A quoi ressemble un "hack"?

A quoi ressemble un hack réussi? Cette lettre

d’information s’est suffisamment moqué des

stéréotypes hollywoodiens pour ne pas signaler

quand une scène de piratage est réussie.

Issue du film The Social Network, retraçant

l’histoire du fondateur d’un célèbre réseau social,

cet extrait montre le piratage des trombinoscopes

de l’université par Mark Zuckeberg.

La vidéo du mois

« La guerre civile est le règne du crime » (Ser tor ius, Acte I). Dans cette pièce, la plus polit ique de Corneille, deux camps s’affrontent : celui de Pompée, défenseur de l’Etat et celui de Sertorius, général des armées rebelles. L’un représente l’ordre républicain, l’autre le désir de liber té. L’un agit par devoir , l’autre par idéal. Les deux hommes, s’ils se tiennent sur des r ivages opposés, se vouent néanmoins une admiration mutuelle. Comment ne pas faire le parallèle avec l’actualité du cyberespace, qui semble étrangement coller à ce drame antique ? Entre les pro et les anti Snowden, par tisans d’un Internet libre ou d’une gouvernance renforcée, les communautés du W eb s’entredéchirent, par fois aux dépens de tout sens cr it ique. En parallèle, qu’on l’admette ou qu’on le cache, les cr imes liés au cyberespace montent, inexorablement. Cette lettre d’information n’a pas pour ambition de dire quel camp choisir ; son but est moins ambitieux. Avec cette RAM, nous souhaitons mettre à la por tée de tous des informations objectives pour que chacun puisse bâtir sa propre opinion. Ainsi, dans notre veille mensuelle, nous nous pencherons pr incipalement sur le cybercrime et son visage – les hommes, les méthodes, les circuits, sur l’usage de cyberarmes en Ukraine aussi, qui appelle à la prudence d’analyse, avant de conclure sur le développement de la gouvernance du Net. Parallèlement, nous avons la chance d’accueillir trois contr ibuteurs de qualité que nous remercions chaleureusement : CybelAngel pour les Experts, lauréat de la PME innovante au FIC

2014 et du concours Innovation 2030 , catégor ie Big Data 3C, dans la rubr ique Out-Of-The-Box, qui esquisse pour nous le

cadre jur idique complexe du droit du cyberespace @TomChop_, pour Pimp My Opsec, qui répond à nos questions

sur le métier d’Incident Handler Chacun à sa façon, nos contr ibuteurs nous offrent une vision moins opaque du cyberespace, afin de forger notre espr it cr it ique. Pour une fois, oublions les camps : et comme Pompée et Sertorius, aspirons à discuter , comprendre, se former, dans un respect mutuel et sincère. Bonne lecture.

L’E-DITO

Sommaire

Les gros titres

THE WAR R@M

L’Edito 360° Les Experts Out-of-the-Box Pimp my Opsec

#DroitDuCyber #CybelAngel #Incident Response

#Cybercrime #Uruboros #Digital Single Market

• Retrouvez aussi nos publications sur notre Slideshare.net/ W arRam

• Envie d’en savoir plus? Contactez-nous: redaction.warram@vistomail.com

• Les contr ibuteurs associés à ce numéro, pour leur contr ibut ion et leur sout ien, visible ou

invisible: @CybelAngel, @tomchop_, @SecuSystJuri, @lrcyber, @ncaproni, @Mduqn

DE L’ESPRIT CRITIQUE

FOLLOW THE W HITE RABBIT

Avril 2014

Le nouveau visage du cybercr ime

Botnets: Commande à distance, Keyloggers, Spam & Download. Ex: Zeus/ Zbot ($ 70 0 / $30 00 selon les versions), Butterfly ($ 9 0 0 )

Botnets simples: Fichiers exe.

contenant un malware.

Ex: Bredolab (min. $ 5 0 )

Remote Access Trojans (RAT): Attaques ciblées, contrôle de la webcam et captures d’écran à distance. Ex: Gh0 st Rat, Poison Ivy ($ 2 5 0 )

Exploit Kits: Vente d’exploit permettant l’attaque de sites web. Ex: Gpack, Mpack, IcePack, Eleonor ($ 1 K-$ 2 K)

Crypters, Packers, Binders:

Vente d’outils permettant d’éviter

la détection ($ 1 0 -$ 1 00 )

Code Source: Mise à disposition

gratuite et en ligne de code

source de malwares afin d’en

booster le développement.

360°

2 War R@M – Avril 2014

Conseil et mise en place de botnets ($350 -$400 )

Infection/ Propagation de malwares (~$100 / 1 ,000 éléments installés)

Spam: DDOS ($535 pour 5 heurs par jour / sur une semaine), Spam ($40 / 20 ,000 mails), Spam de sites web ($2 / 30 posts)

Assurance contre la Détection (Location d’outils de cryptage et de scans - $10 par mois)

Services de mule ou de transfert de fonds (Commission de 25%)

Casse de CAPTCHA: $1 pour 1000 CAPTCHA (la casse est réalisée par des êtres humains, payés $0 ,6 / 1000 C APTCHA)

Le marché noir de la cybercriminalité mobile en Chine Un chercheur de Trend Micro s’est intéressé au marché noir de la cybercr iminalité mobile. Détaillé et fourni, ce rappor t fait le tour des logiciels malveillants vendus par les cr iminels et s’intéresse spécifiquement au marché chinois, qui semble en plein essor . Ref: "The Mobile Cybercr iminal Underground Market in China", Trend Micro (2014)

