Attention: pour profiter au maximum du contenu de la War R@m, un téléchargement est nécessaire. En effet, du fait de sa politique de partage, SlideShare bloque les liens des 3 premières pages.
War Ram est une lettre d’information mensuelle, consacrée aux thématiques de cyberdéfense et de cybersécurité, ainsi qu’aux infrastructures (OIV, data centers…) qui sous-tendent le cyberespace. Cette publication est également disponible en ligne via le Slide Share (War Ram).
1. Le Galaxy S5: la biométrie piratée
L’utilisation de la biométrie dans le cadre de la sécurité
des infrastructures IT fait encore rage chez les
professionnels; sa mise à disposition pour le grand public
suscite une polémique plus grande encore.
Ainsi, le Galaxy S5 a cédé, tout comme l’iPhone avant lui.
Plus inquiétant, le moule d’empreinte utilisé est le même
que celui ayant servi pour hacker l’iPhone. En outre, le
mécanisme permet d’accéder à d’autres applications
comme PayPal… et de faire des transactions!
Heureusement, des alternatives de smartphones
sécurisés émergent, petit à petit.
La vidéo du mois
Pour pas grand-chose?
C’est la question qu’on est en droit de se poser face au déluge
extravagant d’informations catastrophées sur la sécurité
informatique.
D’un côté, il faut se réjouir que l’appareil médiatico-politique se soit
(enfin!) saisi des questions de cybersécurité.
D’autre part, on ne peut que regretter les discours de postures,
les cries d’orfraie, les raccourcis rapides qui sapent plus qu’ils ne
confortent une posture de cyberdéfense pertinente – tout en
alimentant, dans un effet pervers, une sorte de complexe militaro-
industriel qui ne dit pas son nom.
Le cas Heartbleed est sans nul doute l’un des plus symptomatiques
de cet emballement comme le montre James Andrews Lewis,
chercheur au CSIS pour Out-Of-The-Box cette semaine.
Il y a pourtant des marges d’amélioration pour une cybersécurité
réelle et pérenne de nos infrastructures: celle-ci passe, comme le
montre la tribune de Stéphane Leroy pour les Experts, aussi par la
protection des pendants physiques de l’Internet.
Enfin, notre contributeur Thierry Berthier de Cyberland attirera
l’attention sur les communications satellites ou SATCOM, souvent
oubliées et pourtant extrêmement vulnérables. Notre contributeur
expliquera en quoi pour Pimp My Opsec.
Et toujours, notre veille mensuelle 360°, qui se concentre sur
l’Ukraine, Open SSL, les Neurogrid et les mésaventures de Google
en Europe qui créent un précédent bienvenu.
Dans cette RAM de mai, puissiez-vous trouver, à rebours des
informations affolantes, un éclairage pertinent pour permettre à
chacun de s’orienter dans la bonne direction afin d’éviter les pièges
de la précipitation et de la panique.
Afin d’éviter que, comme disait Césaire, « le fouet dispute au
bombillement des mouches la rosée sucrée de nos plaies ».
Bonne lecture.
L’E-DITO
Sommaire
Les gros titres
THE WAR R@M
L’Edito
360°
Les Experts
Out-of-the-Box
Pimp my Opsec
#OpenSSL
#Ukraine
#Google
#DataCenters
#SATCOM
#HeartBleed
• Retrouvez aussi nos publications sur notre Slideshare.net/ W arRam
• Envie d’en savoir plus? Contactez-nous: redaction.warram@aim.com
• Les contributeurs associés à ce numéro, pour leur contribution et leur soutien, visible ou
invisible: James Andrew Lewis, Thierry Berthier, @lrcyber, @00x0info @Mduqn
BEAUCOUP DE BRUIT…
FOLLOW THE W HITE RABBIT
Mai 2014
2. 360°
2
Mai 2014
Cybersécurité & Entreprises
Un malware sous Android déjoue la double
authentification
Un malware plutôt élaboré menace depuis peu les
utilisateurs de Facebook qui consultent également
leurs banques sur leurs mobiles.
Après avoir diffusé un message faisant état de
plusieurs connexions frauduleuses à Facebook
mobile, l’utilisateur est ensuite invité à télécharger
une application générant des soi-disant codes de
sécurité à usage unique.
En acceptant cette option, l’utilisateur télécharge
une sorte de RAT (Remote Access Trojan) qui
récupère toutes les données de connexion utilisées
lors des processus de double authentification
d’applications bancaires.
Les menaces pesant sur les mobiles concernent
un utilisateur sur deux en France, rappelant si
besoin est de la nécessité de smartphones
sécurisés dans les entreprises françaises et de
comportements responsables des usagers.
La correction du bug Heartbleed
a-t-elle fait pis que mieux?
Panique et précipitation sont les
ennemis du programmeur en cas de
bug majeur.
Le cas Heartbleed l’illustre bien
puisqu’il semblerait que des
administrateurs auraient introduit le
bug le plus médiatique du moment sur
certains serveurs, confondant les
bonne et mauvaise versions dans la
foulée.
