War Ram est une lettre d’information mensuelle, consacrée aux thématiques de cyberdéfense et de cybersécurité, ainsi qu’aux infrastructures (OIV, data centers…) qui sous-tendent le cyberespace. Cette publication est également disponible en ligne via le Slide Share (War Ram).
War Ram - Lettre d'information sur le cyberespace et la cybersécurité - Janvier 2014
1. THE WAR R@M
FOLLOW THE W HITE RABBIT
Janvier 2014
L’E-DITO
L’ART DE LA GUERRE
W ar Ram.
Deux mots.
W ar pour guer r e. Dans le cyber espace, nous y ser ions pr esque.
Cer tes pas la guer r e tr aditionnelle et déclar ée des États qui
s’affr ontent sur un champ de bataille. Celle qui nous intér esse est
"multiscalair e", r ime avec bits et s’écr it en lignes de code.
Ram pour Random Access M emory. Le ter me ne r envoie pas qu’à
l’excellent album des Daft Punk, il évoque sur tout les for ces vives d’un
or dinateur , le ner f de la guer r e infor matique.
M is ensemble, ces deux ter mes r appellent par homophonie les
célèbr es "W ar Rooms" de Chur chill, où l’infor mation str atégique la plus
impor tante était agr égée en un lieu.
L’ambition de ce pr ojet de Newsletter est de s’inspir er de cette
initiative. En une maxime : centr aliser au sein d’une lettr e mensuelle la
« substantifique moelle » des sphèr es cyber défense/ cyber sécur ité.
Le « champ de bataille » numér ique qui s’ouvr e aujour d’hui est au
croisement de la sécurité informatique, de la cyberdéfense, du droit et
de la technologie. Cette complexité appelle au plus gr and des
discer nements.
Car le théâtr e et son pér imètr e sont incertains, ses acteur s nombreux
et par fois difficiles à identifier : entr epr ises, hacker s, cr acker s, Etats,
univer sitair es…
Lever le voile, c’est ce que vous pr oposent les contr ibuteur s de la W ar
R@m à tr aver s quatr e catégor ies distinctes :
Les Experts : Contr ibution d’un exper t du cyber espace sur une
pr oblématique donnée.
3 6 0 ° : Une veille globale sur la cyber sécur ité/ cyber défense et les
infr astr uctur es.
Out-of-the-box : Contr ibution d’un exper t qui sor t du cadr e
“classique” de la cyber sécur ité : pr ofesseur s d’univer sité,
doctor ants, hacker s…
Pimp my Opsec : Une analyse pointue d’une faille de sécur ité ou de
mesur es à pr endr e pour qu’elle ne se r epr oduise pas !
Puisse cette pr emièr e « Ram » d’infos vous appor ter une meilleur e
compr éhension de ce qui se passe sous les cir cuits du cyber espace…
•
•
•
Sommaire
L’Edito
Les Experts
360°
Out-of-the-Box
Pimp my Opsec
Les gros titres
#SnapChat
#LPM
#InfoSec
#FullDisclosure
La vidéo du mois
Let’s Enhance, le retour
Pour le plaisir des yeux, un inter naute a
décidé d’uploader une ver sion HD du fameux
« Let’s Enhance ». L’occasion de r ir e un peu
et de r appeler que quand « la résolution est
mauvaise, agrandir ne servirait à rien »…
Les Exper ts ne sont pas for cément ceux
que l’on cr oit…
Retrouvez aussi nos publications sur notre Slideshare
Envie d’en savoir plus? Contactez-nous: redaction.warram@spray.se
Les contr ibuteurs associés à ce pr emier numér o, pour leur contribution et leur soutien, visible ou
invisible : @morganhotonnier, @evematringe @leroycyber, @ncaproni @M Duqn,
@blog_e_sphere, @comptoirsecu
2. TO DISCLOSE OR NOT TO
DISCLOSE
LES EXPERTS
Le full disclosure : une approche critiquée
Tr aditionnellement, la communauté sécur ité est
tr ès par tagée entr e :
Le "full disclosure", qui consiste à four nir au
gr and public l’ensemble des infor mations
concer nant une vulnér abilité découver te
Le "coordinated disclosure" ou "responsible
disclosure", moins r adical, où la vulnér abilité
est d’abor d communiquée à l’éditeur pour
qu’il la cor r ige. Ce n’est que lor sque celui-ci
four nit son autor isation, souvent apr ès
cor r ection, que la faille est diffusée au
monde entier .