Fait rare, l’entrepr ise de sécur ité Fortinet a rédigé un rappor t non pas sur la cybercr iminalité, mais sur les cybercriminels et les services/ outils qu’ils proposent. Cette publication, dont nous vous proposons un schéma récapitulatif ci-contre, se fonde sur des milliers d’offres parus sur des por tails de cybercr iminels pour en extraire la vision la plus objective possible. Car le cybercr ime n’est pas l’apanage d’adolescents cloîtrés dans leurs sous-sols, mais bien le reflet d’une cr iminalité méthodique, organisée, qui se développe, investit, recrute et propose en sous-main des services allant d’actes de piratages graves à des actes moins répréhensibles (Black SEO, VPNs). Un rappor t incontournable donc, qui évince les poncifs et vient en amont du récent rappor t sur l’analyse macroéconomique du cybercr ime réalisé par Rand Corporation. Réf: "Cybercr iminals Today M ir ror Legit imate Business Processes", Fortinet (Décembre 2013 ). "Markets for cybercr ime Tools and Stolen Data: Hackers’ Bazaar« , Rand Corporation (Mars 2013 )

Operation Windigo: Linux touché L’information a fait le tour de la toile. Ces deux dernières années, un cheval de Troie du nom de W indigo a infecté près de 25 ,000 serveurs Unix/ Linux, les transformant en plateformes de spams massives. En outre, selon l’OS, W indigo peut être plus agressif, avec l’installat ion d’un malware supplémentaire (W indows) ou se contente de diffuser des publicités et pop-ups pornographiques. Ref: ht tp:/ / www.welivesecur ity.com/ wp-content/ uploads/ 2014 / 03 / operation_windigo.pdf

Cybersécurité & Entreprises

Le Dirigeant:

Dir ige et s’assure du bon

développement de

l’organisation, conçoit le

business model et fixe le cap.

Le Recruteur:

Aide l’organisation à recruter

les Petites M ains dans le

cadre de campagnes

massives.

Le Développeur ou “Affiliate”: Aide le recruteur dans la création de programmes malicieux qui seront ensuite distr ibués aux Petites M ains.

La Petite M ain: Celui qui est réellement en charge de l’infection de masse et de la protection des réseaux cybercr iminels. Souvent recruté par le biais de por tails cybercr iminels.

Les Outils

Les S

erv

ices

Comment le cybercrime utilise les données volées On s’est tous déjà posés la question de l’après-piratage : que peuvent bien devenir nos données une fois dérobées? Selon W ade W illiamson, de Shape Security, le volume piraté lors de brèches est généralement trop impor tant pour que les cybercr iminels à l’or igine de l’attaque soient en mesure d’en exploiter les données. C’est à ce moment que la machine cybercriminelle se met en place. Les pirates vont vendre le gros de leurs données à un receleur qui vend ensuite ces dernières à des petits cr iminels ou d’autres organisations. S’il s’agit de données bancaires, celles obtenues récemment seront vendues très chères ($100) alors que de vieilles données, plus susceptibles d’être obsolètes, seront bradées. S’il s’agit d’identifiants de connexion, le pr ix de revente sera plus fluctuant. Ce dernier peut vite exploser si les identifiants donnent accès à plusieurs services et que le pirate a réussi à les lier ensemble. En revanche, une chose est certaine : les attaques ne sont souvent que le début d’actions de plus grande ampleur. D’où la nécessité d’être réactif et de prendre les mesures appropriées le plus rapidement possible.

Inria découvre une faille dans le protocole TLS La nouvelle a fait l’effet d’un

petit séisme (enfin, toute

propor tion gardée). Une

équipe INRIA / M icrosoft a

découver t une faille de

sécur ité impor tante dans le

protocole TLS, le pr incipal

mécanisme de sécur isation

des communications sur

Internet.

Les exper ts ont pu

démontrer qu’"un hacker

déterminé pourrait usurper le

cer t ificat de sécur ité via un

serveur malicieux".

Ce n’est ni la première, ni la

dernière fois que des failles

sont découver tes dans le

protocole TLS.

Cependant, les chercheurs

sont inquiets et appellent à le

refondre « en profondeur »

afin de garantir la sécur ité

des par t iculiers et des

entrepr ises.

A noter , que la faille a été

signalée six mois à l’avance

et qu’une solution a donc

d’ores et déjà été déployée.

Les H

om

mes

L’ECONOMIE DU CYBERCRIME

360°

3 War R@M – Avril 2014

Cyberdéfense

La DARPA veut l’aide du secteur privé La DARPA veut l’aide du secteur pr ivé

pour booster ses capacités de

cyberdéfense. Après Memex (cf. W ar

Ram de mars), l’équivalent amér icain

de la DGA (les moyens en plus)

souhaite garder la main haute sur le

cyberespace.

L’agence est prête à invest ir 5

milliards de dollars pour recruter des

talents et des professionnels du pr ivé

hautement qualifié. L’objectif assumé

est de développer l’état de l’art du

domaine et de produire de nouvelles

cyberarmes.

Mais l’appel d’offre ne s’ar rête pas là:

la DARPA veut aussi augmenter de

façon significat if la résilience des

réseaux IT et SCADA, et augmenter

les défenses des réseaux militaires et

des OIV amér icains.

L’Agent.btz, le chaînon manquant entre Snake et Red October?

Snake et Red October sont deux campagnes de cyberespionnage qui ont ciblé des infrastructures hautement sensibles et sécur isées en Europe. Là où Snake s’est appuyé sur le rootkit Uruboros pour mener à bien son travail, Red October aurait eu recours au malware Turla. Or des exper ts de Kaspersky Lab pensent avoir trouvé le chaînon manquant entre les deux: l’Agent.btz, un malware qui avait touché le Pentagone en 2008 . Les chercheurs de Kaspersky ont retrouvé chez Snake comme chez Red October des éléments de l’Agent.btz tels que des logs en commun, des lignes de code similaires ou la présence suspecte du fichier Thumb.dd. Autant d’éléments qui suscitent la cur iosité des exper ts, bien qu’à ce jour aucune cor rélation avérée n’est possible entre les deux campagnes.

