Upload
warram
View
1.689
Download
3
Embed Size (px)
DESCRIPTION
Attention: pour profiter au maximum du contenu de la War R@m, un téléchargement est nécessaire. En effet, du fait de sa politique de partage, SlideShare bloque les liens des 3 premières pages. War Ram est une lettre d’information mensuelle, consacrée aux thématiques de cyberdéfense et de cybersécurité, ainsi qu’aux infrastructures (OIV, data centers…) qui sous-tendent le cyberespace. Cette publication est également disponible en ligne via le Slide Share (War Ram).
Citation preview
A quoi ressemble un "hack"?
A quoi ressemble un hack réussi? Cette lettre
d’information s’est suffisamment moqué des
stéréotypes hollywoodiens pour ne pas signaler
quand une scène de piratage est réussie.
Issue du film The Social Network, retraçant
l’histoire du fondateur d’un célèbre réseau social,
cet extrait montre le piratage des trombinoscopes
de l’université par Mark Zuckeberg.
La vidéo du mois
« La guerre civile est le règne du crime » (Ser tor ius, Acte I). Dans cette pièce, la plus polit ique de Corneille, deux camps s’affrontent : celui de Pompée, défenseur de l’Etat et celui de Sertorius, général des armées rebelles. L’un représente l’ordre républicain, l’autre le désir de liber té. L’un agit par devoir , l’autre par idéal. Les deux hommes, s’ils se tiennent sur des r ivages opposés, se vouent néanmoins une admiration mutuelle. Comment ne pas faire le parallèle avec l’actualité du cyberespace, qui semble étrangement coller à ce drame antique ? Entre les pro et les anti Snowden, par tisans d’un Internet libre ou d’une gouvernance renforcée, les communautés du W eb s’entredéchirent, par fois aux dépens de tout sens cr it ique. En parallèle, qu’on l’admette ou qu’on le cache, les cr imes liés au cyberespace montent, inexorablement. Cette lettre d’information n’a pas pour ambition de dire quel camp choisir ; son but est moins ambitieux. Avec cette RAM, nous souhaitons mettre à la por tée de tous des informations objectives pour que chacun puisse bâtir sa propre opinion. Ainsi, dans notre veille mensuelle, nous nous pencherons pr incipalement sur le cybercrime et son visage – les hommes, les méthodes, les circuits, sur l’usage de cyberarmes en Ukraine aussi, qui appelle à la prudence d’analyse, avant de conclure sur le développement de la gouvernance du Net. Parallèlement, nous avons la chance d’accueillir trois contr ibuteurs de qualité que nous remercions chaleureusement : CybelAngel pour les Experts, lauréat de la PME innovante au FIC
2014 et du concours Innovation 2030 , catégor ie Big Data 3C, dans la rubr ique Out-Of-The-Box, qui esquisse pour nous le
cadre jur idique complexe du droit du cyberespace @TomChop_, pour Pimp My Opsec, qui répond à nos questions
sur le métier d’Incident Handler Chacun à sa façon, nos contr ibuteurs nous offrent une vision moins opaque du cyberespace, afin de forger notre espr it cr it ique. Pour une fois, oublions les camps : et comme Pompée et Sertorius, aspirons à discuter , comprendre, se former, dans un respect mutuel et sincère. Bonne lecture.
L’E-DITO
Sommaire
Les gros titres
THE WAR R@M
L’Edito 360° Les Experts Out-of-the-Box Pimp my Opsec
#DroitDuCyber #CybelAngel #Incident Response
#Cybercrime #Uruboros #Digital Single Market
• Retrouvez aussi nos publications sur notre Slideshare.net/ W arRam
• Envie d’en savoir plus? Contactez-nous: [email protected]
• Les contr ibuteurs associés à ce numéro, pour leur contr ibut ion et leur sout ien, visible ou
invisible: @CybelAngel, @tomchop_, @SecuSystJuri, @lrcyber, @ncaproni, @Mduqn
DE L’ESPRIT CRITIQUE
FOLLOW THE W HITE RABBIT
Avril 2014
Le nouveau visage du cybercr ime
Botnets: Commande à distance, Keyloggers, Spam & Download. Ex: Zeus/ Zbot ($ 70 0 / $30 00 selon les versions), Butterfly ($ 9 0 0 )
Botnets simples: Fichiers exe.
contenant un malware.
Ex: Bredolab (min. $ 5 0 )
Remote Access Trojans (RAT): Attaques ciblées, contrôle de la webcam et captures d’écran à distance. Ex: Gh0 st Rat, Poison Ivy ($ 2 5 0 )
Exploit Kits: Vente d’exploit permettant l’attaque de sites web. Ex: Gpack, Mpack, IcePack, Eleonor ($ 1 K-$ 2 K)
Crypters, Packers, Binders:
Vente d’outils permettant d’éviter
la détection ($ 1 0 -$ 1 00 )
Code Source: Mise à disposition
gratuite et en ligne de code
source de malwares afin d’en
booster le développement.