C’est le cas des sites de Vivaldi
Technologies qui, auparavant
épargnés, se sont retrouvés
confrontés au bug après une mise à
jour. La piste semble mener vers une
erreur humaine, bien qu’il ne soit pas
exclu que les premières analyses
n’aient pas repéré Heartbleed dès le
départ.
Quand le mieux devient l’ennemi du
bien…
Les APT sont-elles devenues la
norme?
Les Advanced Persistent Threats, soit
les attaques informatiques avancées,
seraient devenues la norme, selon
une étude de l’expert en sécurité
informatique W ebsense.
Si la part de médiatisation de cette
affirmation, visant sans doute à
alimenter le complexe militaro-
industriel qui fait petit à petit loi dans
le cyberespace, n’est pas à oublier, il
est indéniable que les cyberattaques
se sont largement peaufinées.
L’achat ou la location de malwares, la
diffusion des code-source ou la vente
d’exploits, via des circuits
cybercriminels parallèles, a permis
une montée en puissance des pirates
qui fait écho à l’explosion du marché
cybercriminel (cf 360°, W ar Ram avril
2014).
L’éude complète est disponible via le
lien ci-dessous :
http:/ / www.websense.com/ content
/ websense-2014-threat-
report.aspx?cmpid=prnr4.3.14
LES ATTAQUES DDOS DANS LE MONDE
Si la nécessité de protéger votre entreprise des attaques DDoS ne vous avait pas encore effleuré l’esprit, la carte ci-
dessus, représentant les attaques par déni de service dans le monde, pourrait bien vous faire changer d’avis. Produite
par Google et Arbor Networks, vous pourrez la trouver à cette adresse: http:/ / www.digitalattackmap.com
Mauvais score pour FireEye et
AhnLab
Voilà bien une publicité dont FireEye et
AhnLab se seraient bien passés. Les
géants de la cybersécurité ont
récemment obtenu un score « en
dessous de la moyenne » en ce qui
concerne leur système de détection
d’attaques.
Le test, conduit par NSS Labs, s’est
conclu par un « avertissement » aux
entreprises envisageant l’achat d’un
produit FireEye.
FireEye a vite répliqué en déclarant
que le test ne témoignait en rien de
l’efficacité véritable de ses produits.
La discussion NSS Labs et la
compagnie leader du marché a
d’ailleurs donné lieu à des échanges
plutôt houleux sur la toile et les
réseaux sociaux.
3. 360°
3
Mai 2014
L’Anssi va obliger les OIV à
mieux se protéger
Pour préserver la France d’une
cyberattaque potentiellement
ravageuse, l’Anssi va bientôt se doter
d’outils législatifs pour forcer les
opérateurs d’importance vitale à se
mettre aux normes.
La nouvelle a déclenché des réactions
mitigées de la part de certains
industriels qui y voient une
augmentation des coûts. Guillaume
Poupard, le nouveau chef de l’Anssi, se
veut rassurant en rappelant que les
points aboutissant à une mise au norme
devront être facilement « applicables »
pour être respectés.
La complexité du sujet risque
néanmoins d’en effrayer plus d’un, et il
n’est pas exclu que des spécialistes des
systèmes d’information critiques comme
Bull, Thalès ou Sogeti (Capgemini) ne se
saisissent de ce qui pourrait être un
marché potentiel.
L’Iran passe à l’offensive: le groupe Ajax sort
de l’ombre
Ajax Security Team est le nom d’un groupe de pirates
iraniens qui élaborent des malwares dans le but de
voler des données confidentielles d’entreprises
américaines.
Selon FireEye qui a révélé cette information, le groupe
Ajax aurait été fondé par deux pirates, "Hurr!c4nE!" Et
"Cair3x", et a déjà été à l’origine de piratages de
grande ampleur. Ajax aurait touché des entreprises de
la défense américaine et dérobé des secrets
industriels, mais aucun nom n’a été cité.
Cet épisode n’est pas sans rappeler une supposée
attaque touchant le secteur français de la défense, et
souligne la pertinence du renforcement des politiques
de cybersécurité des OIV voulu par l’Anssi.
La Belgique suspecte la Russie d’avoir
espionné ses réseaux
Les renseignements belges auraient déterminé que le
Ministère des affaires étrangères a été infecté par le
malware Ouroboros, que l’on suspecte d’être russe
d’origine.
La cible des pirates serait selon toute probabilité des
câbles diplomatiques traitant de la situation en
Ukraine.
Open SSL doit-il disparaître?
La faille Heartbleed relance le débat sur
l’avenir d’OpenSSL.
Pour JD Sherry de Trend Micro, il faut
envisager de récompenser les
développeurs talentueux qui partiraient
à la chasse au bug.
Cette pratique du Bug Bounty qui est
déjà répandue chez les GAFA est un
aveu bienvenue que la sécurité absolue
n’existe pas.
Poul-Henning Kamp de FreeBSD appelle
sans ménagement à la mort d’OpenSSL,
devenu obsolète, inutilement complexe,
voire trompeur. Le vrai danger réside
aussi dans le fait que puisqu’OpenSSL
sert de modèle à beaucoup de
programmes de chiffrement, une faille
touchant le programme se répercute
ailleurs.