La Syrian Electronic Army a-t-elle hacké le CENTCOM? La SEA aurait -elle encore frappé? Ceux qui se présentent volont iers comme hacktivistes (cf. W ar Ram de mars) prétendent avoir marqué un nouveau point avec le piratage du CENTCOM , le centre de commandement militaire central des Etats-Unis. Une information que ce dernier a formellement démentie. Pour étayer ses dires, la SEA a de son côté menacé de faire fuiter des documents classés Secret Défense. En attendant, le doute persiste et il est bien impossible de savoir si le site du CENTCOM a effect ivement été compromis, malgré les captures d’écran mises en ligne par les par t isans du régime de Damas.

Le Japon muscle sa cyberdéfense avant les JO Après le Royaume-Uni avec ses banques,

c’est au tour du pays du Soleil Levant

d’avoir organisé un vaste crash test au

niveau national.

Le but de l’exercice était d’exposer les

vulnérabilités du Japon en cas de

cyberattaque, en amont des JO de Tokyo

en 2020 . Pour ce faire, le gouvernement

Abe a engagé près de 50 cabinets

spécialisés alors que plusieurs hackers

étaient invités à pirater des sites

gouvernementaux et y implémenter une

vidéo Youtube comme signe de victoire.

L’intent ion est noble, d’autant qu’elle fait

appel à un public généralement peu

choyé par les gouvernements. S’il y a for t

à par ier que les résultats ne seront pas

divulgués, l’exercice a le mér ite de

prendre la mesure d’une éventuelle

cyberattaque de grande ampleur .

Les leaks de Rucyborg

En Ukraine, les coups viennent de

tous les côtés. En représailles à

l’implicat ion du Kremlin en Cr imée et

à Kiev, un hacker du nom de

Rucyborg a piraté des données

sensibles d’industr iels de l’armement

ainsi que des échanges de

l’entrepr ise russe spécialisée en

renseignement Search Inform.

Les leaks, disponibles en ligne via le

site CyberW arNews, sont volumineux

(près de 500 dossiers auraient été

téléchargés).

Attention cependant : il semblerait

qu’un cheval de Troie ait été

découver t parmi les fichiers mis en

ligne. Cette information jette un

cer tain trouble sur les motivat ions

exactes de Rucyborg.

Ref:

ht tp:/ / www.cyberwarnews.info/ 201

4 / 03 / 12 / russian-intel-and-spy-

company-searchinform-hacked-client-

apps-access-leaked-by-rucyborg/

http:/ / www.cyberwarnews.info/ 201

4 / 03 / 06 / russian-defence-export-

hacked-500mb-data-leaked-by-

rucyborg/

L’Ukraine: le conflit s’étend au cyberespace La situat ion géopolit ique en Cr imée att ire

l’at tent ion de tous les observateurs, et le

monde de la cyberdéfense n’est pas en

reste. Si on ne peut évidemment pas

par ler de cyberguerre, il est incontestable

que le conflit s’est transposé sur le Net.

Qu’il s’agisse de disséminat ion de

malwares, d’attaques DDoS contre

l’OTAN, d’act ions de désinformation ou du

fameux malware Uroboros/ Snake, la cr ise

ukrainienne appor te de nombreux

précédents… aux dépens des populat ions.

Pour mieux aborder la situat ion sous

l’angle géopolit ique, la rédact ion vous a fait

une sélect ion de quelques ar t icles de

chercheurs, en français ou en anglais, à

ne pas manquer :

Daniel Ventre:

ht tp:/ / pro.01net.com/ editor ial/ 616458

/ la-dimension-cybernet ique-de-la-cr ise-

ukrainienne/

Yannick Harrel: ht tp:/ / harrel-

yannick.blogspot.fr / 2014 / 03/ cyber -

cr imee.html

Kevin Limonier:

ht tp:/ / villesfermees.hypotheses.org/ 243

Jeffrey Carr:

ht tp:/ / jeffreycarr .blogspot.fr / 2014 / 03 /

russian-cyber -warfare-capabilit ies-in.html

Big Data et sécurité informatique, un duo gagnant? L’idée n’est pas nouvelle mais fait son chemin. Les professionnels de la sécur ité informatique envisagent de plus en plus d’invest ir dans le Big Data afin de croiser , recouper et obtenir la vision la plus complète possible d’une attaque.

360°

4 War R@M – Avril 2014

Politique Internet Commune L‘Europe doit se doter d’un marché unique européen du numér ique. C’est à demi-mot les conclusions que t isse un rappor t adressé au Par lement européen sur la situation économique des métiers liés à l’Internet. Cette absence serait , selon les rédacteurs, la raison pour laquelle l’Europe est à la traîne et qu’aucun géant de l’Internet européen n’a pu réellement émergé ces dernières années. Mais le rappor t ne se contente pas d’enfoncer les por tes ouver tes. Il revient également sur l’impact négatif des problèmes techniques, comme la connectivité ou le roaming entre Etats européens. En tout et pour tout, la publicat ion définit 7 grandes recommandations: Transposer le concept de libre circulat ion

des marchandises au W eb Explorer et s’inspirer de la conception des

modèles d’e-gouvernements (ex: Estonie) Développer le marché européen sur les

quest ions de streaming et d’open data Favor iser le concept de paiement par

vue/ clic Favor iser les solut ions de cloud européen Développer la cybersécurité, la neutralité du

net et la protection des données personnelles tout en favor isant le développement des objets connectés

Protéger la vie pr ivée en ligne face aux évolut ions diverses.

