ici

Transcription

ici

cddb.ch/Bulletin Cybersécurité et Menaces Internet - #005 / février 2012
cddb.ch/Bulletin Cybersécurité et Menaces Internet
#005 – 10 février 2012
Sommaire
1. En vrac ..........................................................................................................................................................................1
2. Exploitation d'erreurs d'arrondi dans les plateformes bancaires en ligne ......................................5
3. E.U.: le mot de passe d'une donnée chiffrée n'est plus protégé par le 5ème amendement .......6
4. Megaupload: quelle problématique soulevée pour l'entreprise? .........................................................7
5. Edito: rétrospective 2011 et menaces 2012 .............................................................................................. 10
1. En vrac
Téléchargement peer-to-peer: fermetures en série envisagées
Le cas Megaupload (sujet abordé plus loin dans cette lettre) semble avoir affecté la confiance des
dirigeants de plusieurs plateformes de référencement de liens BitTorrent. Le site BTJunkie a
ainsi fermé ses portes la semaine dernière et les dirigeants des autres plateformes considèrent
eux aussi de stopper leur service.
-- https://torrentfreak.com/btjunkie-shuts-down-for-good-120206/
Ils piratent les ordinateurs de leurs profs pour obtenir l'accès aux examens et notes
Trois étudiants californiens âgés de 16 ans ont été arrêtés après avoir installé des enregistreurs
de frappes clavier (keylogger) sur les ordinateurs de leurs enseignants et modifié leurs notes.
Les mots de passes ainsi collectés leur avaient permis de se connecter à Edline, une plateforme
en ligne de gestion des notes d'examens.. L'on notera que l'intrusion n'a pas été détectée mais
que les étudiants ont été dénoncés par un camarade!
-- https://net-security.org/malware_news.php?id=1979
[ndlr: voilà une opportunité intéressante pour Edline de passer à l'authentification forte!]
Piratage de Verisign: un scénario à la RSA?
Verisign, l'une des principales autorités de validation des certificats électroniques a subi
plusieurs intrusions informatiques en 2010. L'information aurait pu passer inaperçue si Reuters
n'examinait pas à la loupe les déclarations communiquées à la SEC par les entreprises. La presse
a relevé la communication particulièrement évasive quant aux actifs visés par l'intrusion et les
conséquences potentielles pour son activité.
-- http://www.reuters.com/article/2012/02/02/us-hacking-verisignidUSTRE8110Z820120202
[ndlr: depuis début 2011, la SEC contraint les entreprises à lui annoncer les cas d'intrusion
informatique. Il a en effet été conclu que les détails concernant une attaque informatique
relevaient de la sphère d'informations devant être mises à disposition des investisseurs. La
formulation floue des détails dans le cas de cette intrusion est particulièrement critique lorsque
l'on sait que le vol de certaines bases de données de Verisign pourrait signifier la possibilité pour
un pirate d'usurper la majorité des sites en .com, .org ou .net et d'intercepter les données qui
leur sont transmises!]
http://cddb.ch - Ce document est diffusé sous licence Creative Commons CC-BY-NC-SA
1 / 14
Android: Google active la vérification automatique des applications soumises au Market
Les ingénieurs de Google ont annoncé la mise en production de "Bouncer", un dispositif de
détection d'applications malveillantes soumises au Market (le portail officiel de téléchargement
des applications mobiles pour Android). Probablement une réponse à la révélation, en décembre
dernier, par une équipe de chercheurs en sécurité, de l'existence de 22 applications
malveillantes téléchargées plus de 10'000 fois à travers le Market.
-- http://arstechnica.com/business/news/2012/02/at-long-last-malware-scanning-comes-togoogles-android-market.ars
Le site du journal L'Express victime d'un déni de service
L'accès au site du journal a été rendu impossible pendant plusieurs dizaines de minutes.
L'attaque a eu lieu quelques heures après la diffusion d'un reportage dans lequel les personnes
se cachant derrière Anonymous avait été qualifiés de voleurs. Le rédacteur en chef du site, Eric
Mettout, a le jour-même imputé la responsabilité de l'attaque au collectif Anonymous.
-- http://www.lexpress.fr/actualite/media-people/media/anonymous-ou-anonymes-contre-lexpress_1074418.html
Surveillance des messages Twitter aux E.U.: touristes britanniques arrêtés et renvoyés
Le citoyen britannique âgé de 26 ans avait publié un message sur la plateforme Twitter [ndlr:
"Free this week, for quick gossip/prep before I go and destroy America?"] avant de s'envoler
avec sa conjointe pour Los Angeles. Le département de la sécurité intérieure (DHS) a considéré
le message comme le signe d'une menace pour la sécurité intérieure et le couple a été arrêté dès
son arrivée à l'aéroport. Le jeune homme a été transféré sous garde armée au centre de
détention des immigrants illégaux pour la nuit avant d'être renvoyé le lendemain par avion.
-- http://www.schneier.com/blog/archives/2012/01/british_tourist.html
[ndlr: le terme "destroy" est couramment utilisé en Anglais pour exprimer le concept de "faire la
fête", il a été interprété aux Etats-Unis comme une menace réelle. D'autre part, l'arrestation s'est
déroulée sur la base de l'identité inscrite dans le compte Twitter du concerné. On comprendra
qu'il peut être utile de vérifier qu'une personne ne s'exprime sous votre identité dans des
réseaux sociaux avant d'embarquer pour les États-Unis!]
Perte de données personnelles: l'UE veut sanctionner
Parmi les nouvelles propositions de modification de la directive européenne sur la protection
