La vidéo du mois

« Ils ne savaient pas que c’était impossible, alors ils l’ont fait ».

A bien des égards, cette citation de Mark Twain peut se rapporter à l’aventure commune qu’est la W ar R@m. Commencée dans la discrétion, notre lettre d’information a rapidement trouvé son public, nous mettant dans l’obligation de nous dépasser.

Pour répondre à ces attentes, nous avons décidé d’augmenter sensiblement le volume de cette dernière qui passe de dix pages contre six auparavant :

La rubr ique veille 360° se subdivise désormais en trois catégories : cybersécur ité – cyberdéfense – cyberculture.

"Les Experts", "Out-of-the-Box" et "Pimp my Opsec" gagnent une page supplémentaire, por tant notre lettre d’information à 10 pages au total.

Une augmentation quantitative n’est pas synonyme de baisse qualitative, et les contr ibuteurs de ce mois nous ont gâté par l’or iginalité de leur publication. Ainsi nous retrouvons :

Dans la rubr ique Les Experts une excellente analyse sur la Syrian Electronic Army et la récupération du discours hacktiviste

Dans la rubr ique Out-of-the-Box, une interview avec Thierry Berthier, du blog Cyberland sur les liens entre algor ithmes et cyberarme

Dans la rubr ique Pimp my Opsec, une mise à nue très intéressante du pare-feu W AF par 0x00 info, propr iétaire du blog éponyme.

Cyberarme, hacktivisme, espionnage… Des outils et des notions qui se démocratisent, quittant le giron des élites pour mieux pénétrer les mondes de l’entrepr ise, de la société civile, du militaire. Aujourd’hui plus que jamais souffle un vent de changement numér ique qui bouleverse les codes établis et nous pousse à nous réinventer , constamment, suivant le concept d’antifragilité, cette résilience évolutive que décr it l’un de nos contr ibuteurs de ce mois.

Ensemble, suivons les conseils de Mark Twain et ne posons pas de limites à ce qu’il nous est possible de faire : puisse cette RAM vous vous apporter une meilleure compréhension de ce qui se passe sous les circuits du cyberespace.

Cyberarme en 3D

Les cyberarmes sont à l’honneur pour cette RAM

de mars. L’occasion de vous offr ir l’une des pires

scènes de construction d’un worm jamais vue au

cinéma.

Issue du film Opération Espadon, avec John

Travolta et Hugh Jackman, cette scène ne nous

épargne aucun poncif : les touches tapées à toute

vitesse, le "Access Granted" en majuscule, et le

malware en 3D….

Un moment magique!

L’E-DITO

Sommaire

Les gros titres

THE WAR R@M

L’Edito 360° Les Experts Out-of-the-Box Pimp my Opsec

#Syrian ElectronicArmy #CyberArme #WAF

#DPI #DLP

• Retrouvez aussi nos publications sur notre Slideshare.net/ W arRam

• Envie d’en savoir plus? Contactez-nous: redaction.warram@spray.se

• Les contr ibuteurs associés à ce numéro, pour leur contr ibut ion et leur sout ien, visible ou invisible

: @0x0ffinfo, Emmanuel Gorand, Thierry Berthier, @leroycyber, @ncaproni @Mduqn

DE L’ANTIFRAGILITE

FOLLOW THE W HITE RABBIT

Mars 2014

2

Target: « écartez ces failles que je ne saurais voir… » Nouvelle révélat ion dans l’affaire Target. Il semblerait que, contre

toute attente, le distr ibuteur aurait été prévenu des failles de

sécur ité 2 mois avant le vol massif dont il a été vict ime.

Cette information jette un regard nouveau sur la nature du

piratage. Si ce dernier a bien été rendu possible grâce au vol des

ident ifiants d’un sous-t raitant de Target, on ignorait jusqu’à

présent comment les cybercr iminels s’étaient introduits dans le

système du distr ibuteur . Il semblerait que la découver te des failles

deux mois auparavant explique le "hack", tout en relançant

l’hypothèse d’un complice au sein même de la compagnie.

360°

L’Opération Snowman a-t-elle éclaboussé le secteur aéronautique français? Avis de tempête sur le secteur aéronautique français. Alors que l’Opération Snowman (Bonhomme de neige en anglais…) semble donner du fil à retordre aux vétérans militaires amér icains, le GIFAS (Groupement des industr ies françaises aéronautiques et spat iales) et la Snecma, filiale du groupe Safran, semblent avoir été touchées par une faille cr it ique (CVE-2014-0322 ) du navigateur Internet Explorer. Jusqu’à présent, les circonstances du piratage restent floues. Si la méthode ut ilisée est “pointue techniquement” (méthode du point d’eau), on ne sait pas si l’offensive est une réussite. Pour le Figaro, citant un exper t anonyme, l’at taque remonterait à janvier et ut iliserait un logiciel différent de celui ut ilisé contre les vétérans amér icains, ce qui laisserait supposer l’existence de deux groupes cybercr iminels dist incts. Pour les techniciens avides d’aller plus loin : Selon les informations délivrées par la société de cybersécur ité FireEye à l’or igine de la découver te de l’at taque, l’exploit ut ilise une vulnérabilité présente sur Internet Explorer 9 et 10 , et ut ilise un langage Act ion Scr ipt pour contourner le mécanisme de protection ASLR. Une fois cela fait , les attaquants mettent en place un programme ROP afin de contourner un disposit if DEP (Data Execution Prevention) et permettre l’exécut ion de leur malware, camouflé en fichier Jpeg, à par t ir d’une page W eb donnée. Une attaque très complexe donc, qui met à mal des disposit ifs de sécur ité très élaborés.