Full Disclosure List, c’est fini Full Disclosure Security List, ça vous par le? La newsletter, créée en 2002 , diffusait régulièrement des informations de sécur ité et prat iquait le Full Disclosure ou le Responsible Disclosure (cf. W ar Ram de janvier) fréquemment. Mais après une décennie d’existence, l’aventure a fait long feu. Poursuivi par un des membres de la communauté, les responsables de Full Disclosure ont décidé d’ar rêter les frais. Amers, ils est iment que la « communauté des hackers n’existe plus ».

Les Etats-Unis lâchent du lest sur l’ICAAN Les temps changent -ils? Après les

ravages de l’affaire Snowden sur leur

réputation, les Etats-Unis semblent

vouloir se racheter une virginité.

Cette opérat ion de reconquête

d’Internet et de ses acteurs

passeraient par une émancipat ion de

l’Icaan, la fameuse organisat ion

internationale qui dét ient

(lit téralement) les clefs d’Internet.

Jusque-là sous contrôle amér icain, le

contrat avec l’Icaan et le

gouvernement amér icain expirera en

2015 et ne sera pas renouvelé… au

profit d’un « nouveau modèle de

gouvernance mondiale ».

Une bonne nouvelle bien que le

modèle de gouvernance internationale

fait déjà débat, au regard des échecs

répétés essuyés ces dernières années

par des grandes organisations

internationales comme l’ONU.

Le réseau américain, colosse aux pieds d’argile Un rappor t gouvernemental amér icain a

récemment sonné l’alarme sur la

vulnérabilité du réseau aux attaques

« physiques », ciblant principalement ses

infrastructures.

Peu repr is, la publicat ion est ime pour tant

qu’il suffirait de mettre à bas 9 centrales

électriques pour per turber durablement

(au moins 18 mois) le réseau électr ique

et l’Internet amér icain : un gouffre

financier.

Or , une information, diffusée dans le

W all Street Journal, et très peu

médiat isée au niveau nat ional comme

international, fait gr incer des dents à la

Maison Blanche.

En févr ier , un commando aurait tenté de

mettre à bas une centrale électr ique, en

ciblant à l’aide de fusils sniper des points

névralgiques de la structure.

W ashington craint désormais des

attaques ter ror istes d’un nouveau genre,

visant à plonger les Etats-Unis dans le

« black out ».

Cyberculture

Thibault Reuille est un chercheur en cybersécur ité à OpenDNS et est par ailleurs amateur de data

vizualisation. Ici, le chercheur nous offre un graphique, baptisé Dandelion (Pissenlit), qui représente

comment des domaines malicieux (en rose) sont rattachés à un nombre restreint d’IP (en jaune).

Pour plus de data vizualisation mélangeant cybersécur ité et graphique, n’hésitez pas à visiter son tumblr :

thibaultreuille.tumblr.com

CYBELANGEL: “LA SECURITE ABSOLUE N’EXISTE PAS”

En quelques mots, pouvez-vous

nous présenter CybelAngel ?

Pourquoi ce nom, d’ailleurs ? Cybèle est la gardienne des savoirs

dans la mythologie grecque. C’était

notamment la gardienne des clefs. Et

Angel car on garde un œil ouver t pour

protéger au mieux nos clients.

Que fait-on ? Nous par tons du pr incipe

que les attaquants ar r ivent toujours à

trouver une por te d'accès dans une

société. A par tir de là, ils vont exfiltrer

des informations et les publier . Par fois

ce sont des données très impor tantes,

et le client doit être prévenu aussi vite

que possible pour pouvoir réagir .

Par fois, les données qu'ils trouvent ne

sont pas sensibles en soi, mais elles

sont déjà signe qu'il y a une faille, un

premier accès dans le système

d'information du client, dont des pirates

pourraient t irer profit pour de futures

intrusions plus graves.

Bref, il faut écouter les attaquants

potentiels, "connaître son ennemi pour

mieux se protéger."

Concrètement on a développé un

algor ithme qui va crawler à très haute

fréquence des sous-par ties du net qui

servent d’échanges, de publications ou

de revendications des attaquants.

Bien sûr , nous ne faisons aucune

intrusion et ne scannons que des

par ties publiques et ouver tes du net .

Enfin, une fois ces informations

détectées (préparations d’attaques,

échanges sur des vulnérabilités,

attaques réalisées ou échanges /

publications de données volées) on

prévient nos clients en moins de 24h.

(Suite p.6 )

5 War R@M – Avril 2014

Tout d’abord, félicitations pour votre victoire

au FIC 2014 cette année ! Que ressentez-

vous suite à cette récompense méritée ?

Avez-vous le sentiment d’avoir bénéficié

d’une prise de conscience générale dans

l’industrie ?

Tout d’abord merci ! C’est grâce à des

medias comme le vôtre que les états

d’espr its changent. Nous avons eu l’idée du

crawling haute-fréquence du web il y a 2 ans

et demi. A l’époque on rencontrait des

responsables de la sécur ité informatique

pour la première fois qui nous expliquaient

que s’ils perdaient une base de donnée

client ou des documents « ce ne serait pas

un drame » et « ça ne coûterait pas si cher

que cela ».

Avec le temps, nous avons compr is qu'il

fallait une démarche plus pédagogique que

technique. Nous allons voir les clients avec

des exemples concrets de documents très

sensibles leur appar tenant qui sont

disponibles en accès libre ou rendus publics

par les pirates.

Les démarches d’explicat ions à l’at tent ion

des dir igeants des grandes entrepr ises du

CAC40 de l’ANSSI ou d’autres organismes a

fait beaucoup de bien.

Expliquer notamment que la sécur ité

absolue n’existe pas dans ce domaine

contrairement à ce que vendent par fois les

sociétés tradit ionnelles de sécur ité

informatique est très sain.

Puis il faut bien avouer que Snowden est

aussi un excellent pédagogue.

LES EXPERTS

W ar R@m est allée à la rencontre de CybelAngel,

entrepr ise de cybersécur ité qui car tonne grâce à

ses solutions de Data Loss Detection.