360°
2 War R@M – Avril 2014
Conseil et mise en place de botnets ($350 -$400 )
Infection/ Propagation de malwares (~$100 / 1 ,000 éléments installés)
Spam: DDOS ($535 pour 5 heurs par jour / sur une semaine), Spam ($40 / 20 ,000 mails), Spam de sites web ($2 / 30 posts)
Assurance contre la Détection (Location d’outils de cryptage et de scans - $10 par mois)
Services de mule ou de transfert de fonds (Commission de 25%)
Casse de CAPTCHA: $1 pour 1000 CAPTCHA (la casse est réalisée par des êtres humains, payés $0 ,6 / 1000 C APTCHA)
Le marché noir de la cybercriminalité mobile en Chine Un chercheur de Trend Micro s’est intéressé au marché noir de la cybercr iminalité mobile. Détaillé et fourni, ce rappor t fait le tour des logiciels malveillants vendus par les cr iminels et s’intéresse spécifiquement au marché chinois, qui semble en plein essor . Ref: "The Mobile Cybercr iminal Underground Market in China", Trend Micro (2014)
Fait rare, l’entrepr ise de sécur ité Fortinet a rédigé un rappor t non pas sur la cybercr iminalité, mais sur les cybercriminels et les services/ outils qu’ils proposent. Cette publication, dont nous vous proposons un schéma récapitulatif ci-contre, se fonde sur des milliers d’offres parus sur des por tails de cybercr iminels pour en extraire la vision la plus objective possible. Car le cybercr ime n’est pas l’apanage d’adolescents cloîtrés dans leurs sous-sols, mais bien le reflet d’une cr iminalité méthodique, organisée, qui se développe, investit, recrute et propose en sous-main des services allant d’actes de piratages graves à des actes moins répréhensibles (Black SEO, VPNs). Un rappor t incontournable donc, qui évince les poncifs et vient en amont du récent rappor t sur l’analyse macroéconomique du cybercr ime réalisé par Rand Corporation. Réf: "Cybercr iminals Today M ir ror Legit imate Business Processes", Fortinet (Décembre 2013 ). "Markets for cybercr ime Tools and Stolen Data: Hackers’ Bazaar« , Rand Corporation (Mars 2013 )
Operation Windigo: Linux touché L’information a fait le tour de la toile. Ces deux dernières années, un cheval de Troie du nom de W indigo a infecté près de 25 ,000 serveurs Unix/ Linux, les transformant en plateformes de spams massives. En outre, selon l’OS, W indigo peut être plus agressif, avec l’installat ion d’un malware supplémentaire (W indows) ou se contente de diffuser des publicités et pop-ups pornographiques. Ref: ht tp:/ / www.welivesecur ity.com/ wp-content/ uploads/ 2014 / 03 / operation_windigo.pdf
Cybersécurité & Entreprises
Le Dirigeant:
Dir ige et s’assure du bon
développement de
l’organisation, conçoit le
business model et fixe le cap.
Le Recruteur:
Aide l’organisation à recruter
les Petites M ains dans le
cadre de campagnes
massives.
Le Développeur ou “Affiliate”: Aide le recruteur dans la création de programmes malicieux qui seront ensuite distr ibués aux Petites M ains.
La Petite M ain: Celui qui est réellement en charge de l’infection de masse et de la protection des réseaux cybercr iminels. Souvent recruté par le biais de por tails cybercr iminels.
Les Outils
Les S
erv
ices
Comment le cybercrime utilise les données volées On s’est tous déjà posés la question de l’après-piratage : que peuvent bien devenir nos données une fois dérobées? Selon W ade W illiamson, de Shape Security, le volume piraté lors de brèches est généralement trop impor tant pour que les cybercr iminels à l’or igine de l’attaque soient en mesure d’en exploiter les données. C’est à ce moment que la machine cybercriminelle se met en place. Les pirates vont vendre le gros de leurs données à un receleur qui vend ensuite ces dernières à des petits cr iminels ou d’autres organisations. S’il s’agit de données bancaires, celles obtenues récemment seront vendues très chères ($100) alors que de vieilles données, plus susceptibles d’être obsolètes, seront bradées. S’il s’agit d’identifiants de connexion, le pr ix de revente sera plus fluctuant. Ce dernier peut vite exploser si les identifiants donnent accès à plusieurs services et que le pirate a réussi à les lier ensemble. En revanche, une chose est certaine : les attaques ne sont souvent que le début d’actions de plus grande ampleur. D’où la nécessité d’être réactif et de prendre les mesures appropriées le plus rapidement possible.
Inria découvre une faille dans le protocole TLS La nouvelle a fait l’effet d’un
petit séisme (enfin, toute
propor tion gardée). Une
équipe INRIA / M icrosoft a
découver t une faille de
sécur ité impor tante dans le
protocole TLS, le pr incipal
mécanisme de sécur isation
des communications sur
Internet.
Les exper ts ont pu
démontrer qu’"un hacker
déterminé pourrait usurper le
cer t ificat de sécur ité via un
serveur malicieux".
Ce n’est ni la première, ni la
dernière fois que des failles
sont découver tes dans le
protocole TLS.
Cependant, les chercheurs
sont inquiets et appellent à le
refondre « en profondeur »
afin de garantir la sécur ité
des par t iculiers et des
entrepr ises.
A noter , que la faille a été
signalée six mois à l’avance
et qu’une solution a donc
d’ores et déjà été déployée.
Les H
om
mes
L’ECONOMIE DU CYBERCRIME
360°
3 War R@M – Avril 2014
Cyberdéfense
La DARPA veut l’aide du secteur privé La DARPA veut l’aide du secteur pr ivé
pour booster ses capacités de
cyberdéfense. Après Memex (cf. W ar
Ram de mars), l’équivalent amér icain
de la DGA (les moyens en plus)
souhaite garder la main haute sur le
cyberespace.
L’agence est prête à invest ir 5
milliards de dollars pour recruter des
talents et des professionnels du pr ivé
hautement qualifié. L’objectif assumé
est de développer l’état de l’art du
domaine et de produire de nouvelles
cyberarmes.
Mais l’appel d’offre ne s’ar rête pas là:
la DARPA veut aussi augmenter de
façon significat if la résilience des
réseaux IT et SCADA, et augmenter
les défenses des réseaux militaires et
des OIV amér icains.
L’Agent.btz, le chaînon manquant entre Snake et Red October?
