La War Ram de Juin 2014 est sortie. Au menu:
- La TrueCrypt Gate (Adrien Gévaudan, IntStrat)
- Cybercriminalité et marchés noirs (Barbara Louis-Sidney, CEIS)
- Sécurité du Big Data et des ojets connectés (Gerome Billois, Solucom)
Et toujours la veille 360 avec le danger du logiciel Computrace, la montée en puissance des objets connectés et le mariage des industriels français de la cybersécurité.
1. Scully appelle Internet
A la douce époque où Internet faisait toujours
office de technologie magique (non, pas en 2014,
non), on pouvait tomber sur quelques moments de
grâce.
C’est le cas notamment dans cette version
française de l’épisode 2Shy (Meurtres sur
Internet). Dans la version anglaise, Scully appelle
"the online service", mais en français, le résultat
est pour le moins loufoque. Regardez.
La vidéo du mois
"Vous qui entrez ici, abandonnez toute espérance" (Divine Comédie,
Chant III)
Cette maxime célèbre de Dante pourrait inspirer plus d’un
professionnel de la sécurité au vu des piratages massifs de
données des derniers mois: Adobe, Target, Apple, eBay… Et que
dire de la défection de TrueCrypt, qui a secoué toute la
communauté cyber? La sécurité serait-elle devenue une chose du
passée?
La réponse est évidemment non. Certes, comme on l’a maintes
fois répété, la sécurité absolue n’existe pas. Celui qui la pense
"comme une forteresse" est sûr d’échouer.
La sécurité est une notion globale. Changeante. Mouvante. En
perpétuelle évolution. Elle naît de l’accumulation de couches de
protection – avant, pendant et après les incidents, qui arriveront
bien un jour.
Mais tout espoir n’est pas perdu: à l’étranger (FireEye avec
l’acquisition de Mandiant) et en France (Atos avec l’acquisition de
Bull), des géants du secteur apparaissent avec, pour maître-mot, la
vélocité, la flexibilité, l’agilité. Une industrie de la cyberdéfense
suffira-t-elle à sécuriser le cyberespace? Peut-être pas, mais c’est
un début.
De notre côté, nous nous proposons, avec cette lettre
d’information collaborative, d’apporter une pierre à l’édifice. Ce
mois-ci, nous aurons donc la chance d’accueillir:
- Adrien Gevaudan, géoéconomiste et fondateur d’InStrat sur le
très critiquable TrueCryptGate
- Barbara Louis-Sidney, juriste pénaliste à CEIS spécialisée cyber
pour un point sur les marchés criminels
- Gerome Billois, senior consultant à Solucom, pour nous parler
de la sécurité du Big Data et des objets connectés
Comme d’habitude, notre veille 360° (Cybersécurité, Cyberdéfense,
Cyberculture) fait le tour des évènements du mois écoulé en se
concentrant particulièrement sur la thématique des objets
connectés.
N’hésitez pas également à visiter notre Tumblr, qui rassemble
toutes nos publications. Bonne lecture!
L’E-DITO
Sommaire
Les gros titres
THE WAR R@M
L’Edito
360°
Les Experts
Out-of-the-Box
Pimp my Opsec
#M2M
#BigData
#CyberCrime
#CompuTrace
#Industrie
#M2M
• Retrouvez aussi nos publications sur nos plateformes: blogwarram.tumblr.com et Slideshare.net/ W arRam
• Envie d’en savoir plus? Contactez-nous: redaction.warram@aol.com
• Les contributeurs associés à ce numéro, pour leur contribution et leur soutien, visible ou invisible: @agevaudan @gbillois,
@b_sidney, Thierry Berthier, @lrcyber, @Mduqn
A NEW HOPE
FOLLOW THE W HITE RABBIT
War Ram - Juin 2014
2. 360°
War Ram - Juin 2014
Cybersécurité & Entreprises
Des chercheurs planchent sur la défense des
systèmes cyberphysiques
Grands oubliés de la cybersécurité (cf W ar Ram – Mai
2014), les systèmes cyberphysiques qui représentent
l’architecture d’Internet deviennent de plus en plus
critiques.
Aux Etats-Unis, la question est même devenue très
sensible (cf. W ar Ram – Avril 2014), ce qui a poussé
le gouvernement a lancé le défi SmartAmerica aspirant
à développer la défense des réseaux, principalement le
réseau électrique particulièrement sensible car trop
centralisé.
En partant de cet état de fait, la Smart Energy CPS,
une équipe de chercheurs américains provenant de
différentes universités, mettent à l’épreuve le
développement d’un modèle d’informatique distribuée,
se reposant sur le Cloud, des machines virtuelles et la
multiplication des points de contrôle.
Les résultats de leur recherche devraient être
disponibles cet été et pourraient servir à toutes les
grandes métropoles.
La porte dérobée TCP 32764 réactivée dans le plus grand secret
La porte dérobée TCP-32764, présente dans plusieurs routeurs (Linksys, Netgear, Cisco, pour ne citer que les plus célèbres) et
découverte par le chercheur français Eloi Vanderbeken, a été réintroduite à l’intérieur même du patch censé corriger cette grave erreur
de sécurité.
Eloi Vanderbeken a ainsi découvert une ligne de code permettant de réactiver la porte dérobée. Se pose désormais la question de savoir
si cette dernière a été introduite intentionnellement, ou s’il s’agit à nouveau d’une erreur…
Le retour du Data Center
Les cibles des cyberattaques s’étendent désormais à
plusieurs plateformes, et les data centers ne sont pas
épargnés.