des données, la constitution d'une amende pouvant s'élever jusqu'à 5% du chiffre d'affaires de
l'entreprise victime d'un vol de données personnelles. L'Union Européenne veut ainsi
contraindre les entreprises à mieux protéger les données contre des attaques externes mais
également à leur imposer un meilleur contrôle en interne, en particulier dans la lutte contre le
vol de données par des collaborateurs indélicats et la dissémination de données personnelles au
sein des entreprises.
-- http://www.silicon.fr/leu-veut-sanctionner-lourdement-la-perte-de-donnees-67607.html
Piratage de Zappos: 24 millions de mots de passes volés
Le magasin électronique de vêtements Zappos a communiqué le 15 janvier dernier avoir été
victime d'une intrusion informatique durant laquelle un fichier contenant les données de 24
millions de clients aurait été volé. Le fichier contenait: noms, adresse email, adresse postale,
numéros de téléphone, un extrait des numéros de carte de crédit et le mot de passe de chaque
client.
-- http://www.zappos.com/passwordchange
2 / 14
Dénis de service sur les systèmes d'aiguillage des trains: possible?
Lors du Chaos Computer Camp tenu à Berlin en décembre dernier, un professeur de l'Université
de Darmstadt (Allemagne) a averti l'audience d'un risque d'attaque sur les systèmes d'aiguillage
des transports (antennes bus, rails de trams et de trains). En Allemagne, ces dispositifs sont
reliés à des centres de contrôle et supervision au moyen de terminaux mobiles GSM-R. Par
opposition au réseau GSM, le réseau GSM-R repose sur un chiffrement des télécommunications
obtenu grâce à l'installation manuelle d'une clé de chiffrement dans chaque terminal concerné.
Ces clés sont souvent transmises par clé USB et par conséquent, exposées à un risque accru de
vol ou de perte.
-- http://www.reuters.com/article/2011/12/28/uk-trains-security-idUSLNE7BR01520111228
Norton Antivirus et PC Anywhere: codes sources volés et diffusés sur Internet
Les codes sources du populaire antivirus Norton Antivirus et le logiciel d'administration à
distance auraient été volés par un groupe de pirates informatiques actif en Inde. Les
négociations entre l'éditeur, Symantec, et les pirates informatiques menaçant de diffuser le code
source des logiciels ont échoué et les sources ont été rendues publiques. Les pirates avaient
contacté l'éditeur afin de lui extorquer un montant proche de 50'000$ à la mi-janvier. En
échange, il était promis à l'éditeur que le code source ne serait pas diffusé. L'éditeur s'en est
remis au FBI, qui a poursuivi les négociations. Elles ont échoué lorsque l'agent leur a demandé,
en plus de remettre le code source, d'annoncer officiellement qu'ils avaient menti et n'avaient
jamais eu le code source en leur possession. Le code source a alors été immédiatement publié.
-- http://www.newscientist.com/blogs/onepercent/2012/01/symantec-confirms-antivirusso.html
[ndlr: L'enjeu majeur dans ce cas de vol de données dépend essentiellement de l'ancienneté du
code volé, en particularité celui constituant le noyau de l'antivirus. Si ce dernier est
suffisamment récent, la diffusion du code source facilitera l'identification d'éventuelles failles de
sécurité et leur diffusion à large échelle, rendant dès lors le dispositif de sécurité de Symantec
totalement caduc. Les messages échangés entre l'agent du FBI et les pirates peuvent être encore
consultés à cette adresse: http://pastebin.com/GJEKf1T9. L'acte étant attribué au collectif
Anonymous, l'on notera que l'échec des négociations a particulièrement été accentué lorsque
l'agent du FBI a demandé aux pirates de démentir publiquement que le code source avait été
volé.]
Vague de dénis de service et d'extorsions sur des PME australiennes
Plusieurs PME australiennes ont été victimes d'un déni de service sur leur systèmes
d'information à l'approche des fêtes de fin d'année 2011. Le mode opératoire a été sensiblement
similaire dans les différents cas: la direction reçoit un message lui intimant qu'un déni de service
va être initié sur l'entreprise et que l'attaque stoppera dès qu'une rançon sera versée. Selon le
témoignage d'une des sociétés visées par l'attaque, plus de 17'000 adresses IP ont été recensées
dans l'attaque. En moyenne, la rançon demandée avoisine les 5'000$.
-- http://www.smh.com.au/it-pro/security-it/companies-told-to-report-cyber-attacks20120118-1q66m.html
[ndlr: le coût de la location d'un réseau de zombies pour réaliser un déni de service sur une
entreprise revient environ à 50$/jour selon une récente étude du chercheur en sécurité, Brian
Krebs. Un investissement dérisoire lorsque l'on constate qu'il est possible d'obtenir en retour le
paiement d'une rançon de plusieurs milliers de francs. Un montant intéressant pour l'attaquant,
et suffisamment faible pour décourager la Direction d'une entreprise de contacter les autorités!]
3 / 14
ThinkData.ch: un portail en ligne sur la protection des données personnelles en Suisse
Plusieurs institutions, dont les préposés cantonal genevois et fédéral, ont participé à la création
d'un portail d'information sur le thème de la protection des données personnelles. ThinkData.ch
propose ainsi de répondre aux nombreuses questions que peuvent se poser les responsables de
PME et les particuliers sur le traitement de données personnelles. Les sujets sont triés selon plus
axes: thématique, métier, données.
-- http://www.thinkdata.ch
Piratage de Foxconn: mots de passes stockés en clair
L'entreprise Foxconn a été victime d'un vol de données dans ses systèmes informatiques ce
mardi dernier. La firme chinoise, particulièrement célèbre pour son mandat d'assemblage des
