux vétérans militaires américains, le
GIFAS (Groupement des industries françaises aéronautiques et
spatiales) et la Snecma, filiale du groupe Safran, semblent avoir
été touchées par une faille critique (CVE-2014-0322) du
navigateur Internet Explorer.
Jusqu’à présent, les circonstances du piratage restent floues. Si
la méthode utilisée est “pointue techniquement” (méthode du
point d’eau), on ne sait pas si l’offensive est une réussite.
Pour le Figaro, citant un expert anonyme, l’attaque remonterait
à janvier et utiliserait un logiciel différent de celui utilisé contre
les vétérans américains, ce qui laisserait supposer l’existence de
deux groupes cybercriminels distincts.
Pour les techniciens avides d’aller plus loin :
Selon les informations délivrées par la société de cybersécurité
FireEye à l’origine de la découverte de l’attaque, l’exploit utilise
une vulnérabilité présente sur Internet Explorer 9 et 10, et
utilise un langage Action Script pour contourner le mécanisme
de protection ASLR. Une fois cela fait, les attaquants mettent
en place un programme ROP afin de contourner un dispositif
DEP (Data Execution Prevention) et permettre l’exécution de leur
malware, camouflé en fichier Jpeg, à partir d’une page W eb
donnée.
Une attaque très complexe donc, qui met à mal des dispositifs
de sécurité très élaborés.
Cybersécurité & Entreprises
Les plus gros piratages de données en une infographie
Une infographie interactive permettant de voir les plus gros
piratages de données dans le monde a été mise en ligne par un
journaliste indépendant.
L’infographie permet différentes méthodes de tris et de filtrage
(moyen utilisé, année, secteur touché) et il suffit de cliquer sur le
cercle représentant une attaque pour être redirigé vers le rapport
de sécurité le concernant. Ludique et pratique!
EC Council, site de hacker éthique, a été piraté
Le site EC Council a été "défacé" fin février par un pirate
inconnu. Les données de 60,000 professionnels de la sécurité
sont potentiellement en danger et, cerise sur le gâteau, le
cracker aurait eu accès à une copie du passeport d’Edward
Snodwen.
Dans un message, le cybercriminel déclare avoir obtenu des
milliers d’identifiants de connexion, pour certains appartenant
à des militaires américains.
Un « pot de miel » pour protéger ses données
Deux chercheurs de l’université de W isconsin auraient développé
une nouvelle méthode de chiffrement basé sur le principe du
leurre.
Ajoutant une couche supplémentaire de protection, cette méthode
de chiffrement permet de dissimuler les vraies données au milieu
d’un flot de données aléatoires et générées automatiquement afin
de rendre leur exploitation impossible.
L’intérêt de cette méthode vient du fait qu’elle laisse croire aux
attaquants qu’ils ont obtenu un accès légitime aux données en
générant, à chaque tentative de craquage, de fausses données.
Cette méthode a été baptisée "Honey Encryption", représenterait,
selon son créateur, une ultime barrière dans le cas d’un piratage.
La vitesse, clef de voûte de la protection des
données
Une étude de la société Ponemon vient enfoncer les portes
ouvertes en disant tout haut ce que l’on pense tout bas. La
vitesse serait l’élément clef de la gestion d’une cyberattaque,
qu’il s’agisse de vitesse de détection ou de prise en compte
d’un problème.
Or, à l’heure actuelle, il semblerait que la lenteur dans la prise
en compte d’un incident informatique est la norme, tout du
moins aux Etats-Unis.
La société suggère donc que les compagnies devraient mettre
en place une résolution automatique des incidents, un système
de hiérarchisation des menaces et la mise en place d’une veille
en temps réel de la cybersécurité.
War RAM – Mars 2014

3. 3
360° Cyberdéfense
L’Europe face à la cybercriminalité
Après avoir été la victime insouciante d’une attaque DDoS de
grande ampleur, de piratage et de ransomwares, l’Union
Européenne veut relever la tête.
Ainsi, lundi 10 février, celle-ci a présenté son premier
rapport sur la cybercriminalité, rédigé par le centre EC3.
A l’échelle européenne, le centre aspire à défendre les
internautes contre les arnaques bancaires, les "sextorsions"
tout en continuant à lutter contre la pédopornographie.
Une initiative louable et un début de réponse plus ou moins
satisfaisant.
Coup de comm’ et promesses en l’air
Que W ashington tremble ! Que la NSA se repente ! La chancelière
allemande veut bâtir, en coopération avec la France, un réseau de
communications exclusivement européen. Hélas, le concept fait
jaser. Sur les plans physique, économique et technique, l’idée
relève en effet du miroir aux alouettes, une sorte de marronnier un
peu irréaliste qui semble pourtant séduire les sénateurs français.
La preuve étant, les propositions de la chancelière au lendemain de
la réunion avec Hollande entretenait l’ambigüité. Au final, il
semblerait que cet Internet européen consisterait avant tout à
mettre en place un cadre juridique obligeant les données à rester
en Europe. Une balkanisation a minima, en somme?