Cybersécurité & Entreprises

Les plus gros piratages de données en une infographie Une infographie interactive permettant de voir les plus gros piratages de données dans le monde a été mise en ligne par un journaliste indépendant. L’infographie permet différentes méthodes de tr is et de filt rage (moyen ut ilisé, année, secteur touché) et il suffit de cliquer sur le cercle représentant une attaque pour être redir igé vers le rappor t de sécur ité le concernant. Ludique et prat ique!

EC Council, site de hacker éthique, a été piraté Le site EC Council a été "défacé" fin févr ier par un pirate inconnu. Les données de 60 ,000 professionnels de la sécur ité sont potent iellement en danger et, cer ise sur le gâteau, le cracker aurait eu accès à une copie du passepor t d’Edward Snodwen. Dans un message, le cybercr iminel déclare avoir obtenu des milliers d’ident ifiants de connexion, pour cer tains appar tenant à des militaires amér icains.

Un « pot de miel » pour protéger ses données Deux chercheurs de l’université de W isconsin auraient développé une nouvelle méthode de chiffrement basé sur le pr incipe du leur re. Ajoutant une couche supplémentaire de protection, cette méthode de chiffrement permet de dissimuler les vraies données au milieu d’un flot de données aléatoires et générées automatiquement afin de rendre leur exploitat ion impossible. L’intérêt de cette méthode vient du fait qu’elle laisse croire aux attaquants qu’ils ont obtenu un accès légit ime aux données en générant, à chaque tentative de craquage, de fausses données. Cette méthode a été baptisée "Honey Encryption", représenterait , selon son créateur , une ult ime bar r ière dans le cas d’un piratage.

La vitesse, clef de voûte de la protection des données Une étude de la société Ponemon vient enfoncer les por tes

ouver tes en disant tout haut ce que l’on pense tout bas. La

vitesse serait l’élément clef de la gest ion d’une cyberattaque,

qu’il s’agisse de vitesse de détect ion ou de pr ise en compte

d’un problème.

Or, à l’heure actuelle, il semblerait que la lenteur dans la pr ise

en compte d’un incident informatique est la norme, tout du

moins aux Etats-Unis.

La société suggère donc que les compagnies devraient mettre

en place une résolut ion automatique des incidents, un système

de hiérarchisation des menaces et la mise en place d’une veille

en temps réel de la cybersécur ité.

War RAM – Mars 2014

3

360° Cyberdéfense

L’Europe face à la cybercriminalité Après avoir été la vict ime insouciante d’une attaque DDoS de

grande ampleur , de piratage et de ransomwares, l’Union

Européenne veut relever la tête.

Ainsi, lundi 10 févr ier , celle-ci a présenté son premier

rappor t sur la cybercr iminalité, rédigé par le centre EC3 .

A l’échelle européenne, le centre aspire à défendre les

internautes contre les arnaques bancaires, les "sextorsions"

tout en cont inuant à lutter contre la pédopornographie.

Une init iat ive louable et un début de réponse plus ou moins

sat isfaisant.

Coup de comm’ et promesses en l’air Que W ashington tremble ! Que la NSA se repente ! La chancelière

allemande veut bât ir , en coopération avec la France, un réseau de

communications exclusivement européen. Hélas, le concept fait

jaser . Sur les plans physique, économique et technique, l’idée

relève en effet du miroir aux alouettes, une sor te de marronnier un

peu ir réaliste qui semble pour tant séduire les sénateurs français.

La preuve étant, les proposit ions de la chancelière au lendemain de

la réunion avec Hollande entretenait l’ambigüité. Au final, il

semblerait que cet Internet européen consisterait avant tout à

mettre en place un cadre jur idique obligeant les données à rester

en Europe. Une balkanisat ion a minima, en somme?

Le Royaume-Uni pourrait (encore) abandonner Microsoft Grande nouvelle, le gouvernement br itannique pourrait de nouveau

abandonner M icrosoft pour des solut ions open source. L’idée,

séduisante sur le papier , permettrait d’économiser près de 200

millions de livres.

Hélas, la promesse n’est pas nouvelle. Des tentatives de migrat ion

vers des logiciels open source en 2002 et 2010 n’avaient pas

réussi à susciter l’engouement de l’administrat ion.

FARC vs Colombie: le combat se poursuit sur le Net La lutte histor ique entre les FARC et l’Etat colombien trouve

aussi écho sur Internet. Alors même que Bogota a entamé des

négociat ions pour obtenir une paix durable entre les forces

révolut ionnaires, une unité militaire colombienne (Andromeda)

aurait surveillé les communications des négociateurs dans un

but encore trouble.

Mais les FARC ne sont pas en reste, puisque ces derniers

disposeraient également d’un groupe de pirates pour espionner

le gouvernement et les forces de police, selon une information

relayée par le quot idien colombien El Tiempo.

Cyberdéfense: le réveil français La cyberdéfense française va (enfin) combler son retard. Pour ce faire, le

gouvernement mult iplie les act ions. Le réveil français a deux volets :

• La mise en place d’un "pacte Cyber", et le déblocage de 1 milliard d’euros de

budget dédié (dont 400 millions pour la modernisation des infrastructures).

• La "relocalisation" des messager ies tr icolores sur le ter r itoire et le

chiffrement des réseaux de l’Etat – en bref, l’extension des protocoles

SSL/ TLS, voire des clefs PGP, à toutes les messager ies françaises (les

"bretelles" et la "ceinture" pour paraphraser Stéphane Bortzmeyer).

Une décision réaliste mais tardive qui pourrait faire sour ire les exper ts… Ce

serait oublier "qu’un voyage de mille lieues commence toujours par un pas".