Erwan Keraudy, le por te-parole de l’entrepr ise, a

accepté de répondre à nos questions.

« Contrairement à ce que vendent parfois les sociétés traditionnelles de sécurité informatique, la sécurité absolue n’existe pas. »

Ces deux dernières années, les per tes de données, qu’elles soient d’or igine cr iminelle ou

accidentelle, ont explosé et font les gros titres des médias. Au-delà de la per te d’image, les frais

engrangés et les factures dépensées en analyse des dégâts et compensation des usagers se sont

par fois comptés en centaines de millions.

6 War R@M – Avril 2014

Concrètement, comment votre algorithme réussit à ne rien manquer des informations sensibles ? Je suppose que derrière l’aspect technique, il y a un énorme travail de sourcing, d’autant plus que les plateformes d’échanges entre pirates doivent apparaître constamment. Sur les canaux les plus ut ilisés par les pirates, nous avons toujours récupéré les informations. Maintenant, le problème est qu'il y a de nouveaux canaux qui apparaissent très régulièrement et qu'il faut être capable de les suivre. Je vais essayer de répondre sans trop en révéler sur le fonct ionnement de notre technologie, mais grosso modo nous avons d'un côté une intelligence ar t ificielle qui ident ifie de nouvelles sources potent ielles, de l'autre un pôle d'analyse qui cherche lui-même de nouvelles sources.

SUITE ARTICLE P.5

L’analogie de l’iceberg est fréquemment utilisée pour décr ire

les différentes couches de W eb. Contrairement au W eb

visible, référencé par les moteurs de recherche, le W eb

invisible et autres Dark Net(s) contiennent près de 5 5 0 fois

plus de données que le W eb classique.

Cette par tie « immergée » du W eb est aussi très difficile à

crawler . L’outil de CybelAngel est donc une belle réussite

technique!

CybelAngel est une PME de cybersécurité basée en France.

Vous souhaitez les contacter? N’hésitez pas à visiter leur site: www.cybelangel.com

« Notre outil couvre à la fois le web invisible, le dark web et le deep web : tout cela est très complémentaire »

« En cybersécurité, la vitesse est

l’élément déterminant et

CybelAngel est vraiment pensée

pour offrir un temps de réponse

aussi court que possible. »

Le mot de la fin : comment voyez-vous

vôtre avenir dans les années à venir ?

Est-ce que vous pensez lorgner du côté

du Reverse Engineering ou du Data Loss

Prevention (DLP) ?

On fait déjà beaucoup de DLP, en

aver t issant les entrepr ises lorsqu'elles

sont visées par des menaces concrètes.

Sur tout, ces exemples peuvent aider les

DSI et le management à donner à la

sécur ité informatique le budget qu'elle

mér ite.

Nos projets sont nombreux, répondent

souvent à la demande des clients, dans

la prévention « intelligente » contre le

social engineering ou des contre-

mesures contre l’intelligence économique

par exemple.

Mais notre spécialité est de scruter le

dark web et le deep web. On a encore

beaucoup de choses à faire dans ce

domaine, on veut le faire bien.

2013 a été l’année où le cybercrime a explosé

dans les média .

Dans le cadre de ces cyberaffaires, quel est

selon vous l’élément déterminant d’une

politique de réponse à une attaque / perte de

données ?

La vitesse ?

En effet, je pense que la vitesse est l’élément

déterminant et CybelAngel est vraiment pensée

pour offr ir un temps de réponse aussi cour t

que possible.

Cependant, avant de penser à éviter

rapidement une menace, il faut déjà avoir

conscience de la menace. En discutant avec

des décideurs on trouvait encore cer tains

d’entres eux dans le déni.

A présent les mentalités changent et les

polit iques de sécur ité évoluent. Grâce au travail

de mise en garde de l’ANSSI notamment qui

semble par tager ses expér iences avec les

grandes sociétés françaises. Mais aussi grâce

aux dépar tements sécur ité / sûreté des

entrepr ises qui communiquent leur culture

« sécu » aux DSI par exemple.

Certaines sources se créent, d’autres se

font fermer… on suit cela minute après

minute et on s’adapte.

Nous avons fais notre devise de cette

citat ion de Darwin « Ce ne sont pas les

espèces les plus fortes ou les plus

intelligentes qui survivent. Ce sont celles

qui s’adaptent le plus vite à un

changement d’environnement. »

Est-ce que vôtre plateforme couvre

uniquement le W eb visible ou elle

s’attaque aussi à des pans du W eb

invisible (forums, base de données…) ?

Il couvre les deux, le web visible et une

par t ie du web invisible ou encore le dark

web et le deep web si on veut reprendre

des termes plus « marketeux ».

Et tout cela est très complémentaire.

C’est la force de l’out il que nous avons

développé.

7 War R@M – Avril 2014

Cette infract ion a été créée par la loi

Godfrain du 5 janvier 1988 (1 ) sur la

fraude informatique modifiée par la loi

de 2004 sur la confiance dans

l’économie numérique (2 ) qui a

pr incipalement augmenté les peines.

Quatre comportements sont

précisément punis :

• l’installat ion de programmes

espions (Sniffer) ou l’administrat ion

à distance frauduleuse du poste ;

• fausser le fonct ionnement d’un

STAD, une messager ie

électronique, par exemple.

• modifier les données d’un STAD

comme une offre commerciale

publiée sur Internet ;

• posséder un logiciel malveillant.

Toujours dans registre du pénal, il

existe les infract ions de la

cybercr iminalité qui concernent

l'ensemble des infract ions pénales

commises via les réseaux

informatiques, notamment, sur le

réseau Internet.

Ce terme désigne à la fois les

atteintes aux biens (ex: fraude à la

car te bleue sur Internet sans le

consentement de son t itulaire) et les

atteintes aux personnes (diffusion

d'images pédophiles, de méthodes

pour se suicider , de recettes

d'explosifs ou d'injures à caractère

racial, etc.).