Le Royaume-Uni pourrait (encore) abandonner Microsoft
Grande nouvelle, le gouvernement britannique pourrait de nouveau
abandonner Microsoft pour des solutions open source. L’idée,
séduisante sur le papier, permettrait d’économiser près de 200
millions de livres.
Hélas, la promesse n’est pas nouvelle. Des tentatives de migration
vers des logiciels open source en 2002 et 2010 n’avaient pas
réussi à susciter l’engouement de l’administration.
FARC vs Colombie: le combat se poursuit sur le Net
La lutte historique entre les FARC et l’Etat colombien trouve
aussi écho sur Internet. Alors même que Bogota a entamé des
négociations pour obtenir une paix durable entre les forces
révolutionnaires, une unité militaire colombienne (Andromeda)
aurait surveillé les communications des négociateurs dans un
but encore trouble.
Mais les FARC ne sont pas en reste, puisque ces derniers
disposeraient également d’un groupe de pirates pour espionner
le gouvernement et les forces de police, selon une information
relayée par le quotidien colombien El Tiempo.
Cyberdéfense: le réveil français
La cyberdéfense française va (enfin) combler son retard. Pour ce faire, le
gouvernement multiplie les actions. Le réveil français a deux volets :
• La mise en place d’un "pacte Cyber", et le déblocage de 1 milliard d’euros de
budget dédié (dont 400 millions pour la modernisation des infrastructures).
• La "relocalisation" des messageries tricolores sur le territoire et le
chiffrement des réseaux de l’Etat – en bref, l’extension des protocoles
SSL/ TLS, voire des clefs PGP, à toutes les messageries françaises (les
"bretelles" et la "ceinture" pour paraphraser Stéphane Bortzmeyer).
Une décision réaliste mais tardive qui pourrait faire sourire les experts… Ce
serait oublier "qu’un voyage de mille lieues commence toujours par un pas".
Bas le Mask! Le malware Careto dévoilé
Après Stuxnet, Careto s’imposera certainement dans les mentalités comme l’un
des malwares les plus sophistiqués jamais créés. Contrairement à Stuxnet, ce
malware n’a pas pour but d’infliger des dégâts physiques (il n’entre pas donc
dans la catégorie floue des "cyberarmes").
Dévoilé par les experts de Kaspersky Lab, l’objectif du Mask (son autre petit
nom) serait d’espionner des cibles à haute valeur ajoutée (Etats, gouvernements,
missions diplomatiques). Actif depuis 2007 environ, il aurait impacté près de 30
pays, dont la France, en interceptant tous les canaux de communication et en
recueillant les informations les plus essentielles de l’ordinateur touché.
Les chercheurs de Kaspersky excluent de facto l’idée que des cybercriminels
seraient derrière cette action tant le degré de sécurité semble anormal. Autre
facteur étrange, les pirates de Careto semblent parler espagnol, une langue très
rare dans l’ADN des cyberattaques… Manœuvre de dissimulation ou vrai
mystère?
War RAM – Mars 2014

4. Pony Pony Run Run
A rebours de la dégringolade "boursière" du Bitcoin, la firme
de cybersécurité TrustW ave aurait fait une découverte
surprenante. Un malware, répondant au doux nom de Pony,
aurait infecté un nombre faramineux d’ordinateurs dans le but
de dérober les monnaies virtuelles.
Plus que la complexité du logiciel, c’est l’étendue de la
propagation qui interpelle les chercheurs en cybersécurité, qui
parlent de centaines de milliers de machines touchées.
Ne reste plus qu’aux victimes qu’à faire mauvaise fortune bon
cœur : si la dépréciation du Bitcoin se poursuit, ils n’auront
finalement pas tant perdu que cela.
4
360°
L’Internet des objets, un marché à plusieurs
zéros
Et si le pétrole de demain n’était pas la Data, mais les
objets connectés qui l’exploitent? Une étude très récente
de BI Intelligence, la section d’études prospectives de
Business Insider, prédit l’explosion de « L’Internet des
objets » d’ici à 2018.
Pour être précis, le marché du Machine-to-Machine sera
supérieur ou égal aux marchés des smartphones, des
télévisions, des tablettes, des ordinateurs et des
ordinateurs portables combinés. Une manne financière de
plusieurs milliards de dollars selon les estimations de BI
Intelligence. Ces prospectives soulignent en réalité un
phénomène de fond : l’accélération de l’hybridation
réel/ virtuel, au point où les deux concepts ne soient
finalement pas si éloignés que cela.
Une raison de plus pour pousser le code à l’école…
Memex, le Google du Web profond
La DARPA, le département de l’armement américain, a lancé un
appel d’offre pour l’élaboration d’un moteur de recherche du W eb
profond. Une analyse de l’appel d’offre (42 pages) laisse à penser
qu’il ne s’agira pas de faire des recherches sur les DarkNets, mais
plutôt de faire de fouiller les recoins du W eb invisible – base de
données, forums en accès fermé, etc.
D’ailleurs, la DARPA insiste, le projet sera respectueux de la vie
privée de tout un chacun. Si c’est eux qui le disent…
La Trilogie du Bitcoin
Le Bitcoin aurait-il perdu de son attrait ? Ou est-ce l’explosion de la
bulle qui rend frileux les internautes? Toujours est-il que la monnaie
virtuelle est dans une mauvaise passe. Si sa volatilité a toujours été
au cœur de la polémique, la succession de trois catastrophes
pourrait donner le coup de grâce à la devise numérique :
- Premièrement, les prises de position répétées de certains
Etats mettant en garde ou interdisant derechef la devise.