Quant à l’éditorialiste et développeur
Kode Vicious d’ACM Queue, il semble
avoir trouvé un compromis. Sans
abandonner l’Open Source, il préconise
une API plus simple d’utilisation pour
éviter les erreurs, et une flexibilité qui
permettrait de changer rapidement et
simplement d’API en cas de bug
majeur.Menaces avancées: la France
gravement touchée en Europe
La compagnie FireEye s’est concentrée
sur les cyberattaques utilisant les APT
(qu’elle définit comme des cyber
attaques contournant les défenses
traditionnelles que sont les pare-feu, les
IPS, les anti-virus…).
Le géant de la cybersécurité a pu
démontrer que la France, l’Angleterre,
la Suisse et l’Allemagne étaient
largement touchées (71% des
infections détectées sur le continent
concernent ces pays).
En outre, la France est avec le
Royaume-Uni le pays qui compte le plus
de secteurs touchées par ces attaques
avancées.
Ref:
http:/ / www.fireeye.com/ fr/ fr/ news-
events/ press-releases/ read/ rapport-
europeen-atr-de-fireeye-la-france-est-le-
pays-europeen-ou-lon-compte-le-plus-de-
secteurs-touches-par-les-attaques-
avancees
Chasse aux hackers en Ukraine
Alors que les fuites relatives au conflit
ukrainien pullulent de façon plus ou
moins opportune (on pense notamment
à ce câble diplomatique américain
publié par W ikileaks dévoilant les
secrets de la position américaine), les
pirates, qu’ils soient civils, militaires ou
instrumentalisés, deviennent des cibles
de choix.
Le blog CyberW arNews, déjà connu
pour la diffusion de leaks précédents (cf
W ar Ram avril 2014), a été sous le
coup d’une enquête du département de
la justice américain pour sa
collaboration avec des pirates
prétendant appartenir au collectif
Anonymous Ukraine.
Ces derniers s'étaient récemment
occupés de faire fuiter massivement
des documents confidentiels « à la
Russe » (voir capture d’écran ci-contre),
ce qui laisse planer quelques doutes sur
un possible téléguidage du Kremlin.
Cyberdéfense
L’autoproclamée antenne Anonymous Ukraine a déclaré à
CyberW arNews qu’elle avait piraté le mail de Laurynas
Jonavicius, conseillère du Président lituanien.
Ces échanges démontreraient que Vitali Klitschko, homme
politique ukrainien et ancien boxeur, serait manipulé par les
puissances occidentales. L’article original comme les
documents ont depuis été supprimés.
4. Avenir du PC, les systèmes
neuromorphiques
Le cerveau est un ordinateur bien plus
puissant qu’un supercalculateur. S’inspirant
du cerveau humain, les chercheurs de
Stanford aspirent donc à greffer des
Neurocores sur des Neurogrids, c’est-à-dire
des processeurs maison valant 65.536
neurones greffés sur des PCB en « arbre ».
Si le résultat en termes d’opérations
calculées est très prometteur, le gouffre
énergétique représenté par l’utilisation des
Neurogrids balance l’impact de la
découverte..
360°
4
Mai 2014
Google se fait retoquer en Europe
La Cour européenne de justice, à rebours de
l’avis de l’avocat général, a conclu que Google
était responsable du traitement des données
personnelles qu’il collecte.
Concrètement, cela signifie qu’un utilisateur
pourra sous certaines conditions obtenir la
suppression des liens vers des pages Internet
le concernant. Pour ce faire, la recherche doit
concerner ses nom et prénom et des raisons
particulières justifiant d’un intérêt prépondérant
du public à avoir accès à cette information
doivent exister.
La nouvelle donne un peu plus de droit au
citoyen lambda, la formule reste néanmoins
floue et avant qu’elle ne soit applicable, il faudra
certainement attendre plusieurs procès qui
feront jurisprudence.
Parallèlement, Google s’est aussi fait retoquer
par la CNIL allemande sur sa politique de
données personnelles, une pomme de discorde
récurrente avec l’Europe.
Le géant américain a ainsi été condamné à
changer sa politique qui lui permet de fusionner
les données de plus de soixante services à
partir du seul compte Gmail, permettant un
profilage jugé intrusif par la CNIL.
L’Intelligence Artificielle, la
prochaine bataille des réseaux
sociaux
Un rapport de Business Intelligence montre
que l’avenir des réseaux sociaux passera
par l’intelligence artificielle.
Des géants comme Google, Facebook,
LinkedIn ou Pinterest ont déjà acquis des
compagnies spécialisées dans l’intelligence
artificielle, la reconnaissance faciale, vocale
ou le traitement sémantique des données.
L’objectif avoué : exploiter la masse de
données créée tous les jours par les
utilisateurs.
Un nouvel algorithme entend
"secouer la cryptographie"
Le problème du logarithme discret, un
des "graals" de la théorie
algorithmique utilisé dans la
cryptographie des services
informatiques, a été résolu en partie
par des chercheurs français du
Laboratoire lorrain de recherches en
informatique.
La sécurité d’une variante complexe
de ce logarithme discret a été mise à
mal par un algorithme élaboré par les
chercheurs du laboratoire.
L’impact pour la cryptographie est
réelle et pour la cybersécurité
également, puisque cela permet en
théorie d’amoindrir la défense de
certains systèmes.
