Upload
warram
View
2.114
Download
1
Embed Size (px)
DESCRIPTION
Attention: pour profiter au maximum du contenu de la War R@m, un téléchargement est nécessaire. En effet, du fait de sa politique de partage, SlideShare bloque les liens des 3 premières pages. War Ram est une lettre d’information mensuelle, consacrée aux thématiques de cyberdéfense et de cybersécurité, ainsi qu’aux infrastructures (OIV, data centers…) qui sous-tendent le cyberespace. Cette publication est également disponible en ligne via le Slide Share (War Ram).
Citation preview
La vidéo du mois
« Ils ne savaient pas que c’était impossible, alors ils l’ont fait ».
A bien des égards, cette citation de Mark Twain peut se rapporter à l’aventure commune qu’est la W ar R@m. Commencée dans la discrétion, notre lettre d’information a rapidement trouvé son public, nous mettant dans l’obligation de nous dépasser.
Pour répondre à ces attentes, nous avons décidé d’augmenter sensiblement le volume de cette dernière qui passe de dix pages contre six auparavant :
La rubr ique veille 360° se subdivise désormais en trois catégories : cybersécur ité – cyberdéfense – cyberculture.
"Les Experts", "Out-of-the-Box" et "Pimp my Opsec" gagnent une page supplémentaire, por tant notre lettre d’information à 10 pages au total.
Une augmentation quantitative n’est pas synonyme de baisse qualitative, et les contr ibuteurs de ce mois nous ont gâté par l’or iginalité de leur publication. Ainsi nous retrouvons :
Dans la rubr ique Les Experts une excellente analyse sur la Syrian Electronic Army et la récupération du discours hacktiviste
Dans la rubr ique Out-of-the-Box, une interview avec Thierry Berthier, du blog Cyberland sur les liens entre algor ithmes et cyberarme
Dans la rubr ique Pimp my Opsec, une mise à nue très intéressante du pare-feu W AF par 0x00 info, propr iétaire du blog éponyme.
Cyberarme, hacktivisme, espionnage… Des outils et des notions qui se démocratisent, quittant le giron des élites pour mieux pénétrer les mondes de l’entrepr ise, de la société civile, du militaire. Aujourd’hui plus que jamais souffle un vent de changement numér ique qui bouleverse les codes établis et nous pousse à nous réinventer , constamment, suivant le concept d’antifragilité, cette résilience évolutive que décr it l’un de nos contr ibuteurs de ce mois.
Ensemble, suivons les conseils de Mark Twain et ne posons pas de limites à ce qu’il nous est possible de faire : puisse cette RAM vous vous apporter une meilleure compréhension de ce qui se passe sous les circuits du cyberespace.
Cyberarme en 3D
Les cyberarmes sont à l’honneur pour cette RAM
de mars. L’occasion de vous offr ir l’une des pires
scènes de construction d’un worm jamais vue au
cinéma.
Issue du film Opération Espadon, avec John
Travolta et Hugh Jackman, cette scène ne nous
épargne aucun poncif : les touches tapées à toute
vitesse, le "Access Granted" en majuscule, et le
malware en 3D….
Un moment magique!
L’E-DITO
Sommaire
Les gros titres
THE WAR R@M
L’Edito 360° Les Experts Out-of-the-Box Pimp my Opsec
#Syrian ElectronicArmy #CyberArme #WAF
#DPI #DLP
• Retrouvez aussi nos publications sur notre Slideshare.net/ W arRam
• Envie d’en savoir plus? Contactez-nous: [email protected]
• Les contr ibuteurs associés à ce numéro, pour leur contr ibut ion et leur sout ien, visible ou invisible
: @0x0ffinfo, Emmanuel Gorand, Thierry Berthier, @leroycyber, @ncaproni @Mduqn
DE L’ANTIFRAGILITE
FOLLOW THE W HITE RABBIT
Mars 2014
2
Target: « écartez ces failles que je ne saurais voir… » Nouvelle révélat ion dans l’affaire Target. Il semblerait que, contre
toute attente, le distr ibuteur aurait été prévenu des failles de
sécur ité 2 mois avant le vol massif dont il a été vict ime.
Cette information jette un regard nouveau sur la nature du
piratage. Si ce dernier a bien été rendu possible grâce au vol des
ident ifiants d’un sous-t raitant de Target, on ignorait jusqu’à
présent comment les cybercr iminels s’étaient introduits dans le
système du distr ibuteur . Il semblerait que la découver te des failles
deux mois auparavant explique le "hack", tout en relançant
l’hypothèse d’un complice au sein même de la compagnie.
360°
L’Opération Snowman a-t-elle éclaboussé le secteur aéronautique français? Avis de tempête sur le secteur aéronautique français. Alors que l’Opération Snowman (Bonhomme de neige en anglais…) semble donner du fil à retordre aux vétérans militaires amér icains, le GIFAS (Groupement des industr ies françaises aéronautiques et spat iales) et la Snecma, filiale du groupe Safran, semblent avoir été touchées par une faille cr it ique (CVE-2014-0322 ) du navigateur Internet Explorer. Jusqu’à présent, les circonstances du piratage restent floues. Si la méthode ut ilisée est “pointue techniquement” (méthode du point d’eau), on ne sait pas si l’offensive est une réussite. Pour le Figaro, citant un exper t anonyme, l’at taque remonterait à janvier et ut iliserait un logiciel différent de celui ut ilisé contre les vétérans amér icains, ce qui laisserait supposer l’existence de deux groupes cybercr iminels dist incts. Pour les techniciens avides d’aller plus loin : Selon les informations délivrées par la société de cybersécur ité FireEye à l’or igine de la découver te de l’at taque, l’exploit ut ilise une vulnérabilité présente sur Internet Explorer 9 et 10 , et ut ilise un langage Act ion Scr ipt pour contourner le mécanisme de protection ASLR. Une fois cela fait , les attaquants mettent en place un programme ROP afin de contourner un disposit if DEP (Data Execution Prevention) et permettre l’exécut ion de leur malware, camouflé en fichier Jpeg, à par t ir d’une page W eb donnée. Une attaque très complexe donc, qui met à mal des disposit ifs de sécur ité très élaborés.