téléphones et tablettes mobiles Apple, est également sous le coup de nombreuses critiques
depuis qu'une longue série de suicides et des conditions de travail douteuses ont été révélées
dans la presse internationale. Les données volées ont été distribuées au public sous la forme
d'une archive de six méga-octets contenant une liste de codes d'accès à divers serveurs de la
société et des captures prouvant l'intrusion. L'archive contient également les codes d'accès au
portail de commandes pour plusieurs clients de Foxconn tels que Apple, Microsoft, IBM, Intel et
Dell. L'attaque a été revendiquée par un groupe dénommé "Swagg Security".
-- http://9to5mac.com/2012/02/08/foxconn-hacked-by-group-called-swaggsec-heres-whatthey-are-looking-at/
4 / 14
2. Exploitation d'erreurs d'arrondi dans les plateformes bancaires en ligne
Arrondi vers le haut avec tendance à l'éloignement, arrondi vers le haut avec tendance au
rapprochement, arrondi partiel au centime, arrondi à 5 centimes tendant à l'éloignement et ainsi
de suite: la fonction d'arrondi fait sans conteste partie des fonctionnalités à haut risque au sein
d'une application financière. Le choix d'une implémentation compatible et interopérable avec
d'autres systèmes est pourtant essentiel afin de maintenir l'intégrité du modèle financier d'un
l'établissement connecté. Ce risque est-il pris en compte dans vos applications?
Corsaire a publié en juillet 2008 une analyse technique de huit vulnérabilités fréquemment
rencontrées par les testeurs dans les applications financières. L'une de ces vulnérabilités
couvrait le risque induit par la mise en œuvre de fonctions d'arrondi dans des plateformes
d'achat de devises. Un risque déjà identifié auparavant par des chercheurs français lors de la
conversion à la monnaie unique au sein de la zone Euro[1]. Les travaux de formalisation par
Corsaire ont ainsi étendu le périmètre d'action de l'attaque à d'autres formes de conversion
monétaire, indépendantes de l'Euro [ndlr: rounding errors in currency conversion] [2].
Sommairement, l'attaque repose sur l'exécution d'un nombre élevé d'opérations d'achat de
devises pour des montants situés à la limite de l'arrondi supérieur à 0 (par exemple: une
conversion réalisée à 0.745 puis arrondie à 0.75). Une fois le montant initial totalement converti
dans la devise intermédiaire, une nouvelle conversion est effectuée en sens inverse, entraînant
un gain. Dans la mesure où ce gain est moindre (en moyenne cinq dixièmes de centimes), il suffit
de répéter la transaction un grand nombre de fois pour observer un écart utile. Les
établissements dont le logiciel effectue un nombre important d'achats de devises sur la base
d'une fonction d'arrondi avec tendance à l'éloignement, ou au rapprochement, de zéro sur un
même compte peuvent donc être respectivement exposés à un éventuel risque de création ou de
perte de valeur.
Quatre contrôles sont généralement envisagés: le compte de compensation (les montants
'perdus' lors de l'arrondi sont cumulés dans un compte temporaire) avec consolidation à chaque
période t, la limitation du nombre de conversions autorisées pour une période t2 (autorise
l'exécution de transactions à perte pour l'établissement financier mais ces dernières ne peuvent
être reproduites suffisamment de fois pour créer un réel dommage), la commission (un montant
fixe supérieur au gain de conversion minimal est facturé au client à chaque opération de
conversion), et le montant minimal à convertir. Toutefois, il est important de vérifier que
l'utilisation combinée de ces contrôles peut entraîner une source illicite d'enrichissement pour
l'établissement, la présence d'un éventuel défaut de conformité avec les réglementations en
vigueur dans le pays où la conversion est effectuée (p.ex.: EC1103/97) peut être requis.
Un peu plus de dix ans après la publication de la recherche susmentionnée, la vulnérabilité
semble être encore régulièrement identifiée dans les applications bancaires testées par les
sociétés de sécurité. Dans certains cas, elle est même activement exploitée[3]. Une petite piqûre
de rappel pourrait être nécessaire...
1: http://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.91.8055&rep=rep1&type=pdf
2: http://research.corsaire.com/whitepapers/080715-breaking-the-bank-numericprocessing.pdf
3: http://blog.acrossecurity.com/2012/01/is-your-online-bank-vulnerable-to.html
5 / 14
3. E.U.: le mot de passe d'une donnée chiffrée n'est plus protégé par le 5ème amendement
Un jugement prononcé dans l'Etat du Colorado (É.U.) fin janvier a conclu qu'un mot de passe
donnant l'accès à des fichiers informatiques protégés par cryptographie n'entrait pas dans le
champ d'application du 5ème amendement de la constitution des États-Unis, à savoir, le droit de
garder le silence en vue de ne pas s'auto-incriminer.
Inculpée en mai 2010 pour fraude bancaire et blanchiment, les enquêteurs ont demandé à
l'accusée de leur remettre le mot de passe ouvrant l'accès aux fichiers enregistrés dans son
ordinateur portable. Ce dernier était protégé avec le logiciel PGP, un dispositif cryptographique
actuellement réputé pour être résistant (lorsqu'il est utilisé correctement) à des moyens
informatiques de niveau militaire ou gouvernemental.
L'argument de la défense était fondé sur le cinquième amendement de la constitution des ÉtatsUnis, autorisant un citoyen à garder le silence dans le but de ne pas s'auto-incriminer devant un
tribunal. L'avocat de l'accusée lui avait donc conseillé de se taire et de ne pas divulguer le mot de
passe.
L'accusation a de son côté fait valoir l'argument de la finalité de la question posée: elle ne voulait
pas obtenir le mot de passe à proprement parler, mais l'accès aux fichiers. Il a même été proposé