Snake et Red October sont deux campagnes de cyberespionnage qui ont ciblé des infrastructures hautement sensibles et sécur isées en Europe. Là où Snake s’est appuyé sur le rootkit Uruboros pour mener à bien son travail, Red October aurait eu recours au malware Turla. Or des exper ts de Kaspersky Lab pensent avoir trouvé le chaînon manquant entre les deux: l’Agent.btz, un malware qui avait touché le Pentagone en 2008 . Les chercheurs de Kaspersky ont retrouvé chez Snake comme chez Red October des éléments de l’Agent.btz tels que des logs en commun, des lignes de code similaires ou la présence suspecte du fichier Thumb.dd. Autant d’éléments qui suscitent la cur iosité des exper ts, bien qu’à ce jour aucune cor rélation avérée n’est possible entre les deux campagnes.
La Syrian Electronic Army a-t-elle hacké le CENTCOM? La SEA aurait -elle encore frappé? Ceux qui se présentent volont iers comme hacktivistes (cf. W ar Ram de mars) prétendent avoir marqué un nouveau point avec le piratage du CENTCOM , le centre de commandement militaire central des Etats-Unis. Une information que ce dernier a formellement démentie. Pour étayer ses dires, la SEA a de son côté menacé de faire fuiter des documents classés Secret Défense. En attendant, le doute persiste et il est bien impossible de savoir si le site du CENTCOM a effect ivement été compromis, malgré les captures d’écran mises en ligne par les par t isans du régime de Damas.
Le Japon muscle sa cyberdéfense avant les JO Après le Royaume-Uni avec ses banques,
c’est au tour du pays du Soleil Levant
d’avoir organisé un vaste crash test au
niveau national.
Le but de l’exercice était d’exposer les
vulnérabilités du Japon en cas de
cyberattaque, en amont des JO de Tokyo
en 2020 . Pour ce faire, le gouvernement
Abe a engagé près de 50 cabinets
spécialisés alors que plusieurs hackers
étaient invités à pirater des sites
gouvernementaux et y implémenter une
vidéo Youtube comme signe de victoire.
L’intent ion est noble, d’autant qu’elle fait
appel à un public généralement peu
choyé par les gouvernements. S’il y a for t
à par ier que les résultats ne seront pas
divulgués, l’exercice a le mér ite de
prendre la mesure d’une éventuelle
cyberattaque de grande ampleur .
Les leaks de Rucyborg
En Ukraine, les coups viennent de
tous les côtés. En représailles à
l’implicat ion du Kremlin en Cr imée et
à Kiev, un hacker du nom de
Rucyborg a piraté des données
sensibles d’industr iels de l’armement
ainsi que des échanges de
l’entrepr ise russe spécialisée en
renseignement Search Inform.
Les leaks, disponibles en ligne via le
site CyberW arNews, sont volumineux
(près de 500 dossiers auraient été
téléchargés).
Attention cependant : il semblerait
qu’un cheval de Troie ait été
découver t parmi les fichiers mis en
ligne. Cette information jette un
cer tain trouble sur les motivat ions
exactes de Rucyborg.
Ref:
ht tp:/ / www.cyberwarnews.info/ 201
4 / 03 / 12 / russian-intel-and-spy-
company-searchinform-hacked-client-
apps-access-leaked-by-rucyborg/
http:/ / www.cyberwarnews.info/ 201
4 / 03 / 06 / russian-defence-export-
hacked-500mb-data-leaked-by-
rucyborg/
L’Ukraine: le conflit s’étend au cyberespace La situat ion géopolit ique en Cr imée att ire
l’at tent ion de tous les observateurs, et le
monde de la cyberdéfense n’est pas en
reste. Si on ne peut évidemment pas
par ler de cyberguerre, il est incontestable
que le conflit s’est transposé sur le Net.
Qu’il s’agisse de disséminat ion de
malwares, d’attaques DDoS contre
l’OTAN, d’act ions de désinformation ou du
fameux malware Uroboros/ Snake, la cr ise
ukrainienne appor te de nombreux
précédents… aux dépens des populat ions.
Pour mieux aborder la situat ion sous
l’angle géopolit ique, la rédact ion vous a fait
une sélect ion de quelques ar t icles de
chercheurs, en français ou en anglais, à
ne pas manquer :
Daniel Ventre:
ht tp:/ / pro.01net.com/ editor ial/ 616458
/ la-dimension-cybernet ique-de-la-cr ise-
ukrainienne/
Yannick Harrel: ht tp:/ / harrel-
yannick.blogspot.fr / 2014 / 03/ cyber -
cr imee.html
Kevin Limonier:
ht tp:/ / villesfermees.hypotheses.org/ 243
Jeffrey Carr:
ht tp:/ / jeffreycarr .blogspot.fr / 2014 / 03 /
russian-cyber -warfare-capabilit ies-in.html
Big Data et sécurité informatique, un duo gagnant? L’idée n’est pas nouvelle mais fait son chemin. Les professionnels de la sécur ité informatique envisagent de plus en plus d’invest ir dans le Big Data afin de croiser , recouper et obtenir la vision la plus complète possible d’une attaque.
360°
4 War R@M – Avril 2014
Politique Internet Commune L‘Europe doit se doter d’un marché unique européen du numér ique. C’est à demi-mot les conclusions que t isse un rappor t adressé au Par lement européen sur la situation économique des métiers liés à l’Internet. Cette absence serait , selon les rédacteurs, la raison pour laquelle l’Europe est à la traîne et qu’aucun géant de l’Internet européen n’a pu réellement émergé ces dernières années. Mais le rappor t ne se contente pas d’enfoncer les por tes ouver tes. Il revient également sur l’impact négatif des problèmes techniques, comme la connectivité ou le roaming entre Etats européens. En tout et pour tout, la publicat ion définit 7 grandes recommandations: Transposer le concept de libre circulat ion
des marchandises au W eb Explorer et s’inspirer de la conception des
modèles d’e-gouvernements (ex: Estonie) Développer le marché européen sur les
quest ions de streaming et d’open data Favor iser le concept de paiement par
vue/ clic Favor iser les solut ions de cloud européen Développer la cybersécurité, la neutralité du
net et la protection des données personnelles tout en favor isant le développement des objets connectés
Protéger la vie pr ivée en ligne face aux évolut ions diverses.