Cybersécurité & Entreprises
Les plus gros piratages de données en une infographie Une infographie interactive permettant de voir les plus gros piratages de données dans le monde a été mise en ligne par un journaliste indépendant. L’infographie permet différentes méthodes de tr is et de filt rage (moyen ut ilisé, année, secteur touché) et il suffit de cliquer sur le cercle représentant une attaque pour être redir igé vers le rappor t de sécur ité le concernant. Ludique et prat ique!
EC Council, site de hacker éthique, a été piraté Le site EC Council a été "défacé" fin févr ier par un pirate inconnu. Les données de 60 ,000 professionnels de la sécur ité sont potent iellement en danger et, cer ise sur le gâteau, le cracker aurait eu accès à une copie du passepor t d’Edward Snodwen. Dans un message, le cybercr iminel déclare avoir obtenu des milliers d’ident ifiants de connexion, pour cer tains appar tenant à des militaires amér icains.
Un « pot de miel » pour protéger ses données Deux chercheurs de l’université de W isconsin auraient développé une nouvelle méthode de chiffrement basé sur le pr incipe du leur re. Ajoutant une couche supplémentaire de protection, cette méthode de chiffrement permet de dissimuler les vraies données au milieu d’un flot de données aléatoires et générées automatiquement afin de rendre leur exploitat ion impossible. L’intérêt de cette méthode vient du fait qu’elle laisse croire aux attaquants qu’ils ont obtenu un accès légit ime aux données en générant, à chaque tentative de craquage, de fausses données. Cette méthode a été baptisée "Honey Encryption", représenterait , selon son créateur , une ult ime bar r ière dans le cas d’un piratage.
La vitesse, clef de voûte de la protection des données Une étude de la société Ponemon vient enfoncer les por tes
ouver tes en disant tout haut ce que l’on pense tout bas. La
vitesse serait l’élément clef de la gest ion d’une cyberattaque,
qu’il s’agisse de vitesse de détect ion ou de pr ise en compte
d’un problème.
Or, à l’heure actuelle, il semblerait que la lenteur dans la pr ise
en compte d’un incident informatique est la norme, tout du
moins aux Etats-Unis.
La société suggère donc que les compagnies devraient mettre
en place une résolut ion automatique des incidents, un système
de hiérarchisation des menaces et la mise en place d’une veille
en temps réel de la cybersécur ité.
War RAM – Mars 2014
3
360° Cyberdéfense
L’Europe face à la cybercriminalité Après avoir été la vict ime insouciante d’une attaque DDoS de
grande ampleur , de piratage et de ransomwares, l’Union
Européenne veut relever la tête.
Ainsi, lundi 10 févr ier , celle-ci a présenté son premier
rappor t sur la cybercr iminalité, rédigé par le centre EC3 .
A l’échelle européenne, le centre aspire à défendre les
internautes contre les arnaques bancaires, les "sextorsions"
tout en cont inuant à lutter contre la pédopornographie.
Une init iat ive louable et un début de réponse plus ou moins
sat isfaisant.
Coup de comm’ et promesses en l’air Que W ashington tremble ! Que la NSA se repente ! La chancelière
allemande veut bât ir , en coopération avec la France, un réseau de
communications exclusivement européen. Hélas, le concept fait
jaser . Sur les plans physique, économique et technique, l’idée
relève en effet du miroir aux alouettes, une sor te de marronnier un
peu ir réaliste qui semble pour tant séduire les sénateurs français.
La preuve étant, les proposit ions de la chancelière au lendemain de
la réunion avec Hollande entretenait l’ambigüité. Au final, il
semblerait que cet Internet européen consisterait avant tout à
mettre en place un cadre jur idique obligeant les données à rester
en Europe. Une balkanisat ion a minima, en somme?
Le Royaume-Uni pourrait (encore) abandonner Microsoft Grande nouvelle, le gouvernement br itannique pourrait de nouveau
abandonner M icrosoft pour des solut ions open source. L’idée,
séduisante sur le papier , permettrait d’économiser près de 200
millions de livres.
Hélas, la promesse n’est pas nouvelle. Des tentatives de migrat ion
vers des logiciels open source en 2002 et 2010 n’avaient pas
réussi à susciter l’engouement de l’administrat ion.
FARC vs Colombie: le combat se poursuit sur le Net La lutte histor ique entre les FARC et l’Etat colombien trouve
aussi écho sur Internet. Alors même que Bogota a entamé des
négociat ions pour obtenir une paix durable entre les forces
révolut ionnaires, une unité militaire colombienne (Andromeda)
aurait surveillé les communications des négociateurs dans un
but encore trouble.
Mais les FARC ne sont pas en reste, puisque ces derniers
disposeraient également d’un groupe de pirates pour espionner
le gouvernement et les forces de police, selon une information
relayée par le quot idien colombien El Tiempo.
Cyberdéfense: le réveil français La cyberdéfense française va (enfin) combler son retard. Pour ce faire, le
gouvernement mult iplie les act ions. Le réveil français a deux volets :
• La mise en place d’un "pacte Cyber", et le déblocage de 1 milliard d’euros de
budget dédié (dont 400 millions pour la modernisation des infrastructures).
• La "relocalisation" des messager ies tr icolores sur le ter r itoire et le
chiffrement des réseaux de l’Etat – en bref, l’extension des protocoles
SSL/ TLS, voire des clefs PGP, à toutes les messager ies françaises (les
"bretelles" et la "ceinture" pour paraphraser Stéphane Bortzmeyer).