Les résultats des recherches et
l’algorithme des chercheurs seront
présentés lors de la conférence
internationale Eurocrypt 2014 qui se
tiendra à Copenhague jusqu’au 15
mai.
Null CTRL, cette enquête qui met la
pression sur les objets connectés
Bien que les objets connectés restent porteurs
de croissance à court et moyen terme, ces
derniers suscitent néanmoins des inquiétudes
quant à la sécurité des données privées et à la
faible protection contre le piratage de ces
appareils.
Null CTRL, une enquête réalisée par des
journalistes norvégiens démontre qu’il n’est pas
nécessaire d’avoir des compétences
informatiques poussées pour pirater des objets
connectés.
La preuve étant, plusieurs milliers d’entre eux
étaient accessibles sans mot de passe et
faciles à trouver grâce au moteur spécialisé
Shodan.
L’incident, très grave, démontre que le rôle de
l’Etat dans le renforcement des mesures les
plus basiques de cybersécurité devient une
priorité.
Cyberculture
Le Neurogrid, créé par le chercheur Kwabena Boahen de Stanford, peut simuler plus d’un millions de neurones
et un milliard de connexions de synapses. Cette découverte pourrait surtout être utile à la robotique, avec
l’intégration de Neurogrids dans des prothèses de membres pour aider aux opérations complexes.
Vous pouvez consulter plus en détails les informations sur cette invention ici:
https:/ / www.youtube.com/ watch?v=D3T1tiVcRDs
5. INTERNET, ARCHITECTURES DU WEB ET
ENJEUX DE PUISSANCE
5
Mai 2014
Dans « La Cité des Permutants », l’auteur
australien Greg Egan décrit un monde futuriste
où l’immortalité est rendue possible grâce à une
technologie sauvegardant entièrement notre
configuration neuronale à l’intérieur d’un monde
virtuel – atteignant, de fait, une sorte
d’"immortalité". Mais l’éternité a un tribut : la
survie de leur copie dépend du support
informatique et des infrastructures réelles.
On pourrait longuement débattre de ce livre (qui
va en réalité bien plus loin que ce simple
postulat), mais l’argument fait sens. Les
infrastructures du Net sont la colonne
vertébrale sur lequel s’articule le colosse virtuel
que forme « l’Internet ».
A l’occasion de l’annonce du Plan Cyber français
et à la faveur des révélations polémiques
d’Edward Snowden, l’attention s’est reportée sur
ces infrastructures sensibles (les Data Centers,
les câbles sous-marins et les supercalculateurs)
et l’intérêt stratégique qu’elles représentent.
A l’origine de termes aussi forts que "cloud
souverain" ou "gouvernance de l’internet", on
retrouve la question de technologies physiques
dont le développement et la pérennisation sont
d’une importance capitale.
LES EXPERTS
Stéphane Leroy, de la W ar R@m, a eu la chance
de pouvoir publier un guest post chez Charles
Bwele, le fameux tenancier d’Electrosophere et
membre fondateur de l’Alliance Géostratégique.
Un article que l’on vous propose dans la RAM de
mai.
Les data centers, futurs coffre-
fort numériques ?
La question de la maîtrise des
données personnelles par le biais
de data centers a déjà été posée
par Dilma Rousseff. En revanche,
celle de son application technique
est plus contestable quand on sait à
quel point les données personnelles
(et le cloud) peuvent rebondir d’un
data center à un autre au niveau
planétaire.
Choisir de conserver la mainmise
sur ses données, toutes ses
données, est utopique. A l’heure
actuelle, la copie et
l’industrialisation de la copie font
que le cloisonnement à l’échelle des
données d’un pays révèle du secret
des anges. De même que le projet
d’un « Internet européen » ou autre
vœu pieu : créer une autarcie
numérique est un doux rêve dont
certains devraient se départir.
En revanche, il est possible
d’assurer la protection des données
sensibles via des data centers
dédiés, dans un pays où les
conditions géopolitiques sont
stables, les avancements
technologiques suffisantes et le
tissu juridique protecteur.
Certains États peuvent très vite
réutiliser ces éléments pour devenir
des paradis à data, à l’image de la
Suisse qui se redirige vers la
sécurisation des données
dématérialisées. Pour un pays,
devenir un coffre-fort numérique
peut représenter un avantage
géopolitique déterminant. Si, en
France, il est peu crédible que l’on
se dirige vers un dispositif aussi
cadenassé que le dispositif helvète,
le développement d’un maillage et
d’un Cloud relativement sécurisé est
une condition sine qua none du
développement des entreprises
tricolores sensibles.
En ce sens, elle constitue un enjeu
géopolitique et économique fort,
qu’il convient de soutenir en
privilégiant les acteurs nationaux et
en relevant le niveau des
prestataires de sécurité,
notamment pour bénéficier aux OIV.
Le récent risque de black out sur
l’Internet français démontre à quel
point cette architecture est à la fois
un facteur de puissance mais aussi
une cible de choix.
La Loi de Programmation Militaire
n’a d’ailleurs pas suffisamment
creusé la question essentielle des
standards de sécurité [1], mais
l’ANSSI viendra certainement jouer
les régulateurs sur ce point.