Bas le Mask! Le malware Careto dévoilé Après Stuxnet, Careto s’imposera cer tainement dans les mentalités comme l’un des malwares les plus sophist iqués jamais créés. Contrairement à Stuxnet, ce malware n’a pas pour but d’infliger des dégâts physiques (il n’entre pas donc dans la catégor ie floue des "cyberarmes"). Dévoilé par les exper ts de Kaspersky Lab, l’object if du Mask (son autre pet it nom) serait d’espionner des cibles à haute valeur ajoutée (Etats, gouvernements, missions diplomatiques). Act if depuis 2007 environ, il aurait impacté près de 30 pays, dont la France, en interceptant tous les canaux de communication et en recueillant les informations les plus essentielles de l’ordinateur touché. Les chercheurs de Kaspersky excluent de facto l’idée que des cybercr iminels seraient der r ière cette act ion tant le degré de sécur ité semble anormal. Autre facteur étrange, les pirates de Careto semblent par ler espagnol, une langue très rare dans l’ADN des cyberattaques… Manœuvre de dissimulat ion ou vrai mystère?

War RAM – Mars 2014

Pony Pony Run Run A rebours de la dégr ingolade "boursière" du Bitcoin, la firme

de cybersécur ité TrustW ave aurait fait une découver te

surprenante. Un malware, répondant au doux nom de Pony,

aurait infecté un nombre faramineux d’ordinateurs dans le but

de dérober les monnaies vir tuelles.

Plus que la complexité du logiciel, c’est l’étendue de la

propagation qui interpelle les chercheurs en cybersécur ité, qui

par lent de centaines de milliers de machines touchées.

Ne reste plus qu’aux vict imes qu’à faire mauvaise for tune bon

cœur : si la dépréciat ion du Bitcoin se poursuit , ils n’auront

finalement pas tant perdu que cela.

4

360°

L’Internet des objets, un marché à plusieurs zéros Et si le pétrole de demain n’était pas la Data, mais les

objets connectés qui l’exploitent? Une étude très récente

de BI Intelligence, la section d’études prospectives de

Business Insider, prédit l’explosion de « L’Internet des

objets » d’ici à 2018 .

Pour être précis, le marché du Machine-to-Machine sera

supér ieur ou égal aux marchés des smartphones, des

télévisions, des tablettes, des ordinateurs et des

ordinateurs portables combinés. Une manne financière de

plusieurs milliards de dollars selon les estimations de BI

Intelligence. Ces prospectives soulignent en réalité un

phénomène de fond : l’accélération de l’hybr idation

réel/ vir tuel, au point où les deux concepts ne soient

finalement pas si éloignés que cela.

Une raison de plus pour pousser le code à l’école…

Memex, le Google du Web profond La DARPA, le dépar tement de l’armement amér icain, a lancé un

appel d’offre pour l’élaborat ion d’un moteur de recherche du W eb

profond. Une analyse de l’appel d’offre (42 pages) laisse à penser

qu’il ne s’agira pas de faire des recherches sur les DarkNets, mais

plutôt de faire de fouiller les recoins du W eb invisible – base de

données, forums en accès fermé, etc.

D’ailleurs, la DARPA insiste, le projet sera respectueux de la vie

pr ivée de tout un chacun. Si c’est eux qui le disent…

La Trilogie du Bitcoin Le Bitcoin aurait -il perdu de son attrait ? Ou est-ce l’explosion de la bulle qui rend fr ileux les internautes? Toujours est -il que la monnaie vir tuelle est dans une mauvaise passe. Si sa volat ilité a toujours été au cœur de la polémique, la succession de trois catastrophes pourrait donner le coup de grâce à la devise numér ique : - Premièrement, les prises de position répétées de certains

Etats mettant en garde ou interdisant derechef la devise. - Deuxièmement, la découverte d'une vulnérabilité technique dans

le code-source du Bitcoin qui aurait permis un vol à grande échelle – Silk Road aurait notamment été dévalisé.

- Troisièmement, l’effondrement de MtGox, l’une des plus grandes plateformes d’échange de Bitcoin est une catastrophe pour le secteur .

Face à cette succession de coups durs, d’aucuns prédisent déjà la fin du Bitcoin, qui n’aurait été finalement qu’une parenthèse du Net. Gardons-nous bien, toutefois, de toutes cer t itudes pour l’instant.

Données personnelles et recherche médicale Une coalit ion de médecins, de scient ifiques et d’universitaires

monteraient au créneau à Bruxelles contre le projet de

protection des données personnelles de l’UE. Selon eux, ce

dernier pourrait à terme menacer les recherche et les progrès

permis par les nouvelles technologies, notamment dans le

domaine du Big Data.

A l’heure actuelle, les scient ifiques proposeraient une voie

médiane qui passerait par l’anonymasiat ion des données et un

maillage complexe de protection jur idique.

Cyberculture

War RAM – Mars 2014

LA RÉCUPÉRATION DU DISCOURS HACKTIVISTE

Les ennemis de l’extérieur, d’abord.

Depuis le début de la révolut ion, Bachar

El-Assad cherche à la présenter comme

une offensive venue de l’étranger . Si,

depuis l’ar r ivée en force de djihadistes,

cette affirmation n’est plus tout à fait

fausse, elle vise à cacher que la

révolut ion syr ienne est née à l’intér ieur

même du pays. SEA a tout fait pour

accréditer cette thèse du “complot de

l’étranger”, avec deux pays en cause :

l’Arabie Saoudite et le Qatar.

L’hypothèse peut faire sour ire, tant il est

peu probable que ces deux r ivaux

agissent de concer t. En janvier 2013 ,

SEA publiait le site “Qatar leaks”, une

sér ie de documents que le groupe

affirme avoir dérobés sur le ministère

des affaires étrangères du Qatar . En

octobre 2013 , le groupe attaquait le

registraire de premier niveau du pays.

En mai de la même année, c’était le

ministère de la défense saoudien que les

pirates affirmaient avoir infilt ré.