- Deuxièmement, la découverte d'une vulnérabilité technique dans
le code-source du Bitcoin qui aurait permis un vol à grande
échelle – Silk Road aurait notamment été dévalisé.
- Troisièmement, l’effondrement de MtGox, l’une des plus
grandes plateformes d’échange de Bitcoin est une catastrophe
pour le secteur.
Face à cette succession de coups durs, d’aucuns prédisent déjà la
fin du Bitcoin, qui n’aurait été finalement qu’une parenthèse du
Net. Gardons-nous bien, toutefois, de toutes certitudes pour
l’instant.
Données personnelles et recherche médicale
Une coalition de médecins, de scientifiques et d’universitaires
monteraient au créneau à Bruxelles contre le projet de
protection des données personnelles de l’UE. Selon eux, ce
dernier pourrait à terme menacer les recherche et les progrès
permis par les nouvelles technologies, notamment dans le
domaine du Big Data.
A l’heure actuelle, les scientifiques proposeraient une voie
médiane qui passerait par l’anonymasiation des données et un
maillage complexe de protection juridique.
Cyberculture
War RAM – Mars 2014

5. LA RÉCUPÉRATION DU
DISCOURS HACKTIVISTE
Les ennemis de l’extérieur, d’abord.
Depuis le début de la révolution, Bachar
El-Assad cherche à la présenter comme
une offensive venue de l’étranger. Si,
depuis l’arrivée en force de djihadistes,
cette affirmation n’est plus tout à fait
fausse, elle vise à cacher que la
révolution syrienne est née à l’intérieur
même du pays. SEA a tout fait pour
accréditer cette thèse du “complot de
l’étranger”, avec deux pays en cause :
l’Arabie Saoudite et le Qatar.
L’hypothèse peut faire sourire, tant il est
peu probable que ces deux rivaux
agissent de concert. En janvier 2013,
SEA publiait le site “Qatar leaks”, une
série de documents que le groupe
affirme avoir dérobés sur le ministère
des affaires étrangères du Qatar. En
octobre 2013, le groupe attaquait le
registraire de premier niveau du pays.
En mai de la même année, c’était le
ministère de la défense saoudien que les
pirates affirmaient avoir infiltré.
On peut aussi rappeler, en avril 2012,
la prise de contrôle temporaire des
comptes de la chaîne saoudienne Al-
Arabiya sur Facebook et Twitter. Nous
passons rapidement sur d’autres
ennemis habituels évoqués par Bachar
El-Assad : Israël et les Etats-Unis, qui
sont les cibles régulières d’hacktivistes
venus du monde musulman (on peut
penser au groupe AnonGhost, par
exemple).
A l’inverse, au crédit de ceux qui
analysent la situation géopolitique
syrienne en affirmant que les groupes
djihadistes sont les alliés objectifs de
Bachar El-Assad, SEA ne s’est pas
distingué par l’attaque de sites liés à Al-
Qaïda ou aux djihadistes.
Les ennemis de l’intérieur, ensuite ;
autrement dit, les rebelles syriens. Sur
ce point, la collusion entre le régime et
SEA est plus difficile à établir. On me
pardonnera donc quelques conjectures.
SEA a attaqué 4 éditeurs d’applications
liées à la communication mobile ou à la
VoIP : Tango, Viber, True Caller et
Skype.
Pour les trois premiers, le groupe serait
parvenu à dérober tout ou partie de la
base de données des utilisateurs des
services. Informations précieuses pour
un régime qui cherche à identifier les
moyens de communication des
opposants, dans un pays où le principal
opérateur téléphonique du pays est
dirigé par un cousin du président Assad,
Rami Makhlouf.
L’équipe dirigeante en Syrie a décelé
très tôt l’intérêt économique des
technologies de la communication :
qu’elle voit l’usage politique qu’on peut
en tirer ne devrait pas nous surprendre.
(Suite p.6)
5
L’histoire politique contemporaine de la
Syrie offre un cas d’école d’opportunisme
idéologique. Le régime a été socialiste
laïque ; il a pris un tournant libéral, aussi
bien en matière économique que
religieuse; et au début de la révolution,
Bachar El-Assad tentait sans succès de
se présenter en réformiste. Ces postures
cachaient une autre réalité : la
domination de la secte Alaouite sur le
pays ; la construction d’un empire
économique aux mains de la famille au
pouvoir ; une révolte écrasée dans le
sang.
Bref, la famille Assad s’empare du
discours à la mode, dans le but de
charmer les opinions du monde arabe et
du monde occidental à la fois.
L’hacktivisme pourrait être l’une des
nouvelles facettes de cet opportunisme.