Une décision réaliste mais tardive qui pourrait faire sour ire les exper ts… Ce
serait oublier "qu’un voyage de mille lieues commence toujours par un pas".
Bas le Mask! Le malware Careto dévoilé Après Stuxnet, Careto s’imposera cer tainement dans les mentalités comme l’un des malwares les plus sophist iqués jamais créés. Contrairement à Stuxnet, ce malware n’a pas pour but d’infliger des dégâts physiques (il n’entre pas donc dans la catégor ie floue des "cyberarmes"). Dévoilé par les exper ts de Kaspersky Lab, l’object if du Mask (son autre pet it nom) serait d’espionner des cibles à haute valeur ajoutée (Etats, gouvernements, missions diplomatiques). Act if depuis 2007 environ, il aurait impacté près de 30 pays, dont la France, en interceptant tous les canaux de communication et en recueillant les informations les plus essentielles de l’ordinateur touché. Les chercheurs de Kaspersky excluent de facto l’idée que des cybercr iminels seraient der r ière cette act ion tant le degré de sécur ité semble anormal. Autre facteur étrange, les pirates de Careto semblent par ler espagnol, une langue très rare dans l’ADN des cyberattaques… Manœuvre de dissimulat ion ou vrai mystère?
War RAM – Mars 2014
Pony Pony Run Run A rebours de la dégr ingolade "boursière" du Bitcoin, la firme
de cybersécur ité TrustW ave aurait fait une découver te
surprenante. Un malware, répondant au doux nom de Pony,
aurait infecté un nombre faramineux d’ordinateurs dans le but
de dérober les monnaies vir tuelles.
Plus que la complexité du logiciel, c’est l’étendue de la
propagation qui interpelle les chercheurs en cybersécur ité, qui
par lent de centaines de milliers de machines touchées.
Ne reste plus qu’aux vict imes qu’à faire mauvaise for tune bon
cœur : si la dépréciat ion du Bitcoin se poursuit , ils n’auront
finalement pas tant perdu que cela.
4
360°
L’Internet des objets, un marché à plusieurs zéros Et si le pétrole de demain n’était pas la Data, mais les
objets connectés qui l’exploitent? Une étude très récente
de BI Intelligence, la section d’études prospectives de
Business Insider, prédit l’explosion de « L’Internet des
objets » d’ici à 2018 .
Pour être précis, le marché du Machine-to-Machine sera
supér ieur ou égal aux marchés des smartphones, des
télévisions, des tablettes, des ordinateurs et des
ordinateurs portables combinés. Une manne financière de
plusieurs milliards de dollars selon les estimations de BI
Intelligence. Ces prospectives soulignent en réalité un
phénomène de fond : l’accélération de l’hybr idation
réel/ vir tuel, au point où les deux concepts ne soient
finalement pas si éloignés que cela.
Une raison de plus pour pousser le code à l’école…
Memex, le Google du Web profond La DARPA, le dépar tement de l’armement amér icain, a lancé un
appel d’offre pour l’élaborat ion d’un moteur de recherche du W eb
profond. Une analyse de l’appel d’offre (42 pages) laisse à penser
qu’il ne s’agira pas de faire des recherches sur les DarkNets, mais
plutôt de faire de fouiller les recoins du W eb invisible – base de
données, forums en accès fermé, etc.
D’ailleurs, la DARPA insiste, le projet sera respectueux de la vie
pr ivée de tout un chacun. Si c’est eux qui le disent…
La Trilogie du Bitcoin Le Bitcoin aurait -il perdu de son attrait ? Ou est-ce l’explosion de la bulle qui rend fr ileux les internautes? Toujours est -il que la monnaie vir tuelle est dans une mauvaise passe. Si sa volat ilité a toujours été au cœur de la polémique, la succession de trois catastrophes pourrait donner le coup de grâce à la devise numér ique : - Premièrement, les prises de position répétées de certains
Etats mettant en garde ou interdisant derechef la devise. - Deuxièmement, la découverte d'une vulnérabilité technique dans
le code-source du Bitcoin qui aurait permis un vol à grande échelle – Silk Road aurait notamment été dévalisé.
- Troisièmement, l’effondrement de MtGox, l’une des plus grandes plateformes d’échange de Bitcoin est une catastrophe pour le secteur .
Face à cette succession de coups durs, d’aucuns prédisent déjà la fin du Bitcoin, qui n’aurait été finalement qu’une parenthèse du Net. Gardons-nous bien, toutefois, de toutes cer t itudes pour l’instant.
Données personnelles et recherche médicale Une coalit ion de médecins, de scient ifiques et d’universitaires
monteraient au créneau à Bruxelles contre le projet de
protection des données personnelles de l’UE. Selon eux, ce
dernier pourrait à terme menacer les recherche et les progrès
permis par les nouvelles technologies, notamment dans le
domaine du Big Data.
A l’heure actuelle, les scient ifiques proposeraient une voie
médiane qui passerait par l’anonymasiat ion des données et un
maillage complexe de protection jur idique.
Cyberculture
War RAM – Mars 2014
LA RÉCUPÉRATION DU DISCOURS HACKTIVISTE
Les ennemis de l’extérieur, d’abord.
Depuis le début de la révolut ion, Bachar
El-Assad cherche à la présenter comme
une offensive venue de l’étranger . Si,
depuis l’ar r ivée en force de djihadistes,
cette affirmation n’est plus tout à fait
fausse, elle vise à cacher que la
révolut ion syr ienne est née à l’intér ieur
même du pays. SEA a tout fait pour
accréditer cette thèse du “complot de
l’étranger”, avec deux pays en cause :
l’Arabie Saoudite et le Qatar.