Face au risque de compromission d’une infrastructure
toujours aussi stratégique (cf W ar Ram – Mai 2014),
Cisco a décidé d’étendre son offre de protection contre
les APT et les 0-day.
Cisco prétend ainsi pouvoir défendre les infrastructures
d’un point à l’autre, des data centers jusqu’au cloud,
tout en offrant une assistance avant, pendant et après
l’attaque.
Hélas, sur le papier l’offre a beau être intéressante, les
récentes accusations de la Chine sur les liaisons
dangereuses entre Cisco et les services de
renseignement américains font planer le doute sur
cette offre miraculeuse.
Un supercalculateur piraté
Le NIW A, l’institut néozélandais pour
la recherche sur l’eau et
l’atmosphère, a vu son
supercalculateur piraté la semaine
dernière.
Il s’agit d’une première et la nouvelle
a de quoi surprendre, car ce
supercalculateur était uniquement
consacré aux calculs
météorologiques.
Certains supposent que l’objectif
derrière ce piratage était d’arriver à
créer un "mineur" de Bitcoins.
L’équipe de la NIW A a réussi à
contourner le piratage en éteignant le
supercalculateur.
Alerte! TrueCrypt ferme ses
portes
Le logiciel de chiffrement le plus
populaire, et une alternative sérieuse
selon l’ancien consultant Edward
Snowden, a jeté l’éponge mercredi
28 mai, car la fin de la mise à jour
du support XP rendrait l’utilisation du
programme dangereuse.
Une annonce qui a provoqué un
séisme dans la communauté de la
cybersécurité internationale. Pris de
court par cette décision brutale, les
analystes fourmillent de théories
réfutant la position officielle qu’ils
trouvent dur à croire: influence
gouvernementale, pression sur
l’anonymat des développeurs...
Le consultant renommé Brian Krebs
a quant à lui évoqué l’idée que des
développeurs externes pourraient
reprendre TrueCrypt en main, tout en
rappelant que la fiabilité du
programme de chiffrement faisait
débat.
Le piratage d’eBay, sans
précédent?
Le piratage d’eBay est un choc
pour le secteur du e-commerce.
Considéré comme un des sites
les plus sûrs, celui-ci a été
délesté de près de 148 millions
de données personnelles – et ce
chiffre n’est pas définitif.
Un cadre supérieur de PayPal,
filiale d’eBay, a récemment
donné une interview pour le site
Inc. sur cette faille.
Selon celui-ci, la distinction claire
(tant au niveau du chiffrement
que des informations) entre
eBay, la plateforme de
commerce, et PayPal, la
plateforme d’achat, aurait
épargné le vol de données
financières.
Une certitude qu’il est difficile de
partager…
Computrace : le mouchard
universel révélé
Korben relaye une information
particulièrement importante, et
bien trop peu reprise dans les
média.
Un mouchard universel du nom
de Computrace serait installé de
base sur tous les ordinateurs,
selon les chercheurs de
Kaspersky qui auraient fait cette
découverte récemment.
Ce mouchard se lancerait dans
le BIOS dès le départ, et on ne
saurait que trop vous
recommander de lire l’article
que Korben consacre à ce sujet:
http:/ / korben.info/ computrace-
lojack-absolute.html
3. 360°
War Ram - Juin 2014
L’Allemagne abandonne la
poursuite de la NSA
Le gouvernement allemand connaît un
retour de flamme de la part
d’associations de protection des
données après que le procureur ait
abandonné l’enquête criminelle censée
viser la NSA et le GCHQ.
Le procureur fédéral avait en effet fait
cette annonce, mais selon une
information parue dans la presse
Bull et Atos se marient
Deux géants de l’informatique français sont sur le point
de se marier. Atos, l’un des plus grands acteurs SSI
au niveau mondial, vient en effet proposer une OPA
amicale à Bull pour 620 millions d’euros. L’objectif du
premier est de bénéficier de l’expertise du second
dans les domaines de niche (supercalculateurs,
cybersécurité, data centers).
Les actionnaires sont globalement ravis et Orange, qui
détient Bull à 8%, a fait savoir qu’il soutiendrait cette
initiative.
Atos estime quant à lui que cet achat permettrait de
favoriser l’émergence d’un grand nom de la
cybersécurité et du cloud à l’échelle européenne.
Alcatel Lucent et Thales aussi…
Parallèlement, Alcatel-Lucent et Thalès ont également
noué un partenariat stratégique. La seconde a repris
les activités de cybersécurité de la première. Le terme
"activités" est évidemment large, et il y a fort à parier
que la pose de câbles sous-marins, une activité
stratégique mais sulfureuse, faisait partie du marché.
Ce mariage renforcera certainement l’importance de
Thalès en temps qu’acteur majeur de la cybersécurité
des télécoms.
A quel prix, diront certains?
L’Iran et le point d’eau
L’Iran aurait réussi à espionner le
secteur de la défense américain en
mettant au point une campagne d’
ingénierie sociale avancée.
Cette dernière consistait à mettre en
place un faux site Internet d’information,
relayant des informations pertinentes.
Par ce biais, les "journalistes", en réalité
des espions, menaient des campagnes
d’espionnage se reposant sur des
techniques d’ingénierie sociale dans le
but d’obtenir des informations sensibles
de la part de leurs cibles.
Les tactiques utilisées étaient avancées,
comme le spear phishing (harponnage)
ou le "trou d’eau", une technique déjà
employée dans le piratage de sous-
traitants de la défense française et
privilégiée par des hackers d’Etat.
La valeur d’une donnée
Le maître de conférences Thierry
Berthier, contributeur régulier pour la
W ar Ram, a publié en collaboration
avec la chaire de cyberdéfense et de
cybersécurité de Saint-Cyr un article sur
la valeur des données.