On peut aussi rappeler , en avr il 2012 ,

la pr ise de contrôle temporaire des

comptes de la chaîne saoudienne Al-

Arabiya sur Facebook et Twit ter. Nous

passons rapidement sur d’autres

ennemis habituels évoqués par Bachar

El-Assad : Israël et les Etats-Unis, qui

sont les cibles régulières d’hackt ivistes

venus du monde musulman (on peut

penser au groupe AnonGhost, par

exemple).

A l’inverse, au crédit de ceux qui

analysent la situat ion géopolit ique

syr ienne en affirmant que les groupes

djihadistes sont les alliés object ifs de

Bachar El-Assad, SEA ne s’est pas

dist ingué par l’at taque de sites liés à Al-

Qaïda ou aux djihadistes.

Les ennemis de l’intérieur, ensuite ;

autrement dit , les rebelles syr iens. Sur

ce point, la collusion entre le régime et

SEA est plus difficile à établir . On me

pardonnera donc quelques conjectures.

SEA a attaqué 4 éditeurs d’applicat ions

liées à la communication mobile ou à la

VoIP : Tango, Viber, True Caller et

Skype.

Pour les trois premiers, le groupe serait

parvenu à dérober tout ou par t ie de la

base de données des ut ilisateurs des

services. Informations précieuses pour

un régime qui cherche à ident ifier les

moyens de communication des

opposants, dans un pays où le pr incipal

opérateur téléphonique du pays est

dir igé par un cousin du président Assad,

Rami Makhlouf.

L’équipe dir igeante en Syr ie a décelé

t rès tôt l’intérêt économique des

technologies de la communication :

qu’elle voit l’usage polit ique qu’on peut

en t irer ne devrait pas nous surprendre.

(Suite p.6 )

5

L’histoire polit ique contemporaine de la Syr ie offre un cas d’école d’oppor tunisme idéologique. Le régime a été socialiste laïque ; il a pr is un tournant libéral, aussi bien en matière économique que religieuse; et au début de la révolut ion, Bachar El-Assad tentait sans succès de se présenter en réformiste. Ces postures cachaient une autre réalité : la dominat ion de la secte Alaouite sur le pays ; la construction d’un empire économique aux mains de la famille au pouvoir ; une révolte écrasée dans le sang. Bref, la famille Assad s’empare du discours à la mode, dans le but de charmer les opinions du monde arabe et du monde occidental à la fois. L’hackt ivisme pourrait être l’une des nouvelles facettes de cet oppor tunisme. Deux mots d’abord sur l’hacktivisme, souvent jugé sans intérêt par les observateurs. Les techniciens seront les premiers à r ire des script kiddies. Le journal Reflet est tombé en plein dans cette er reur, en posant la quest ion : “Sont -ils aussi for ts qu’ils le disent et que leurs cibles le laissent entendre ?” Les géopolitologues se concentreront plutôt sur les réseaux sociaux. Les analystes en sécurité, enfin, s’en désintéresseront au profit des menaces état iques, à l’heure où l’espionnage venu de Chine ou des Etats-Unis sont plus vendeurs. On peut répondre qu’un piratage ne se juge pas à sa qualité technique, mais à ses effets ; que les réseaux sociaux sont pilotés par des minor ités act ives ; qu’enfin, l’hackt ivisme est par fois le masque commode employé pour dissimuler les act ions d’un Etat. Le célèbre “APT-1 ” décr it par Mandiant était d’abord connu dans les milieux pirates comme le groupe “Comment Crew”. Le groupe Syrian Electronic Army (SEA) est un bon exemple d’hackt ivisme au service d’un État. Beaucoup a déjà été écr it sur la collusion entre SEA et le régime syr ien. Nous voulons simplement montrer comment, le masque de l’hackt ivisme ser t trois object ifs de ce régime: la lutte contre les ennemis de l’extérieur, celle contre les ennemis de l’intérieur et enfin la propagande.

LES EXPERTS

Capture d’écran du fichier leaké par la SEA contenant le vol des données des utilisateurs de Forbes

War RAM – Mars 2014

6

L’Electronic Frontier Fondation et Citizen Lab

étudient depuis deux ans l’espionnage

informatique dont sont vict imes les rebelles

syr iens et les ONG qui plaident leur cause.

Leur dernier rappor t ne laisse aucun doute

sur l’existence de campagnes d’espionnages.

On ne peut prouver que SEA contrôle les RAT

distr ibué par phishing ou via des

commentaires laissés sur les pages Facebook

ou sur des vidéos YouTube de

révolutionnaires. Cependant, dès juin 2011 ,

Citizen Lab att irait l’attention sur le fait que

SEA était derr ière l’attaque de plusieurs

pages Facebook d’insurgés. De même, le

phishing semble être la technique pr ivilégiée

de SEA.

La propagande, enfin. C’est sans doute là où

SEA est le plus efficace. Une intervention

contre le régime dépend avant tout de

l’opinion occidentale, mais celle-ci est toujours

prompte à imaginer que la dictature reste la

meilleure façon d’empêcher l’ar r ivée au

pouvoir de groupes religieux extrémistes. D’où

le storytelling de Bachar El-Assad et de

Vladimir Poutine qui vend l’image d’une Syr ie

mise à feu et à sang par des groupes

islamistes. Il faut pour cela détourner

l’attention sur les exactions du régime et

mettre l’accent sur les rebelles les plus

radicaux. SEA est le relais fidèle de cette

stratégie, montrant que l’hacktivisme est un

ressor t majeur du soft power.

En novembre 2013 , SEA prenait le contrôle

de la page Facebook du journaliste et activiste

Matthew Van Dyke, connu pour son soutien à

la révolution syr ienne. Si on avait pu voir , par

le passé, SEA s’en prendre à des journaux,

une attaque aussi ciblée montre bien un

effor t calculé d’attaquer en pr ior ité à leurs

adversaires idéologiques les plus motivés.