Full Disclosure List, c’est fini Full Disclosure Security List, ça vous par le? La newsletter, créée en 2002 , diffusait régulièrement des informations de sécur ité et prat iquait le Full Disclosure ou le Responsible Disclosure (cf. W ar Ram de janvier) fréquemment. Mais après une décennie d’existence, l’aventure a fait long feu. Poursuivi par un des membres de la communauté, les responsables de Full Disclosure ont décidé d’ar rêter les frais. Amers, ils est iment que la « communauté des hackers n’existe plus ».
Les Etats-Unis lâchent du lest sur l’ICAAN Les temps changent -ils? Après les
ravages de l’affaire Snowden sur leur
réputation, les Etats-Unis semblent
vouloir se racheter une virginité.
Cette opérat ion de reconquête
d’Internet et de ses acteurs
passeraient par une émancipat ion de
l’Icaan, la fameuse organisat ion
internationale qui dét ient
(lit téralement) les clefs d’Internet.
Jusque-là sous contrôle amér icain, le
contrat avec l’Icaan et le
gouvernement amér icain expirera en
2015 et ne sera pas renouvelé… au
profit d’un « nouveau modèle de
gouvernance mondiale ».
Une bonne nouvelle bien que le
modèle de gouvernance internationale
fait déjà débat, au regard des échecs
répétés essuyés ces dernières années
par des grandes organisations
internationales comme l’ONU.
Le réseau américain, colosse aux pieds d’argile Un rappor t gouvernemental amér icain a
récemment sonné l’alarme sur la
vulnérabilité du réseau aux attaques
« physiques », ciblant principalement ses
infrastructures.
Peu repr is, la publicat ion est ime pour tant
qu’il suffirait de mettre à bas 9 centrales
électriques pour per turber durablement
(au moins 18 mois) le réseau électr ique
et l’Internet amér icain : un gouffre
financier.
Or , une information, diffusée dans le
W all Street Journal, et très peu
médiat isée au niveau nat ional comme
international, fait gr incer des dents à la
Maison Blanche.
En févr ier , un commando aurait tenté de
mettre à bas une centrale électr ique, en
ciblant à l’aide de fusils sniper des points
névralgiques de la structure.
W ashington craint désormais des
attaques ter ror istes d’un nouveau genre,
visant à plonger les Etats-Unis dans le
« black out ».
Cyberculture
Thibault Reuille est un chercheur en cybersécur ité à OpenDNS et est par ailleurs amateur de data
vizualisation. Ici, le chercheur nous offre un graphique, baptisé Dandelion (Pissenlit), qui représente
comment des domaines malicieux (en rose) sont rattachés à un nombre restreint d’IP (en jaune).
Pour plus de data vizualisation mélangeant cybersécur ité et graphique, n’hésitez pas à visiter son tumblr :
thibaultreuille.tumblr.com
CYBELANGEL: “LA SECURITE ABSOLUE N’EXISTE PAS”
En quelques mots, pouvez-vous
nous présenter CybelAngel ?
Pourquoi ce nom, d’ailleurs ? Cybèle est la gardienne des savoirs
dans la mythologie grecque. C’était
notamment la gardienne des clefs. Et
Angel car on garde un œil ouver t pour
protéger au mieux nos clients.
Que fait-on ? Nous par tons du pr incipe
que les attaquants ar r ivent toujours à
trouver une por te d'accès dans une
société. A par tir de là, ils vont exfiltrer
des informations et les publier . Par fois
ce sont des données très impor tantes,
et le client doit être prévenu aussi vite
que possible pour pouvoir réagir .
Par fois, les données qu'ils trouvent ne
sont pas sensibles en soi, mais elles
sont déjà signe qu'il y a une faille, un
premier accès dans le système
d'information du client, dont des pirates
pourraient t irer profit pour de futures
intrusions plus graves.
Bref, il faut écouter les attaquants
potentiels, "connaître son ennemi pour
mieux se protéger."
Concrètement on a développé un
algor ithme qui va crawler à très haute
fréquence des sous-par ties du net qui
servent d’échanges, de publications ou
de revendications des attaquants.
Bien sûr , nous ne faisons aucune
intrusion et ne scannons que des
par ties publiques et ouver tes du net .
Enfin, une fois ces informations
détectées (préparations d’attaques,
échanges sur des vulnérabilités,
attaques réalisées ou échanges /
publications de données volées) on
prévient nos clients en moins de 24h.
(Suite p.6 )
5 War R@M – Avril 2014
Tout d’abord, félicitations pour votre victoire
au FIC 2014 cette année ! Que ressentez-
vous suite à cette récompense méritée ?
Avez-vous le sentiment d’avoir bénéficié
d’une prise de conscience générale dans
l’industrie ?
Tout d’abord merci ! C’est grâce à des
medias comme le vôtre que les états
d’espr its changent. Nous avons eu l’idée du
crawling haute-fréquence du web il y a 2 ans
et demi. A l’époque on rencontrait des
responsables de la sécur ité informatique
pour la première fois qui nous expliquaient
que s’ils perdaient une base de donnée
client ou des documents « ce ne serait pas
un drame » et « ça ne coûterait pas si cher
que cela ».
Avec le temps, nous avons compr is qu'il
fallait une démarche plus pédagogique que
technique. Nous allons voir les clients avec
des exemples concrets de documents très
sensibles leur appar tenant qui sont
disponibles en accès libre ou rendus publics
par les pirates.
Les démarches d’explicat ions à l’at tent ion
des dir igeants des grandes entrepr ises du
CAC40 de l’ANSSI ou d’autres organismes a
fait beaucoup de bien.
Expliquer notamment que la sécur ité
absolue n’existe pas dans ce domaine
contrairement à ce que vendent par fois les
sociétés tradit ionnelles de sécur ité
informatique est très sain.