Le responsible disclosure peut par aîtr e idéal, car
l’infor mation sur la vulnér abilité n’est accessible
que lor squ’elle n’est plus exploitable. M ais si
l’appr oche peut fonctionner avec des éditeur s
r esponsables, la r éalité est génér alement tout
autr e.
Cet ar ticle est par u pour la 1 èr e fois
sur le M edium du Comptoir de la
sécur ité
Quand
l’éditeur
maîtrise
la
communication, il n’est pas pressé
par le temps
"À quoi bon se presser et débloquer
un budget en ur gence ? Le public
n’est pas au courant, nous aurons
tout
le
temps
d’allouer
des
r essources au budget de l’année
pr ochaine."
J’exagèr e le trait, mais l’idée est là.
La correction des vulnérabilités est
souvent le cadet des pr éoccupations
des dir igeants. La pr ior ité est à l’ajout
de fonctionnalités demandées par
l’utilisateur ou qui optimisent les
bénéfices pour faire plaisir aux
investisseurs. Sans la pression des
médias et des clients, les corr ections
tr aînent, par fois elles ne viennent
jamais.
Une fois l’information publiée, l’image
de l’éditeur en pâtit et chaque jour qui
passe sans correction augmente la
chance de voir son nom dans les
journaux associé à une grosse fuite
d’information. C’est malheureusement
par fois le seul moyen pour que
l’entr epr ise se décide à tr aiter la
vulnér abilité comme elle le mér ite :
une ur gence.
M ême Google commence à ser r er la
vis et applique le full disclosure si
apr ès 7 jour s l’éditeur n’a toujours
pas cor r igé une faille qu’ils estiment
cr itique ou déjà utilisée.
Alors, full ou responsible disclosure ?
Je suis per sonnellement pour une
ver sion hybr ide, similair e à celle que
pr éconise Google. Je tr ouve
dommage d’offr ir en pâtur e aux
médias une entr epr ise qui ser ait
pr ête à jouer le jeu et tr aiter la
cor r ection de la vulnér abilité dans les
délais qu’elle mér ite. Ainsi une
divulgation en pr ivé aupr ès de
l’éditeur semble êtr e une bonne
appr oche.
Si l’entr epr ise s’implique et
communique en bonne intelligence,le
responsible disclosure peut r ester
une solution viable.
Le full disclosure r ester ait donc un «
plan B », der nièr e ar me à utiliser
quand l’éditeur :
Est connu pour son hostilité
envers ce genre de requête.
N’offre aucun moyen de contact
adéquat
Ne répond pas à nos sollicitations
Certains éditeurs prennent le
problème à l’envers
Si vous avez écouté notr e épisode 2
du Comptoir Sécu sur les failles 0 -day,
vous savez à quel point ce genr e de
découver te peut valoir cher sur le
mar ché noir …
Refuse de traiter la vulnérabilité
en accord avec son niveau de
criticité
Le traitement des "responsible
disclosure" par une entreprise
M algr é tout, cer tains individus avec
encor e un peu d’éthique sont pr êts à
offr ir le r ésultat de leur tr avail à
l’éditeur , gr atuitement…et se font
attaquer en guise de r emer ciement.
Vous pensez que j’exagèr e ? Pour tant
ce genr e de situation est déjà ar r ivé.
Les débats qui entourent le "full disclosure" ne sont ni
récents, ni homogène. Ainsi, en 2 0 0 9 , le collectif Anti
Sec avait hacké l’hébergeur d’images Image Shack pour
protester contre cette pratique.
War R@M - Janvier 2014
Il ne faut pas s’étonner apr ès ce
genr e ’affair es de voir de plus en plus
d’exper ts pr ôner le full disclosur e,
souvent sous couver t d’anonymat
pour éviter le r etour de flamme.