Cet article, plutôt technique, revient sur
l’importance des données en prenant
l’exemple du piratage du compte Twitter
d’Associated Press (et du fameux tweet
à 136 milliards de dollars).
L’article entier est disponible à cette
adresse: http:/ / www.chaire-
cyber.fr/ IMG/ pdf/ article_4_3_-
_chaire_cyberdefense.pdf
Cyberguerre froide entre la
Chine et les Etats-Unis
Alors que depuis peu, les tensions
semblaient s’être calmées entre les
Etats-Unis et la Chine avec la mise en
place d’une collaboration sur les
questions de cyberdéfense,
l’arrestation de six ressortissants
chinois accusés de piratage a remis
de l’huile sur le feu.
La hache de guerre définitivement
déterrée et les premières victimes de
ces échanges sont les entreprises
américaines.
Ainsi, Cisco et IBM n’auront plus droit
de cité auprès des entreprises
sensibles ou des infrastructures
publiques, ni près des banques.
Le gouvernement chinois a fait une
déclaration officielle, rappelant
l’importance stratégique et
primordiale de la cyberdéfense pour la
nation.
Cyberdéfense
L’Estonie veut créer des
ambassades de données
Très inquiète par l’évolution de la
situation ukrainienne et tirant
probablement les leçons de la
cyberattaque de 2007, l’Estonie a
décidé de mettre en place des
"ambassades" de données qui lui
permettraient d’opérer dans le cloud,
même en cas de cyberattaques.
L’idée serait d’assurer la continuité et
l’accessibilité du gouvernement même
en cas d’occupation militaire.
L’idée ne serait pas nouvelle, selon
Jaan Priisalu, directeur général du SSI
de l’Etat estonien, mais l’"invasion"
russe aurait précipité les plans.
allemande, l’absence de preuves
formelles et la difficulté technique
d’une telle enquête ont poussé les
services juridiques à abandonner les
charges.
Exaspérée par cette nouvelle, Rena
Tangens, du groupe Digitalcourage, a
dénoncé une situation "grotesque".
Cinq hackers chinois ont été arrêtés par le FBI pour le piratage
informatique et le vol de données sensibles d’entreprises américaines.
L’arrestation de ces cyberespions a déclenché une grave crise
diplomatique entre la Chine et les Etats-Unis.
4. Huawei: la 4G, l’autoroute des objets connectés
Huawei veut aussi se placer sur le créneau des objets
connectés. La télécom chinoise vient de publier une étude, qui
peine un peu à se médiatiser, présentant la 4G comme une
"autoroute" de connexion.
En réalité, le concept est assez similaire à celui de Sigfox, utiliser
la 4G comme réseau pour connecter les objets entre eux.
Hélas pour Huawei, Sigfox, la start-up toulousaine, est beaucoup
plus en avance sur cette thématique: le réseau de connectivité à
bas débit semble d’ore et déjà plus fiable.
360°
War Ram - Juin 2014
Anne Lauvergeon préside dans
l’Internet des objets
Anne Lauvergeon rejoint la start-up
Sigfox, spécialiste des objets
connectés.
Celle qui a dirigé Areva pendant près
de dix ans s’intéresse depuis longtemps
à la question. Symbole de la réflexion
sur le Big Data et le M2M (Machine to
Machine), présidente du rapport sur la
Commission Innovation 2030,
Lauvergeon a depuis longtemps déclaré
qu’il ne fallait surtout pas manquer le
virage des Big Data.
La particularité de Sigfox est que la
start-up prévoit de déployer un réseau
de connectivité à bas débit, basé sur la
technologie Ultra Narrow Band, qui
permettrait d’assurer un lien fiable et
peu gourmand en octets entre les
différents objets connectés.
C’est dire, vu l’importance du marché
du M2M, si Sigfox est stratégique…
L’arrivée d’Anne Lauvergeon est donc
symbolique pour cette start-up qui se
prépare à entrer en bourse: serait-on
en train d’assister à la genèse d’un
géant des objets connectés?
L’UPnP veut créer un pont entre l’Internet des
objets et le Cloud
L’Universal Plug and Play (UPnP), le protocole réseau promulgué
par le groupe d’entreprises de l’UPnP Forum, veut harmoniser
le réseau très fragmenté de l’Internet des objets.
Pour ce faire, cet "UPnP+" prône le concept d’un produit type
pont de capteurs, capables de stocker et de traduire les
données provenant de différents objets connectés afin de les
lier avec d’autres services, comme le Cloud par exemple.
Google veut de la pub dans
les objets connectés
Google veut de la pub sur tous les
objets connectés. C’est du moins
ce qu’il a écrit noir sur blanc au
gendarme de la bourse
américaine dans une lettre
dénichée par le W all Street
Journal.
On remerciera 01Net pour la
traduction ci-dessous de Google:
« Nous pensons que la notion
même de "mobile" va évoluer à
mesure que les "appareils
intelligents" vont gagner du terrain
sur le marché.
Par exemple, d’ici quelques
années, nous et d’autres
entreprises pourrions fournir des
publicités et d’autres contenus sur
des réfrigérateurs, des tableaux
de bords de voitures, des
thermostats, des lunettes et des
montres pour ne citer que
quelques possibilités (…). Nous
nous attendons à ce que nos
utilisateurs utilisent nos services
et voient nos publicités sur un
nombre grandissant et diversifié
d’appareils dans le futur ».
Cyberculture
La répartition d’Internet dans le monde par Geonames.org. Cette data vizualisation a été réalisée en croisant les
données démographiques et les adresses IP.