Puis il faut bien avouer que Snowden est
aussi un excellent pédagogue.
LES EXPERTS
W ar R@m est allée à la rencontre de CybelAngel,
entrepr ise de cybersécur ité qui car tonne grâce à
ses solutions de Data Loss Detection.
Erwan Keraudy, le por te-parole de l’entrepr ise, a
accepté de répondre à nos questions.
« Contrairement à ce que vendent parfois les sociétés traditionnelles de sécurité informatique, la sécurité absolue n’existe pas. »
Ces deux dernières années, les per tes de données, qu’elles soient d’or igine cr iminelle ou
accidentelle, ont explosé et font les gros titres des médias. Au-delà de la per te d’image, les frais
engrangés et les factures dépensées en analyse des dégâts et compensation des usagers se sont
par fois comptés en centaines de millions.
6 War R@M – Avril 2014
Concrètement, comment votre algorithme réussit à ne rien manquer des informations sensibles ? Je suppose que derrière l’aspect technique, il y a un énorme travail de sourcing, d’autant plus que les plateformes d’échanges entre pirates doivent apparaître constamment. Sur les canaux les plus ut ilisés par les pirates, nous avons toujours récupéré les informations. Maintenant, le problème est qu'il y a de nouveaux canaux qui apparaissent très régulièrement et qu'il faut être capable de les suivre. Je vais essayer de répondre sans trop en révéler sur le fonct ionnement de notre technologie, mais grosso modo nous avons d'un côté une intelligence ar t ificielle qui ident ifie de nouvelles sources potent ielles, de l'autre un pôle d'analyse qui cherche lui-même de nouvelles sources.
SUITE ARTICLE P.5
L’analogie de l’iceberg est fréquemment utilisée pour décr ire
les différentes couches de W eb. Contrairement au W eb
visible, référencé par les moteurs de recherche, le W eb
invisible et autres Dark Net(s) contiennent près de 5 5 0 fois
plus de données que le W eb classique.
Cette par tie « immergée » du W eb est aussi très difficile à
crawler . L’outil de CybelAngel est donc une belle réussite
technique!
CybelAngel est une PME de cybersécurité basée en France.
Vous souhaitez les contacter? N’hésitez pas à visiter leur site: www.cybelangel.com
« Notre outil couvre à la fois le web invisible, le dark web et le deep web : tout cela est très complémentaire »
« En cybersécurité, la vitesse est
l’élément déterminant et
CybelAngel est vraiment pensée
pour offrir un temps de réponse
aussi court que possible. »
Le mot de la fin : comment voyez-vous
vôtre avenir dans les années à venir ?
Est-ce que vous pensez lorgner du côté
du Reverse Engineering ou du Data Loss
Prevention (DLP) ?
On fait déjà beaucoup de DLP, en
aver t issant les entrepr ises lorsqu'elles
sont visées par des menaces concrètes.
Sur tout, ces exemples peuvent aider les
DSI et le management à donner à la
sécur ité informatique le budget qu'elle
mér ite.
Nos projets sont nombreux, répondent
souvent à la demande des clients, dans
la prévention « intelligente » contre le
social engineering ou des contre-
mesures contre l’intelligence économique
par exemple.
Mais notre spécialité est de scruter le
dark web et le deep web. On a encore
beaucoup de choses à faire dans ce
domaine, on veut le faire bien.
2013 a été l’année où le cybercrime a explosé
dans les média .
Dans le cadre de ces cyberaffaires, quel est
selon vous l’élément déterminant d’une
politique de réponse à une attaque / perte de
données ?
La vitesse ?
En effet, je pense que la vitesse est l’élément
déterminant et CybelAngel est vraiment pensée
pour offr ir un temps de réponse aussi cour t
que possible.
Cependant, avant de penser à éviter
rapidement une menace, il faut déjà avoir
conscience de la menace. En discutant avec
des décideurs on trouvait encore cer tains
d’entres eux dans le déni.
A présent les mentalités changent et les
polit iques de sécur ité évoluent. Grâce au travail
de mise en garde de l’ANSSI notamment qui
semble par tager ses expér iences avec les
grandes sociétés françaises. Mais aussi grâce
aux dépar tements sécur ité / sûreté des
entrepr ises qui communiquent leur culture
« sécu » aux DSI par exemple.
Certaines sources se créent, d’autres se
font fermer… on suit cela minute après
minute et on s’adapte.
Nous avons fais notre devise de cette
citat ion de Darwin « Ce ne sont pas les
espèces les plus fortes ou les plus
intelligentes qui survivent. Ce sont celles
qui s’adaptent le plus vite à un
changement d’environnement. »
Est-ce que vôtre plateforme couvre
uniquement le W eb visible ou elle
s’attaque aussi à des pans du W eb
invisible (forums, base de données…) ?
Il couvre les deux, le web visible et une
par t ie du web invisible ou encore le dark
web et le deep web si on veut reprendre
des termes plus « marketeux ».
Et tout cela est très complémentaire.
C’est la force de l’out il que nous avons
développé.
7 War R@M – Avril 2014
Cette infract ion a été créée par la loi
Godfrain du 5 janvier 1988 (1 ) sur la
fraude informatique modifiée par la loi
de 2004 sur la confiance dans
l’économie numérique (2 ) qui a
pr incipalement augmenté les peines.
Quatre comportements sont
précisément punis :
• l’installat ion de programmes
espions (Sniffer) ou l’administrat ion
à distance frauduleuse du poste ;
• fausser le fonct ionnement d’un
STAD, une messager ie
électronique, par exemple.
• modifier les données d’un STAD
comme une offre commerciale
publiée sur Internet ;
• posséder un logiciel malveillant.
Toujours dans registre du pénal, il
existe les infract ions de la
cybercr iminalité qui concernent
l'ensemble des infract ions pénales
commises via les réseaux
informatiques, notamment, sur le
réseau Internet.