Deux mots d’abord sur l’hacktivisme,
souvent jugé sans intérêt par les
observateurs. Les techniciens seront les
premiers à rire des script kiddies. Le
journal Reflet est tombé en plein dans
cette erreur, en posant la question :
“Sont-ils aussi forts qu’ils le disent et que
leurs cibles le laissent entendre ?” Les
géopolitologues se concentreront plutôt
sur les réseaux sociaux. Les analystes en
sécurité, enfin, s’en désintéresseront au
profit des menaces étatiques, à l’heure
où l’espionnage venu de Chine ou des
Etats-Unis sont plus vendeurs.
On peut répondre qu’un piratage ne se
juge pas à sa qualité technique, mais à
ses effets ; que les réseaux sociaux sont
pilotés par des minorités actives ;
qu’enfin, l’hacktivisme est parfois le
masque commode employé pour
dissimuler les actions d’un Etat. Le
célèbre “APT-1” décrit par Mandiant était
d’abord connu dans les milieux pirates
comme le groupe “Comment Crew”.
Le groupe Syrian Electronic Army (SEA)
est un bon exemple d’hacktivisme au
service d’un État. Beaucoup a déjà été
écrit sur la collusion entre SEA et le
régime syrien. Nous voulons simplement
montrer comment, le masque de
l’hacktivisme sert trois objectifs de ce
régime: la lutte contre les ennemis de
l’extérieur, celle contre les ennemis de
l’intérieur et enfin la propagande.
LES EXPERTS
Capture d’écran du fichier leaké par la SEA contenant le vol des données des utilisateurs de Forbes
War RAM – Mars 2014

6. 6
L’Electronic Frontier Fondation et Citizen Lab
étudient depuis deux ans l’espionnage
informatique dont sont victimes les rebelles
syriens et les ONG qui plaident leur cause.
Leur dernier rapport ne laisse aucun doute
sur l’existence de campagnes d’espionnages.
On ne peut prouver que SEA contrôle les RAT
distribué par phishing ou via des
commentaires laissés sur les pages Facebook
ou sur des vidéos YouTube de
révolutionnaires. Cependant, dès juin 2011,
Citizen Lab attirait l’attention sur le fait que
SEA était derrière l’attaque de plusieurs
pages Facebook d’insurgés. De même, le
phishing semble être la technique privilégiée
de SEA.
La propagande, enfin. C’est sans doute là où
SEA est le plus efficace. Une intervention
contre le régime dépend avant tout de
l’opinion occidentale, mais celle-ci est toujours
prompte à imaginer que la dictature reste la
meilleure façon d’empêcher l’arrivée au
pouvoir de groupes religieux extrémistes. D’où
le storytelling de Bachar El-Assad et de
Vladimir Poutine qui vend l’image d’une Syrie
mise à feu et à sang par des groupes
islamistes. Il faut pour cela détourner
l’attention sur les exactions du régime et
mettre l’accent sur les rebelles les plus
radicaux. SEA est le relais fidèle de cette
stratégie, montrant que l’hacktivisme est un
ressort majeur du soft power.
En novembre 2013, SEA prenait le contrôle
de la page Facebook du journaliste et activiste
Matthew Van Dyke, connu pour son soutien à
la révolution syrienne. Si on avait pu voir, par
le passé, SEA s’en prendre à des journaux,
une attaque aussi ciblée montre bien un
effort calculé d’attaquer en priorité à leurs
adversaires idéologiques les plus motivés.
Plus généralement, tout média qui met en
avant le non-respect des droits de l’homme
par le régime s’attire l’attention de SEA. Le
piratage de CNN en janvier faisait suite à la
diffusion d’un reportage sur la torture et les
exécutions dans les prisons du
gouvernement. Le groupe présentait l’attaque
contre Forbes le 21 février dernier comme
une réponse au côté « anti-syrien » de la ligne
éditoriale du magazine.
Se présenter comme un groupe d’hacktiviste
sert bien évidemment la propagande.
Les observateurs ont tous soulignés la
mutation de SEA. En mai 2011, c’était un
groupe hiérarchisé agissant
essentiellement dans l’orbite du registraire
de premier niveau syrien, organisme jadis
présidée par Bachar El-Assad.
Quelques mois plus tard, le groupe
ressemblait bien plus à Anonymous :
organisation décentralisée, niant
systématiquement tout lien avec le régime,
mettant en avant son côté international (la
diaspora syrienne expliquant pourquoi ses
membres ne sont pas tous en Syrie).
Les vidéos postées sur YouTube par le
groupe reprennent les codes d’Anonymous:
musique exagérément dramatique,
surabondance de couleurs bleutés et
métalliques, etc. Or l’hacktiviste bénéficie
d’un biais positif auprès des populations.
Comme tout underdog, il tend à attirer la
sympathie du public. Bref, SEA contribue
au retournement des rôles qui vise à faire
de Bachar El-Assad une victime plutôt qu’un
bourreau. Cette propagande s’adresse
aussi bien au grand public qu’aux autres
hacktivistes, alliés potentiels. Dans un
milieu aussi porté sur la théorie du
complot, SEA pouvait compter sur des
oreilles attentives en affirmant que le
régime syrien était la victime de l’alliance,
si improbable soit-elle !, du Qatar, de
l’Arabie Saoudite et d’Israël.