Plus généralement, tout média qui met en

avant le non-respect des droits de l’homme

par le régime s’att ire l’attention de SEA. Le

piratage de CNN en janvier faisait suite à la

diffusion d’un repor tage sur la tor ture et les

exécutions dans les pr isons du

gouvernement. Le groupe présentait l’attaque

contre Forbes le 21 févr ier dernier comme

une réponse au côté « anti-syr ien » de la ligne

éditor iale du magazine.

Se présenter comme un groupe d’hacktiviste

ser t bien évidemment la propagande.

Les observateurs ont tous soulignés la

mutation de SEA. En mai 2011 , c’était un

groupe hiérarchisé agissant

essentiellement dans l’orbite du registraire

de premier niveau syr ien, organisme jadis

présidée par Bachar El-Assad.

Quelques mois plus tard, le groupe

ressemblait bien plus à Anonymous :

organisation décentralisée, niant

systématiquement tout lien avec le régime,

mettant en avant son côté international (la

diaspora syr ienne expliquant pourquoi ses

membres ne sont pas tous en Syr ie).

Les vidéos postées sur YouTube par le

groupe reprennent les codes d’Anonymous:

musique exagérément dramatique,

surabondance de couleurs bleutés et

métalliques, etc. Or l’hacktiviste bénéficie

d’un biais posit if auprès des populations.

Comme tout underdog, il tend à att irer la

sympathie du public. Bref, SEA contr ibue

au retournement des rôles qui vise à faire

de Bachar El-Assad une vict ime plutôt qu’un

bourreau. Cette propagande s’adresse

aussi bien au grand public qu’aux autres

hacktivistes, alliés potentiels. Dans un

milieu aussi por té sur la théor ie du

complot, SEA pouvait compter sur des

oreilles attentives en affirmant que le

régime syr ien était la vict ime de l’alliance,

si improbable soit -elle !, du Qatar, de

l’Arabie Saoudite et d’Israël.

Quand bien même, aujourd’hui, de

nombreux « Anonymous » condamnent SEA

et l’attaquent, le groupe peut maintenir aux

yeux de beaucoup l’image d’une petite

équipe de franc-t ireur ar r ivant à prendre

br ièvement le contrôle de la communication

d’Associated Press, du New York Times ou

de CNN ; de pour fendeurs de la “pensée

unique”.

On retrouve dans toutes ses actions aussi

bien la volonté de développer une ethos

d’hacktiviste (attaquer Microsoft parce

qu’on le soupçonne d’espionner ses clients)

que les buts de guerre que nous avons

présentés ici (chez Microsoft, attaquer

Skype, outil apprécié des insurgés).

Plus encore, d’autres groupes de la région

s’en inspirent. Le groupe Islamic Cyber

Resistance (ICR) a fondé un site

“wikileak.ir”, imitant cette fois le discours

de l’association fondée par Julian Assange,

et derr ière lequel on devine facilement les

intérêts de Téhéran.

Il nous paraît donc probable que les Etats

n’ayant pas les moyens techniques des

Etats-Unis ou de la Chine vont se tourner

vers l’hacktivisme sur le modèle de SEA

comme moyen de peser dans le

cyberespace. En plus de la cybercr iminalité

mafieuse et des campagnes d’espionnages

ou de sabotages, il paraît nécessaire

d’inscr ire, sur la liste des menaces à

surveiller de près, l’appar it ion de ce qu’on

pourrait qualifier de “soft power low-tech”.

Alors que le coût économique et technique

des intrusions informatiques diminue et que

l’accès à des outils toujours plus puissants

devient de plus en plus facile, minimiser le

r isque que pose l’émergence de groupes

hacktivistes nous paraît très imprudent .

Les attaques de SEA ne sont pas d’une

grande sophistication, c’est un fait. Et

comme la major ité des groupes

d’hacktivistes, leur communication est

pleine d’exagérations et de rodomontades.

Mais les résultats sont là. Voyez le tableau

de chasse de SEA ces deux derniers mois:

détournements de Microsoft, CNN, eBay,

PayPal ; 17 défacements en Arabie

Saoudite ; fuite des données de plus d’un

million d’abonnés à Forbes.

Par Emmanuel Gorand,

Analyste en cybersécur ité.

SUITE ARTICLE P.5 "Online Social Media in

the Syria Conflict:

Encompassing the

Extremes and the In-

Betweens«

Cette car tographie des

groupes en présence

en Syr ie, élaborée à

par tir des réseaux

sociaux, souligne une

situation complexe.

Légende:

Djihadiste – Or

Kurdes – Rouge

Pro-Assad – Violet

Modéré – Bleu

Communautés

multiples – Noir

Ref:

arxiv.org/ abs/ 14 01 .7

5 3 5

War RAM – Mars 2014

7

Tout d’abord, parlez-nous un peu de votre

parcours. Ce n’est pas très fréquent qu’un

enseignant chercheur en mathématiques à

l'université se retrouve à publier sur les

questions de cyberguerre !

En tant que Maitre de conférences en

mathématiques, j'enseigne au sein d'un

dépar tement informatique universitaire les

mathématiques pour l'informatique

(cryptographie, théor ie des graphes,

complexité, théor ie algor ithmique de

l'information, algèbre pour l'informatique). J'ai

commencé mes recherches par un doctorat en

théor ie algébr ique des nombres puis, j'ai assez

vite évolué vers la théor ie algor ithmique de

l'information. Je m'intéresse en par t iculier aux

situat ions de concurrences et de duels

algor ithmiques. Elles se mult iplient rapidement

et façonnent finalement les reliefs du

cyberespace.