(Suite p.6 )

DURA LEX, CYBER LEX OUT-OF-THE-BOX

Nul n’est censé ignorer… que le cyberespace compor te, outre des caractér istiques techniques complexes, des aspects jur idiques délicats. L’ambit ion de ce cour t ar t icle est de présenter et d’esquisser les contours de cette vaste matière qu’est le droit du cyber .

Définition La définit ion du concept de cyber n’étant elle-même pas ar rêtée et source de débats doctr inaux, il serait prétentieux d’affirmer que celle du droit le concernant soit clairement définie, d’autant plus, que foncièrement, le droit du cyber n’existe pas ! En effet, actuellement, il est seulement possible de dire que le droit du cyber ou droit de la sécurité des systèmes d’information (SSI) s’expr ime au travers des autres droits. Tel un patchwork, il est composé de l’agrégation des disposit ions jur idiques issues d’autres droits comme le droit pénal, le droit de la défense ou encore le droit des postes et télécommunications. Le droit du cyber n’a donc pas de corpus juridique dédié. Toutefois, il est quand même possible de circonscr ire son pér imètre. Le droit du cyber concerne, d’une par t et de façon str icte, la protection du système d’information en tant que tel et les réseaux ainsi que, d’autre par t et plus largement, la protection des informations et leurs qualités intrinsèques qui circulent sur de tels systèmes. Ainsi, le droit du cyber protège le contenant et le contenu à savoir le flux et les machines du cyber .

Champ d’application Les aspects jur idiques du droit du cyber sont divers et var iés, il est donc difficile de dresser un panorama exhaust if du droit du cyber . Le droit pénal a appréhendé assez tôt le droit du cyber avec notamment la répression de la fraude informatique ou plus précisément l’intrusion frauduleuse dans un système de traitement automatisé de données (STAD).

Le droit du cyberespace est un véritable

patchwork législatif qui se nourr it de

différents autres droits (pénal, civil).

C’est pourquoi notre contr ibutr ice 3C nous

propose de mettre de l’ordre dans ce

labyrinthe juridique.

Extrait de la Loi n°8 8 -1 9 du 5 janvier 1 9 8 8 , l’un des fondements jur idiques du droit du cyber ..

8 War R@M – Avril 2014

SUITE ARTICLE P.7

Autant pour la fraude informatique que pour la

cybercr iminalité, les atteintes au biens ou aux personnes

cités précédemment peuvent être punis d'une peine

d'empr isonnement assor tie d'une amende.

Dans d’autres registres, le droit du cyber incorpore ainsi

différentes jur idict ions, issues de plusieurs droits différents.

Premièrement, l’efficacité du droit se mesurant à son

pouvoir contraignant et donc aux sanct ions qu’il impose,

force est de constater que concernant le droit du cyber , les

sanctions sont légères et la jurisprudence faible.

L’exemple phare est la dernière sanct ion que la CNIL a

imposé à Google une amende de 150 ,000 euros (ndlr: le 3

janvier 2014 , la formation restreinte de la CNIL a prononcé

une sanct ion pécuniaire à la société GOOGLE Inc.) en raison

de la non-conformité des traitements des données

collectées par W ifi dans le cadre notamment des services

Google Maps, Street View et Latitude alors que Google a

réalisé presque 15 milliards de dollars de chiffre d’affaires

au troisième tr imestre de 2013 .

En ce qui concerne le cyberespace, le droit tâtonne et

cherche le juste équilibre relat if à la bonne propor t ionnalité

des sanct ions à mettre en place.

Deuxièmement, le droit du cyber réglemente une matière

innovante et mouvante.

Ainsi, par exemple, le concept du cloud computing ne fait

pour le moment l’objet d’aucune formalisat ion jur idique. Sur

le plan du droit , il demeure bel et bien vir tuel.

Or , le pr incipal enjeu lié au développement du cloud

concerne la protection des données personnelles et, plus

largement, des données de toutes sor tes, dès lors qu’elles

sont stockées dans le « nuage ».

Les quest ions du droit applicable et de la jur idict ion

compétente, qui sont classiques en cas de conflit de lois

n’en sont que plus complexes.

Et il en est de même pour le big data, le BYOD, le bitcoin,

etc.

Enfin, le droit du cyber touche une matière technique dont

les développements sont peu maîtr isés par les professions

judiciaires.

Au final, la construction du droit d cyberespace se heur te

au fait que la matière cyber qu’elle réglemente est elle-

même difficile à appréhender .

Toutefois, ce constat n’est pas alarmant car le droit a ceci

de formidable qu’il est garant à la fois de permanence et

d’adaptabilité. Cer tes, il est ut ile de créer des nouveaux

outils jur idiques tels la nouvelle loi de programmation

militaire (3 ) mais il est également impor tant de se rattacher

aux pr incipes classiques du droit tels la punit ion du vol qui

dans son pr incipe reste les mêmes sur Internet que sur

l’étal du marché.

Par 3C,

@SecuSystJuri

http:/ / securitedessystemesjuridiques.blogspot.fr/

Limites du droit du cyber

1 . Loi 1988 sur la fraude informatiquen°88 -19 du 5 janvier . 2 . Loi n°2004 -575 du 21 juin 2004 pour la confiance dans l’économie numérique.

3 . Loi n° 2013 -1168 du 18 décembre 2013 relative à la programmation militaire pour les années 2014 à 2019 et portant diverses dispositions concernant la défense et la sécurité

nationale.

La cybersurveillance des salariés, etc.

La protection des œuvres intellectuelles sur Internet via le disposit if HADOPI

Articles L3 3 1 -1 2 à L3 3 1 -3 7 du code de la propr iété intellectuelle.