Le marché français des objets
connectés
500 millions d’euros. C’est le montant que
pèsera le marché français des objets
connectés d’ici 2016, selon Xerfi et le
journal du Net, soit quasiment une
augmentation de 500%.
Il s’agit donc d’une véritable opportunité
économique, mais aussi technologique. En
effet, se joue aujourd’hui la question de l’OS
des objets connectés. Le constructeur
canadien BlackBerry y voit le salut après
une traversée du désert économique.
Mais c’est un OS français vers lesquels
tous les regards. Emmanuel Baccelli,
chercheur à l’Inria, a porté ce système
d’exploitation open source qui se veut être
le "Linux" de l’Internet des objets.
A la création, un public de hackers et de
chercheurs, ce qui promet un rendu
probablement excellent.
Bataille d’OS dans le M2M
L’Universal Plug and Play (UPnP), le protocole réseau
promulgué par le groupe d’entreprises de l’UPnP
Forum, veut harmoniser le réseau très fragmenté de
l’Internet des objets.
Pour ce faire, cet "UPnP+" prône le concept d’un
produit type pont de capteurs, capables de stocker et
de traduire les données provenant de différents objets
connectés afin de les lier avec d’autres services,
comme le Cloud par exemple.
5. TRUECRYPT ET LE DÉNI PLAUSIBLE
War Ram - Juin 2014
Coup de tonnerre dans le monde de
la sécurité informatique, la semaine
dernière, avec l’annonce extravagante
de la fin du développement de
Truecrypt. Ce logiciel de chiffrement,
utilisé depuis des années aussi bien par
les professionnels que les utilisateurs
avertis, était l’exemple type prouvant la
supériorité, en matière de sécurité des
systèmes d’information, des logiciels
libres sur les solutions propriétaires.
Depuis les révélations Snowden (et bien
avant pour ceux s’y connaissant un
peu), il est devenu de notoriété publique
que des agences gouvernementales
n’hésitent pas à utiliser certaines
méthodes afin d’accéder à ce à quoi
elles ne devraient normalement pas
avoir accès, les principales étant les
suivantes :
1) Insertion d’une porte dérobée
(logicielle ou matérielle) ;
2) Accès aux serveurs et à leurs
bases de données ;
3) Installation de malwares (type
keyloggers et/ ou troyens) ;
4) Pressions directes et indirectes
sur des personnes-clés.
LES EXPERTS
Adrien Gévaudan, fondateur d’IntStrat et
géoéconomiste, revient sur la TrueCrypt
Gate, cet évènement qui a secoué la
communauté de la cybersécurité. En effet,
les développeurs anonymes du célèbre
logiciel de chiffrement ont jeté l’éponge.
Pourquoi?
C’est à cette question que notre
contributeur se propose de répondre
Truecrypt répondait à toutes
ces méthodes de la façon
suivante :
1) Son code source est disponible,
ce qui signifie que tout un chacun
peut compiler soit même le logiciel,
et que des audits externes peuvent
être tenus permettant d’en assurer
la sécurité (un audit était d’ailleurs
en cours lors de la bombe du 29
mai). L’insertion d’une porte
dérobée dans le code source (en
l’occurrence un raccourci
mathématique permettant un
déchiffrement rapide) était donc
impossible, au risque de se faire
choper le premier audit venu ;
2) Truecrypt s’installe en local, et
rien n’est stocké sur des serveurs
ou des bases de données externes ;
3) Cf. : 2). En effet, il aurait fallu
agir directement sur tous les
systèmes ayant installé Truecrypt
ce qui, vu la popularité du logiciel et
l’immensité des moyens alors
nécessaire, n’est ni rentable ni
probable ;
4) Deux personnes-clés sont
susceptibles de pressions : les
développeurs du logiciel et les
utilisateurs. Les premiers ont
toujours souhaité conserver leur
anonymat (c’est pourtant ce point-ci
le plus susceptible à pressions) ;
quant aux seconds, ils avaient la
possibilité d’avoir recours à un
concept brillantissime intitulé le
Déni Plausible (pour Plausible
Deniability).
Le principe est simple : Truecrypt
offre la possibilité de configurer une
“fausse phrase de passe”, qui, dans
le cas où certaines autorités
(comme les britanniques)
forceraient l’utilisateur à donner
l’accès à ses données, servirait à
ouvrir un volume Truecrypt pré-
configuré contenant d’autres
fichiers que ceux que l’on souhaitait
protéger. Ainsi, plus besoin d’avoir
peur de devoir révéler sa phrase de
passe véritable, car rien ne permet
aux autorités de prouver l’existence
d’autres fichiers que ceux que l’on
avait pu préparer au préalable.
Pour toutes ces raisons, Truecrypt
a été, pendant longtemps, le fer de
lance des logiciels de sécurité,
recommandés même par des
entités publiques (comme l’ANSSI).
… et tout s’est arrêté le 29 mai
dernier.
(Suite p. 6)
6. War Ram - Juin 2014
Truecrypt-gate : rappel des faits
Les premiers visiteurs ont pu croire (à
raison) à un défaçage, et pourtant non! Un
message des développeurs affirme :
“Attention : utiliser Truecrypt n’est pas
sécurisé car le logiciel pourrait contenir des
problèmes de sécurité non-résolus”
S'ensuit une explication lapidaire, pouvant
être résumée ainsi : le développement de
Truecrypt a été arrêté en Mai 2014, après
que Microsoft ait intégré à ses récents
systèmes d’opérations une solution
propriétaire notoirement vérolée :
BitLocker. Ainsi, il est conseillé
d’abandonner Truecrypt.