à l'accusée de déverrouiller son ordinateur sans que les autorités ne collectent le mot de passe.
En quelque sorte: le mot de passe lui-même ne pouvant pas être interprété comme un élément
incriminant ne pouvait s'inscrire dans le champ d'application du cinquième amendement.
Consciente de la nature de l'affaire (cas de jurisprudence), l'accusation a également fait valoir
l'argument que le cinquième amendement n'avait pas été conçu pour permettre à des criminels
de rendre leurs fichiers informatiques incriminants inaccessibles à la justice.
La jurisprudence dans les cas citant le 5ème amendement est particulièrement complexe: une
personne inculpée peut être contrainte de remettre la clé d'un coffre. En revanche, elle ne peut
pas être contrainte de communiquer la combinaison si ce dernier est protégé par un code. En se
prononçant en faveur de l'accusation dans cette affaire, la décision du juge Payton pourrait faire
office de jurisprudence et étendrait ainsi le pouvoir de l'Etat face aux citoyens en leur donnant
les moyens légaux de les contraindre à remettre un mot de passe[1][2].
1: http://www.thenewamerican.com/usnews/constitution/10666-judge-rules-americans-canbe-forced-to-decrypt-their-laptop-computers
2: http://news.cnet.com/8301-31921_3-57364330-281/judge-americans-can-be-forced-todecrypt-their-laptops/
6 / 14
4. Megaupload: quelle problématique soulevée pour l'entreprise?
Contexte
19 janvier 2012, plusieurs millions d'internautes constatent que leur téléchargement de fichier
s'interrompt, d'autres constatent un sablier en lieu et place de la vidéo qui était en train d'être
diffusée en streaming sur l'immense écran plat du salon. Sans le savoir, ces internautes ont été,
au travers du redouté message d'erreur "serveur introuvable", les premiers témoins d'une
opération internationale coordonnée par le département de justice américain (DoJ) qui vient
d'aboutir à la déconnexion des sites Internet megaupload.com et megavideo.com, pour ne citer
que les plus fréquentés. Le 72ème site le plus consulté sur Internet vient d'être séquestré[1].
L'opération est le fruit d'une coopération qui a duré plus de dix mois entre différentes polices.
L'arrestation n'a rien à envier à un film d'action: la police a pris d'assaut la demeure du principal
dirigeant, Kim Dotcom, à six heures du matin. Les autres dirigeants ont été rattrapés sur les
territoires allemand et hollandais, les avoirs financiers reposant dans des banques à Hong-Kong
ont été gelés et les serveurs des différents centres de données répartis entre les continents
américain et européen (plus de 1'500 serveurs disposés aux Etats-Unis, France, Pays-Bas) ont
été saisis[2][3].
Fondée en 2005 par l'excentrique Kim Dotcom (anc. Kim Schmitz), l'entreprise Megaupload
propose un service de "dépôt" de fichiers permettant à qui le désire d'échanger des documents
de tout type, les rendant accessibles à tout ceux qui en connaissent l'adresse (URL) exacte.
Malgré une vocation explicitement "légale", le concept Mega se décline et se démarque
rapidement pour devenir l'une des principales alternatives au "peer-to-peer" pour la diffusion
de contrefaçons numériques: séries télévisées, films, programmes informatiques, etc. En 2011, le
portail recensait plus de 180 millions de clients (hors accès anonymes), répondait chaque jour
aux requêtes de plus de 50 millions d'internautes uniques et le service megaupload.com générait
un revenu publicitaire annuel de plus de 40 millions de dollars[4].
L'acte d'accusation émis à l'encontre des différentes représentations légales de Megaupload et
de ses principaux dirigeants (réunies dans ce contexte sous le terme "Mega Conspiration") inclut
entre autres les chefs d'inculpation de complots pour racket, contrefaçon et blanchiment portant
sur un montant de plus de 500 millions de dollars [5]. Le fondateur du site Megaupload.com, Kim
Dotcom, encourt une peine d'emprisonnement pour une durée de 50 ans sur le territoire
américain. La libération sous caution lui a été refusée en raison d'un risque de fuite élevé,
lorsque l'accusation a annoncé avoir trouvé 45 cartes de crédit dans son portemonnaie et trois
passeports établis sous différents noms[6]. Il reste encore à le faire extrader...
Ci-après, quelques problématiques et pistes de réflexion sur cet incident.
Quid des données légitimes?
L'un des éléments les plus questionnés par l'opinion publique est la résolution définitive et
brutale de la totalité des avoirs numériques du service Megaupload.com. Pourtant, tous ne
constituaient pas une infraction particulière au sens des lois invoquées dans le document
d'inculpation: la plateforme comptait en effet de nombreux utilisateurs légitimes, probablement
plusieurs milliers ou dizaines de milliers, qui ont payé pour bénéficier d'avantages.
7 / 14
D'autre part, les éléments techniques du service (serveurs, maintenance, bande passante)
étaient placés en sous-traitance auprès de plusieurs hébergeurs. L'interruption brutale du
service associé au gel des finances a créé une complexité supplémentaire: qui paiera les factures
des hébergeurs pour les derniers mois consommés?
Le Département de la Justice, conscient de ce problème, a annoncé aux hébergeurs concernés
qu'ils étaient libres de disposer des données dès le 2 février[7]. Deux des hébergeurs principaux
ont officiellement confirmé qu'ils ne procèderaient pas immédiatement à la destruction des
fichiers et qu'une solution est à l'étude pour permettre leur récupération[8].
Aucune garantie financière, ou de disponibilité, n'a toutefois été émise par les autorités à
l'encontre des utilisateurs, s'agissant de particuliers, ou d'entreprises, ou des hébergeurs.
Et la responsabilité partagée?
