Scully appelle Internet

A la douce époque où Internet faisait toujours

office de technologie magique (non, pas en 2014 ,

non), on pouvait tomber sur quelques moments de

grâce.

C’est le cas notamment dans cette version

française de l’épisode 2Shy (Meur tres sur

Internet). Dans la version anglaise, Scully appelle

"the online service", mais en français, le résultat

est pour le moins loufoque. Regardez.

La vidéo du mois

"Vous qui entrez ici, abandonnez toute espérance" (Divine Comédie,

Chant III)

Cette maxime célèbre de Dante pourrait inspirer plus d’un

professionnel de la sécur ité au vu des piratages massifs de

données des derniers mois: Adobe, Target, Apple, eBay… Et que

dire de la défection de TrueCrypt, qui a secoué toute la

communauté cyber? La sécur ité serait -elle devenue une chose du

passée?

La réponse est évidemment non. Certes, comme on l’a maintes

fois répété, la sécurité absolue n’existe pas. Celui qui la pense

"comme une for teresse" est sûr d’échouer.

La sécur ité est une notion globale. Changeante. Mouvante. En

perpétuelle évolution. Elle naît de l’accumulation de couches de

protection – avant, pendant et après les incidents, qui arr iveront

bien un jour .

Mais tout espoir n’est pas perdu: à l’étranger (FireEye avec

l’acquisit ion de Mandiant) et en France (Atos avec l’acquisit ion de

Bull), des géants du secteur apparaissent avec, pour maître-mot, la

vélocité, la flexibilité, l’agilité. Une industr ie de la cyberdéfense

suffira-t-elle à sécur iser le cyberespace? Peut -être pas, mais c’est

un début.

De notre côté, nous nous proposons, avec cette lettre

d’information collaborative, d’apporter une pierre à l’édifice. Ce

mois-ci, nous aurons donc la chance d’accueillir :

- Adrien Gevaudan, géoéconomiste et fondateur d’InStrat sur le

très cr it iquable TrueCryptGate

- Barbara Louis-Sidney, jur iste pénaliste à CEIS spécialisée cyber

pour un point sur les marchés criminels

- Gerome Billois, senior consultant à Solucom, pour nous par ler

de la sécur ité du Big Data et des objets connectés

Comme d’habitude, notre veille 360° (Cybersécur ité, Cyberdéfense,

Cyberculture) fait le tour des évènements du mois écoulé en se

concentrant par ticulièrement sur la thématique des objets

connectés.

N’hésitez pas également à visiter notre Tumblr, qui rassemble

toutes nos publications. Bonne lecture!

L’E-DITO

Sommaire

Les gros titres

THE WAR R@M

L’Edito 360° Les Experts Out-of-the-Box Pimp my Opsec

#M2M #BigData #CyberCrime

#CompuTrace #Industrie #M2M

• Retrouvez aussi nos publications sur nos plateformes: blogwarram.tumblr.com et Slideshare.net/ W arRam

• Envie d’en savoir plus? Contactez-nous: redaction.warram@aol.com

• Les contr ibuteurs associés à ce numéro, pour leur contr ibut ion et leur sout ien, visible ou invisible: @agevaudan @gbillois,

@b_sidney, Thierry Berthier, @lrcyber, @Mduqn

A NEW HOPE

FOLLOW THE W HITE RABBIT

War Ram - Juin 2014

360°

War Ram - Juin 2014

Cybersécurité & Entreprises

Des chercheurs planchent sur la défense des systèmes cyberphysiques Grands oubliés de la cybersécur ité (cf W ar Ram – Mai

2014 ), les systèmes cyberphysiques qui représentent

l’architecture d’Internet deviennent de plus en plus

cr it iques.

Aux Etats-Unis, la quest ion est même devenue très

sensible (cf. W ar Ram – Avril 2014 ), ce qui a poussé

le gouvernement a lancé le défi Smar tAmerica aspirant

à développer la défense des réseaux, pr incipalement le

réseau électr ique par t iculièrement sensible car trop

centralisé.

En par tant de cet état de fait , la Smart Energy CPS,

une équipe de chercheurs amér icains provenant de

différentes universités, mettent à l’épreuve le

développement d’un modèle d’informatique distr ibuée,

se reposant sur le Cloud, des machines vir tuelles et la

mult iplicat ion des points de contrôle.

Les résultats de leur recherche devraient être

disponibles cet été et pourraient servir à toutes les

grandes métropoles.