On les rencontre dans un cadre ludique (le jeu

de combat en ligne, le jeu d'échec contre la

machine), dans un cadre commercial (les

stratégies des vendeurs-acheteurs sur eBay, le

Trading haute fréquence HFT) ou encore dans

le cadre de la cyberconflictualité, c'est-à-dire de

la project ion algor ithmique d'un conflit armé sur

l'espace numér ique. J'ai introduit t rès

récemment le formalisme inédit de project ion

algor ithmique d'un opérateur(* ). Cette not ion

project ive fournit une approche systémique

efficace des situat ions de concurrences ou

duels et s'inscr it pleinement dans le mouvement

rapide de la convergence NBIC

(Nanotechnologies, Biotechnologies,

Informatique, sciences Cognit ives) qui déforme

le cyberspace. C'est donc très naturellement

que je me suis dir igé vers les problématiques

relat ives à la cyberstratégie, la cybersécur ité, et

la cyberdéfense. L'approche transversale me

semble être alors la meilleure : discuter avec le

militaire, le gendarme, le jur iste, le sociologue,

le spécialiste des sciences cognit ives, le

psychologue, l'informaticien, ou le spécialiste

des infrastructures réseaux permet

d'embrasser les problématiques cyber avec des

opt iques dist inctes et complémentaires.

Dans votre Cyberchronique pour la Chaire Castex, vous évoquez souvent la nature algorithmique d’une cyberarme et son entrelacement avec le biologique (l’humain derrière la machine). Pouvez-vous préciser les termes ? Faut-il être bon en maths pour construire une cyberarme de qualité ?

Entrelacement est vér itablement le bon terme ! En effet, la convergence NBIC rapproche à grande vitesse les différents pr ismes d'analyse et ce n'est que le début. La croissance exponentielle du progrès va bouleverser les lignes et faire voler en éclats le cloisonnement des disciplines académiques, c'est une évidence que l'on a tendance à sous-est imer ou, pire, à occulter. Nous devons nous préparer et en par t iculier préparer la jeunesse actuelle aux changements technologiques disrupt ifs qu'elle devra assumer, intégrer ou subir ;

La montée en puissance globale de l’IA (Intelligence Artificielle, ndlr) et la fusion de l'espace réel avec le cyberespacevont s'accompagner de for tes turbulences qui impacteront

directement nos existences à toutes échelles. Nous devons donc préparer ces changements aujourd'hui et sur tout ne pas nous laisser distancer . De nombreuses nat ions ont par faitement intégré les enjeux sous-jacents et adaptent déjà leurs systèmes éducatifs, leurs t issus industr iels et leurs infrastructures de défense. La Silicon Valley en Californie, la siliconwadi en Israël, les pôles technologiques chinois, préfigurent les modèles de « Star t-Up Nations » .

Pour répondre à votre quest ion, à mon avis, non, il ne faut pas être bon en mathématiques pour construire une cyberarme de qualité. A mon sens, il faut être malicieux, astucieux, débrouillard, il faut faire preuve de sagacité et d'un sens prat ique développé: savoir “sent ir ” les réact ions de sa future proie et s'intéresser aux pet ites faiblesses humaines tout en profitant des biais et des automatismes biologiques qui faciliteront l'at taque.

(Suite p.8 )

W ar R@m s’est entretenu avec Thier ry Ber thier ,

tenancier du blog CyberLand et maître de

conférences en mathématiques.

Une rencontre r iche en enseignements!

THIERRY BERTHIER, CYBERLAND "POUR CONSTRUIRE UNE CYBERARME, IL FAUT ÊTRE

MALICIEUX, ASTUCIEUX, DÉBROUILLARD… "

OUT-OF-THE-BOX

Modèle de décomposition systémique d’une cyberattaque par Thierry Berthier

• Formulation d’une intention et définition d’une cible Phase 1

• Analyse des fragilités de la cible Phase 2

• Choix et construction d’une cyberarme adaptée Phase 3

• Activation de la cyberarme sur la cible Phase 4

• Impact de l’attaque sur les espaces physique et numérique Phase 5

• Retour du système à l’état initial Phase 6

War RAM – Mars 2014

8

Dernière question : peut-on imaginer, à

long terme ou dans un futur proche,

qu’une machine (supercalculateur,

ordinateur quantique) puisse réagir aux

attaques pour se renforcer elle-même et

ce de façon automatique ? Ou est-ce

impensable technologiquement ?

C'est une hypothèse qui me semble tout

à fait raisonnable à cour t terme ! La

société israélienne Aorato créée en

2011 vient d'ailleurs de développer le

premier firewall doté d'une « intelligence

artificielle » (je place des guillemets de

prudence car il faudrait s'entendre sur la

définit ion précise du terme IA...). Cette

Star t-Up vient de construire une solut ion

d'analyse et de surveillance str ictement

dédiée à l'Active Directory.

Le pare-feu d'Aorato détecte et analyse

les compor tements suspects, ce qui

permet de repérer avec succès les

intrusions host iles et de contrôler le

trafic réseau entre les serveurs et les

ut ilisateurs de l'annuaire. Le Firewall est

capable d'apprendre à détecter des

compor tements anormaux qui sor tent du

cadre d'une ut ilisat ion licite et qui

révèlent l'at taque. Le système apprend

et s'améliore. On sait construire depuis

longtemps de tels systèmes basés sur

des architectures en réseau de

neurones (le Perceptron mult icouche a

été inventé en 1957 !).

Ils sont aujourd'hui de plus en plus

per formants en profitant des puissances

de calcul grandissantes. L'analyse

bayésienne, les réseaux bayésiens

permettent également d'effectuer des

analyses rétro-actives en temps réel

pour ensuite renforcer les réponses du

système. Enfin , et c'est cer tainement

l'hor izon le plus prometteur, les futures

architectures neuromorphiques r isquent

for t de révolut ionner le calcul dans son

exécution. Il faudra rester

par t iculièrement attentif aux premiers

résultats issus du programme Human

Brain Project conduit par l'EPFL.