La seconde question que l'on peut se poser est liée à la responsabilité que l'on pourrait imputer
aux prestataires de paiement électronique. Dans le cas Megaupload.com, l'utilisation intensive
des services proposés était soumise à l'abonnement payant. Elle nécessitait donc l'établissement
d'une coopération entre l'entreprise Megaupload et des établissements d'encaissement par carte
de crédit et autres moyens de paiement électronique. Bien qu'il soit nécessaire d'accorder la
présomption d'innocence au portail, il serait aujourd'hui particulièrement audacieux pour un
professionnel du web de prétendre que le service megaupload.com avait pour vocation unique le
trafic légitime de fichiers électroniques. La responsabilité de ces prestataires de paiement, ou
leur complicité, n'a jamais été invoquée. Ne fournissent-ils pas un "tuyau"?
Le contexte politique et juridique est ainsi posé: des gouvernements tentent actuellement de
transférer la responsabilité pénale des infractions au droit d'auteur vers les fournisseurs de
"tuyaux", en l'occurrence, les actions contre les hébergeurs de contenus (cf. propositions de loi
SOPA et PIPA[9] pour les Etats-Unis, ACTA pour l'Union européenne[10] ). Ainsi, la NouvelleZélande est également pointée du doigt pour avoir accordé la résidence permanente de type
"entrepreneur" à une personne inculpée à plusieurs reprises pour délit d'initié[11].
La territorialité des juridictions?
Troisième élément de réflexion: il est établi que le service megaupload.com ne disposait pas de
centres ou relais de données uniquement aux États-Unis. L'intervention choc des autorités
américaines sur leur propre territoire n'est à ce jour pas questionnée. Elle l'est en revanche pour
les autres pays, tels que la Nouvelle-Zélande et Hong-Kong.
Le Département de Justice a motivé son intervention à l'échelle internationale en raison de la
présence de serveurs d'hébergement situés dans l'Etat de Virginie[12]. Cette subtilité,
l'exécution d'une partie du traitement de données sur le territoire américain, pourrait avoir été
le talon d'Achille de Megaupload...les dirigeants avaient-ils prévu cette éventualité en confiant
leurs données? Etaient-ils au courant de leur emplacement et des implications?
L'étanchéité des données dans les environnement cloud
Le cas Megaupload est également révélateur d'une nouvelle problématique à laquelle les
organisations viennent d'être douloureusement confrontées lorsqu'elles choisiront de faire
héberger leurs services ou contenus auprès d'un tiers: que se passe-t-il si un hébergeur
facilitant, volontairement ou non, la commission d'infractions devient soudainement la cible
d'une intervention des autorités?
8 / 14
Différents scénarios se présentent:
- Une banque ou une assurance peut-elle soudainement voir l'intégralité de ses données saisie
par la police dans le cadre d'une investigation ne la concernant pas?
- Le contrat prévoit-il des procédures de maintien de la continuité en cas d'interruption totale et
soudaine de l'activité de l'hébergeur? (et non pas l'interruption de l'un de ses centres de
données)
- L'hébergeur accueille-t-il des organisations susceptibles de constituer une menace accrue pour
l'entreprise? (cible politique ou cible des autorités, par exemple)
La nécessité de lois supplémentaires?
Les textes légaux actuels ont permis l'exécution de plus d'une dizaine de perquisitions et
d'arrestations réparties sur trois continents. Elles ont nécessité l'intervention de plusieurs
centaines d'agents tout comme la constitution et l'échange de nombreuses informations. Devant
l'efficacité avérée de cette opération, est-il aujourd'hui possible de justifier ou légitimer la
création de lois supplémentaires étendant le pouvoir accordé aux autorités américaines ou
européennes dans leur lutte contre la contrefaçon?
1: http://www.alexa.com/siteinfo/megaupload.com
2: http://www.smh.com.au/digital-life/digital-life-news/fbi-seeks-extradition-of-internetpirate-20120120-1qacn.html
3: http://www.reuters.com/article/2012/01/23/us-internet-piracy-arrestsidUSTRE80M04H20120123
4: http://kpbj.com/technology/2012-0131/megaupload_founders_homes_raided_5m_in_luxury_cars_seized
5: http://www.scribd.com/doc/78786408/Mega-Indictment
6: http://www.reuters.com/article/2012/01/23/us-internet-piracy-megauploadidUSTRE80K07Q20120123
7: http://www.npr.org/templates/story/story.php?storyId=146068504
8: http://carpathia.com/carpathia-hostings-updated-statement-on-megaupload-servers-andcustomer-data
9: http://www.lemonde.fr/technologies/article/2012/01/18/sopa-pipa-et-la-crainte-d-unfiltrage-du-web-a-grande-echelle_1631095_651865.html
10: http://www.laquadrature.net/wiki/Against_ACTA
11: http://www.reuters.com/article/2012/01/23/us-internet-piracy-megauploadidUSTRE80K07Q20120123
12: http://www.smh.com.au/digital-life/digital-life-news/fbi-seeks-extradition-of-internetpirate-20120120-1qacn.html
FIN/#005.
9 / 14
5. Edito: rétrospective 2011 et menaces 2012
Chers Abonnés,
La lettre d'informations cybersécurité et menaces Internet entame simultanément son second
trimestre d'existence et une nouvelle année. Une année inscrite dans le contexte d'une remise en
question de plusieurs paradigmes de sécurité de l'information. Sur ce sujet, je vous invite à
découvrir ci-après plusieurs pistes de réflexion...
Pour mieux comprendre la nature du changement en cours et des risques qu'il apporte, ou
renforce, l'on veillera tout d'abord à rappeler quelques événements d'intrusions informatiques
ayant bénéficié d'une large médiatisation. La liste n'est bien entendu pas exhaustive!
- Sony (loisirs numériques): les données de plus de 100 millions de comptes clients diffusées, un