L’hypothèse peut faire sour ire, tant il est
peu probable que ces deux r ivaux
agissent de concer t. En janvier 2013 ,
SEA publiait le site “Qatar leaks”, une
sér ie de documents que le groupe
affirme avoir dérobés sur le ministère
des affaires étrangères du Qatar . En
octobre 2013 , le groupe attaquait le
registraire de premier niveau du pays.
En mai de la même année, c’était le
ministère de la défense saoudien que les
pirates affirmaient avoir infilt ré.
On peut aussi rappeler , en avr il 2012 ,
la pr ise de contrôle temporaire des
comptes de la chaîne saoudienne Al-
Arabiya sur Facebook et Twit ter. Nous
passons rapidement sur d’autres
ennemis habituels évoqués par Bachar
El-Assad : Israël et les Etats-Unis, qui
sont les cibles régulières d’hackt ivistes
venus du monde musulman (on peut
penser au groupe AnonGhost, par
exemple).
A l’inverse, au crédit de ceux qui
analysent la situat ion géopolit ique
syr ienne en affirmant que les groupes
djihadistes sont les alliés object ifs de
Bachar El-Assad, SEA ne s’est pas
dist ingué par l’at taque de sites liés à Al-
Qaïda ou aux djihadistes.
Les ennemis de l’intérieur, ensuite ;
autrement dit , les rebelles syr iens. Sur
ce point, la collusion entre le régime et
SEA est plus difficile à établir . On me
pardonnera donc quelques conjectures.
SEA a attaqué 4 éditeurs d’applicat ions
liées à la communication mobile ou à la
VoIP : Tango, Viber, True Caller et
Skype.
Pour les trois premiers, le groupe serait
parvenu à dérober tout ou par t ie de la
base de données des ut ilisateurs des
services. Informations précieuses pour
un régime qui cherche à ident ifier les
moyens de communication des
opposants, dans un pays où le pr incipal
opérateur téléphonique du pays est
dir igé par un cousin du président Assad,
Rami Makhlouf.
L’équipe dir igeante en Syr ie a décelé
t rès tôt l’intérêt économique des
technologies de la communication :
qu’elle voit l’usage polit ique qu’on peut
en t irer ne devrait pas nous surprendre.
(Suite p.6 )
5
L’histoire polit ique contemporaine de la Syr ie offre un cas d’école d’oppor tunisme idéologique. Le régime a été socialiste laïque ; il a pr is un tournant libéral, aussi bien en matière économique que religieuse; et au début de la révolut ion, Bachar El-Assad tentait sans succès de se présenter en réformiste. Ces postures cachaient une autre réalité : la dominat ion de la secte Alaouite sur le pays ; la construction d’un empire économique aux mains de la famille au pouvoir ; une révolte écrasée dans le sang. Bref, la famille Assad s’empare du discours à la mode, dans le but de charmer les opinions du monde arabe et du monde occidental à la fois. L’hackt ivisme pourrait être l’une des nouvelles facettes de cet oppor tunisme. Deux mots d’abord sur l’hacktivisme, souvent jugé sans intérêt par les observateurs. Les techniciens seront les premiers à r ire des script kiddies. Le journal Reflet est tombé en plein dans cette er reur, en posant la quest ion : “Sont -ils aussi for ts qu’ils le disent et que leurs cibles le laissent entendre ?” Les géopolitologues se concentreront plutôt sur les réseaux sociaux. Les analystes en sécurité, enfin, s’en désintéresseront au profit des menaces état iques, à l’heure où l’espionnage venu de Chine ou des Etats-Unis sont plus vendeurs. On peut répondre qu’un piratage ne se juge pas à sa qualité technique, mais à ses effets ; que les réseaux sociaux sont pilotés par des minor ités act ives ; qu’enfin, l’hackt ivisme est par fois le masque commode employé pour dissimuler les act ions d’un Etat. Le célèbre “APT-1 ” décr it par Mandiant était d’abord connu dans les milieux pirates comme le groupe “Comment Crew”. Le groupe Syrian Electronic Army (SEA) est un bon exemple d’hackt ivisme au service d’un État. Beaucoup a déjà été écr it sur la collusion entre SEA et le régime syr ien. Nous voulons simplement montrer comment, le masque de l’hackt ivisme ser t trois object ifs de ce régime: la lutte contre les ennemis de l’extérieur, celle contre les ennemis de l’intérieur et enfin la propagande.
LES EXPERTS
Capture d’écran du fichier leaké par la SEA contenant le vol des données des utilisateurs de Forbes
War RAM – Mars 2014
6
L’Electronic Frontier Fondation et Citizen Lab
étudient depuis deux ans l’espionnage
informatique dont sont vict imes les rebelles
syr iens et les ONG qui plaident leur cause.
Leur dernier rappor t ne laisse aucun doute
sur l’existence de campagnes d’espionnages.
On ne peut prouver que SEA contrôle les RAT
distr ibué par phishing ou via des
commentaires laissés sur les pages Facebook
ou sur des vidéos YouTube de
révolutionnaires. Cependant, dès juin 2011 ,
Citizen Lab att irait l’attention sur le fait que
SEA était derr ière l’attaque de plusieurs
pages Facebook d’insurgés. De même, le
phishing semble être la technique pr ivilégiée
de SEA.
La propagande, enfin. C’est sans doute là où
SEA est le plus efficace. Une intervention
contre le régime dépend avant tout de
l’opinion occidentale, mais celle-ci est toujours
prompte à imaginer que la dictature reste la
meilleure façon d’empêcher l’ar r ivée au
pouvoir de groupes religieux extrémistes. D’où
le storytelling de Bachar El-Assad et de
Vladimir Poutine qui vend l’image d’une Syr ie
mise à feu et à sang par des groupes
islamistes. Il faut pour cela détourner
l’attention sur les exactions du régime et
mettre l’accent sur les rebelles les plus
radicaux. SEA est le relais fidèle de cette
stratégie, montrant que l’hacktivisme est un
ressor t majeur du soft power.