2
Si j’avais car te blanche dans une
entr eprise sur le tr aitement des
failles de sécur ité découver tes par un
tier s, voilà ce que je pr éconiserai
(suite p.4 )
Par M organ Hotonnier
Ingénieur spécialisé SSI
@morganhotonnier
3. 360°
En vrac
Et pour quelques Bitcoins de
plus…
Les cas de br aquage en ligne de
banques semblent se bousculer au
por tillon. La cible pr ivilégiée ? Les
Bitcoins, la devise vir tuelle « so trendy »
développée par le mystér ieux Satoshi
Nakamoto. Il faut dir e que le "Bt" ne
manque pas d’ar guments: son cour s a
r écemment explosé, au point de
dépasser celui de l’or , fin novembr e.
Or , si voler un Bitcoin est « facile », le
« blanchir » est une autr e pair e de
manches. Contr airement à la monnaie
classique, les tr ansactions en Bitcoin
sont publiques et consultables par tous.
Ainsi, un pir ate s’est r etrouvé bien
embêté quand il a dû falloir pr ofiter de
cette manne si chèr ement acquise. Il a
tr ès vite été inter pellé par le FBI, devenu
depuis quelques années docteur ès
cyber espace.
M ais ce pauvr e pir ate peut se consoler:
la Chine a décidé de ser r er la vis sur
cette monnaie vir tuelle, et de
nombr euses banques centr ales le
r emettent en cause.
Un krach similair e à celui de la tulipe
est-il à pr évoir ?
(Pour aller plus loin: voir les auditions du
Sénat sur le Bitcoin)
Un outil de reverse engineering
gratuit!
Infor mation pour les détectives du
clavier : un outil de reverse engineering
a été mis en ligne sur GitHub.com.
Pr ofitez-en, il est gr atuit!
The Russian Job
L’affair e Tar get aur a fait coulé beaucoup d’octets. Le géant amér icain a en effet subi
une cyber attaque qui a affecté pr ès de 1 1 0 millions de ses clients lor s des achats de
fin d’année. Or , il s’avèr e que le gr oupe a sa par t de r esponsabilité dans ce pir atage
massif (selon The W ired, le r éseau Tar get avait déjà été cr acké en 2 0 0 5 , mais celui-ci
se ser ait lavé les mains de la faille de sécur ité).
Alor s que l’enquête se pour suit, on sait d’or es et déjà deux choses :
Au moins 1 1 Go de données ont été envoyées ver s un ser veur r usse.
Un pir ate r usse de 1 7 ans ser ait à l’or igine du malware, r épondant au doux nom
de Trokan.POSRAM . Cette infor mation r este toutefois à confir mer.
Seculert, iSight Partners et IntelCrawler sont en char ges de l’enquête. Quant à Tar get,
le chiffr e d’affair e est déjà appelé à baisser … de 3 0 %!
Facebook et la campagne malveillante d’Adobe
Les campagnes malveillantes sont légion sur Facebook. Récemment, Dancho Danchev,
un éminent exper t en cyber sécur ité, a découver t une campagne hostile, toujours active
à ce jour, enjoignant les utilisateurs à installer un faux logiciel Adobe Flash Player,
utilisant les ser vices de r edir ection de Google. Plus d’infos sur le blog de M . Danchev.
123456, sésame, ouvre-toi !
Insolite: un malware transforme
un réfrigérateur connecté en
"botnet "
Alor s que les objets connectés sont
appelés à pr endr e une place
gr andissante, ces der nier s sont déjà la
cible de crackers. Ainsi, l’éditeur de
sécur ité Proofpoint a détecté un
malwar e visant… un r éfr igér ateur
connecté. Ce der nier était au centre
d’une lar ge campagne de spams.
War R@M - Janvier 2014
Des cher cheur s du SpiderLab de Trustwave’s, une entr epr ise de cyber sécurité
or iginellement connue pour ses « penetr ation tests » efficaces, ont fait une découver te
intér essante en enquêtant sur un gr oupe de « black hats ». Apr ès avoir pénétr é avec
succès un de leur s ser veurs, basé aux Pays-Bas, ils se sont r endus compte que pr ès
de 2 millions de mots de passe de comptes Facebook, Google, Twitter et Yahoo
avaient été dér obés à l’insu de leur s utilisateurs.
Les géants du Net ont vite fait de pr évenir les pauvr es inter nautes lésés… qui
conser vent néanmoins une cer taine par t de r esponsabilité dans le pir atage, au vu du
peu d’intér êt donné à la sécur ité de leur s données en ligne. En effet, les mots de passe
les plus fr équents oscillaient entr e 1 2 3 4 5 6 , password, admin, ou plus sobr ement
encor e, 1 2 3 . Tellement évident qu’on pour r ait en fair e un film.