Quand bien même, aujourd’hui, de
nombreux « Anonymous » condamnent SEA
et l’attaquent, le groupe peut maintenir aux
yeux de beaucoup l’image d’une petite
équipe de franc-tireur arrivant à prendre
brièvement le contrôle de la communication
d’Associated Press, du New York Times ou
de CNN ; de pourfendeurs de la “pensée
unique”.
On retrouve dans toutes ses actions aussi
bien la volonté de développer une ethos
d’hacktiviste (attaquer Microsoft parce
qu’on le soupçonne d’espionner ses clients)
que les buts de guerre que nous avons
présentés ici (chez Microsoft, attaquer
Skype, outil apprécié des insurgés).
Plus encore, d’autres groupes de la région
s’en inspirent. Le groupe Islamic Cyber
Resistance (ICR) a fondé un site
“wikileak.ir”, imitant cette fois le discours
de l’association fondée par Julian Assange,
et derrière lequel on devine facilement les
intérêts de Téhéran.
Il nous paraît donc probable que les Etats
n’ayant pas les moyens techniques des
Etats-Unis ou de la Chine vont se tourner
vers l’hacktivisme sur le modèle de SEA
comme moyen de peser dans le
cyberespace. En plus de la cybercriminalité
mafieuse et des campagnes d’espionnages
ou de sabotages, il paraît nécessaire
d’inscrire, sur la liste des menaces à
surveiller de près, l’apparition de ce qu’on
pourrait qualifier de “soft power low-tech”.
Alors que le coût économique et technique
des intrusions informatiques diminue et que
l’accès à des outils toujours plus puissants
devient de plus en plus facile, minimiser le
risque que pose l’émergence de groupes
hacktivistes nous paraît très imprudent.
Les attaques de SEA ne sont pas d’une
grande sophistication, c’est un fait. Et
comme la majorité des groupes
d’hacktivistes, leur communication est
pleine d’exagérations et de rodomontades.
Mais les résultats sont là. Voyez le tableau
de chasse de SEA ces deux derniers mois:
détournements de Microsoft, CNN, eBay,
PayPal ; 17 défacements en Arabie
Saoudite ; fuite des données de plus d’un
million d’abonnés à Forbes.
Par Emmanuel Gorand,
Analyste en cybersécurité.
SUITE ARTICLE P.5
"Online Social Media in
the Syria Conflict:
Encompassing the
Extremes and the In-
Betweens«
Cette cartographie des
groupes en présence
en Syrie, élaborée à
partir des réseaux
sociaux, souligne une
situation complexe.
Légende:
Djihadiste – Or
Kurdes – Rouge
Pro-Assad – Violet
Modéré – Bleu
Communautés
multiples – Noir
Ref:
arxiv.org/ abs/ 1401.7
535
War RAM – Mars 2014

7. 7
Tout d’abord, parlez-nous un peu de votre
parcours. Ce n’est pas très fréquent qu’un
enseignant chercheur en mathématiques à
l'université se retrouve à publier sur les
questions de cyberguerre !
En tant que Maitre de conférences en
mathématiques, j'enseigne au sein d'un
département informatique universitaire les
mathématiques pour l'informatique
(cryptographie, théorie des graphes,
complexité, théorie algorithmique de
l'information, algèbre pour l'informatique). J'ai
commencé mes recherches par un doctorat en
théorie algébrique des nombres puis, j'ai assez
vite évolué vers la théorie algorithmique de
l'information. Je m'intéresse en particulier aux
situations de concurrences et de duels
algorithmiques. Elles se multiplient rapidement
et façonnent finalement les reliefs du
cyberespace.
On les rencontre dans un cadre ludique (le jeu
de combat en ligne, le jeu d'échec contre la
machine), dans un cadre commercial (les
stratégies des vendeurs-acheteurs sur eBay, le
Trading haute fréquence HFT) ou encore dans
le cadre de la cyberconflictualité, c'est-à-dire de
la projection algorithmique d'un conflit armé sur
l'espace numérique. J'ai introduit très
récemment le formalisme inédit de projection
algorithmique d'un opérateur(* ). Cette notion
projective fournit une approche systémique
efficace des situations de concurrences ou
duels et s'inscrit pleinement dans le mouvement
rapide de la convergence NBIC
(Nanotechnologies, Biotechnologies,
Informatique, sciences Cognitives) qui déforme
le cyberspace. C'est donc très naturellement
que je me suis dirigé vers les problématiques
relatives à la cyberstratégie, la cybersécurité, et
la cyberdéfense. L'approche transversale me
semble être alors la meilleure : discuter avec le
militaire, le gendarme, le juriste, le sociologue,
le spécialiste des sciences cognitives, le
psychologue, l'informaticien, ou le spécialiste
des infrastructures réseaux permet
d'embrasser les problématiques cyber avec des
optiques distinctes et complémentaires.
Dans votre Cyberchronique pour la
Chaire Castex, vous évoquez souvent
la nature algorithmique d’une
cyberarme et son entrelacement avec
le biologique (l’humain derrière la
machine). Pouvez-vous préciser les
termes ? Faut-il être bon en maths
pour construire une cyberarme de
qualité ?