Ce terme désigne à la fois les
atteintes aux biens (ex: fraude à la
car te bleue sur Internet sans le
consentement de son t itulaire) et les
atteintes aux personnes (diffusion
d'images pédophiles, de méthodes
pour se suicider , de recettes
d'explosifs ou d'injures à caractère
racial, etc.).
(Suite p.6 )
DURA LEX, CYBER LEX OUT-OF-THE-BOX
Nul n’est censé ignorer… que le cyberespace compor te, outre des caractér istiques techniques complexes, des aspects jur idiques délicats. L’ambit ion de ce cour t ar t icle est de présenter et d’esquisser les contours de cette vaste matière qu’est le droit du cyber .
Définition La définit ion du concept de cyber n’étant elle-même pas ar rêtée et source de débats doctr inaux, il serait prétentieux d’affirmer que celle du droit le concernant soit clairement définie, d’autant plus, que foncièrement, le droit du cyber n’existe pas ! En effet, actuellement, il est seulement possible de dire que le droit du cyber ou droit de la sécurité des systèmes d’information (SSI) s’expr ime au travers des autres droits. Tel un patchwork, il est composé de l’agrégation des disposit ions jur idiques issues d’autres droits comme le droit pénal, le droit de la défense ou encore le droit des postes et télécommunications. Le droit du cyber n’a donc pas de corpus juridique dédié. Toutefois, il est quand même possible de circonscr ire son pér imètre. Le droit du cyber concerne, d’une par t et de façon str icte, la protection du système d’information en tant que tel et les réseaux ainsi que, d’autre par t et plus largement, la protection des informations et leurs qualités intrinsèques qui circulent sur de tels systèmes. Ainsi, le droit du cyber protège le contenant et le contenu à savoir le flux et les machines du cyber .
Champ d’application Les aspects jur idiques du droit du cyber sont divers et var iés, il est donc difficile de dresser un panorama exhaust if du droit du cyber . Le droit pénal a appréhendé assez tôt le droit du cyber avec notamment la répression de la fraude informatique ou plus précisément l’intrusion frauduleuse dans un système de traitement automatisé de données (STAD).
Le droit du cyberespace est un véritable
patchwork législatif qui se nourr it de
différents autres droits (pénal, civil).
C’est pourquoi notre contr ibutr ice 3C nous
propose de mettre de l’ordre dans ce
labyrinthe juridique.
Extrait de la Loi n°8 8 -1 9 du 5 janvier 1 9 8 8 , l’un des fondements jur idiques du droit du cyber ..
8 War R@M – Avril 2014
SUITE ARTICLE P.7
Autant pour la fraude informatique que pour la
cybercr iminalité, les atteintes au biens ou aux personnes
cités précédemment peuvent être punis d'une peine
d'empr isonnement assor tie d'une amende.
Dans d’autres registres, le droit du cyber incorpore ainsi
différentes jur idict ions, issues de plusieurs droits différents.
Premièrement, l’efficacité du droit se mesurant à son
pouvoir contraignant et donc aux sanct ions qu’il impose,
force est de constater que concernant le droit du cyber , les
sanctions sont légères et la jurisprudence faible.
L’exemple phare est la dernière sanct ion que la CNIL a
imposé à Google une amende de 150 ,000 euros (ndlr: le 3
janvier 2014 , la formation restreinte de la CNIL a prononcé
une sanct ion pécuniaire à la société GOOGLE Inc.) en raison
de la non-conformité des traitements des données
collectées par W ifi dans le cadre notamment des services
Google Maps, Street View et Latitude alors que Google a
réalisé presque 15 milliards de dollars de chiffre d’affaires
au troisième tr imestre de 2013 .
En ce qui concerne le cyberespace, le droit tâtonne et
cherche le juste équilibre relat if à la bonne propor t ionnalité
des sanct ions à mettre en place.
Deuxièmement, le droit du cyber réglemente une matière
innovante et mouvante.
Ainsi, par exemple, le concept du cloud computing ne fait
pour le moment l’objet d’aucune formalisat ion jur idique. Sur
le plan du droit , il demeure bel et bien vir tuel.
Or , le pr incipal enjeu lié au développement du cloud
concerne la protection des données personnelles et, plus
largement, des données de toutes sor tes, dès lors qu’elles
sont stockées dans le « nuage ».
Les quest ions du droit applicable et de la jur idict ion
compétente, qui sont classiques en cas de conflit de lois
n’en sont que plus complexes.
Et il en est de même pour le big data, le BYOD, le bitcoin,
etc.
Enfin, le droit du cyber touche une matière technique dont
les développements sont peu maîtr isés par les professions
judiciaires.
Au final, la construction du droit d cyberespace se heur te
au fait que la matière cyber qu’elle réglemente est elle-
même difficile à appréhender .
Toutefois, ce constat n’est pas alarmant car le droit a ceci
de formidable qu’il est garant à la fois de permanence et
d’adaptabilité. Cer tes, il est ut ile de créer des nouveaux
outils jur idiques tels la nouvelle loi de programmation
militaire (3 ) mais il est également impor tant de se rattacher
aux pr incipes classiques du droit tels la punit ion du vol qui
dans son pr incipe reste les mêmes sur Internet que sur
l’étal du marché.
Par 3C,
@SecuSystJuri
http:/ / securitedessystemesjuridiques.blogspot.fr/
Limites du droit du cyber
1 . Loi 1988 sur la fraude informatiquen°88 -19 du 5 janvier . 2 . Loi n°2004 -575 du 21 juin 2004 pour la confiance dans l’économie numérique.
3 . Loi n° 2013 -1168 du 18 décembre 2013 relative à la programmation militaire pour les années 2014 à 2019 et portant diverses dispositions concernant la défense et la sécurité
nationale.
La cybersurveillance des salariés, etc.