3
4. Faciliter la prise de contact (Suite de "To
Disclose or Not to Disclose« , p.2 )
Par fois, même avec toute la bonne volonté du
monde, il est tellement difficile d’obtenir un
inter locuteur compétent, voir e un inter locuteur
tout cour t, que les exper ts jettent l’éponge et
s’en r emettent au full disclosur e. Il est donc
impor tant:
360°
Etats et cyberdéfense
De mettre en place un moyen de contact
dédié aux évènements de sécur ité une
adr esse email à destination des équipes
sécur ité IT en inter ne (ou du r esponsable de
la sécur ité de l’entr epr ise) est amplement
suffisante
Four nir quelque par t sur le site institutionnel
une r éfér ence ver s ce moyen de contact
For mer l’équipe r esponsable du suppor t
tr aditionnel à r edir iger les sollicitations sur
ce point de contact
Israël se lance dans la course au cyber-armement
Si, comme le pense Thomas Rid, « la cyber guer re n’aur a pas lieu », cela
n’empêche pas cer taines nations de se lancer dans une cour se à
l’ar mement effr énée. Depuis août der nier , Elta, une star t-up isr aélienne
devenue filiale du géant Israel Aerospace Industries, développe et r enfor ce
son offr e dans les capacités offensives et défensives de cyber défense.
La balkanisation du Net, c’est pas pour demain !
L’idée n’aur a pas fait long feu. Le concept de « balkanisation du net » (splinternet
en anglais ou cyberbalkanisation), vér itable mar r onnier depuis son invention par un
cer tain Clyde W ayne Crews, semble êtr e passé de mode. Pr enant
outr ageusement la poussièr e, l’idée avait finalement r egagné l’intér êt des exper ts
et des analystes avec le scandale PRISM et les r évélations de Snowden.
Las, Dilma Roussef a beau se démener , la gr ande major ité des acteurs du
numér ique semblent peu intér essées par l’idée d’un Inter net sépar é. Un r etour en
ar r ièr e semble bien impr obable désor mais, tant l’initiative ser ait coûteuse. Le
r étr opédalage de l’Allemagne sur la pr otection des données per sonnelles montre
bien qu’une compar timentation n’est pas pour demain : si balkanisation il y a, elle
se fer a à minima.
Le coup du chapeau
Rien ne va plus au pays du M atin calme. En effet, plusieur s dizaines millions de
car tes de cr édit aur aient été pir atées en Corée du Sud. En cause,
l’ "indiscr étion" de cer tains employés et des actes malveillants de pir atage. La
situation r este difficile à estimer: on par lait de 2 0 millions de données
bancair es pir atées, alor s qu’un r écent chiffr e du W all Str eet Jour nal évalue la
per te à plus de 1 0 0 millions, soit le double de la population sud-cor éenne.
La France révise sa copie en matière de cybercriminalité
La Fr ance a finalement décidé de r epousser la publication de son r appor t
inter ministériel sur la cyber cr iminalité en févr ier . Les ministèr es concer nés
sont, sans sur pr ise, la Justice, l’Intér ieur , l’Economie numér ique et le Budget.
Aucune r aison valable n’a été avancée pour l’instant.
Cloud, Data Centers, Big Data
Big Data vs Cybercrime
L’association des deux ne coule pas
de sour ce : pour tant, le Big Data
pour r ait appor ter énor mément dans
la lutte contr e le cyber cr ime. C’est en
tout cas l’avis du site HackSur fer , qui
r evient sur trois outils qui utilisent le
Big Data afin d’analyser , de compar er
et d’avoir une analyse en temps r éel
des cyber attaques.
L’outil en ligne d’HackSur fer est
disponible ici.
War R@M -Janvier 2014
Bull et Osiatis accompagnent
EDF dans le Cloud
EDF –ERDF s’est lancé dans un
pr ojet dantesque: l’exploitation et la
migr ation de plus de 1 6 0 ,0 0 0
postes sur un cloud pr ivé, utilisant
des technologies M icr osoft.