acharnement incessant (plus de 30 cas d'intrusion en une année) et publiquement revendiqué
(LulzSec).
- RSA (sécurité)/Lockheed Martin (défense): le vol de données chez le premier a permis
l'intrusion chez le second.
- Infragard (sécurité, renseignement, analyse): diffusion publique de la base de données clients
et des messageries électroniques des dirigeants.
- Citigroup (bancaire): diffusion des données de 210'000 comptes clients via le guichet
électronique.
- WordPress.org (édition en ligne): trois extensions pour le logiciel de blogging compromises par
l'insertion d'un cheval de Troie. Les extensions ont été téléchargées à plus de 2,5 millions de
reprises (pour un parc estimé de 65 millions de sites actifs).
- Dropbox (dépôt de fichiers): une erreur interne a ouvert l'accès aux fichiers de tous les
utilisateurs du service durant quatre heures environ. Selon l'éditeur, seul 1% des utilisateurs a
été impacté par l'incident (Dropbox comptait à l'époque 25 millions d'utilisateurs actifs).
- Areva (nucléaire, défense): a identifié une intrusion informatique initiée deux années
auparavant.
- Diginotar (autorité de délivrance de certificats électroniques): mis en faillite suite au piratage
de l'autorité de certification et la divulgation d'un audit faisant état de nombreuses négligences.
Menace 2.0?
L'observation attentive de cette énumération d'incidents, de leurs éléments techniques et des
motivations de leurs auteurs reflète l'existence d'un écart entre le modèle de menace dans lequel
évoluent les organisations connectées et celui auxquelles elles se sont effectivement préparées.
A quoi cet écart est-il dû? De nouvelles menaces sont-elles apparues en 2011? Le contexte est-il
incompris des organisations, ou de leurs prestataires? Ne pourrait-on pas imaginer qu'un
modèle "arrangé" ait été globalement adopté afin de répondre aux attentes d'un marché de
services et produits de sécurité de l'information, que des cabinets ont estimé à plus de 60
milliards de dollars en 2011[PwC]?
Une analyse pertinente fait cruellement défaut à ce jour: l'identification exhaustive des
défaillances techniques, ou technologiques, sur lesquelles ces attaques informatiques se sont
basées. Il est en effet difficile voire impossible de déterminer à ce jour si ces incidents auraient
pu être évités, par exemple, si la triade "pare-feu, antivirus, mises à jours" et la sécurisation des
logiciels contre les tentatives d'injection[injection attacks] avait été pleinement mise en oeuvre.
La mise à disposition d'une telle information nous renseignerai ainsi sur la réelle efficacité des
10 / 14
mesures de sécurité que l'industrie recommande aux organisations. Là aussi, il pourrait être
intéressant de se demander pourquoi cette information n'est pas disponible. Parallèlement, l'on
aura observé en 2011 le renforcement d'un discours annonçant l'émergence d'une nouvelle
menace hautement sophistiquée, que l'on a regroupé sous l'acronyme "APT". Ainsi, l'industrie
proposerait-elle désormais des outils informatiques pour s'en prémunir, considérant que
l'attribut essentiel de la menace "APT" serait son caractère résolument transversal d'un point de
vue technologique et organisationnel.
Dans un contexte de difficultés économiques, il conviendrait pourtant à de nombreuses
organisations surexposées au risque informatique d'être dotées de méthodes et outils destinés
non pas à "rassurer" mais dont l'efficacité et la pertinence aura été démontrée avant tout.
"Maman, c'est quoi un déni de service?"
Le second élément de réflexion sur lequel il peut être pertinent de s'interroger est la
démocratisation du thème de la cybersécurité. Quelles nouvelles opportunités et nouveaux
risques l'organisation doit-elle intégrer en 2012? Si 2010 avait été marquée par la sophistication
particulièrement bluffante, voire effrayante pour certains, du ver informatique Stuxnet; l'année
2011 aura été marquée par un traitement particulièrement généraliste mais pas moins abondant
de l'actualité cybersécurité. Presse informatique, journaux gratuits, grands quotidiens,
télévision, radio et cinéma, aucun média n'y a échappé: un message diffusé avec une intensité
nouvelle, sur toutes les ondes et sous toutes les formes.
Ainsi, une telle prolifération d'information, diffusée le plus souvent sous forme "vulgarisée",
peut-elle accroître l'exposition d'une organisation à des malveillances informatiques ou, au
contraire, l'atténuer? Bien qu'il soit particulièrement difficile, voire impossible, de se prononcer
exhaustivement sur cette question. Deux thèmes ont été choisis ici: la menace Anonymous, et la
terminologie liée à la cybersécurité.
Le spectre Anonymous
La menace constituée par l'idée "Anonymous" est actuellement un sujet de préoccupation: de
nombreux cas de déni de service et de diffusion de données confidentielles ou personnelles,
d'origines diverses (principalement: administrations publiques, défense, grandes entreprises et
établissements financiers) lui sont imputés. Parmi ceux-ci: les opérations HBGary et Stratfor
(diffusion intégrale des échanges électroniques des dirigeants de sociétés prestataires de
services de sécurité pour la défense américaine), l'opération BART (piratage des systèmes
informatiques de la police des transports à San Francisco et diffusion des bases de données),
l'opération Sony (plusieurs vols de données et déni de service), l'opération Tunisia (déni de
service sur les instances administratives du gouvernement), etc. L'on identifiera assez
rapidement un faisceau de motivations tournant autour des concepts de liberté d'expression et
d'une recherche de transparence dans les affaires de l'Etat.
Le choix d'un emblème visuel représentant le visage de Guy Fawkes (1570-1606), n'est