(Suite p. 6)
La Présidente brésilienne Dilma Rhousseff a finalement fait volte-face et abandonné
l’idée de data centers locaux, face à la fronde conjointe des experts, analystes et
compagnies qui critiquaient l’inutilité d’une telle décision.
Comme nous le soulignions déjà dans la RAM d’avril, la possibilité d’un trou noir
(soit une coupure brutale d’Internet), pourrait subvenir aux Etats-Unis à la suite
d’attaques sur les infrastructures sensibles, comme les centrales électriques(ci-
haut, en photo). Il suffirait de 9 destructions de centrales pour plonger le pays
dans le black-out pour 3 ans, selon un rapport publié par le gouvernement
américain.
6. 6
Mai 2014
Câbles sous-marins et
supercalculateurs: vitesse et
puissance des infrastructures
Parallèlement, la France a un
ascendant technologique net dans deux
domaines : les câbles sous-marins
(Alcatel-Lucent) et les
supercalculateurs (Bull).
Les premiers ont gagné une notoriété
imprévue à l’occasion de l’affaire
Snowden, pour leurs liens avérés avec
la surveillance des réseaux. Pour
autant, disposer de la technologie
permettant la pose, l’entretien et la
sollicitation des câbles, clef de voûte du
cyber espace, demeure une activité
stratégique car elle revient à contrôler
ses lignes de communication, un
facteur essentiel de la stratégie de
puissance (si l’on accepte l’analogie
avec les théories navales de l’amiral
Corbett [2]). Le projet de Dilma
Rousseff aurait-il été possible sans
cette technologie ? La réponse est
clairement non – bien que là encore, la
faisabilité du projet en soi fait débat.
Parallèlement, les supercalculateurs
sont moins connus, mais appartiennent
à ces technologies en avance sur leur
temps et potentiellement
déterminantes. Un supercalculateur,
c’est un ordinateur capable d’effectuer
en quelques secondes des opérations
qui nécessiteraient 150 ans à un
ordinateur classique. La France est la
première en Europe pour ces
technologies, mais la course au niveau
mondial est acharnée.
Pourtant, les questions de Big Data et
de Cloud sont inéluctablement liées à la
puissance de calcul, et si l’on part du
principe, très galvaudé mais qui tient
une part de vérité, que la data sera le
pétrole de ce siècle, il faut des
supercalculateurs. Sur ce point, il faut
admettre que l’État a pris la mesure de
l’importance stratégique de ces
derniers [3].
SUITE ARTICLE P.5
Pourquoi il importe de conserver
et pérenniser ses savoirs ?
L’actualité récente a démontré
l’importance de conserver des
technologies souveraines ou, à défaut,
de remplacer ces dernières par des
technologies open source (encore une
fois, cette solution de rechange est
sous-exploitée…). L’omniprésence des
GAFA et l’hégémonie de Microsoft
dans les systèmes d’exploitation
sapent encore la conduite d’opérations
sensibles et la protection des données
des entreprises, premières victimes
de l’espionnage industriel étatique (je
n’évoque pas ici à dessein la
surveillance des citoyens, car
l’espionnage de la tentaculaire NSA a
moins comme objectif de connaître
Madame Michu que de piller les
secrets technologiques).
Il devient déterminant pour nous de
pouvoir dire que l’on « sait faire ». Il
est impossible de revenir en arrière.
On ne peut pas récrire l’histoire. Mais
tout comme nous possédons des
avions de chasse, des sous-marins
nucléaires ou des unités spécialisées
comme le GIGN, il faut cultiver nos
savoir-faire dans le cyber, car dans dix
ans il sera trop tard.
A l’heure de services liant réalité et
cyberespace comme les technologies
de Machine to Machine ou le Cloud et
de vers informatiques capables de
détruire des centrifugeuses, on sait
désormais que le « réel » et le
« virtuel » ne sont plus deux mondes
dissociés.
Le numérique change profondément
tous les aspects de notre vie : une
déclaration sous forme de lapalissade
qui rendrait notre inaction que plus
dommageable.
Par Stéphane Leroy
@LRCyber
Source:
[1]« OIV : Protéger les Opérateurs d’Importance
Vitale : une ambition nationale », Mag Securs n°41 –
1er trimestre 2014
[2] Lire aussi « Mahan and Corbett on Maritime
Strategy », O’Lavin, Brian, Naval W ar College, 2009
[3] Rapport gouvernemental sur la France en 2020
Ci-haut, une carte des câbles sous-marins européens, réalisée par la société d’études
TeleGeography. Ces derniers sont les “artères” de l’Internet mondial, et leur importance fait que
Internet ne peut quasiment jamais “tomber”. Notez par ailleurs comment le Royaume-Uni est
devenu le point nodal en Europe des câbles sous-marins.
7. 7
Mai 2014
Les agences de renseignement
s’intéressent au SSL, mais pas dans le but
de pirater vos comptes Amazon ou eBay.
Après 2001, des groupes comme Al
Quaida ont développé des techniques pour
échapper à la surveillance sur le net. L’une
de cette technique consistait à utiliser des
VPN (Réseaux Privés Virtuels). Certains
VPN utilisent Open SSL.