Ces duels algor ithmiques aboutissent

par fois à des « Flash Crashs » boursiers

qui restent imprévisibles et

spectaculaires.

Une notion qui a retenu notre attention

est la notion d’antifragilité, que vous

opposez à celle de résilience. Pouvez-vous

la préciser pour nos lecteurs ?

En simplifiant un peu, l'antifragilité

introduite récemment par Nassim

Nicholas Taleb (le théor icien du "Cygne

Noir", ndlr ) est une "super résilience", plus

dynamique, et plus intrusive sur le

système que la résilience classique.

L'antifragilité peut contraindre le système

à des mises à l'écar t de cer taines de ses

composantes jugées plus vulnérables à un

instant donné et peut aller jusqu'à la

neutralisation ou la destruction de ces

composantes qui globalement nuisent au

système.

L'antifragilité t ire bénéfice des effets de

bruits aléatoires dans la formulat ion des

réact ions du système; c'est là aussi une

caractér istique qui ne figure pas en tant

que telle dans la définit ion basique de la

résilience.

Vous avez élaboré une typologie des

dissymétries dans le cyberespace

(intentions, informations, temporalité,

etc.) : à vous entendre, l’avantage semble

être forcément du côté de l’attaquant…

Effect ivement, l'avantage est souvent du

côté de l'at taquant, c'est un constat

systémique qui est valable aujourd'hui,

c'est-à-dire juste avant que les systèmes

ne gagnent en autonomie et en capacité

d'analyse sémantique. Lorsque les

attaques seront décidées et init iées par

les machines sans influence humaine (ou

seulement lointaine) alors les rappor ts de

force pourront être modifiés car les

systèmes de défense réagiront sur les

mêmes échelles temporelles et

« computationelles ».

On commence d'ailleurs à ressentir ce

type de turbulences dans le trading

automatisé lorsque deux codes HFT

rentrent en concurrence sur des échelles

temporelles excluant la possibilité d'une

réact ion humaine.

Ci-haut, un supercaculateur (calculteur CURIE). Ce type d’ordinateur devient indispensable dans le cadre d’init iatives

telles que l’Human Brain Project ou pour aboutir à un renforcement automatique de la cybersécur ité.

SUITE ARTICLE P.7

Retrouvez plus d’analyses

détaillées de ce

contributeur sur son blog

dédié à la cyberdéfense :

CyberLand

War RAM – Mars 2014

LE WAF, CHIEN DE GARDE OU POUDRE AUX YEUX?

PIMP MY OPSEC

Le W AF, mode d’emploi

Concrètement, à quoi ser t un W AF?

Ce genre de solut ions offre une

flor ilège de possibilités pour renforcer

la sécur ité d’une infrastructure:

vér ifier que les cookies n’ont pas été

modifiés par le client, s’assurer que

vos paramètres HTTP (GET et POST)

ne cont iennent aucune chaîne de

caractères suspecte de type ../ .. ou

SELECT UNION… Pour faire simple un

W AF permet de faire le travail que

devraient faire les développeurs de

l’applicat ion pour assainir les données

qui transitent par ses points

d’entrées. La controverse soulevée

par ce nouveau paradigme

technologique est née de l’eccéité de

l’outil. Celui-ci n’est à pr ior i ni bon ni

mauvais, seul l’usage qui en est fait

peut être jugé moralement et

éthiquement.

Hélas, un W AF peut être employé de

façon hautement contestable... Ce

genre d’équipement permet

d’enregistrer, sous couver ts de

bonnes intent ions, les requêtes

émises vers une page quelconque en

fonct ion de cr itères arbitraires. Les

moins scrupuleux pourraient tout

aussi aisément ordonner la

modification à la volée de certaines

données saisies par l'utilisateur

lorsqu’elles traversent le W AF...

Votes en ligne, transactions

bancaires, forums et tr ibunes

d'expressions, le champ d'act ion est

large.

Inut ile de préciser que bon nombre de

constructeurs ont déjà saisi

l’impor tance de ces quest ions et se

méfient des législat ions qui poussent

comme du chiendent et qui pourraient

bien leur couper l’herbe sous le pied.

Prévoyants et enclins à ne pas être

montrés du doigt, ces derniers ont

d’ores et déjà intégré tout un

ensemble de fonct ionnalités

permettant (théor iquement) de

protéger les données personnelles

des ut ilisateurs.

(Suite p. 10 )

Si vous lisez régulièrement W ar R@m, il

est vraisemblable que les mots Data Leak

Prevention (DLP) ou Deep Packet

Inspection (DPI) ne vous soient pas

inconnus. Depuis les révélat ions de M .

Snowden, les débats, dossiers et enquêtes

traitant des implicat ions législat ives,

éthiques et géopolit iques inhérent à ces

deux concepts fleur issent un peu par tout

sur la toile. Mais malgré cette grande

visibilité, il est possible de s'instruire sur le

sujet sans jamais entrevoir le visage de

ces technologies complexes.

Qu’est-ce que le W AF?

Au cœur des concepts de DLP et de DPI,

on retrouve une technologie qui a du chien:

la W eb Application Firewall, couramment

appelée W AF. Désigné comme un pare-feu

(à tor t ou à raison), ce type d'équipement

permet de fouiller l'intér ieur des paquets

transportant vos données.

Il n’y a pas si longtemps, le terme pare-feu

recouvrait uniquement le contrôle de flux

de données, en se basant sur l’information

des couches basses (jusqu’à la couche

t ransport du modèle OSI - voir schéma ci-

contre), ce qui pour car icaturer permettait

d’interdire à l’accès à cer tains réseaux et

services en se basant uniquement sur les

adresses mac (ACL) de niveau deux, les

adresses IP de niveau trois, et les ports de

niveau quatre.