Entrelacement est véritablement le
bon terme ! En effet, la convergence
NBIC rapproche à grande vitesse les
différents prismes d'analyse et ce
n'est que le début. La croissance
exponentielle du progrès va
bouleverser les lignes et faire voler en
éclats le cloisonnement des disciplines
académiques, c'est une évidence que
l'on a tendance à sous-estimer ou,
pire, à occulter. Nous devons nous
préparer et en particulier préparer la
jeunesse actuelle aux changements
technologiques disruptifs qu'elle devra
assumer, intégrer ou subir;
La montée en puissance globale de
l’IA (Intelligence Artificielle, ndlr) et la
fusion de l'espace réel avec le
cyberespacevont s'accompagner de
fortes turbulences qui impacteront
directement nos existences à toutes
échelles. Nous devons donc préparer
ces changements aujourd'hui et
surtout ne pas nous laisser distancer.
De nombreuses nations ont
parfaitement intégré les enjeux sous-
jacents et adaptent déjà leurs
systèmes éducatifs, leurs tissus
industriels et leurs infrastructures de
défense. La Silicon Valley en
Californie, la siliconwadi en Israël, les
pôles technologiques chinois,
préfigurent les modèles de « Start-Up
Nations » .
Pour répondre à votre question, à
mon avis, non, il ne faut pas être bon
en mathématiques pour construire
une cyberarme de qualité. A mon
sens, il faut être malicieux, astucieux,
débrouillard, il faut faire preuve de
sagacité et d'un sens pratique
développé: savoir “sentir” les
réactions de sa future proie et
s'intéresser aux petites faiblesses
humaines tout en profitant des biais
et des automatismes biologiques qui
faciliteront l'attaque.
(Suite p.8)
W ar R@m s’est entretenu avec Thierry Berthier,
tenancier du blog CyberLand et maître de
conférences en mathématiques.
Une rencontre riche en enseignements!
THIERRY BERTHIER, CYBERLAND
"POUR CONSTRUIRE UNE
CYBERARME, IL FAUT ÊTRE
MALICIEUX, ASTUCIEUX,
DÉBROUILLARD… "
OUT-OF-THE-BOX
Modèle de décomposition systémique d’une cyberattaque par Thierry Berthier
• Formulation d’une intention et
définition d’une ciblePhase 1
• Analyse des fragilités de la cible
Phase 2
• Choix et construction d’une
cyberarme adaptéePhase 3
• Activation de la cyberarme sur la
ciblePhase 4
• Impact de l’attaque sur les
espaces physique et numériquePhase 5
• Retour du système à l’état initial
Phase 6
War RAM – Mars 2014

8. 8
Dernière question : peut-on imaginer, à
long terme ou dans un futur proche,
qu’une machine (supercalculateur,
ordinateur quantique) puisse réagir aux
attaques pour se renforcer elle-même et
ce de façon automatique ? Ou est-ce
impensable technologiquement ?
C'est une hypothèse qui me semble tout
à fait raisonnable à court terme ! La
société israélienne Aorato créée en
2011 vient d'ailleurs de développer le
premier firewall doté d'une « intelligence
artificielle » (je place des guillemets de
prudence car il faudrait s'entendre sur la
définition précise du terme IA...). Cette
Start-Up vient de construire une solution
d'analyse et de surveillance strictement
dédiée à l'Active Directory.
Le pare-feu d'Aorato détecte et analyse
les comportements suspects, ce qui
permet de repérer avec succès les
intrusions hostiles et de contrôler le
trafic réseau entre les serveurs et les
utilisateurs de l'annuaire. Le Firewall est
capable d'apprendre à détecter des
comportements anormaux qui sortent du
cadre d'une utilisation licite et qui
révèlent l'attaque. Le système apprend
et s'améliore. On sait construire depuis
longtemps de tels systèmes basés sur
des architectures en réseau de
neurones (le Perceptron multicouche a
été inventé en 1957!).
Ils sont aujourd'hui de plus en plus
performants en profitant des puissances
de calcul grandissantes. L'analyse
bayésienne, les réseaux bayésiens
permettent également d'effectuer des
analyses rétro-actives en temps réel
pour ensuite renforcer les réponses du
système. Enfin , et c'est certainement
l'horizon le plus prometteur, les futures
architectures neuromorphiques risquent
fort de révolutionner le calcul dans son
exécution. Il faudra rester
particulièrement attentif aux premiers
résultats issus du programme Human
Brain Project conduit par l'EPFL.
Ces duels algorithmiques aboutissent
parfois à des « Flash Crashs » boursiers
qui restent imprévisibles et
spectaculaires.
Une notion qui a retenu notre attention
est la notion d’antifragilité, que vous
opposez à celle de résilience. Pouvez-vous
la préciser pour nos lecteurs ?
En simplifiant un peu, l'antifragilité
introduite récemment par Nassim
Nicholas Taleb (le théoricien du "Cygne
Noir", ndlr) est une "super résilience", plus
dynamique, et plus intrusive sur le
système que la résilience classique.
L'antifragilité peut contraindre le système
à des mises à l'écart de certaines de ses
composantes jugées plus vulnérables à un
instant donné et peut aller jusqu'à la
neutralisation ou la destruction de ces
composantes qui globalement nuisent au
système.