La porte dérobée TCP 32764 réactivée dans le plus grand secret La por te dérobée TCP-32764 , présente dans plusieurs routeurs (Linksys, Netgear, Cisco, pour ne citer que les plus célèbres) et

découver te par le chercheur français Eloi Vanderbeken, a été réintroduite à l’intér ieur même du patch censé cor r iger cette grave er reur

de sécur ité.

Eloi Vanderbeken a ainsi découver t une ligne de code permettant de réactiver la por te dérobée. Se pose désormais la quest ion de savoir

si cette dernière a été introduite intent ionnellement, ou s’il s’agit à nouveau d’une er reur…

Le retour du Data Center Les cibles des cyberattaques s’étendent désormais à

plusieurs plateformes, et les data centers ne sont pas

épargnés.

Face au r isque de compromission d’une infrastructure

toujours aussi stratégique (cf W ar Ram – Mai 2014 ),

Cisco a décidé d’étendre son offre de protection contre

les APT et les 0 -day.

Cisco prétend ainsi pouvoir défendre les infrastructures

d’un point à l’autre, des data centers jusqu’au cloud,

tout en offrant une assistance avant, pendant et après

l’at taque.

Hélas, sur le papier l’offre a beau être intéressante, les

récentes accusations de la Chine sur les liaisons

dangereuses entre Cisco et les services de

renseignement américains font planer le doute sur

cette offre miraculeuse.

Un supercalculateur piraté Le NIW A, l’inst itut néozélandais pour

la recherche sur l’eau et

l’atmosphère, a vu son

supercalculateur piraté la semaine

dernière.

Il s’agit d’une première et la nouvelle

a de quoi surprendre, car ce

supercalculateur était uniquement

consacré aux calculs

météorologiques.

Certains supposent que l’object if

derr ière ce piratage était d’arr iver à

créer un "mineur" de Bitcoins.

L’équipe de la NIW A a réussi à

contourner le piratage en éteignant le

supercalculateur .

Alerte! TrueCrypt ferme ses portes Le logiciel de chiffrement le plus

populaire, et une alternative sér ieuse

selon l’ancien consultant Edward

Snowden, a jeté l’éponge mercredi

28 mai, car la fin de la mise à jour

du support XP rendrait l’utilisation du

programme dangereuse.

Une annonce qui a provoqué un

séisme dans la communauté de la

cybersécur ité internationale. Pr is de

cour t par cette décision brutale, les

analystes fourmillent de théor ies

réfutant la posit ion officielle qu’ils

t rouvent dur à croire: influence

gouvernementale, pression sur

l’anonymat des développeurs...

Le consultant renommé Brian Krebs

a quant à lui évoqué l’idée que des

développeurs externes pourraient

reprendre TrueCrypt en main, tout en

rappelant que la fiabilité du

programme de chiffrement faisait

débat.

Le piratage d’eBay, sans précédent? Le piratage d’eBay est un choc

pour le secteur du e-commerce.

Considéré comme un des sites

les plus sûrs, celui-ci a été

délesté de près de 148 millions

de données personnelles – et ce

chiffre n’est pas définitif.

Un cadre supér ieur de PayPal,

filiale d’eBay, a récemment

donné une interview pour le site

Inc. sur cette faille.

Selon celui-ci, la dist inct ion claire

(tant au niveau du chiffrement

que des informations) entre

eBay, la plateforme de

commerce, et PayPal, la

plateforme d’achat, aurait

épargné le vol de données

financières.

Une cer t itude qu’il est difficile de

par tager…

Computrace : le mouchard universel révélé Korben relaye une information

particulièrement importante, et

bien trop peu repr ise dans les

média.

Un mouchard universel du nom

de Computrace serait installé de

base sur tous les ordinateurs,

selon les chercheurs de

Kaspersky qui auraient fait cette

découverte récemment.

Ce mouchard se lancerait dans

le BIOS dès le dépar t, et on ne

saurait que trop vous

recommander de lire l’article

que Korben consacre à ce sujet:

ht tp:/ / korben.info/ computrace-

lojack-absolute.html

360°

War Ram - Juin 2014

L’Allemagne abandonne la poursuite de la NSA Le gouvernement allemand connaît un

retour de flamme de la par t

d’associat ions de protection des

données après que le procureur ait

abandonné l’enquête cr iminelle censée

viser la NSA et le GCHQ.