L’hébergement des données de santé est soumis à une procédure d’agrément des hébergeurs(1 .) qui vise à

garant ir la sécurité et la confidentialité de ces données (2 .)

1 . Loi n°2 0 0 2 -3 0 3 du 4 mars 2 0 0 2 relative aux droits des malades et à la

qualité du système de santé. 2 . Article 2 2 6 -1 3 du Code Pénal

La protection des données à caractère personnel

Loi n°78 -17 du 6 janvier 1978 relative à l’informatique, aux fichiers aux libertés.

Le droit du cyber, un véritable patchwork juridique

THOMAS CHOPITEA: "LA MÉDIATISATION DES CYBERATTAQUES A SES AVANTAGES

ET SES INCONVÉNIENTS"

9 War R@M – Avril 2014

PIMP MY OPSEC

Fin 2013 , tu intervenais à Botconf

pour présenter Malcom, un outil

créé par tes soins qui permet

d’identifier rapidement les faiblesses

des botnets. Quel retour fais-tu de

cette expérience ?

Botconf est une conférence sur la

sécur ité informatique avec un focus

par t iculier sur les botnets. De mon

point de vue, ce fut une expér ience

géniale ! C'est peut -être du au fait

que je présentais, mais le fait de se

retrouver en pet its nombres

favor isait beaucoup les échanges,

nombreux et de qualité,

En par lant aux autres chercheurs,

on se rend compte qu'on est

souvent confrontés aux mêmes

problèmes et qu'on travaille tous

sur la même chose. Tant de jus de

cerveau gaspillé à trouver les

mêmes solut ions ! C'est pour ça

qu'il est indispensable qu'on ne

reste pas tous dans notre coin ; il

faut que les équipes de gest ion

d'incidents par tagent leurs retours

d'expér ience et leurs méthodes - ce

qui n'est pas toujours évident.

Le par tage efficace d'information de

menaces est d'ailleurs un point clé

de Malcom. L'idée de base est de

pouvoir répondre instantanément

aux quest ions du genre "est-ce que

quelqu'un a déjà vu ce nom de

domaine, et est -il malveillant ?".

Lorsque nous analysons un

malware, il est indispensable pour

nous d'ar r iver à savoir s'il s'agit

d'une attaque ciblée ou non. Voir

comment et avec qui le malware

communique peut aider à répondre

à cette quest ion. Le but est aussi

d'y arriver le plus rapidement

possible afin de nous faire gagner

du temps que nous pourrons allouer

aux incidents qui demandent plus

d'attention.

Question pratique. De ton point de

vue d’Incident Handler, quel a été le

cas d’"attaque" le plus marquant, et

pourquoi ?

Je dois avouer que j'ai un faible pour

Stuxnet.

Découver t il y a maintenant quatre

ans (j'étais encore naïf à cette

époque !), sa sophist icat ion et

sur tout le mal que se sont donnés

ses concepteurs pour ar r iver à leur

but est, à mon avis sans égal. Il

montre clairement que si

l'adversaire en a les capacités

(techniques, financières,

temporelles), il sera toujours en

mesure de poser une vraie menace

contre prat iquement tout système

informatisé.

(Suite p.10 )

Il y a plusieurs mois, tu donnais une interview très éclairante à Nicolas Caproni, du blog Cyber Sécurité, sur le métier d’Incident Handler. Pourrais-tu rapidement revenir sur la nature de celui-ci ? Existe-t-il une communauté française des Incident Handler ? Comme son nom l'indique, l’IH pour incident handler (il n'existe pas de traduction française qui t ienne vraiment la route) va devoir gérer au jour -le-jour les incidents liés à la sécur ité du SI de l'organisat ion dont il est chargé. Concrètement, la gestion d'un incident se décline en plusieurs phases, de la préparat ion jusqu'au bilan de leçons t irées de l'incident (un exercice indispensable auquel beaucoup d'équipes n'accordent pas l'at tention qu'il mér ite). L’IH doit avoir plusieurs casquettes - une casquette managér iale pour tout ce qui est coordinat ion des équipes et remontée d'informations, mais il doit aussi avoir un très bon niveau technique pour comprendre la nature de l'incident. Dans le monde anglo-saxon, on se réfère au métier sous l'acronyme "DFIR" - Digital Forensics and Incident Response, ce qui à mon avis montre bien que le métier a (au moins!) deux facettes. Les incident handlers font par t ie de CSIRT "Computer Secur ity Incident Response Team" (les CERT, "Computer Emergency Response Team" sont un sous-ensemble des CSIRT). Ce sont souvent des équipes de taille réduite, hautement spécialisées dans divers aspects du DFIR - spécialistes forensics, analystes de malware, rétro-ingénieurs, etc. Le CERT Société Générale est aussi confronté aux problématiques du monde bancaire (phishings, arnaques sur internet, etc.), qui ne sont pas forcément les mêmes que celles d'autres organisat ions. Comme pour tout métier , il existe une communauté "DFIR" en France, qui se confond par fois avec celle des chercheurs en SSI. La différence par rappor t aux autres communautés est que nous ne sommes pas très nombreux ! Ceci favor ise les rencontres et les échanges, souvent lors de conférences en France ou en Europe.

Face à l’explosion des brèches de sécur ité en

2013 , W ar R@m a décidé de revenir sur un

métier qui est en première ligne: celui d’"incident

handler".

Thomas Chopitea, un membre de la CERT Société

Générale, revient sur ce métier passionnant.

Appel à contributeurs Cette newsletter mensuelle s’adresse à

une communauté ciblée et se construit

sur un modèle collaboratif, s’inspirant

d’une démarche open source dans le

souci d’un par tage de connaissances.

De fait , elle vit et s’enr ichit de ses

contr ibuteurs, pour la plupar t des

exper ts dans leurs domaines respect ifs,

et de fait nous sommes toujours à la

recherche de contr ibut ions diverses.