L'antifragilité tire bénéfice des effets de
bruits aléatoires dans la formulation des
réactions du système; c'est là aussi une
caractéristique qui ne figure pas en tant
que telle dans la définition basique de la
résilience.
Vous avez élaboré une typologie des
dissymétries dans le cyberespace
(intentions, informations, temporalité,
etc.) : à vous entendre, l’avantage semble
être forcément du côté de l’attaquant…
Effectivement, l'avantage est souvent du
côté de l'attaquant, c'est un constat
systémique qui est valable aujourd'hui,
c'est-à-dire juste avant que les systèmes
ne gagnent en autonomie et en capacité
d'analyse sémantique. Lorsque les
attaques seront décidées et initiées par
les machines sans influence humaine (ou
seulement lointaine) alors les rapports de
force pourront être modifiés car les
systèmes de défense réagiront sur les
mêmes échelles temporelles et
« computationelles ».
On commence d'ailleurs à ressentir ce
type de turbulences dans le trading
automatisé lorsque deux codes HFT
rentrent en concurrence sur des échelles
temporelles excluant la possibilité d'une
réaction humaine.
Ci-haut, un supercaculateur (calculteur CURIE). Ce type d’ordinateur devient indispensable dans le cadre d’initiatives
telles que l’Human Brain Project ou pour aboutir à un renforcement automatique de la cybersécurité.
SUITE ARTICLE P.7
Retrouvez plus d’analyses
détaillées de ce
contributeur sur son blog
dédié à la cyberdéfense :
CyberLand
War RAM – Mars 2014

9. LE WAF, CHIEN DE GARDE
OU POUDRE AUX YEUX?
PIMP MY OPSEC
Le W AF, mode d’emploi
Concrètement, à quoi sert un W AF?
Ce genre de solutions offre une
florilège de possibilités pour renforcer
la sécurité d’une infrastructure:
vérifier que les cookies n’ont pas été
modifiés par le client, s’assurer que
vos paramètres HTTP (GET et POST)
ne contiennent aucune chaîne de
caractères suspecte de type ../ .. ou
SELECT UNION… Pour faire simple un
W AF permet de faire le travail que
devraient faire les développeurs de
l’application pour assainir les données
qui transitent par ses points
d’entrées. La controverse soulevée
par ce nouveau paradigme
technologique est née de l’eccéité de
l’outil. Celui-ci n’est à priori ni bon ni
mauvais, seul l’usage qui en est fait
peut être jugé moralement et
éthiquement.
Hélas, un W AF peut être employé de
façon hautement contestable... Ce
genre d’équipement permet
d’enregistrer, sous couverts de
bonnes intentions, les requêtes
émises vers une page quelconque en
fonction de critères arbitraires. Les
moins scrupuleux pourraient tout
aussi aisément ordonner la
modification à la volée de certaines
données saisies par l'utilisateur
lorsqu’elles traversent le W AF...
Votes en ligne, transactions
bancaires, forums et tribunes
d'expressions, le champ d'action est
large.
Inutile de préciser que bon nombre de
constructeurs ont déjà saisi
l’importance de ces questions et se
méfient des législations qui poussent
comme du chiendent et qui pourraient
bien leur couper l’herbe sous le pied.
Prévoyants et enclins à ne pas être
montrés du doigt, ces derniers ont
d’ores et déjà intégré tout un
ensemble de fonctionnalités
permettant (théoriquement) de
protéger les données personnelles
des utilisateurs.
(Suite p. 10)
Si vous lisez régulièrement W ar R@m, il
est vraisemblable que les mots Data Leak
Prevention (DLP) ou Deep Packet
Inspection (DPI) ne vous soient pas
inconnus. Depuis les révélations de M.
Snowden, les débats, dossiers et enquêtes
traitant des implications législatives,
éthiques et géopolitiques inhérent à ces
deux concepts fleurissent un peu partout
sur la toile. Mais malgré cette grande
visibilité, il est possible de s'instruire sur le
sujet sans jamais entrevoir le visage de
ces technologies complexes.
Qu’est-ce que le W AF?
Au cœur des concepts de DLP et de DPI,
on retrouve une technologie qui a du chien:
la W eb Application Firewall, couramment
appelée W AF. Désigné comme un pare-feu
(à tort ou à raison), ce type d'équipement
permet de fouiller l'intérieur des paquets
transportant vos données.
Il n’y a pas si longtemps, le terme pare-feu
recouvrait uniquement le contrôle de flux
de données, en se basant sur l’information
des couches basses (jusqu’à la couche
transport du modèle OSI - voir schéma ci-
contre), ce qui pour caricaturer permettait
d’interdire à l’accès à certains réseaux et
services en se basant uniquement sur les
adresses mac (ACL) de niveau deux, les
adresses IP de niveau trois, et les ports de
niveau quatre.
Le W AF est en somme un firewall ayant
pour but de protéger l’accès aux
ressources; on comprend aisément ce qui
est passé par la tête des ingénieurs l’ayant
baptisé "W AF". Car le but final de cette
technologie est bien l’interdiction de
certains flux en fonction de critères de plus
hauts niveaux que ceux utilisés par les
Firewall classiques (cf schéma p.10).