En novembre 2013 , SEA prenait le contrôle
de la page Facebook du journaliste et activiste
Matthew Van Dyke, connu pour son soutien à
la révolution syr ienne. Si on avait pu voir , par
le passé, SEA s’en prendre à des journaux,
une attaque aussi ciblée montre bien un
effor t calculé d’attaquer en pr ior ité à leurs
adversaires idéologiques les plus motivés.
Plus généralement, tout média qui met en
avant le non-respect des droits de l’homme
par le régime s’att ire l’attention de SEA. Le
piratage de CNN en janvier faisait suite à la
diffusion d’un repor tage sur la tor ture et les
exécutions dans les pr isons du
gouvernement. Le groupe présentait l’attaque
contre Forbes le 21 févr ier dernier comme
une réponse au côté « anti-syr ien » de la ligne
éditor iale du magazine.
Se présenter comme un groupe d’hacktiviste
ser t bien évidemment la propagande.
Les observateurs ont tous soulignés la
mutation de SEA. En mai 2011 , c’était un
groupe hiérarchisé agissant
essentiellement dans l’orbite du registraire
de premier niveau syr ien, organisme jadis
présidée par Bachar El-Assad.
Quelques mois plus tard, le groupe
ressemblait bien plus à Anonymous :
organisation décentralisée, niant
systématiquement tout lien avec le régime,
mettant en avant son côté international (la
diaspora syr ienne expliquant pourquoi ses
membres ne sont pas tous en Syr ie).
Les vidéos postées sur YouTube par le
groupe reprennent les codes d’Anonymous:
musique exagérément dramatique,
surabondance de couleurs bleutés et
métalliques, etc. Or l’hacktiviste bénéficie
d’un biais posit if auprès des populations.
Comme tout underdog, il tend à att irer la
sympathie du public. Bref, SEA contr ibue
au retournement des rôles qui vise à faire
de Bachar El-Assad une vict ime plutôt qu’un
bourreau. Cette propagande s’adresse
aussi bien au grand public qu’aux autres
hacktivistes, alliés potentiels. Dans un
milieu aussi por té sur la théor ie du
complot, SEA pouvait compter sur des
oreilles attentives en affirmant que le
régime syr ien était la vict ime de l’alliance,
si improbable soit -elle !, du Qatar, de
l’Arabie Saoudite et d’Israël.
Quand bien même, aujourd’hui, de
nombreux « Anonymous » condamnent SEA
et l’attaquent, le groupe peut maintenir aux
yeux de beaucoup l’image d’une petite
équipe de franc-t ireur ar r ivant à prendre
br ièvement le contrôle de la communication
d’Associated Press, du New York Times ou
de CNN ; de pour fendeurs de la “pensée
unique”.
On retrouve dans toutes ses actions aussi
bien la volonté de développer une ethos
d’hacktiviste (attaquer Microsoft parce
qu’on le soupçonne d’espionner ses clients)
que les buts de guerre que nous avons
présentés ici (chez Microsoft, attaquer
Skype, outil apprécié des insurgés).
Plus encore, d’autres groupes de la région
s’en inspirent. Le groupe Islamic Cyber
Resistance (ICR) a fondé un site
“wikileak.ir”, imitant cette fois le discours
de l’association fondée par Julian Assange,
et derr ière lequel on devine facilement les
intérêts de Téhéran.
Il nous paraît donc probable que les Etats
n’ayant pas les moyens techniques des
Etats-Unis ou de la Chine vont se tourner
vers l’hacktivisme sur le modèle de SEA
comme moyen de peser dans le
cyberespace. En plus de la cybercr iminalité
mafieuse et des campagnes d’espionnages
ou de sabotages, il paraît nécessaire
d’inscr ire, sur la liste des menaces à
surveiller de près, l’appar it ion de ce qu’on
pourrait qualifier de “soft power low-tech”.
Alors que le coût économique et technique
des intrusions informatiques diminue et que
l’accès à des outils toujours plus puissants
devient de plus en plus facile, minimiser le
r isque que pose l’émergence de groupes
hacktivistes nous paraît très imprudent .
Les attaques de SEA ne sont pas d’une
grande sophistication, c’est un fait. Et
comme la major ité des groupes
d’hacktivistes, leur communication est
pleine d’exagérations et de rodomontades.
Mais les résultats sont là. Voyez le tableau
de chasse de SEA ces deux derniers mois:
détournements de Microsoft, CNN, eBay,
PayPal ; 17 défacements en Arabie
Saoudite ; fuite des données de plus d’un
million d’abonnés à Forbes.
Par Emmanuel Gorand,
Analyste en cybersécur ité.
SUITE ARTICLE P.5 "Online Social Media in
the Syria Conflict:
Encompassing the
Extremes and the In-
Betweens«
Cette car tographie des
groupes en présence
en Syr ie, élaborée à
par tir des réseaux
sociaux, souligne une
situation complexe.
Légende:
Djihadiste – Or
Kurdes – Rouge
Pro-Assad – Violet
Modéré – Bleu
Communautés
multiples – Noir
Ref:
arxiv.org/ abs/ 14 01 .7
5 3 5
War RAM – Mars 2014
7
Tout d’abord, parlez-nous un peu de votre
parcours. Ce n’est pas très fréquent qu’un
enseignant chercheur en mathématiques à
l'université se retrouve à publier sur les
questions de cyberguerre !
En tant que Maitre de conférences en
mathématiques, j'enseigne au sein d'un
dépar tement informatique universitaire les
mathématiques pour l'informatique
(cryptographie, théor ie des graphes,
complexité, théor ie algor ithmique de
l'information, algèbre pour l'informatique). J'ai
commencé mes recherches par un doctorat en
théor ie algébr ique des nombres puis, j'ai assez
vite évolué vers la théor ie algor ithmique de
l'information. Je m'intéresse en par t iculier aux
situat ions de concurrences et de duels
algor ithmiques. Elles se mult iplient rapidement
et façonnent finalement les reliefs du
cyberespace.