La protection des œuvres intellectuelles sur Internet via le disposit if HADOPI
Articles L3 3 1 -1 2 à L3 3 1 -3 7 du code de la propr iété intellectuelle.
L’hébergement des données de santé est soumis à une procédure d’agrément des hébergeurs(1 .) qui vise à
garant ir la sécurité et la confidentialité de ces données (2 .)
1 . Loi n°2 0 0 2 -3 0 3 du 4 mars 2 0 0 2 relative aux droits des malades et à la
qualité du système de santé. 2 . Article 2 2 6 -1 3 du Code Pénal
La protection des données à caractère personnel
Loi n°78 -17 du 6 janvier 1978 relative à l’informatique, aux fichiers aux libertés.
Le droit du cyber, un véritable patchwork juridique
THOMAS CHOPITEA: "LA MÉDIATISATION DES CYBERATTAQUES A SES AVANTAGES
ET SES INCONVÉNIENTS"
9 War R@M – Avril 2014
PIMP MY OPSEC
Fin 2013 , tu intervenais à Botconf
pour présenter Malcom, un outil
créé par tes soins qui permet
d’identifier rapidement les faiblesses
des botnets. Quel retour fais-tu de
cette expérience ?
Botconf est une conférence sur la
sécur ité informatique avec un focus
par t iculier sur les botnets. De mon
point de vue, ce fut une expér ience
géniale ! C'est peut -être du au fait
que je présentais, mais le fait de se
retrouver en pet its nombres
favor isait beaucoup les échanges,
nombreux et de qualité,
En par lant aux autres chercheurs,
on se rend compte qu'on est
souvent confrontés aux mêmes
problèmes et qu'on travaille tous
sur la même chose. Tant de jus de
cerveau gaspillé à trouver les
mêmes solut ions ! C'est pour ça
qu'il est indispensable qu'on ne
reste pas tous dans notre coin ; il
faut que les équipes de gest ion
d'incidents par tagent leurs retours
d'expér ience et leurs méthodes - ce
qui n'est pas toujours évident.
Le par tage efficace d'information de
menaces est d'ailleurs un point clé
de Malcom. L'idée de base est de
pouvoir répondre instantanément
aux quest ions du genre "est-ce que
quelqu'un a déjà vu ce nom de
domaine, et est -il malveillant ?".
Lorsque nous analysons un
malware, il est indispensable pour
nous d'ar r iver à savoir s'il s'agit
d'une attaque ciblée ou non. Voir
comment et avec qui le malware
communique peut aider à répondre
à cette quest ion. Le but est aussi
d'y arriver le plus rapidement
possible afin de nous faire gagner
du temps que nous pourrons allouer
aux incidents qui demandent plus
d'attention.
Question pratique. De ton point de
vue d’Incident Handler, quel a été le
cas d’"attaque" le plus marquant, et
pourquoi ?
Je dois avouer que j'ai un faible pour
Stuxnet.
Découver t il y a maintenant quatre
ans (j'étais encore naïf à cette
époque !), sa sophist icat ion et
sur tout le mal que se sont donnés
ses concepteurs pour ar r iver à leur
but est, à mon avis sans égal. Il
montre clairement que si
l'adversaire en a les capacités
(techniques, financières,
temporelles), il sera toujours en
mesure de poser une vraie menace
contre prat iquement tout système
informatisé.
(Suite p.10 )
Il y a plusieurs mois, tu donnais une interview très éclairante à Nicolas Caproni, du blog Cyber Sécurité, sur le métier d’Incident Handler. Pourrais-tu rapidement revenir sur la nature de celui-ci ? Existe-t-il une communauté française des Incident Handler ? Comme son nom l'indique, l’IH pour incident handler (il n'existe pas de traduction française qui t ienne vraiment la route) va devoir gérer au jour -le-jour les incidents liés à la sécur ité du SI de l'organisat ion dont il est chargé. Concrètement, la gestion d'un incident se décline en plusieurs phases, de la préparat ion jusqu'au bilan de leçons t irées de l'incident (un exercice indispensable auquel beaucoup d'équipes n'accordent pas l'at tention qu'il mér ite). L’IH doit avoir plusieurs casquettes - une casquette managér iale pour tout ce qui est coordinat ion des équipes et remontée d'informations, mais il doit aussi avoir un très bon niveau technique pour comprendre la nature de l'incident. Dans le monde anglo-saxon, on se réfère au métier sous l'acronyme "DFIR" - Digital Forensics and Incident Response, ce qui à mon avis montre bien que le métier a (au moins!) deux facettes. Les incident handlers font par t ie de CSIRT "Computer Secur ity Incident Response Team" (les CERT, "Computer Emergency Response Team" sont un sous-ensemble des CSIRT). Ce sont souvent des équipes de taille réduite, hautement spécialisées dans divers aspects du DFIR - spécialistes forensics, analystes de malware, rétro-ingénieurs, etc. Le CERT Société Générale est aussi confronté aux problématiques du monde bancaire (phishings, arnaques sur internet, etc.), qui ne sont pas forcément les mêmes que celles d'autres organisat ions. Comme pour tout métier , il existe une communauté "DFIR" en France, qui se confond par fois avec celle des chercheurs en SSI. La différence par rappor t aux autres communautés est que nous ne sommes pas très nombreux ! Ceci favor ise les rencontres et les échanges, souvent lors de conférences en France ou en Europe.
Face à l’explosion des brèches de sécur ité en
2013 , W ar R@m a décidé de revenir sur un
métier qui est en première ligne: celui d’"incident
handler".
Thomas Chopitea, un membre de la CERT Société
Générale, revient sur ce métier passionnant.
Appel à contributeurs Cette newsletter mensuelle s’adresse à
une communauté ciblée et se construit
sur un modèle collaboratif, s’inspirant
d’une démarche open source dans le
souci d’un par tage de connaissances.