Les précédentes version du logiciel ont
toutes été remplacées par une ne
permettant que de déchiffrer des données
Truecrypt (et donc plus de chiffrer), et un
tutoriel détaillé explique comment migrer
vers BitLocker.
W TF ?!
L’absurde comme pseudo-déni
plausible : une solution de
communication?
Au final, qu’un logiciel libre cesse d’être
développé, rien de plus commun ; après
tout, les mecs sont bénévoles, ils ont sans
doute d’excellentes raisons. Mais cesser de
développer un logiciel open source en
invoquant l’existence de solutions
propriétaires et intégrées, là, on tombe
dans l’absurde!
Des mecs ayant intégré à leur logiciel une
solution de Déni plausible n’auraient-ils pas
pu trouver un moyen de communication leur
permettant, de façon absurde et ironique,
de transmettre un message à la
communauté?
C’est la thèse qui domine, évidemment ;
après l’affaire Lavabit, chat échaudé craint
l’eau froide. Et si d’autres pistes sont
également envisagées (notamment une
éventuelle volonté de responsabiliser la
communauté en lui foutant la trouille), elle
demeure la plus plausible à ce jour .
SUITE ARTICLE P.5
Par une communication aussi absurde, les développeurs ont peut -être
souhaité faire comprendre qu’ils ont été mis dans une situation telle qu’ils
ont été obligé de cesser le développement du logiciel, ou d’abandonner
certaines des valeurs et garanties qui l’ont définies pendant des années
(anonymat des développeurs, code source ouvert, etc.).
En gros : déchiffrez l’absurdité de nos actes ; de notre côté, nous
pouvons plausiblement affirmer que nous avons respecté la loi.
Et si, temporairement, ceux qui ont pu souhaiter la fin de Truecrypt ont
pu se frotter les mains, force est de constater qu’ils risquent de se
prendre un sérieux retour de bâton. La communauté réagit assez mal
aux tentatives de pression, et de nouveaux projets (comme Truecrypt.ch)
sont déjà en pôle pour reprendre le flambeau.
Pour nous autres, utilisateurs avertis, rien ne change : il faut continuer à
suivre l’actualité du secteur, soutenir certains projets dans la limite de
nos moyens, et faire preuve de pédagogie auprès du public non-averti.
Par Adrien Gevaudan
Géoéconomiste spécialisé Cyber, Fondateur d’IntStrat
@agevaudan
TrueCrypt a publié un “communiqué de presse” sur SourceForge explicquant que sa solution n’était plus
sécurisée et livrant un guide pour migrer vers BitLocker, un logiciel propriétaire de Microsoft:
truecrypt.sourceforge.net
7. War Ram - Juin 2014
Si certaines rubriques sont dédiées à la
rencontre et à la constitution d’équipes (en
fonction des talents de chacun), d’autres
sont dédiées à la mise en vente des lots de
numéros de cartes et de comptes. Ces
forums sont consultés par les propriétaires
de shops qui vont acheter auprès de ces
grossistes leurs lots de données, en
spécifiant bien le type de carte (Gold,
Premier, Amex, etc.), la zone
géographique, etc. qui les intéressent.
Le gérant du shop prendra bien garde à
n’acheter qu’un échantillon la première fois,
afin d’évaluer la fiabilité du grossiste. Une
fois en confiance, il récupère le lot de
cartes et les met en vente sur son shop,
site de vente de numéros de cartes
bancaires similaire à n’importe quel site de
e-commerce, avec des critères de tri, un
panier et un porte-monnaie virtuel. Le
gérant de shop peut également se fournir
sur certains chats en ligne (IRC, jabber). Le
contact est alors direct. Une fois cela fait,
démarre la phase de monétisation qui
implique d’autres acteurs (mules, etc.).
L’actualité du mois, c’est évidemment le
piratage massif d’eBay, une entreprise
autrement plus médiatisée et connue que
Target. Les sociétés civiles semblent se
rendre compte que le cybercrime est
devenu industriel. N’est-ce pas un peu
tard ?
Il n’est jamais trop tard pour ce type de
prise de conscience ! Il est triste de
l’admettre, mais seules des affaires
bruyantes aux conséquences graves seront
susceptibles, en créant un précédent, de
générer cette prise de conscience chez les
principaux acteurs. La cybercriminalité est
trop souvent considérée comme un délit
« indolore ». Difficile de convaincre ou de
sensibiliser sur une criminalité qui reste de
basse intensité. Les précédents tels
qu’eBay et Target ont le mérite de rendre la
menace plus « réelle », palpable aux yeux
des non-initiés qui, ne voulant certainement
pas se retrouver dans des situations
similaires, sont désormais plus susceptibles
d’engager des budgets sur ces
problématiques.
(Suite p.8)
OUT-OF-THE-BOX
Bonjour Barbara. Tu as récemment
publié une étude sur les marchés
cybercriminels avec l’équipe Secu-Insight
de CEIS, une démarche bienvenue car
plus que rare en France !
Quelles sont les conclusions les plus
marquantes que tu tires de votre
enquête ?
Bonjour Stéphane. Tout d’abord merci
pour cet entretien pour la W ar Ram.
Cette étude s’est concentrée sur l’usage
que font les cybercriminels des
monnaies virtuelles. Elle est
complémentaire de notre premier livre
blanc sur le sujet (cf. Les marchés noirs
de la cybercriminalité, 2011), où l’on
identifiait déjà l’importance de la
monnaie virtuelle comme outil du
cybercrime.