Le procureur fédéral avait en effet fait

cette annonce, mais selon une

information parue dans la presse

Bull et Atos se marient Deux géants de l’informatique français sont sur le point

de se mar ier . Atos, l’un des plus grands acteurs SSI

au niveau mondial, vient en effet proposer une OPA

amicale à Bull pour 620 millions d’euros. L’object if du

premier est de bénéficier de l’exper t ise du second

dans les domaines de niche (supercalculateurs,

cybersécurité, data centers).

Les act ionnaires sont globalement ravis et Orange, qui

dét ient Bull à 8%, a fait savoir qu’il sout iendrait cette

init iat ive.

Atos est ime quant à lui que cet achat permettrait de

favor iser l’émergence d’un grand nom de la

cybersécur ité et du cloud à l’échelle européenne.

Alcatel Lucent et Thales aussi… Parallèlement, Alcatel-Lucent et Thalès ont également noué un par tenar iat stratégique. La seconde a repr is les act ivités de cybersécur ité de la première. Le terme "activités" est évidemment large, et il y a for t à par ier que la pose de câbles sous-mar ins, une act ivité stratégique mais sulfureuse, faisait par t ie du marché. Ce mar iage renforcera cer tainement l’impor tance de Thalès en temps qu’acteur majeur de la cybersécur ité des télécoms. A quel pr ix, diront cer tains?

L’Iran et le point d’eau L’Iran aurait réussi à espionner le

secteur de la défense amér icain en

mettant au point une campagne d’

ingénier ie sociale avancée.

Cette dernière consistait à mettre en

place un faux site Internet d’information,

relayant des informations per t inentes.

Par ce biais, les "journalistes", en réalité

des espions, menaient des campagnes

d’espionnage se reposant sur des

techniques d’ingénierie sociale dans le

but d’obtenir des informations sensibles

de la par t de leurs cibles.

Les tact iques ut ilisées étaient avancées,

comme le spear phishing (harponnage)

ou le "trou d’eau", une technique déjà

employée dans le piratage de sous-

traitants de la défense française et

pr ivilégiée par des hackers d’Etat.

La valeur d’une donnée Le maître de conférences Thier ry

Ber thier, contr ibuteur régulier pour la

W ar Ram, a publié en collaborat ion

avec la chaire de cyberdéfense et de

cybersécur ité de Saint -Cyr un ar t icle sur

la valeur des données.

Cet ar t icle, plutôt technique, revient sur

l’importance des données en prenant

l’exemple du piratage du compte Twitter

d’Associated Press (et du fameux tweet

à 136 milliards de dollars).

L’ar t icle ent ier est disponible à cette

adresse: http:/ / www.chaire-

cyber .fr / IMG/ pdf/ ar ticle_4_3_-

_chaire_cyberdefense.pdf

Cyberguerre froide entre la Chine et les Etats-Unis Alors que depuis peu, les tensions

semblaient s’être calmées entre les

Etats-Unis et la Chine avec la mise en

place d’une collaborat ion sur les

quest ions de cyberdéfense,

l’ar restation de six ressortissants

chinois accusés de piratage a remis

de l’huile sur le feu.

La hache de guerre définit ivement

déter rée et les premières vict imes de

ces échanges sont les entrepr ises

amér icaines.

Ainsi, Cisco et IBM n’auront plus droit

de cité auprès des entrepr ises

sensibles ou des infrastructures

publiques, ni près des banques.

Le gouvernement chinois a fait une

déclarat ion officielle, rappelant

l’impor tance stratégique et

pr imordiale de la cyberdéfense pour la

nat ion.

Cyberdéfense

L’Estonie veut créer des ambassades de données Très inquiète par l’évolut ion de la

situat ion ukrainienne et t irant

probablement les leçons de la

cyberattaque de 2007 , l’Estonie a

décidé de mettre en place des

"ambassades" de données qui lui

permettraient d’opérer dans le cloud,

même en cas de cyberattaques.

L’idée serait d’assurer la cont inuité et

l’accessibilité du gouvernement même

en cas d’occupation militaire.

L’idée ne serait pas nouvelle, selon

Jaan Priisalu, directeur général du SSI

de l’Etat estonien, mais l’"invasion"

russe aurait précipité les plans.

allemande, l’absence de preuves

formelles et la difficulté technique

d’une telle enquête ont poussé les

services jur idiques à abandonner les

charges.

Exaspérée par cette nouvelle, Rena

Tangens, du groupe Digitalcourage, a

dénoncé une situation "grotesque".