probablement pas directement lié au personnage historique. En revanche, le film V for Vendetta,
sorti dans les salles en 2006, pourrait avoir été l'événement déclencheur. L'histoire du film se
situe en 2038, au Royaume-Uni, et décrit le pays comme un état policier totalitaire, stigmatisé
par l'absence de libertés d'expression et d'opinion, le fichage généralisé des citoyens et une
censure médiatique constante. Des pratiques particulièrement coercitives à des fins de sécurité
nationale et de guerre contre le terrorisme y sont légales et régulièrement mises en œuvre. Le
11 / 14
film retrace l'escalade d'un mouvement de résistance décentralisé et anonyme (lui permettant
ainsi de perdurer lorsqu'une arrestation a lieu), initié par un personnage cachant son identité
derrière un masque représentant le visage de Guy Fawkes.
Anonymous se caractérise ainsi par une structure floue, parfois comparée à un même internet, et
supposément dénuée de toute forme de dirigeant. Malgré les nombreuses arrestations
revendiquées par les autorités, Anonymous reste aujourd'hui encore un concept qui échappe
largement au public, essentiellement car il n'a pas encore été possible d'imputer la
responsabilité des actions à des personnes identifiables. Ainsi voit-on apparaître les
témoignages de parents inquiets pour leur fils supposément membre de Anonymous...
Les cas d'intrusion informatique revendiqués sous l'identité Anonymous s'enchaînent avec une
intensité croissante: 3 intrusions revendiquées en 2008 et en 2009, 5 en 2010, 34 en 2011 et
déjà 7 opérations actives ont été initiées rien qu'en janvier 2012 (Nigeria, Megaupload, Polish
revolution, Pro-Kremlin, Greek Ministry, Blitzkrieg et Bashar al-Assad). Bien entendu, ces
chiffres ne représentent que l'activité globale et ignorent les actions régionales.
Par extension, cette spécificité quelque peu "fourre-tout" de la menace Anonymous fait qu'il est
devenu très facile de lui imputer la responsabilité d'une intrusion informatique. Les esprits
conspirationnistes invoquent même l'hypothèse de l'existence d'un lobby politico-industriel
visant à obtenir le déblocage d'importants budgets pour l'acquisition et le déploiement de
produits de surveillance des télécommunications...
Nous avons été cyberattaqués!!!
Le second axe de réflexion sur cette vulgarisation de la cybersécurité et de ses conséquences est
lié à la terminologie choisie à la fois par les médias, les autorités et les professionnels de la
sécurité de l'information pour traiter ledit sujet.
La cybersécurité est en premier lieu un concept faisant appel à de nombreuses notions liées aux
technologies de l'information. Par extension, le thème s'inscrit dans un contexte aujourd'hui
encore largement dominé par une culture anglo-saxonne, et dont le discours sécuritaire est luimême construit sur la base d'une taxonomie essentiellement militaire: n'oublions pas
qu'Internet est un instrument dont la création était fondamentalement motivée par un souci de
continuité des communications militaires dans un contexte de guerre froide et de crainte
extrême d'attaques nucléaires et biologiques. Il en résulte ainsi une prolifération de mots
empruntés: menace, agent, attaque, intrusion, risque, défense, virus, propagation, contamination,
confinement, ... ou adaptés: cybersécurité, cybermenace, cyberterrorisme, cyberattaque, etc. A
l'origine confinés dans les discussions entre professionnels de la sécurité, ces mots ont été
successivement insérés dans le vocabulaire des médias, des politiques et des autorités jusqu'à
faire aujourd'hui partie intégrante du discours quotidien présenté aux citoyens et aux décideurs
dans les organisations.
Toutefois, des adaptations sont nécessaires. Il convient par exemple de rappeler ici que dans le
jargon militaire, les notions de menace et d'attaque sont généralement associées à l'utilisation
imminente de moyens d'envergure militaire, ou armes, qui par définition, peuvent entraîner la
mort de personnes, parfois à l'échelle massive.
La cybersécurité recense ainsi, sous les mêmes termes militaires, des notions telles que la simple
paralysie temporaire d'un site Internet d'actualité, la détournement du dispositif de paiement
12 / 14
d'un commerce électronique ou encore la corruption des composants logiciels de supervision
d'une berline familiale lancée à plus de 150km/h. sur l'autoroute. Dans ces trois cas, il y a
"attaque" et il y a "piratage". Dans les deux premiers cas, l'incident fera probablement la une des
journaux. Dans le troisième cas, la mort de plusieurs personnes est envisagée et la presse
assimilera probablement cela à un simple accident de la route.
Le cas Megaupload abordé plus haut est révélateur de cette probable perception exagérée dans
laquelle il est facile de s'enfermer. De gros moyens ont, en effet, été déployés pour l'arrestation
du dirigeant Kim Dotcom alors qu'il se trouvait à son domicile: un commando exclusivement
composé de soldats d'élite des forces spéciales néo-zélandaises a lancé l'assaut à six heures du
matin, fusils d'assaut en main, appuyée par deux hélicoptères d'intervention de la police et une
brigade canine.
Selon les témoignages, le fondateur s'est barricadé dans une pièce aux parois renforcées lorsque
l'assaut a été donné. Six personnes se trouvaient dans la maison: Kim Dotcom, un agent de
sécurité, une femme au pair et trois enfants. Selon l'acte d'inculpation, aucun des inculpés visés
par l'arrestation n'était connu des services de police pour des actes de violence. Le fondateur
possédait deux fusils de chasse, tous déclarés aux autorités et conservés sous coffre en raison de