Etre capable de pénétrer un VPN
représente pour tout service de
renseignement majeur un intérêt indéniable
et on peut logiquement s’imaginer que de
nombreux VPN ont été piratés, pas juste
par la grande méchante NSA, mais par
d’autres pays disposant également de
capacités solides en cyberdéfense et en
techniques de chiffrement. De la même
manière que des pirates peuvent exploiter
un code source, les agences de
renseignement en font de même.
Si certaines personnes ont choisi de casser
le SSL, ils l’ont fait après 2002 et avant
2010, ce qui suppose que Heartbleed n’a
rien de nouveau et n’est certainement pas
synonyme de fin du monde.
Allez-y, changez vos mots de passe si cela
vous rassure, mais le recours à ces
derniers comme moyens de protection a
échoué il y a des années de cela. Les
autorités des marchés financiers
précisaient déjà en 2005 que les banques
devaient arrêter de se reposer sur
l’utilisation de mots de passe, et la plupart
des établissements ont adopté la double
authentification (le mot de passe couplé à
un code numérique envoyé par la banque).
Se reposer uniquement sur les mots de
passe pour sa sécurité est simplement
risible.
Il y a aussi eu des cris d’orfraie quant au
fait que la NSA connaissait ou non la faille
Heartbleed, et sur le fait que cette dernière
n’aurait pas communiqué sur le sujet. La
Maison Blanche et l’agence de
renseignement ont fermement démenti ces
accusations. Un démenti aussi ferme est
inhabituel et laisse à penser que la NSA n’a
pas gardé Heartbleed secrète.
Certes, l’agence de renseignement trouve
ou achète des vulnérabilités dans un
programme (il y en a tant) et elle prévient
aussi l’entreprise qui produit ce programme
– mais pas toujours, et pas
immédiatement.
(Suite p.8)
OUT-OF-THE-BOX
La découverte de Heartbleed, du nom de
cette vulnérabilité dans Open SSL, un
protocole grand public de chiffrement,
vient compléter une longue liste
d’histoires toutes plus ridicules que les
autres sur la cybersécurité.
Il y a une vraie question qu’il faut se
poser. L’erreur de programmation a été
réalisée il y a plus de deux ans. Depuis, il
y a plus d’une dizaine d’attaques
majeures de sites web d’entreprises,
causant plus d’une centaine de millions
de dollars de pertes et dévoilant les
informations personnelles de centaines
de millions de consommateurs. A votre
avis, combien de ces attaques
impliquaient Heartbleed ?
Bravo si vous avez répondu zéro. Des
millions de données compromises et
aucune d’entre elles ont été obtenues à
cause de Heartbleed. Il s’agit du meilleur
indicateur de la dangerosité de la faille.
Pour prendre l’exemple le plus récent,
les personnes à l’origine du piratage de
Target ont utilisé quelque chose de plus
sophistiqué que Heartbleed.
Les cybercriminels sont des pirates qui
veulent se faire de l’argent, autant
d’argent que possible. Pour se faire une
idée de l’utilité de Heartbleed pour les
criminels, il suffit de faire un tour sur les
sites où ils échangent, où des millions de
données personnelles sont disponibles à
la vente. Heartbleed n’est qu’une
vulnérabilité parmi tant d’autres, et les
criminels ont de meilleurs moyens
d’extorquer de l’argent des entreprises.
Il y a de nombreuses étapes entre le
piratage et le retour sur investissement.
Les cybercriminels, pour la plupart des
professionnels, ont recours aux
techniques les plus efficaces. Il s’agit de
personnes qui cherchent à se faire des
millions de dollars. Elles prennent part à
des crimes d’ampleur industrielle, pas
au piratage au cas par cas de comptes
individuels.
A rebours des déclarations alarmistes sur le
bug Heartbleed, James Andrew Lewis,
chercheur pour le Center for Strategic and
International Studies, a publié une tribune
assassine sur ce qu’il qualifie de mauvais
mélodrame.
Avec sa permission, nous retranscrivons, en
français et sans altération, son point de vue.
Voler votre mot de passe, accéder à
votre compte, récupérer les
informations de votre carte de crédit,
trouver un moyen d’industrialiser ce
processus jusqu’à le réaliser des
centaines de milliers de fois et, enfin,
trouver un moyen pour finalement en
tirer profit est beaucoup trop
chronophage.
Heartbleed est une vulnérabilité dans
le protocole open source SSL. Le
code open-source (en termes
simples) est un « modèle »
représentant les instructions qui
doivent être exécutées pour arriver à
un programme comme le SSL.
L’accès au code-source est une étape
cruciale pour décrypter ou pirater un
programme. Puisque le code est open
source, n’importe qui, hackers ou
agences de renseignements, peut
l’obtenir.
L’open source ne permet pas un
piratage facile pour autant. Il fut un
temps où la vulnérabilité de celui-ci
faisait débat, alors que des
entreprises vendaient des
programmes privés en prétendant
que l’open source n’était pas fiable.
Ce temps est révolu. Les bénéfices
d’un logiciel open source l’emportent
largement sur les risques, même si
cela ne suppose pas que le risque est
devenu inexistant. Il y aura toujours un
programmeur pour faire une erreur,
et tout programme, libre, open
source ou propriétaire est sensible
aux « exploits ».