Cinq hackers chinois ont été arrêtés par le FBI pour le piratage informatique et le vol de données sensibles d’entreprises américaines. L’arrestation de ces cyberespions a déclenché une grave crise diplomatique entre la Chine et les Etats-Unis.

Huawei: la 4G, l’autoroute des objets connectés Huawei veut aussi se placer sur le créneau des objets

connectés. La télécom chinoise vient de publier une étude, qui

peine un peu à se médiatiser , présentant la 4G comme une

"autoroute" de connexion.

En réalité, le concept est assez similaire à celui de Sigfox, utiliser

la 4G comme réseau pour connecter les objets entre eux.

Hélas pour Huawei, Sigfox, la star t-up toulousaine, est beaucoup

plus en avance sur cette thématique: le réseau de connectivité à

bas débit semble d’ore et déjà plus fiable.

360°

War Ram - Juin 2014

Anne Lauvergeon préside dans l’Internet des objets Anne Lauvergeon rejoint la star t-up

Sigfox, spécialiste des objets

connectés.

Celle qui a dir igé Areva pendant près

de dix ans s’intéresse depuis longtemps

à la quest ion. Symbole de la réflexion

sur le Big Data et le M2M (Machine to

Machine), présidente du rappor t sur la

Commission Innovation 2030 ,

Lauvergeon a depuis longtemps déclaré

qu’il ne fallait sur tout pas manquer le

virage des Big Data.

La par t icular ité de Sigfox est que la

star t-up prévoit de déployer un réseau

de connectivité à bas débit , basé sur la

technologie Ultra Narrow Band, qui

permettrait d’assurer un lien fiable et

peu gourmand en octets entre les

différents objets connectés.

C’est dire, vu l’impor tance du marché

du M2M , si Sigfox est stratégique…

L’ar r ivée d’Anne Lauvergeon est donc

symbolique pour cette star t -up qui se

prépare à entrer en bourse: serait -on

en train d’assister à la genèse d’un

géant des objets connectés?

L’UPnP veut créer un pont entre l’Internet des objets et le Cloud L’Universal Plug and Play (UPnP), le protocole réseau promulgué

par le groupe d’entrepr ises de l’UPnP Forum, veut harmoniser

le réseau très fragmenté de l’Internet des objets.

Pour ce faire, cet "UPnP+" prône le concept d’un produit type

pont de capteurs, capables de stocker et de traduire les

données provenant de différents objets connectés afin de les

lier avec d’autres services, comme le Cloud par exemple.

Google veut de la pub dans les objets connectés Google veut de la pub sur tous les

objets connectés. C’est du moins

ce qu’il a écr it noir sur blanc au

gendarme de la bourse

amér icaine dans une lettre

dénichée par le W all Street

Journal.

On remerciera 01Net pour la

traduction ci-dessous de Google:

« Nous pensons que la not ion

même de "mobile" va évoluer à

mesure que les "appareils

intelligents" vont gagner du ter rain

sur le marché.

Par exemple, d’ici quelques

années, nous et d’autres

entrepr ises pourr ions fournir des

publicités et d’autres contenus sur

des réfr igérateurs, des tableaux

de bords de voitures, des

thermostats, des lunettes et des

montres pour ne citer que

quelques possibilités (…). Nous

nous attendons à ce que nos

ut ilisateurs ut ilisent nos services

et voient nos publicités sur un

nombre grandissant et diversifié

d’appareils dans le futur ».

Cyberculture

La répartition d’Internet dans le monde par Geonames.org. Cette data vizualisation a été réalisée en croisant les

données démographiques et les adresses IP.

Le marché français des objets connectés 500 millions d’euros. C’est le montant que

pèsera le marché français des objets

connectés d’ici 2016 , selon Xerfi et le

journal du Net, soit quasiment une

augmentation de 500%.

Il s’agit donc d’une vér itable oppor tunité

économique, mais aussi technologique. En

effet, se joue aujourd’hui la quest ion de l’OS

des objets connectés. Le constructeur

canadien BlackBerry y voit le salut après

une traversée du déser t économique.

Mais c’est un OS français vers lesquels

tous les regards. Emmanuel Baccelli,

chercheur à l’Inria, a por té ce système

d’exploitation open source qui se veut être

le "Linux" de l’Internet des objets.

A la création, un public de hackers et de

chercheurs, ce qui promet un rendu

probablement excellent.