On les rencontre dans un cadre ludique (le jeu
de combat en ligne, le jeu d'échec contre la
machine), dans un cadre commercial (les
stratégies des vendeurs-acheteurs sur eBay, le
Trading haute fréquence HFT) ou encore dans
le cadre de la cyberconflictualité, c'est-à-dire de
la project ion algor ithmique d'un conflit armé sur
l'espace numér ique. J'ai introduit t rès
récemment le formalisme inédit de project ion
algor ithmique d'un opérateur(* ). Cette not ion
project ive fournit une approche systémique
efficace des situat ions de concurrences ou
duels et s'inscr it pleinement dans le mouvement
rapide de la convergence NBIC
(Nanotechnologies, Biotechnologies,
Informatique, sciences Cognit ives) qui déforme
le cyberspace. C'est donc très naturellement
que je me suis dir igé vers les problématiques
relat ives à la cyberstratégie, la cybersécur ité, et
la cyberdéfense. L'approche transversale me
semble être alors la meilleure : discuter avec le
militaire, le gendarme, le jur iste, le sociologue,
le spécialiste des sciences cognit ives, le
psychologue, l'informaticien, ou le spécialiste
des infrastructures réseaux permet
d'embrasser les problématiques cyber avec des
opt iques dist inctes et complémentaires.
Dans votre Cyberchronique pour la Chaire Castex, vous évoquez souvent la nature algorithmique d’une cyberarme et son entrelacement avec le biologique (l’humain derrière la machine). Pouvez-vous préciser les termes ? Faut-il être bon en maths pour construire une cyberarme de qualité ?
Entrelacement est vér itablement le bon terme ! En effet, la convergence NBIC rapproche à grande vitesse les différents pr ismes d'analyse et ce n'est que le début. La croissance exponentielle du progrès va bouleverser les lignes et faire voler en éclats le cloisonnement des disciplines académiques, c'est une évidence que l'on a tendance à sous-est imer ou, pire, à occulter. Nous devons nous préparer et en par t iculier préparer la jeunesse actuelle aux changements technologiques disrupt ifs qu'elle devra assumer, intégrer ou subir ;
La montée en puissance globale de l’IA (Intelligence Artificielle, ndlr) et la fusion de l'espace réel avec le cyberespacevont s'accompagner de for tes turbulences qui impacteront
directement nos existences à toutes échelles. Nous devons donc préparer ces changements aujourd'hui et sur tout ne pas nous laisser distancer . De nombreuses nat ions ont par faitement intégré les enjeux sous-jacents et adaptent déjà leurs systèmes éducatifs, leurs t issus industr iels et leurs infrastructures de défense. La Silicon Valley en Californie, la siliconwadi en Israël, les pôles technologiques chinois, préfigurent les modèles de « Star t-Up Nations » .
Pour répondre à votre quest ion, à mon avis, non, il ne faut pas être bon en mathématiques pour construire une cyberarme de qualité. A mon sens, il faut être malicieux, astucieux, débrouillard, il faut faire preuve de sagacité et d'un sens prat ique développé: savoir “sent ir ” les réact ions de sa future proie et s'intéresser aux pet ites faiblesses humaines tout en profitant des biais et des automatismes biologiques qui faciliteront l'at taque.
(Suite p.8 )
W ar R@m s’est entretenu avec Thier ry Ber thier ,
tenancier du blog CyberLand et maître de
conférences en mathématiques.
Une rencontre r iche en enseignements!
THIERRY BERTHIER, CYBERLAND "POUR CONSTRUIRE UNE CYBERARME, IL FAUT ÊTRE
MALICIEUX, ASTUCIEUX, DÉBROUILLARD… "
OUT-OF-THE-BOX
Modèle de décomposition systémique d’une cyberattaque par Thierry Berthier
• Formulation d’une intention et définition d’une cible Phase 1
• Analyse des fragilités de la cible Phase 2
• Choix et construction d’une cyberarme adaptée Phase 3
• Activation de la cyberarme sur la cible Phase 4
• Impact de l’attaque sur les espaces physique et numérique Phase 5
• Retour du système à l’état initial Phase 6
War RAM – Mars 2014
8
Dernière question : peut-on imaginer, à
long terme ou dans un futur proche,
qu’une machine (supercalculateur,
ordinateur quantique) puisse réagir aux
attaques pour se renforcer elle-même et
ce de façon automatique ? Ou est-ce
impensable technologiquement ?
C'est une hypothèse qui me semble tout
à fait raisonnable à cour t terme ! La
société israélienne Aorato créée en
2011 vient d'ailleurs de développer le
premier firewall doté d'une « intelligence
artificielle » (je place des guillemets de
prudence car il faudrait s'entendre sur la
définit ion précise du terme IA...). Cette
Star t-Up vient de construire une solut ion
d'analyse et de surveillance str ictement
dédiée à l'Active Directory.
Le pare-feu d'Aorato détecte et analyse
les compor tements suspects, ce qui
permet de repérer avec succès les
intrusions host iles et de contrôler le
trafic réseau entre les serveurs et les
ut ilisateurs de l'annuaire. Le Firewall est
capable d'apprendre à détecter des
compor tements anormaux qui sor tent du
cadre d'une ut ilisat ion licite et qui
révèlent l'at taque. Le système apprend
et s'améliore. On sait construire depuis
longtemps de tels systèmes basés sur
des architectures en réseau de
neurones (le Perceptron mult icouche a
été inventé en 1957 !).