Nos conclusions sont que les
cybercriminels sont passés à la vitesse
supérieure ; les monnaies virtuelles de
type Liberty Reserve étant délaissée au
profit des crypto-monnaies. Les
avantages de ces crypto-monnaies sont
utilisés à des fins malveillantes dans le
cadre de la cybercriminalité. Et, surtout,
les crypto-monnaies ayant pour finalité
première de renforcer l’anonymat et la
difficile traçabilité, là où Bitcoin est
moins « fiable », sont désormais au
centre de leurs préoccupations
(ZeroCoin, DarkCoin, etc.).
On dit que les cybercriminels russes
sont des précurseurs et de véritables
« leaders » dans le domaine. C’est ton
avis ?
Les cybercriminels russes sont
précurseurs sur de nombreux points. Ils
se sont illustrés lors de conflits
interétatiques (avec la Géorgie en 2008,
par exemple).
Très présents (le russe est la seconde
langue la plus utilisée, après l’anglais,
sur les forums cybercriminels), ils sont
leaders également dans leur domaine en
raison de la tolérance existant à leur
égard, dès lors qu’ils ne s’attaquent pas
à des intérêts nationaux. D’autant que le
degré de contrôle des autorités russes
sur ces hackers reste flou.
Pour ce mois de Juin, l’équipe de la W ar Ram
s’entretient avec Barbara Louis-Sidney, qui a co-
écrit un excellent rapport sur la cybercriminalité
(voir en fin d’article), sur la montée en
puissance des cybercriminels.
Une question prégnante, à l’heure où eBay et
Target se remettent péniblement de leur
piratage massif.
Ils ont également très rapidement
segmenté et professionnalisé les
tâches sur les marchés noirs de la
cybercriminalité ; faisant de
l’économie de la cybercriminalité un
écosystème au fonctionnement
relativement classique.
A titre d’exemple, ils ont fortement
contribué au CaaS ou Crime as a
Service, proposant des outils clés en
main à destination d’autres
cybercriminels.
Enfin, puisqu’on parle de monnaies
virtuelles, il faut noter que le
précurseur W ebMoney, monnaie
virtuelle la plus importante (après e-
Gold et avant Liberty Reserve) sur les
black markets est implantée en
Russie. Son succès a longtemps
reflété l’importance de la
cybercriminalité dans cette région du
monde.
Un point particulier, qui continue
encore et toujours de perturber les
néophytes, c’est l’utilisation que font
les cybercriminels de ces données
piratées en masse. Pourrais-tu nous
éclairer ?
Comme je l’explique plus haut, les
marchés noirs sont organisés et
structurés par une stricte division des
tâches. Les résultats d’une grande
campagne de vol de données
(numéros de cartes bancaires ou
comptes en ligne, par exemple), sont
vendus « en gros » sur des forums.
Ces forums sont divisés par rubriques
afin que les cybercriminels s’y
retrouvent.
BARBARA LOUIS-SIDNEY "LA
CYBERCRIMINALITÉ EST TROP SOUVENT
CONSIDÉRÉE COMME INDOLORE"
8. War Ram - Juin 2014
SUITE ARTICLE P.7
En tant que juriste, quelle vision as-tu
des raids des services de l’ordre
contre les cybercriminels ? Est-ce
que les Etats se sont enfin résolus à
contre-attaquer ?
Il est très frustrant, en tant que
juriste pénaliste, de voir que les
condamnations de cybercriminels en
tant qu’individus, n’ont que très peu
d’impact sur le démantèlement de
filières entières. Les actions visant à
démanteler leurs infrastructures
semblent bien plus efficaces à court
et moyen termes.
La combinaison des deux méthodes
(démantèlement des infrastructures
associé à des condamnations
fermes) peut alors être dissuasive à
long terme. Cette vision dynamique
de la lutte contre la cybercriminalité
marque un signal résolument positif
pour le monde judiciaire. Elle place
l’étude des infrastructures et des
outils des cybercriminels au cœur de
la démarche.
« Les marchés noirs de la cybercriminalité »
(juin 2011) http:/ / www.secuinsight.fr/ livre-
blanc-blackmarkets/ lb.pdf
« Monnaies virtuelles et cybercriminalité - Etat
des lieux et perspectives » (janvier 2014)
http:/ / www.ceis.eu/ fr/ actu/ note-strategique-
monnaies-virtuelles-et-cybercriminalite-etat-des-
lieux-et-perspectives
Téléchargements :
Dernière question : dans cette RAM nous
nous intéressons particulièrement aux
objets connectés. Représentent-ils une
cible idéale dans le futur ?
Les objets connectés sont bien
évidemment une cible idéale déjà
aujourd’hui, et cela s’amplifiera dans le
futur. L’augmentation du nombre d’objets
connectés élargit la surface d’attaque à
disposition des cybercriminels (nouveaux
points d’entrée, de vulnérabilité). De
nouvelles données, de plus en plus proches
des utilisateurs, sont collectées ; elles
peuvent être la cible de vols de données et
être, pourquoi pas, revendues.
Les objets connectés peuvent également
être source de vulnérabilités, s’ils
fonctionnent avec un système d’exploitation
non mis à jour : il s’agit-là d’une simple
transposition des problématiques existant
déjà sur les PCs. Il n’est donc pas exclut
que les objets connectés servent à la
création de botnets. Le rôle d’IPv6 est
également à analyser. Reste à voir
comment les cybercriminels en parlent sur
les marchés noirs, et les forums de
discussion.
C’est un sujet que CEIS pourrait étudier !
Par Barbara Louis-Sidney
Consultante en cybersécurité, CEIS
@B_Sidney
Les condamnations
de cybercriminels en
tant qu’individus n’ont
que très peu d’impact
sur le démantèlement
de filières entières.