De fait , elle vit et s’enr ichit de ses
contr ibuteurs, pour la plupar t des
exper ts dans leurs domaines respect ifs,
et de fait nous sommes toujours à la
recherche de contr ibut ions diverses.
Si publier par notre biais vous intéresse,
n’hésitez pas à nous à contacter pour
en discuter plus en détails.
Cordialement,
La Rédact ion
War R@M vous est proposée le dernier vendredi de chaque mois
et est disponible en ligne. C’est une publicat ion libre, vous pouvez
donc la par tager sans réserves, à condit ion de respecter la
propr iété intellectuelle des personnes qui y publient.
Vous pouvez aussi suivre notre actualité et bénéficier de nos
ressources en ligne par le biais de notre compte Slide Share : http://fr.slideshare.net/WarRam
War R@m – Avril 2014
SUITE ARTICLE P.9
Le mot de la fin : comment vois-tu l’évolution
du métier ? Penses-tu qu’avec l’explosion
des cyberattaques, celui est amené à se
développer en France ou en ailleurs ?
Le métier va sans doute se développer
davantage en France et aussi ailleurs.
L'explosion des cyberattaques entraîne une
médiat isat ion qui a ses avantages et ses
inconvénients. Un des avantages est qu'on a
maintenant beaucoup plus de cas réels sur
lesquels s'appuyer lorsqu'on donne des
conseils ou qu'on fait des préconisat ions, et
même lors de l'analyse d'incidents. On
dispose aussi de plus d'informations sur
lesquelles travailler lorsqu'il s'agit d'établir
des marqueurs d'intrusion ("Indicators of
Compromise"). La populat ion générale est
plus exposée à ces informations, et j'ose
espérer que plus de gens s'y intéresseront ;
intéressant, car nous sommes aujourd'hui
en sous-effectif !
L'inconvénient est que l'industr ie va se
"marketiser". C'est à mon avis Mandiant qui
a donné le coup de dépar t avec son fameux
rappor t sur APT1 , qui a été maintes fois
cr it iqué pour son manque d'object ivité
analyt ique. L'usage constant de buzzwords
(qui n'ont souvent aucun sens) et la
militar isat ion excessive des termes ut ilisés
dans ce genre de rappor ts n'ajoutent à mon
avis que de l'obscur ité et n'aident pas à
mieux appréhender les faits - l'at tention est
ainsi détourné de l'analyse pour se
concentrer sur l'analyste.
Ce qui est sûr en tout cas, c'est que notre
métier ne sera pas le même dans deux ans
et qu’il est encore temps de nous rejoindre.
Quel est le rôle de l’Incident Handler quand
la forêt a déjà brûlé, c’est-à-dire que
l’attaque a eu un impact conséquent ?
(Adobe, Target). Que préconises-tu pour
éviter que le feu ne reprenne ?
La forêt ne brule jamais en ent ier ! Elle peut
être dans un sale état, mais notre rôle est
toujours d'éteindre le feu, de voir comment il
a commencé, de déterminer tout ce qui a
été brûlé. La compréhension du
"pourquoi/ comment" est très impor tante,
car elle définira les solut ions qui seront
établies pour que l'incident ne se reproduise
pas.
C'est l'étape de "lessons learned", ou post-
mor tem, dont je par lais précédemment.
Prenons un exemple grossier : si une base
de données a été exfilt rée grâce à une
vulnérabilité connue dans un CMS, il ne suffit
pas de la patcher pour que l'intrusion ne se
reproduise plus. Il faut comprendre pourquoi
elle ne l'a pas été, et s'assurer que toutes
les futures mises à jour seront appliquées le
plus vite possible. Il y a un for t t ravail à
fournir en aval, et les solut ions trouvées
dépendront for tement de la nature de
l'incident et de l'at taquant.
Target, par exemple, s'efforcera peut -être de
comprendre pourquoi l'aler te remontée par
la solut ion de sécur ité qu'ils avaient mis en
place n'a pas été traitée - s'ils font un bon
post-mor tem, ils mettront en place des
mécanismes pour s'assurer que toutes les
aler tes sont traitées en temps et en heure.
Stuxnet ar r ivait effect ivement a "sauter" des
"air gaps" (on nous dit toujours que les
systèmes déconnectés d'Internet sont les
moins vulnérables), et aussi avoir des
répercussions dans le réel (en sabotant des
centr ifugeuses nucléaires).
L’ar t icle de W ired à ce sujet ainsi que la
conférence Ted de Ralph Langner se
dégustent vraiment comme une nouvelle ou
un film. La rétro-ingénier ie de Stuxnet a dû
être quelque chose de réellement
passionnant !
Les menaces état iques sont souvent les
plus créat ives et sophist iquées. Les divers
documents publiés sur la NSA nous
montrent aussi à quel point la créat ivité est
impor tante lors le l'invent ion de nouvelles
méthodes d’attaques. La sophist icat ion
technique est une sor te de créativité, mais
elle n'est pas la seule - la collecte massive
de méta-données pour avoir accès à un
réseau X ou Y est, elle aussi, surprenante
par sa simplicité et efficacité.
Tu compares fréquemment le métier d’IH à
celui de pompier du Net : est-ce que cela
inclut également des solutions de
prévention avant que le feu ne prenne
(solutions utiles SIEM pour le monitoring,
autre) ?
Bien sur ! Une par t ie du métier d'IH est de
faire de la R&D et de la veille (encore
d'autres casquettes) - c'est aussi une des
raisons pourquoi il doit être bon
techniquement. La R&D ser t notamment a
développer des out ils qui nous permettront
d'être plus efficaces lors de nos
invest igat ions, de cor réler plusieurs
attaques, de classifier et d'analyser du
malware. Par ailleurs, nous gardons un oeil
sur internet (manuellement ou de manière
automatisée avec des out ils développés
maison) à la recherche de nouvelles
vulnérabilités ou autres informations nous
concernant.
Extrait du Code de Stuxnet