Le pr ojet, por té par le consortium
Bull-Osiatis, est le plus impor tant
pr ojet mondial de cloud utilisant les
technologies M icr osoft à ce jour .
4
Disposer d’un processus de mise à jour
d’urgence
À par tir du moment où une vulnér abilité est
découver te, on peut supposer qu’elle est déjà
connue et peut êtr e même exploitée par
d’autr es individus. Il faut donc r éagir dans les
plus br efs délais. Une bonne pr atique consiste à
mettre en place une politique de patching. Cette
politique définit différ ents niveaux de cr iticités
pour les patchs, avec pour chaque niveau un
délai de tr aitement maximal. Pour les patchs les
plus cr itiques, on peut assouplir les tests pour
accélér er la mise en pr oduction.
Entretenir la relation avec les experts sécurités
Snapchat (voir l’Affaire SnapChat, p.6 ) est le
par fait exemple de pr ise de contact r atée.
M ettre les exper ts en r elation avec du per sonnel
adéquat en inter ne est la pr emièr e chose à
fair e. Ce genr e d’échange ne peut pas se fair e
avec un r esponsable communication ou un
suppor t client standar d. Il faut une per sonne
compétente en sécur ité infor matique, avec un
pouvoir de décision ou au moins des capacités
d’escalades appr opr iées. Il faut ensuite gar der
contact avec l’exper t et le tenir infor mé de
l’avancement sur la cor r ection des
vulnér abilités. Cer taines entr eprises
comme M icr osoft ou Google vont même jusqu’à
offr ir des r écompenses pour ce genr e de
ser vices, ce qui est selon moi une tr ès bonne
appr oche.
Le "responsible disclosure" est un vér itable
cadeau fait aux entr epr ises. La conscience et
l’éthique ne devr aient pas êtr e les seules
motivations disponibles, la r econnaissance,
financièr e ou publique, devr ait à minima êtr e de
la par tie. Sans cette r econnaissance, et avec
l’impor tance cr oissante des outils de « cyber
guer r e », cet acte de char ité se fer a de plus en
plus r ar e. L’éthique ser a sacr ifiée au pr ofit d’une
vente juteuse du 0 -day en question, ou d’un
débauchage par des pr ofessionnels du milieu.
5. OUT-OF-THE-BOX
L'adoption de la Loi de programmation
militaire en décembr e 2 0 1 3 a été
l'occasion d'un mouvement de
contestation en r aison des gr ands
pouvoir s qu'elle confèr e aux ser vices de
r enseignement dans la collecte de
métadatas. Ces dispositions existaient
déjà aupar avant, mais uniquement pour
1
lutter contre le ter rorisme . En r éalité,
ces métadatas sont bien plus
per sonnelles que celles habituellement
désignées par ce ter me. Leur collecte
massive per met de r etr acer l'ensemble
de l'activité d'un individu, sauf à ce que
celui-ci s'inter dise totalement l'usage de
tout moyen de communication
électr onique.
L'ar ticle 1 3 devenu l'ar ticle 2 0 pose des
pr oblèmes de compatibilité jur idique avec
les pr incipes de liber té d'expr ession, de
liber té de pensée et de liber té politique.
Le Conseil constitutionnel a en effet
affir mé en juin 2 0 0 9 le pr incipe de la
liber té de communication, "condition de
2
la démocratie" . Cette liber té peut êtr e
limitée par la loi, mais dans une mesur e
str ictement nécessaire à la pr éser vation
de l'intér êt génér al. Or la possibilité
d'êtr e soumis à des inter ceptions de
sécur ité sans aucune gar antie est de
natur e à conduir e le citoyen à
s'autocensurer et donc indir ectement
mais tr ès effectivement, entr ave la
liber té politique.
Tout le pr oblème est donc d'assur er
l'effectivité des liber tés publiques par
l'instaur ation de mécanismes de contr ôle
LA COLLECTE DE METADATA :
VERS LE BUG JURIDIQUE ?
sur l'action des ser vices de
r enseignement. De la même façon que
le dr oit des données per sonnelles
confèr e aux per sonnes visées par une
collecte de données per sonnelles le dr oit
d'en êtr e infor mées, le droit des
interceptions de sécurité devrait assurer
l'information a posteriori des intéressés,
seul moyen d'assur er l'effectivité d'un
contr ôle par la possibilité de saisir un
3
juge des éventuels manquements .