Ils sont aujourd'hui de plus en plus
per formants en profitant des puissances
de calcul grandissantes. L'analyse
bayésienne, les réseaux bayésiens
permettent également d'effectuer des
analyses rétro-actives en temps réel
pour ensuite renforcer les réponses du
système. Enfin , et c'est cer tainement
l'hor izon le plus prometteur, les futures
architectures neuromorphiques r isquent
for t de révolut ionner le calcul dans son
exécution. Il faudra rester
par t iculièrement attentif aux premiers
résultats issus du programme Human
Brain Project conduit par l'EPFL.
Ces duels algor ithmiques aboutissent
par fois à des « Flash Crashs » boursiers
qui restent imprévisibles et
spectaculaires.
Une notion qui a retenu notre attention
est la notion d’antifragilité, que vous
opposez à celle de résilience. Pouvez-vous
la préciser pour nos lecteurs ?
En simplifiant un peu, l'antifragilité
introduite récemment par Nassim
Nicholas Taleb (le théor icien du "Cygne
Noir", ndlr ) est une "super résilience", plus
dynamique, et plus intrusive sur le
système que la résilience classique.
L'antifragilité peut contraindre le système
à des mises à l'écar t de cer taines de ses
composantes jugées plus vulnérables à un
instant donné et peut aller jusqu'à la
neutralisation ou la destruction de ces
composantes qui globalement nuisent au
système.
L'antifragilité t ire bénéfice des effets de
bruits aléatoires dans la formulat ion des
réact ions du système; c'est là aussi une
caractér istique qui ne figure pas en tant
que telle dans la définit ion basique de la
résilience.
Vous avez élaboré une typologie des
dissymétries dans le cyberespace
(intentions, informations, temporalité,
etc.) : à vous entendre, l’avantage semble
être forcément du côté de l’attaquant…
Effect ivement, l'avantage est souvent du
côté de l'at taquant, c'est un constat
systémique qui est valable aujourd'hui,
c'est-à-dire juste avant que les systèmes
ne gagnent en autonomie et en capacité
d'analyse sémantique. Lorsque les
attaques seront décidées et init iées par
les machines sans influence humaine (ou
seulement lointaine) alors les rappor ts de
force pourront être modifiés car les
systèmes de défense réagiront sur les
mêmes échelles temporelles et
« computationelles ».
On commence d'ailleurs à ressentir ce
type de turbulences dans le trading
automatisé lorsque deux codes HFT
rentrent en concurrence sur des échelles
temporelles excluant la possibilité d'une
réact ion humaine.
Ci-haut, un supercaculateur (calculteur CURIE). Ce type d’ordinateur devient indispensable dans le cadre d’init iatives
telles que l’Human Brain Project ou pour aboutir à un renforcement automatique de la cybersécur ité.
SUITE ARTICLE P.7
Retrouvez plus d’analyses
détaillées de ce
contributeur sur son blog
dédié à la cyberdéfense :
CyberLand
War RAM – Mars 2014
LE WAF, CHIEN DE GARDE OU POUDRE AUX YEUX?
PIMP MY OPSEC
Le W AF, mode d’emploi
Concrètement, à quoi ser t un W AF?
Ce genre de solut ions offre une
flor ilège de possibilités pour renforcer
la sécur ité d’une infrastructure:
vér ifier que les cookies n’ont pas été
modifiés par le client, s’assurer que
vos paramètres HTTP (GET et POST)
ne cont iennent aucune chaîne de
caractères suspecte de type ../ .. ou
SELECT UNION… Pour faire simple un
W AF permet de faire le travail que
devraient faire les développeurs de
l’applicat ion pour assainir les données
qui transitent par ses points
d’entrées. La controverse soulevée
par ce nouveau paradigme
technologique est née de l’eccéité de
l’outil. Celui-ci n’est à pr ior i ni bon ni
mauvais, seul l’usage qui en est fait
peut être jugé moralement et
éthiquement.
Hélas, un W AF peut être employé de
façon hautement contestable... Ce
genre d’équipement permet
d’enregistrer, sous couver ts de
bonnes intent ions, les requêtes
émises vers une page quelconque en
fonct ion de cr itères arbitraires. Les
moins scrupuleux pourraient tout
aussi aisément ordonner la
modification à la volée de certaines
données saisies par l'utilisateur
lorsqu’elles traversent le W AF...
Votes en ligne, transactions
bancaires, forums et tr ibunes
d'expressions, le champ d'act ion est
large.
Inut ile de préciser que bon nombre de
constructeurs ont déjà saisi
l’impor tance de ces quest ions et se
méfient des législat ions qui poussent
comme du chiendent et qui pourraient
bien leur couper l’herbe sous le pied.
Prévoyants et enclins à ne pas être
montrés du doigt, ces derniers ont
d’ores et déjà intégré tout un
ensemble de fonct ionnalités
permettant (théor iquement) de
protéger les données personnelles
des ut ilisateurs.
(Suite p. 10 )
Si vous lisez régulièrement W ar R@m, il
est vraisemblable que les mots Data Leak
Prevention (DLP) ou Deep Packet
Inspection (DPI) ne vous soient pas
inconnus. Depuis les révélat ions de M .
Snowden, les débats, dossiers et enquêtes
traitant des implicat ions législat ives,
éthiques et géopolit iques inhérent à ces
deux concepts fleur issent un peu par tout
sur la toile. Mais malgré cette grande
visibilité, il est possible de s'instruire sur le
sujet sans jamais entrevoir le visage de
ces technologies complexes.
Qu’est-ce que le W AF?
Au cœur des concepts de DLP et de DPI,
on retrouve une technologie qui a du chien:
la W eb Application Firewall, couramment
appelée W AF. Désigné comme un pare-feu
(à tor t ou à raison), ce type d'équipement
permet de fouiller l'intér ieur des paquets
transportant vos données.