Démanteler les
infrastructures
semblent plus
efficaces à court et
moyen termes.
Le poids du cybercrime en une infographie.
CEIS est une société de conseil en stratégie et
management des risques qui assiste ses clients
dans leur développement à l’étranger et à
l’international.
Depuis plusieurs années, leurs compétences
reconnues en cybersécurité leur ont permis de
nouer des partenariats stratégiques avec la
Défense, notamment la gendarmerie.
Ils organisent depuis deux ans le Forum
International de la Cybercriminalité.
Site: http:/ / www.ceis.eu/
Twitter: @ceis_strat
CEIS
9. GEROME BILLOIS: "IL FAUT PRÉPARER LA
SÉCURITÉ DES OBJETS DÈS LEUR
CONCEPTION"
War Ram - Juin 2014
PIMP MY OPSEC
Le Big data nécessite de se poser des
questions sur les données en tant que
telles. Comment les a-t-on collectées ?
Quelles sont leur niveau de qualité
(n'oublions pas l’adage anglo-saxon
"Garbage In / Garbage Out") ?
Comment gérer les contrôles d'accès
sur des lacs de données non
structurés alors que la situation est
déjà compliquée avec des bases bien
délimitées ? Comment séparer et
chiffrer les données sensibles alors
qu'il va y avoir une grande diversité
d'utilisateurs et un besoin de rapidité
d’accès et de traitement ? Autant de
questions qu'aujourd'hui nous
commençons seulement à toucher du
doigt.
Les principales solutions de Big Data
ont été conçues sans intégrer la
sécurité (et oui encore une fois...).
Mais des outils additionnels
commencent à apparaître pour gérer
les droits d'accès et le chiffrement à
l'échelle des données unitaires ("cell
based security"). Ces solutions sont
jeunes et doivent encore faire leurs
preuves mais il faut dès aujourd'hui les
intégrer dans les pilotes.
L'autre risque du Big Data est
règlementaire, en particulier sur les
sujets liés à la protection des données
à caractère personnel. Aujourd'hui la
loi est structurée autour de
traitements de données bien définis,
qui dispose d'une finalité claire. Mais
le Big Data vise justement à créer des
lacs de données sur lesquelles on peut
réaliser tous les recoupements et les
traitements imaginables a posteriori.
Un vrai casse-tête à résoudre sur
lequel les juristes, les avocats et la
CNIL sont en première ligne.
Pour les objets connectés, une des
difficultés réside dans la capacité à les
maîtriser et à les maintenir à jour
dans la durée. Imaginons un instant
devoir réagir suite à une faille comme
Heartbleed. Les problèmes seraient
immenses : qui possèdent les objets ?
Comment les contacter ? Quels risque
à les mettre à jour avec des taux de
défaillance qui peuvent être élevés (le
risque de "brickage") ? Comment
gérer l'obsolescence de ces objets et
de leur OS souvent particulier ?
Comment maîtriser l'identité de ces
objets dans son SI ou en tant que
constructeur alors que l'on n'est pas
encore capable aujourd'hui de gérer
correctement l'identité de ses
employés ou clients ?
Mais aussi, et peut-être surtout,
comment concevoir des objets
connectés simples à utiliser mais
suffisamment sûrs pour ne pas être
attaqués en masse ? Face à cette
situation, malheureusement, la plupart
des constructeurs penchent vers la
simplicité : mot de passe par défaut,
ouverture automatique des flux dans
les box grâce à l’UPNP, services cloud
interconnectés...
(Suite p.10)
Aujourd’hui, les concepts des objets connectés
et de Big Data sont largement remis en cause,
entre catastrophe annoncée et or noir
potentiel.Quelle est votre position ?
Ces deux concepts sont pressentis pour
transformer notre quotidien dans les années à
venir, et c'est fort probable qu'ils y arrivent !
Les objets connectés entrent déjà dans
beaucoup de foyers ou d'entreprises de tous
les secteurs. Le Big Data fait en parallèle
l'objet de nombreuses expérimentations, en
particulier dans des entreprises B2C.
L’efficacité doit encore être démontrée
concrètement mais les attentes sont fortes.
À mon sens, il ne faut pas considérer ces
évolutions comme des catastrophes à venir,
d'autant plus lorsque l'on travaille dans la
sécurité. Il est nécessaire de les prendre en
compte et d'apporter des réponses pour
réduire les risques. Ne rien faire serait la vraie
catastrophe ! Interdire en bloc serait
également contreproductif, la sécurité serait
contournée rapidement. Mais cela ne veut pas
dire qu'il faut tout laisser passer : il faut définir
les frontières acceptables pour ces nouveaux
concepts et c'est bien là que sur ce plan que
le débat se situe.
Quelles sont les principales menaces
informatiques que représentent (ou qui pèsent)
sur les objets connectés et le Big Data ?
Ce sont deux concepts différents, qui se
recoupent sur un thème : la protection de la
vie privée. Il s’agit d’un des principaux risques,
en alliant une collecte massive d'information
sur notre quotidien grâce aux objets connectes
avec une capacité d'analyse fine issue du Big
Data, nous pouvons rapidement envisager des
scénarios « catastrophes ». La règlementation
doit s’adapter à ces nouveaux concepts, mais
le bon sens de tout un chacun reste essentiel.
L'expérience montre malheureusement que
l'attrait des nouvelles technologies peut
souvent faire oublier les risques associés.
Au-delà de ses aspects sociétaux, chaque
concept porte ses propres risques. Sans avoir
la prétention d’être exhaustif, voici ceux que
nous identifions comme les plus complexes à
traiter.