L'impér atif démocr atique du contr ôle des
ser vices de r enseignement et de police a
déjà été souligné par nombr es
d'or ganisations inter nationales et
constitue la condition sine qua non de la
légitimité de leur action.
Quel r esponsable pr endr ait la
r esponsabilité de solliciter une
investigation dans un but indéfendable s'il
sait qu'a poster ior i, l'ensemble de la
pr océdur e fer a l'objet d'un contrôle ?
Ces règles feront également toute la
différence entre les services de l'Etat et
les diverses agences de renseignement
privées agissant en dehor s de toute
légalité et à des fins inavouables.
La LPM aur ait d'ailleur s pu ajouter par mi
les objectifs assignés aux différ ents
ser vices leur ouvr ant le dr oit de r ecourir
à des moyens d'investigation r enforcés,
la lutte contr e ce que d'autr es dr oits
eur opéens qualifient de "service de
4
renseignement prohibé ", qu'il s'agisse
de bar bouzes pr ivés (affair e IKEA) ou de
ser vices étr angers inter venant sur notr e
ter r itoir e (NSA).
De plus, l'infor mation et la vér ification
des données et de leur analyse par les
intér essés et/ ou par le juge per mettr a
d'apur er les STAD (ndlr: Système de
traitement automatisé des données) des
infor mations inexactes. Différ ents cas
ont en effet montr é que la collecte
abusive et massive de données
per sonnelles ne pr ésentait en r éalité
aucun intér êt en r aison de for t taux
d'er r eurs qu'elle impliquait et du tr avail
de vér ification nécessaire pour les
5
exploiter utilement .
Par Eve M atringe,
Docteure en dr oit, titulair e du CAPA
@Evematringe
1 . Ar t. L. 3 4 -1 -1 du code des postes et des
communications électr oniques.
2 . Cons. Constit., DC n°2 0 0 9 -5 8 0 du 1 0 juin 2 0 0 9
et DC n°8 4 -1 8 1 du 1 1 octobre 1 9 8 4 . Lamy dr oit de
l'immatér iel, Code annoté 2 0 1 0 , p. 5 et s.
3 . Le contr ôle assur é par la CNIS est actuellement
par faitement théor ique, tant les moyens employés que
les per sonnes en char ge de sa r éalisation sont faibles
au r egar d du nombr e d'inter ceptions à contr ôler et du
manque d'indépendance vis-à-vis du pouvoir politique.
4 . Ér ic Denécé, L’éthique dans les activités de
renseignement, Revue fr ançaise d'administr ation
publique 2 0 1 1 / 4 (n° 1 4 0 ), pp. 7 0 7 -7 2 2 .
5 . Jean-Paul Br odeur , Le renseignement : distinctions
préliminaires, Canadian Jour nal of Cr iminologie and
Cr iminal Justice, 4 7 (1 ), pp. 1 5 –4 3 , Janvier 2 0 0 5 .
Pour aller plus loin….
Si vous avez loupé le coche et que vous ne savez pas ce qu’est
la LPM , ces quelques liens pour vous r emettre à jour vous
per mettront de vous for ger une idée sur le sujet en
complétant, sans r emplacer, l’excellente analyse de notr e
jur iste :
• La ver sion finale de la Loi de Pr ogr ammation M ilitair e
• Le site officiel du Sénat
• L’ar ticle 1 3 est-il plus danger eux pour Inter net que les lois
existantes?
• Big Br other ou big bazar ? Le pr ojet de loi de
pr ogr ammation militair e fait contr overse
• Tout ce que vous avez toujours voulu savoir sur la # LPM et
que vous avez été nombr eux à me demander
War R@M -Janvier 2014
5
En outr e, ce mois-ci, le livr e « Loi et Internet » de Fabrice M attatia
est sor ti dans la pr esse. Cet ouvr age de r éfér ence vulgar ise pour
tout inter naute le cadr e jur idique de la publication et de l’utilisation
des contenus sur Inter net. Un indispensable!
Loi et Internet
Un petit guide civique et jur idique
Auteur(s) : Fabr ice M attatia
Editeur (s) : Eyr olles
Collection : Connectez-moi !