la présence de trois enfants dans la maison. Lors de l'assaut, les soldats ont demandé à la fille au
pair de révéler l'existence potentielle de bombes. Sa nationalité philippine en ferait-elle une
terroriste dormante? Dans un reportage de la chaîne de télévision nationale 3News, les
journalistes ont tenté d'identifier les raisons ayant motivé l'utilisation de moyens d'une telle
ampleur. La question est restée sans réponse.
Lorsque de tels faits nous sont ainsi présentés, il devient utile de questionner la légitimité de
telles mesures pour l'arrestation d'un criminel informatique. Qui prend la décision et sur la base
de quels éléments factuels? Rappelons-le: il n'y avait ici aucun historique de violence. Si nous
arrêtons aujourd'hui une personne inculpée de contrefaçon numérique avec des troupes d'élite
lourdement armées, quels moyens et efforts les gouvernements nous promettent-ils pour lutter
contre d'autres fléaux comme le banditisme, les braqueurs de commerces, les trafiquants
d'armes, de stupéfiants voire d'êtres humains?
Rappelons cette désagréable vérité: la traque et l'arrestation d'un criminel informatique sont
des activités beaucoup moins dangereuses, pour les autorités et les responsables impliqués, que
le démantèlement d'un réseau de narcotrafiquants ou de traite d'enfants. On ne risque
probablement pas la vie de sa famille en lançant littéralement une chasse aux sorcières contre
les cinq jeunes adultes qui ont envoyé plusieurs milliers de paquets UDP sur les portails web de
Visa et Mastercard. La lutte contre le cybercrime ne pourrait-elle pas être ainsi perçue comme
une voie royale vers la satisfaction d'un égo surdimensionné, impatient ou frustré de ne pas
récolter plus rapidement le fruit d'une lutte contre "le mal"?
Il apparaît très clairement que nous nous trouvons aujourd'hui confrontés au risque d'une
perception exagérée, ou idéalisée, des priorités et des enjeux liés à la cybersécurité, et qu'il
devient difficile d'exiger de chacun qu'il soit en mesure de qualifier le discours qui lui est
présenté. Les professionnels de la sécurité de l'information ont longtemps reproché aux
dirigeants de sous-estimer la menace des cyberattaques. Dans le contexte d'un marché évalué en
2011 à plus de 60 milliards de dollars, qui ose aujourd'hui leur reprocher d'avoir une légère
tendance à surestimer le problème?
13 / 14
Que l'on soit citoyen, collaborateur, professionnel de la sécurité de l'information, directeur
d'entreprise, législateur, élu politique ou représentant de l'autorité, il incombe désormais à
chacun de ne pas perdre de vue les enjeux de la cybersécurité et de savoir les replacer dans un
contexte de risques parfois bien plus graves que le simple arrêt d'un site web.
Pour conclure
Pour répondre à la question d'un abonné, voici en vrac les tendances et thèmes majeurs
attendus pour 2012: mise en application de la législation sur la protection des données,
obligation de notifier les incidents de sécurité, exploitation des applications mobiles, extorsion
et chantage sur données volées, territorialité des données et continuité des services lors
d'interventions des autorités dans les environnements cloud, professionnalisation des services
de "déni de service" et démocratisation de l'attaque, intégration de la sécurité informatique dans
les processus de départ des collaborateurs, chiffrement des télécommunication pour lutter
contre les système de surveillance globale, émergence d'une offre locale "Security as a Service"
(revue de code, revue de binaires, tests d'intrusion automatisés, gestion des vulnérabilités,
stockage de fichiers confidentiels, etc.), fuites de données dans les réseaux sociaux, exploitation
de systèmes et infrastructures novateurs, monétisation croissante de la recherche de
vulnérabilités, redéfinition et formalisation du concept "SCADA", découvertes d'intrusions
informatiques antérieures.
On le devine aisément: le défi 2012 pour cette lettre d'information ne sera bien sûr pas de
trouver des éléments d'intérêt à relayer car nous savons désormais qu'il y aura abondance
d'information. Le défi consistera probablement à filtrer, analyser et surtout de décrypter les
enjeux avec précision, ceci afin de ne pas contribuer à une exagération, ou une sous-estimation,
du risque auprès des lecteurs.
D'ici à 2013, je conclus ce message en remerciant tous les abonnés de la confiance que vous
accordez à ce projet et vous présente, avec un peu de retard, une excellente année 2012!
afo/cddb.ch
pour tout contact: [email protected]
Conditions et tarifs:
- Inscription : envoyer un email avec sujet "inscription texte" ou "inscription pdf" à [email protected]
- Désinscription: envoyer un email avec sujet "désinscription" à [email protected]
- Le bulletin est publié sur http://cddb.ch deux semaines après sa diffusion par email
- Tarif: gratuit
Données sur les abonnements et abonnés:
- Mesures de confidentialité: best effort, liste d'abonnés stockée sur conteneur chiffré, envois en
copie carbone
- Eléments conservés: uniquement adresse email et date d'inscription/désinscription
- Diffusion: aucune (sauf cas de force majeure ou distraction exceptionnelle)
- Suppression: sur demande, par email à [email protected]
- Tiers identifiés: fournisseurs d'accès (envoi des bulletins en clair, par courrier électronique)
14 / 14

ici

Transcription

Documents pareils

ici - Comme dans du beurre

ici - Comme dans du beurre

ici - Comme dans du beurre

Voir l`interview - Speakers Academy

Creative Sound Blaster Audigy Creative Audio Software

Breifing Macau

Cybersécurité - LesAffaires.com

Séminaire CyberSécurité 2015

Nicolas ARPAGIAN - Savoirs et Perspectives

Régime Scarsdale - Définition

Informations sur le copyright