Le W AF est en somme un firewall ayant

pour but de protéger l’accès aux

ressources; on comprend aisément ce qui

est passé par la tête des ingénieurs l’ayant

baptisé "W AF". Car le but final de cette

technologie est bien l’interdiction de

certains flux en fonction de critères de plus

hauts niveaux que ceux utilisés par les

Firewall classiques (cf schéma p.10 ).

Cette technologie nouvelle n'est ni rare, ni

hors de pr ix, et c'est ainsi que le DPI et le

contrôle de nos données s'installent pet it à

pet it dans toutes nos entrepr ises…

Modèle OSI (Open Systems Interconnection)

War RAM – Mars 2014 9

Source: W ikipedia

Type de Donnée Couche Fonction

7. Application Point d'accès aux services réseaux

6. Présentation

Gère le chiffrement et le

déchiffrement des données, convertit

les données machine en données

exploitables par n'importe quelle

machine

5. Session

Communication Interhost, gère les

sessions entre les différentes

applications

Segments 4. Transport

Connexion bout à bout, connectabilité

et contrôle des flux. Intervient la

notion de portPaquet/Datagram

me3. Réseau

Détermine le parcours des données et

l'adresse logique (IP)

Trame 2. Liaison Adresse physique (MAC)

Bit 1. PhysiqueTransmission des signaux sous forme

binaire

Modèle OSI

Donnée

Couches Hautes

Couches matérielles

(ou basses)

Cependant, le problème demeure, car vous

aurez toujours une ou plusieurs équipes en

charge de l’infrastructure sur laquelle

t ransitent vos données. Ainsi les employés

chargés du W AF, du réseau por tant ses flux

de log, les serveurs traitant ces

informations, et ceux dédiés à leur stockage,

etc… auront accès à cette infrastructure, et

donc à vos données et donc à votre vie… Et

je ne par le ici que de la récupération

d'informations en ut ilisant le travail du

W AF...

Vous l'aurez compr is, aujourd'hui récupérer

en masse les données ut ilisateurs n’est plus

un challenge technique pour les entrepr ises.

Ni pour un individu d'ailleurs, car finalement il

suffit d’intégrer quelques semaines une

équipe exploitant l'infrastructure ciblée et de

ne pas se faire choper en plein copier -coller .

Par 0x0 ff.Info

@0x0ff.Info

Retrouvez plus d’analyses détaillées de ce

contributeur sur son blog dédié à la

cybersécurité: www.0x0ff.info

Appel à contributeurs Cette newsletter mensuelle s’adresse à

une communauté ciblée et se construit

sur un modèle collaboratif, s’inspirant

d’une démarche open source dans le

souci d’un par tage de connaissances.

De fait , elle vit et s’enr ichit de ses

contr ibuteurs, pour la plupar t des

exper ts dans leurs domaines respect ifs,

et de fait nous sommes toujours à la

recherche de contr ibut ions diverses.

Si publier par notre biais vous intéresse,

n’hésitez pas à nous à contacter pour

en discuter plus en détails.

Cordialement,

La Rédact ion

War R@M vous est proposée le dernier vendredi de chaque mois

et est disponible en ligne. C’est une publicat ion libre, vous pouvez

donc la par tager sans réserves, à condit ion de respecter la

propr iété intellectuelle des personnes qui y publient.

Vous pouvez aussi suivre notre actualité et bénéficier de nos

ressources en ligne par le biais de notre compte Slide Share : http://fr.slideshare.net/WarRam

0

Attaque "suspecte" de

type HTTP

Attaque sur les Couches Basses

Pare-feu Standard

Pare-feu WAF

Requête légitime

Réponse d’un WAF à une attaque Ainsi en ident ifiant cer tains points

d’entrées sensibles, il est possible

d’interdire l’enregistrement de ces

données par le W AF – en remplaçant

par exemple le contenu des paramètres

"telephone", "adresse" ou "motdepasse"

par des astér isques lorsque la requête

se retrouve dans les logs. Mais encore

faut-il que ces fonct ionnalités soient

configurées cor rectement…

Quid du DLP ?

Le DLP marche dans l’autre sens. Le

DLP est une branche du DPI, il fait

référence au contrôle des informations

sor tantes. Cette technologie permet par

exemple d'effacer ou modifier les

réponses émises par les serveurs

contenant des informations qui ne

devraient pas se trouver là. Où plus

prosaïquement, de bloquer les pages

demandées par l'ut ilisateur lorsqu’elles

contiennent ces fameuses données

sensibles.

Et HTTPS dans tout ça?

Ne vous leur rez pas, ce n'est que

poudre aux yeux ! En fait ce que vous

garant it un protocole HTTPS, c’est

qu’entre votre ordinateur et le frontend

(frontière entre internet et

l'infrastructure portant l'application ou le

site auquel vous accédez) le trafic est

chiffré, ce qui est déjà pas mal vous me

direz. De fait , cette configurat ion

immunise plus ou moins contre les

attaques de type MITM , mais une fois

que vos données atteignent cette

front ière... celles-ci sont potent iellement

déchiffrées et lues. Et c’est là où le bât

blesse.

L’outsourcing et le risque (éternel) de

l’Inside Job

Qui contrôle le frontend ? Qui peut lire

vos données? L’entrepr ise fournissant le

service auquel vous accédez pardi !

Celle-là même qui vous garant it une

par faite confident ialité. Mettons que

cette dernière soit moralement

ir réprochable et n’ut ilise donc pas les

données de leurs utilisateurs…

War R@m – Mars 2014

SUITE ARTICLE P.9