Nombr e de pages : 2 3 2 pages
Date de par ution : 0 9 / 0 1 / 2 0 1 4
EAN1 3 : 9 7 8 2 2 1 2 1 3 7 1 6 3
6. PIMP MY OPSEC
L’AFFAIRE SNAPCHAT
Comme toute application de star tup qui
se r especte, le développement de
SnapChat a été fait le plus r apidement
possible et n’a sûr ement pas bénéficié
d’une r evue sécur ité par des
spécialistes.
Un gr oupe d’étudiants passionnés,
r éunis sous le nom GibsonSec, a
décor tiqué l’API de l’application. Ils ont
tr ouvé de nombr euses faiblesses et les
ont gr acieusement four nies en pr ivé à
Snapchat. Ils sont même allés jusqu’à
postuler à une offr e d’emploi de la
Star tup pour les aider à cor r iger leur s
vulnér abilités.
Ça, c’était début juillet. En août,
GibsonSec commence à s’agacer de
l’inaction de Snapchat, qui qualifie
l’attaque de « théorique ». Le gr oupe
four nie alor s un pr emier aver tissement
par le biais d’une communication
publique. Cette communication met en
évidence les vulnér abilités sans four nir
suffisamment d’infor mation pour les
r endr e exploitables.
Quatr e mois plus tar d, toujours aucune
r éaction de la par t de Snapchat.
GibsonSec cr aque et passe au « full
disclosure ». (Voir notre article sur le
"full disclosure" en page 2 )
Le script« find_friends » (retranscrit incomplètement ci-dessus) permet à un cracker d’accéder
entièrement aux données personnelles d’un utilisateur, même en mode privé.
La nouvelle fait un peu de br uit,
Snapchat « noie le poisson » peu de
temps après en sous entendant que le
pr oblème est mitigé.
Les mesur es pr ises sont totalement
insuffisantes, et pour fêter la nouvelle
année un gr oupe d’individus utilise les
infor mations four nies par GibsonSec et
met en ligne sur snapchatdb.info une
base de données de 4 .6 millions de
noms de comptes Snapchat associés au
numér o de téléphone de l’utilisateur .
Les deux der nier s chiffr es du numér o
de téléphones sont r etir és, mais la
ver sion non censur ée est disponible sur
simple demande. De plus à ma
connaissance la faille est toujours
exploitable, par conséquent n’impor te
qui peut obtenir les mêmes r ésultats.
Des per sonnes r evendiquant la
diffusion ont communiqué aupr ès des
médias les r aisons de cette divulgation.
"La motivation de cette release était de
sensibiliser les utilisateurs à la gr avité
de la vulnér abilité, ainsi que de mettr e
la pr ession sur Snapchat pour qu’il la
cor r ige. La sécur ité est aussi
impor tante que l’expér ience utilisateur ."
Snapchat a enfin r éagi, confir mé que ça
leur passait au dessus, et pr omis une
mise à jour qui ne semble pas cor r iger
le cœur du pr oblème. Le tout en ayant
le culot de demander aux exper ts
sécur ité de les contacter à l’avenir .
(Entr e temps, SnapChat a annoncé un
cor r ectif de sécur ité… qui a déjà été
contour né, en moins de 3 0 mn).
Par M organ Hotonnier
Ingénieur spécialisé SSI
@morganhotonnier
Appel à contributeurs
Cette newsletter mensuelle s’adr esse à
une communauté ciblée et est
construite sur un modèle collaboratif,
s’inspir ant d’une démar che open source
et dans le souci d’un par tage de
connaissances.
De fait, elle vit et s’enr ichit de ses
contr ibuteurs, pour la plupar t des
exper ts dans leur s domaines r espectifs,
et de fait nous sommes toujours à la
r echerche d’appor ts.
Si publier par notr e biais vous intér esse,
n’hésitez pas à vous adr esser à nous à
contacter pour en discuter plus en
détails.
Cor dialement,
La Rédaction
W ar R@M vous est pr oposée le der nier vendr edi de chaque mois et
est disponible en ligne. C’est une publication libre, vous pouvez donc
la par tager sans r éserves, à condition de r especter la pr opr iété
Suivez notr e actualité sur notr e compte SlideShar e:
intellectuelle des per sonnes qui y publient .
http:/ / fr .slideshare.net/ W arRam