Cette technologie nouvelle n'est ni rare, ni
hors de prix, et c'est ainsi que le DPI et le
contrôle de nos données s'installent petit à
petit dans toutes nos entreprises…
Modèle OSI (Open Systems Interconnection)
War RAM – Mars 2014
9
Source: W ikipedia
Type de Donnée Couche Fonction
7. Application Point d'accès aux services réseaux
6. Présentation
Gère le chiffrement et le
déchiffrement des données, convertit
les données machine en données
exploitables par n'importe quelle
machine
5. Session
Communication Interhost, gère les
sessions entre les différentes
applications
Segments 4. Transport
Connexion bout à bout, connectabilité
et contrôle des flux. Intervient la
notion de port
Paquet/Datagram
me
3. Réseau
Détermine le parcours des données et
l'adresse logique (IP)
Trame 2. Liaison Adresse physique (MAC)
Bit 1. Physique
Transmission des signaux sous forme
binaire
Modèle OSI
Donnée
Couches Hautes
Couches matérielles
(ou basses)

10. Cependant, le problème demeure, car vous
aurez toujours une ou plusieurs équipes en
charge de l’infrastructure sur laquelle
transitent vos données. Ainsi les employés
chargés du W AF, du réseau portant ses flux
de log, les serveurs traitant ces
informations, et ceux dédiés à leur stockage,
etc… auront accès à cette infrastructure, et
donc à vos données et donc à votre vie… Et
je ne parle ici que de la récupération
d'informations en utilisant le travail du
W AF...
Vous l'aurez compris, aujourd'hui récupérer
en masse les données utilisateurs n’est plus
un challenge technique pour les entreprises.
Ni pour un individu d'ailleurs, car finalement il
suffit d’intégrer quelques semaines une
équipe exploitant l'infrastructure ciblée et de
ne pas se faire choper en plein copier -coller.
Par 0x0ff.Info
@0x0ff.Info
Retrouvez plus d’analyses détaillées de ce
contributeur sur son blog dédié à la
cybersécurité: www.0x0ff.info
Appel à contributeurs
Cette newsletter mensuelle s’adresse à
une communauté ciblée et se construit
sur un modèle collaboratif, s’inspirant
d’une démarche open source dans le
souci d’un partage de connaissances.
De fait, elle vit et s’enrichit de ses
contributeurs, pour la plupart des
experts dans leurs domaines respectifs,
et de fait nous sommes toujours à la
recherche de contributions diverses.
Si publier par notre biais vous intéresse,
n’hésitez pas à nous à contacter pour
en discuter plus en détails.
Cordialement,
La Rédaction
War R@M vous est proposée le dernier vendredi de chaque mois
et est disponible en ligne. C’est une publication libre, vous pouvez
donc la partager sans réserves, à condition de respecter la
propriété intellectuelle des personnes qui y publient.
Vous pouvez aussi suivre notre actualité et bénéficier de nos
ressources en ligne par le biais de notre compte Slide Share :
http://fr.slideshare.net/WarRam
0
Attaque
"suspecte" de
type HTTP
Attaque sur les
Couches
Basses
Pare-feu
Standard
Pare-feu
WAF
Requête
légitime
Réponse d’un WAF à une attaqueAinsi en identifiant certains points
d’entrées sensibles, il est possible
d’interdire l’enregistrement de ces
données par le W AF – en remplaçant
par exemple le contenu des paramètres
"telephone", "adresse" ou "motdepasse"
par des astérisques lorsque la requête
se retrouve dans les logs. Mais encore
faut-il que ces fonctionnalités soient
configurées correctement…
Quid du DLP ?
Le DLP marche dans l’autre sens. Le
DLP est une branche du DPI, il fait
référence au contrôle des informations
sortantes. Cette technologie permet par
exemple d'effacer ou modifier les
réponses émises par les serveurs
contenant des informations qui ne
devraient pas se trouver là. Où plus
prosaïquement, de bloquer les pages
demandées par l'utilisateur lorsqu’elles
contiennent ces fameuses données
sensibles.
Et HTTPS dans tout ça?
Ne vous leurrez pas, ce n'est que
poudre aux yeux ! En fait ce que vous
garantit un protocole HTTPS, c’est
qu’entre votre ordinateur et le frontend
(frontière entre internet et
l'infrastructure portant l'application ou le
site auquel vous accédez) le trafic est
chiffré, ce qui est déjà pas mal vous me
direz. De fait, cette configuration
immunise plus ou moins contre les
attaques de type MITM, mais une fois
que vos données atteignent cette
frontière... celles-ci sont potentiellement
déchiffrées et lues. Et c’est là où le bât
blesse.
L’outsourcing et le risque (éternel) de
l’Inside Job
Qui contrôle le frontend ? Qui peut lire
vos données? L’entreprise fournissant le
service auquel vous accédez pardi !
Celle-là même qui vous garantit une
parfaite confidentialité. Mettons que
cette dernière soit moralement
irréprochable et n’utilise donc pas les
données de leurs utilisateurs…
War R@m – Mars 2014
SUITE ARTICLE P.9