Si publier par notre biais vous intéresse,

n’hésitez pas à nous à contacter pour

en discuter plus en détails.

Cordialement,

La Rédact ion

War R@M vous est proposée le dernier vendredi de chaque mois

et est disponible en ligne. C’est une publicat ion libre, vous pouvez

donc la par tager sans réserves, à condit ion de respecter la

propr iété intellectuelle des personnes qui y publient.

Vous pouvez aussi suivre notre actualité et bénéficier de nos

ressources en ligne par le biais de notre compte Slide Share : http://fr.slideshare.net/WarRam

War R@m – Avril 2014

SUITE ARTICLE P.9

Le mot de la fin : comment vois-tu l’évolution

du métier ? Penses-tu qu’avec l’explosion

des cyberattaques, celui est amené à se

développer en France ou en ailleurs ?

Le métier va sans doute se développer

davantage en France et aussi ailleurs.

L'explosion des cyberattaques entraîne une

médiat isat ion qui a ses avantages et ses

inconvénients. Un des avantages est qu'on a

maintenant beaucoup plus de cas réels sur

lesquels s'appuyer lorsqu'on donne des

conseils ou qu'on fait des préconisat ions, et

même lors de l'analyse d'incidents. On

dispose aussi de plus d'informations sur

lesquelles travailler lorsqu'il s'agit d'établir

des marqueurs d'intrusion ("Indicators of

Compromise"). La populat ion générale est

plus exposée à ces informations, et j'ose

espérer que plus de gens s'y intéresseront ;

intéressant, car nous sommes aujourd'hui

en sous-effectif !

L'inconvénient est que l'industr ie va se

"marketiser". C'est à mon avis Mandiant qui

a donné le coup de dépar t avec son fameux

rappor t sur APT1 , qui a été maintes fois

cr it iqué pour son manque d'object ivité

analyt ique. L'usage constant de buzzwords

(qui n'ont souvent aucun sens) et la

militar isat ion excessive des termes ut ilisés

dans ce genre de rappor ts n'ajoutent à mon

avis que de l'obscur ité et n'aident pas à

mieux appréhender les faits - l'at tention est

ainsi détourné de l'analyse pour se

concentrer sur l'analyste.

Ce qui est sûr en tout cas, c'est que notre

métier ne sera pas le même dans deux ans

et qu’il est encore temps de nous rejoindre.

Quel est le rôle de l’Incident Handler quand

la forêt a déjà brûlé, c’est-à-dire que

l’attaque a eu un impact conséquent ?

(Adobe, Target). Que préconises-tu pour

éviter que le feu ne reprenne ?

La forêt ne brule jamais en ent ier ! Elle peut

être dans un sale état, mais notre rôle est

toujours d'éteindre le feu, de voir comment il

a commencé, de déterminer tout ce qui a

été brûlé. La compréhension du

"pourquoi/ comment" est très impor tante,

car elle définira les solut ions qui seront

établies pour que l'incident ne se reproduise

pas.

C'est l'étape de "lessons learned", ou post-

mor tem, dont je par lais précédemment.

Prenons un exemple grossier : si une base

de données a été exfilt rée grâce à une

vulnérabilité connue dans un CMS, il ne suffit

pas de la patcher pour que l'intrusion ne se

reproduise plus. Il faut comprendre pourquoi

elle ne l'a pas été, et s'assurer que toutes

les futures mises à jour seront appliquées le

plus vite possible. Il y a un for t t ravail à

fournir en aval, et les solut ions trouvées

dépendront for tement de la nature de

l'incident et de l'at taquant.

Target, par exemple, s'efforcera peut -être de

comprendre pourquoi l'aler te remontée par

la solut ion de sécur ité qu'ils avaient mis en

place n'a pas été traitée - s'ils font un bon

post-mor tem, ils mettront en place des

mécanismes pour s'assurer que toutes les

aler tes sont traitées en temps et en heure.

Stuxnet ar r ivait effect ivement a "sauter" des

"air gaps" (on nous dit toujours que les

systèmes déconnectés d'Internet sont les

moins vulnérables), et aussi avoir des

répercussions dans le réel (en sabotant des

centr ifugeuses nucléaires).

L’ar t icle de W ired à ce sujet ainsi que la

conférence Ted de Ralph Langner se

dégustent vraiment comme une nouvelle ou

un film. La rétro-ingénier ie de Stuxnet a dû

être quelque chose de réellement

passionnant !

Les menaces état iques sont souvent les

plus créat ives et sophist iquées. Les divers

documents publiés sur la NSA nous

montrent aussi à quel point la créat ivité est

impor tante lors le l'invent ion de nouvelles

méthodes d’attaques. La sophist icat ion

technique est une sor te de créativité, mais

elle n'est pas la seule - la collecte massive

de méta-données pour avoir accès à un

réseau X ou Y est, elle aussi, surprenante

par sa simplicité et efficacité.

Tu compares fréquemment le métier d’IH à

celui de pompier du Net : est-ce que cela

inclut également des solutions de

prévention avant que le feu ne prenne

(solutions utiles SIEM pour le monitoring,

autre) ?

Bien sur ! Une par t ie du métier d'IH est de

faire de la R&D et de la veille (encore

d'autres casquettes) - c'est aussi une des

raisons pourquoi il doit être bon

techniquement. La R&D ser t notamment a

développer des out ils qui nous permettront

d'être plus efficaces lors de nos

invest igat ions, de cor réler plusieurs

attaques, de classifier et d'analyser du

malware. Par ailleurs, nous gardons un oeil

sur internet (manuellement ou de manière

automatisée avec des out ils développés

maison) à la recherche de nouvelles

vulnérabilités ou autres informations nous

concernant.

Extrait du Code de Stuxnet