Gérôme Billois, est senior manager en cybersécurité au
cabinet Solucom, le cabinet de conseil en management
d’information auprès des grands comptes.
Il revient pour nous sur les défis de sécurité posés par le
Big Data et les objets connectés. Un sujet vaste… et
enrichissant!
10. Appel à contributeurs
Cette newsletter mensuelle s’adresse à une
communauté ciblée et se construit sur un
modèle collaboratif, s’inspirant d’une démarche
open source dans le souci d’un partage de
connaissances.
De fait, elle vit et s’enrichit de ses
contributeurs, pour la plupart des experts dans
leurs domaines respectifs, et de fait nous
sommes toujours à la recherche de
contributions diverses.
Si publier par notre biais vous intéresse,
n’hésitez pas à nous à contacter pour en
discuter plus en détails.
Cordialement,
La Rédaction
War Ram vous est proposée chaque mois et est disponible en
ligne. C’est une publication libre, vous pouvez donc la partager
sans réserves, à condition de respecter la propriété intellectuelle
des personnes qui y publient.
Vous pouvez aussi suivre notre actualité et bénéficier de nos
ressources en ligne par le biais de notre compte Slide Share :
http://fr.slideshare.net/WarRam
blowarram.tumblr.com
War Ram - Juin 2014
SUITE ARTICLE P.9
Tout cela crée des situations à risque,
peut-être encore limitées aujourd'hui,
mais qui demain pourraient provoquer
des effets larges et importants. Nous
pouvons même imaginer des
scénarios de risques qui s'éloignent
du "classique" vol de données.
L'utilisation de failles par des
cambrioleurs est largement possible,
par exemple pour désactiver les
mécanismes de protection liés à la
domotique ou encore pour observer
une présence dans le domicile via le
compteur électrique ou les caméras
de surveillance. Encore pire, mais ne
souhaitons pas que ces scenarios
existent, si des failles permettent de
mettre en défaut la sécurité électrique
des objets et par exemple de
déclencher leur destruction, voire des
incendies dans certaines conditions. Il
ne faut pas tomber dans le
catastrophisme mais bien savoir de
quels risques on veut se prémunir.
Comment pourrait-on remédier à ces
problématiques de sécurité ?
Il serait possible de consacrer un
ouvrage entier sur le sujet, mais une
pratique clé me vient à l'esprit
immédiatement : « security by
design ». Même si cela est difficile à
mettre en place et parfois coûteux,
réfléchir aux mesures de sécurité
nécessaire est essentiel. L’ajout de la
sécurité ultérieurement, sera au
mieux plus couteux, au pire
impossible ! Il faut donc préparer des
réponses adéquates, dès la genèse
des projets, aux risques possibles,
aux limites et aux contournements. Il
faut également tenir compte de la
typologie des attaquants, très variés
comme le montre l'actualité récente,
allant des Etats aux script kiddies en
passant par des groupes de
cybercriminels mafieux.
Des principes forts doivent guider ces
études : protéger la vie privée "par
défaut" et prévoir la capacité à
maintenir la sécurité dans le temps.
De nombreuses solutions techniques
sont possibles mais il n'y a pas de
solutions magiques. Comme évoqué le
Big Data dispose de solutions
innovantes à tester. Pour les objets
connectés, la situation est plus
complexe car les systèmes sont très
variés en termes d'usage (du
compteur électrique à la voiture en
passant par les brosses à dents…) et
les contraintes très fortes (systèmes
embarqués avec peu de
mémoire/ CPU, technologies
propriétaires, consommation
énergétique limitée...). Il est possible
de réutiliser les bonnes pratiques de
l'embarqué mais en le considérant
comme connecté à Internet par
défaut.
Revenons au Big Data. Est-ce que
l’hypothèse que celui-ci pourrait
véritablement apporter une troisième
couche de protection à la sécurité
informatique vous semble crédible ?
Il est évident que nous atteignons une
limite sur les capacités des outils de
surveillance des SI. La logique actuelle
de la plupart des outils est de
chercher des scénarios d'attaques
connus dans le SI. Tous les cas
récents le montrent, les attaquants
font évoluer en continu ces scénarios.
Il faut alors se concentrer sur la
recherche d'anomalie et les signaux
faibles. Dans ce contexte, l’application
des principes du Big Data peut-être
une solution. Il permet en effet des
traitements statistiques suffisamment
rapides pour pouvoir être efficaces.
Reste encore à le mettre à l'épreuve
du terrain et à gérer l’épineux
problème des faux positifs.
Les "anciens" se souviendront des
moteurs "heuristiques" des antivirus
qui malheureusement n'ont pas été
très efficaces. Affaire à suivre dans
les mois qui viennent !
Par Gérome Billois
Senior Manager à Solucom
@gbillois
Solucom est un cabinet de conseil en
management et IT consulting s’orientant autour
de six « practices »:
- Business Transformation Energie Transports
- Business Transformation Banque Assurance
- Excellence opérationnelle et IT
- Innovation digitale
- Architecture des SI
- Risk management et sécurité de l’information
Le cabinet intervient sur l’ensemble des sujets
de la cybersécurité avec plus de 200 personnes
spécialisées dans les domaines suivants:
gouvernance, analyses de risques, études
d’architecture, conduite d’appels d’offre, tests
d’intrusion, réponse à incident (CERT – Solucom).
Vous pouvez trouver plus d’informations sur
Solucom en allant consulter leur site internet:
www.solucom.fr ou en suivant leur fil Twitter:
@cabinet_solucom ou @solucomINSIGHT
SoluCom – Cabinet de conseil