Open SSL ne fait pas exception à la
règle.
HEARTBLEED, QUAND LA
CYBERSÉCURITÉ FAIT DANS LE MÉLO
8. 8
Mai 2014
SUITE ARTICLE P.7
Bien qu’il soit à la mode et plutôt
commode d’accuser la NSA pour
tous les problèmes que connait
internet, ce n’est pas toujours
pertinent. Il y a un marché noir en
pleine expansion d’exploits, avec
de nombreuses compagnies et
des États comme clients. La NSA
mesure la menace que ces
risques posent pour la société et
la sécurité nationale, avant de
prendre la décision de notifier ou
pas la vulnérabilité aux
développeurs du programme
concerné.
De nombreuses compagnies
rapportent ainsi que la NSA (ou
une autre agence fédérale) les a
déjà alertés pour faire état d’une
faille dans leur produit. Nous ne
savons pas en revanche si chaque
faille est notifiée, et cela ne se fait
pas en fanfare parce que cela
donnerait un avantage aux
cybercriminels.
L’expression, péjorative et
inadéquate, « stocker des
vulnérabilités » est souvent
avancée pour donner du poids à
une cause politique. Le phrasé ne
décrit pas avec précision
comment les vulnérabilités sont
utilisées. On stocke des armes
nucléaires. On stocke des
missiles. Associer ce terme aux
"exploits" consiste à renvoyer une
image déformée et sinistre de la
réalité, ajoutant par là-même aux
opposants de la militarisation du
cyberespace une touche
émotionnelle à leurs arguments.
L’émotion ne doit pourtant pas
prendre le pas sur l’analyse.
Rappelons que l’origine du
cyberespace est militaire : il
s’agissait d’un projet du Ministère
de la défense américain, et la
Chine, la Russie et les Etats-Unis
ont commencé à développer des
outils militaires dès les années
90. Plusieurs autres Etats font
désormais de même. Parler d’un
cyberespace démilitarisé revient à
dire que si les Etats-Unis
abandonnaient les avions de
guerre, l’espace aérien mondial
deviendrait un havre de paix.
L’objectif a beau être noble, il n’en
demeure pas moins irréaliste et
inatteignable. Ceux qui savent
comment les vulnérabilités sont
utilisées pour créer des exploits
parlent d’ailleurs d’une
« bibliothèque d’ouvrages de
référence » plutôt que d’un « stock
de missiles », mais le terme est
loin d’être suffisamment menaçant
pour avoir un impact émotionnel.
Que le programme SSL puisse
être piraté n’a pourtant rien de
surprenant. Celui-ci a été créé en
1994 : malgré des améliorations
et des mises à jour, les pirates
ont eu tout le loisir de l’étudier.
SSL (et ses successeurs) ne sont
au final que des protocoles de
chiffrement de niveau moyen
principalement destinés au e-
commerce – des millions de
transactions à faible valeur
marchande.
La force du protocole SSL a été
de permettre aux personnes de se
lancer dans le commerce en ligne
tout en permettant un contrôle
relatif des risques. Heartbleed n’a
pas véritablement révolutionné cet
état de fait, comme l’absence de
piratages véritablement nocifs l’a
démontré. SSL n’a pas éliminé les
risques, il les a simplement
réduits à un niveau acceptable
pour les transactions individuelles.
Le piratage de Digi-Notar en
Septembre 2011 (probablement
par l’Iran) impliquait déjà une
brèche des certificats SSL. Il s’agit
là d’un « hack » autrement plus
sophistiqué que celui de
Heartbleed qui démontre que
cette dernière faille n’était
finalement pas la plus nuisible des
failles SSL, seulement la plus
médiatisée.
On peut toujours continuer à se fourvoyer en faisant de
Heartbleed une crise majeure. De sorte que si les pirates
amateurs du monde entier ignoraient tout des
vulnérabilités SSL, ce n’est plus le cas désormais. Les
« hackers » sont des gens curieux : la plupart seront
tentés d’essayer ce « hack » pour voir s’il fonctionne.
Si toute l’agitation autour de Heartbleed aboutit à une
amélioration du SSL, le progrès sera indéniable. Mais le
chemin sera long, et entre temps, il faudra s’attendre à
plus de bruit et plus de risques.
Par James Andrew Lewis
@Center for Strategic and International Studies. Tous
droits réservés.
http:/ / csis.org/ publication/ heartbleed-cybersecurity-
melodrama
9. VULNERABILITES SUR LE SYSTÈME
SATELLITAIRE SATCOM
9
Mai 2014
PIMP MY OPSEC
Lorsque l'attaquant parvient à prendre le
contrôle de périphériques physiques
SATCOM utilisés pour communiquer avec
les satellites en orbite, il est en mesure de
perturber le déroulement d'une opération
ou d'avoir accès à l'ensemble de
communications associées à la mission.
On les retrouve sur des navires, des avions
civils et militaires, des services d'urgence,
des grands médias télévisuels, de
nombreuses installations industrielles, des
plate-forme pétrolières ou gazières, des
réseaux de pipelines, des usines de
traitement d'eau, des centrales éoliennes,
des centres de télécommunication) la liste
est longue et concerne certaines
infrastructures critiques.