Il n’y a pas si longtemps, le terme pare-feu
recouvrait uniquement le contrôle de flux
de données, en se basant sur l’information
des couches basses (jusqu’à la couche
t ransport du modèle OSI - voir schéma ci-
contre), ce qui pour car icaturer permettait
d’interdire à l’accès à cer tains réseaux et
services en se basant uniquement sur les
adresses mac (ACL) de niveau deux, les
adresses IP de niveau trois, et les ports de
niveau quatre.
Le W AF est en somme un firewall ayant
pour but de protéger l’accès aux
ressources; on comprend aisément ce qui
est passé par la tête des ingénieurs l’ayant
baptisé "W AF". Car le but final de cette
technologie est bien l’interdiction de
certains flux en fonction de critères de plus
hauts niveaux que ceux utilisés par les
Firewall classiques (cf schéma p.10 ).
Cette technologie nouvelle n'est ni rare, ni
hors de pr ix, et c'est ainsi que le DPI et le
contrôle de nos données s'installent pet it à
pet it dans toutes nos entrepr ises…
Modèle OSI (Open Systems Interconnection)
War RAM – Mars 2014 9
Source: W ikipedia
Type de Donnée Couche Fonction
7. Application Point d'accès aux services réseaux
6. Présentation
Gère le chiffrement et le
déchiffrement des données, convertit
les données machine en données
exploitables par n'importe quelle
machine
5. Session
Communication Interhost, gère les
sessions entre les différentes
applications
Segments 4. Transport
Connexion bout à bout, connectabilité
et contrôle des flux. Intervient la
notion de portPaquet/Datagram
me3. Réseau
Détermine le parcours des données et
l'adresse logique (IP)
Trame 2. Liaison Adresse physique (MAC)
Bit 1. PhysiqueTransmission des signaux sous forme
binaire
Modèle OSI
Donnée
Couches Hautes
Couches matérielles
(ou basses)
Cependant, le problème demeure, car vous
aurez toujours une ou plusieurs équipes en
charge de l’infrastructure sur laquelle
t ransitent vos données. Ainsi les employés
chargés du W AF, du réseau por tant ses flux
de log, les serveurs traitant ces
informations, et ceux dédiés à leur stockage,
etc… auront accès à cette infrastructure, et
donc à vos données et donc à votre vie… Et
je ne par le ici que de la récupération
d'informations en ut ilisant le travail du
W AF...
Vous l'aurez compr is, aujourd'hui récupérer
en masse les données ut ilisateurs n’est plus
un challenge technique pour les entrepr ises.
Ni pour un individu d'ailleurs, car finalement il
suffit d’intégrer quelques semaines une
équipe exploitant l'infrastructure ciblée et de
ne pas se faire choper en plein copier -coller .
Par 0x0 ff.Info
@0x0ff.Info
Retrouvez plus d’analyses détaillées de ce
contributeur sur son blog dédié à la
cybersécurité: www.0x0ff.info
Appel à contributeurs Cette newsletter mensuelle s’adresse à
une communauté ciblée et se construit
sur un modèle collaboratif, s’inspirant
d’une démarche open source dans le
souci d’un par tage de connaissances.
De fait , elle vit et s’enr ichit de ses
contr ibuteurs, pour la plupar t des
exper ts dans leurs domaines respect ifs,
et de fait nous sommes toujours à la
recherche de contr ibut ions diverses.
Si publier par notre biais vous intéresse,
n’hésitez pas à nous à contacter pour
en discuter plus en détails.
Cordialement,
La Rédact ion
War R@M vous est proposée le dernier vendredi de chaque mois
et est disponible en ligne. C’est une publicat ion libre, vous pouvez
donc la par tager sans réserves, à condit ion de respecter la
propr iété intellectuelle des personnes qui y publient.
Vous pouvez aussi suivre notre actualité et bénéficier de nos
ressources en ligne par le biais de notre compte Slide Share : http://fr.slideshare.net/WarRam
0
Attaque "suspecte" de
type HTTP
Attaque sur les Couches Basses
Pare-feu Standard
Pare-feu WAF
Requête légitime
Réponse d’un WAF à une attaque Ainsi en ident ifiant cer tains points
d’entrées sensibles, il est possible
d’interdire l’enregistrement de ces
données par le W AF – en remplaçant
par exemple le contenu des paramètres
"telephone", "adresse" ou "motdepasse"
par des astér isques lorsque la requête
se retrouve dans les logs. Mais encore
faut-il que ces fonct ionnalités soient
configurées cor rectement…
Quid du DLP ?
Le DLP marche dans l’autre sens. Le
DLP est une branche du DPI, il fait
référence au contrôle des informations
sor tantes. Cette technologie permet par
exemple d'effacer ou modifier les
réponses émises par les serveurs
contenant des informations qui ne
devraient pas se trouver là. Où plus
prosaïquement, de bloquer les pages
demandées par l'ut ilisateur lorsqu’elles
contiennent ces fameuses données
sensibles.
Et HTTPS dans tout ça?
Ne vous leur rez pas, ce n'est que
poudre aux yeux ! En fait ce que vous
garant it un protocole HTTPS, c’est
qu’entre votre ordinateur et le frontend
(frontière entre internet et
l'infrastructure portant l'application ou le
site auquel vous accédez) le trafic est
chiffré, ce qui est déjà pas mal vous me
direz. De fait , cette configurat ion
immunise plus ou moins contre les
attaques de type MITM , mais une fois
que vos données atteignent cette
front ière... celles-ci sont potent iellement
déchiffrées et lues. Et c’est là où le bât
blesse.
L’outsourcing et le risque (éternel) de
l’Inside Job
Qui contrôle le frontend ? Qui peut lire
vos données? L’entrepr ise fournissant le
service auquel vous accédez pardi !
Celle-là même qui vous garant it une
par faite confident ialité. Mettons que
cette dernière soit moralement
ir réprochable et n’ut ilise donc pas les
données de leurs utilisateurs…
War R@m – Mars 2014
SUITE ARTICLE P.9