Des milliers de dispositifs SATCOM sont
concernés par cette alerte de sécurité.
Les vulnérabilités affectent les terminaux
suivants :
Harris BGAN
Hughes BGAN M2M
Cobham BGAN
Marine VSAT and FB
Cobham AVIATOR
Cobham GMDSS
Selon le journal Guardian, les fabricants
britanniques Cobham et Inmarsat, et
américains Harris Corporation, Hugues et
Iridium commercialisent des systèmes
SATCOM fragilisés par ces vulnérabilités.
L'étude menée par IOActive insiste sur le
terminal Harris RF-7800 B, offrant une
solution satellite haute performance en
voix et données à ses clients militaires qui
contient plusieurs vulnérabilités.
L'attaquant qui les exploite peut installer un
firmware malveillant ou exécuter du code
arbitraire sur le système. On imagine sans
peine les opportunités de
cybermanipulation ou de cybersubversion
accessibles à partir de ces faiblesses.
L'étude souligne également le cas d'avions
militaires américains équipés du système
SATCOM Cobham AVIATOR qui assure les
communications en vol de l'appareil.
Là encore, une cyberattaque sur le
système permettrait de perturber et de
compromettre les échanges et les ordres
durant le vol.
Des patchs correctifs sont en cours de
construction et seront systématiquement
proposés aux différents clients impactés
par ces défauts de sécurité préoccupants.
Par Thierry Berthier
Maître de conférences en mathématiques,
Professeur au sein d'un département
informatique universitaire
CyberLand
Les cyberattaques ne se limitent
plus aux infrastructures terrestres
et peuvent toucher aujourd'hui un
système de communication par
satellite comme SATCOM.
Les opérateurs satellitaires sont
alors confrontés à des défis de
sécurité croissants puisque leurs
installations jouent un rôle
stratégique dans les secteurs
militaires et civils.
Une société spécialisée en
cybersécurité (IOActive) vient de
publier une étude après la
découverte de plusieurs
vulnérabilités critiques affectant les
terminaux satellitaires SATCOM.
L'étude complète est disponible à
partir du lien ci-dessous (ndlr:
consultez la page suivante pour
obtenir la liste des vulnérabilités
découvertes par IOActive) :
http:/ / www.ioactive.com/ pdfs/ IO
Active_SATCOM_Security_W hitePap
er.pdf
Selon cette étude, les terminaux
SATCOM présentent des
informations d'identification codées
en dur, des protocoles de
connexions non sécurisés et des
Backdoor permettant de prendre le
contrôle du système. Lorsque l'on
sait que ce système satellitaire est
régulièrement utilisé par les
armées, les services
gouvernementaux et les grands
groupes industriels, on imagine
aisément les risques associés à ces
vulnérabilités.
En les exploitant, un attaquant
pourrait intercepter, manipuler ou
bloquer des communications
sensibles et, dans certaines
circonstances, prendre le contrôle
à distance de dispositifs liés aux
infrastructures SATCOM utilisés à
l'occasion d'opérations militaires.
Thierry Berthier, maître de
conférences en mathématiques et
propriétaire du blog Cyberland, revient
sur les vulnérabilités des
communications satellites (SATCOM) à
l’occasion des révélations de la société
de cybersécurité IOActive.
Sur ce schéma, on constate à quel point les satellites demeurent au centre des dispositifs de communication
militaires. A la façon d’une attaque MITM, toucher un satellite permet dès lors de toucher tout les dispositifs,
humains ou matériels, qui se reposent sur les communications par satellite.
10. Appel à contributeurs
Cette newsletter mensuelle
s’adresse à une
communauté ciblée et se
construit sur un modèle
collaboratif, s’inspirant d’une
démarche open source dans
le souci d’un partage de
connaissances.
De fait, elle vit et s’enrichit
de ses contributeurs, pour
la plupart des experts dans
leurs domaines respectifs,
et de fait nous sommes
toujours à la recherche de
contributions diverses.
Si publier par notre biais
vous intéresse, n’hésitez pas
à nous à contacter pour en
discuter plus en détails.
Cordialement,
La Rédaction
War R@M vous est proposée le dernier vendredi de chaque mois
et est disponible en ligne. C’est une publication libre, vous pouvez
donc la partager sans réserves, à condition de respecter la
propriété intellectuelle des personnes qui y publient.
Vous pouvez aussi suivre notre actualité et bénéficier de nos
ressources en ligne par le biais de notre compte Slide Share :
http://fr.slideshare.net/WarRam
War R@m – Mai 2014
RESUME DES VULNERABILITES TROUVEES PAR IOACTIVE
Attention: Le tableau ci-dessous est extrait du rapport d’IOActive sur la vulnérabilité des
télécommunications satellites. Celui-ci détaille toutes les vulnérabilités trouvées chez les prestataires
de services satellites en les listant selon les vendeurs, les produits, le type de vulnérabilité, le service
qui les produit et le dégré d’importance de la faille.
Ce tableau est la propriété d’IOActive, Inc et de CERT Coordination Center.