Bataille d’OS dans le M2M L’Universal Plug and Play (UPnP), le protocole réseau

promulgué par le groupe d’entrepr ises de l’UPnP

Forum, veut harmoniser le réseau très fragmenté de

l’Internet des objets.

Pour ce faire, cet "UPnP+" prône le concept d’un

produit type pont de capteurs, capables de stocker et

de traduire les données provenant de différents objets

connectés afin de les lier avec d’autres services,

comme le Cloud par exemple.

TRUECRYPT ET LE DÉNI PLAUSIBLE

War Ram - Juin 2014

Coup de tonnerre dans le monde de

la sécur ité informatique, la semaine

dernière, avec l’annonce extravagante

de la fin du développement de

Truecrypt. Ce logiciel de chiffrement,

ut ilisé depuis des années aussi bien par

les professionnels que les ut ilisateurs

aver t is, était l’exemple type prouvant la

supér ior ité, en matière de sécur ité des

systèmes d’information, des logiciels

libres sur les solut ions propr iétaires.

Depuis les révélat ions Snowden (et bien

avant pour ceux s’y connaissant un

peu), il est devenu de notor iété publique

que des agences gouvernementales

n’hésitent pas à ut iliser cer taines

méthodes afin d’accéder à ce à quoi

elles ne devraient normalement pas

avoir accès, les pr incipales étant les

suivantes :

1) Insertion d’une porte dérobée

(logicielle ou matér ielle) ;

2) Accès aux serveurs et à leurs

bases de données ;

3) Installation de malwares (type

keyloggers et/ ou troyens) ;

4) Pressions directes et indirectes

sur des personnes-clés.

LES EXPERTS

Adrien Gévaudan, fondateur d’IntStrat et

géoéconomiste, revient sur la TrueCrypt

Gate, cet évènement qui a secoué la

communauté de la cybersécur ité. En effet,

les développeurs anonymes du célèbre

logiciel de chiffrement ont jeté l’éponge.

Pourquoi?

C’est à cette question que notre

contr ibuteur se propose de répondre

Truecrypt répondait à toutes ces méthodes de la façon suivante :

1) Son code source est disponible, ce qui signifie que tout un chacun peut compiler soit même le logiciel, et que des audits externes peuvent être tenus permettant d’en assurer la sécur ité (un audit était d’ailleurs en cours lors de la bombe du 29 mai). L’inser t ion d’une por te dérobée dans le code source (en l’occur rence un raccourci mathématique permettant un déchiffrement rapide) était donc impossible, au r isque de se faire choper le premier audit venu ;

2) Truecrypt s’installe en local, et r ien n’est stocké sur des serveurs ou des bases de données externes ;

3) Cf. : 2 ). En effet, il aurait fallu agir directement sur tous les systèmes ayant installé Truecrypt ce qui, vu la popular ité du logiciel et l’immensité des moyens alors nécessaire, n’est ni rentable ni probable ;

4) Deux personnes-clés sont susceptibles de pressions : les développeurs du logiciel et les ut ilisateurs. Les premiers ont toujours souhaité conserver leur anonymat (c’est pour tant ce point -ci

le plus susceptible à pressions) ; quant aux seconds, ils avaient la possibilité d’avoir recours à un concept br illant issime int itulé le Déni Plausible (pour Plausible Deniability).

Le pr incipe est simple : Truecrypt offre la possibilité de configurer une “fausse phrase de passe”, qui, dans le cas où cer taines autor ités (comme les br itanniques) forceraient l’ut ilisateur à donner l’accès à ses données, servirait à ouvr ir un volume Truecrypt pré-configuré contenant d’autres fichiers que ceux que l’on souhaitait protéger . Ainsi, plus besoin d’avoir peur de devoir révéler sa phrase de passe vér itable, car r ien ne permet aux autor ités de prouver l’existence d’autres fichiers que ceux que l’on avait pu préparer au préalable.

Pour toutes ces raisons, Truecrypt a été, pendant longtemps, le fer de lance des logiciels de sécur ité, recommandés même par des entités publiques (comme l’ANSSI).

… et tout s’est ar rêté le 29 mai dernier .

(Suite p. 6 )

War Ram - Juin 2014

Truecrypt-gate : rappel des faits Les premiers visiteurs ont pu croire (à

raison) à un défaçage, et pour tant non! Un

message des développeurs affirme :

“Attention : ut iliser Truecrypt n’est pas

sécur isé car le logiciel pourrait contenir des

problèmes de sécur ité non-résolus”

S'ensuit une explicat ion lapidaire, pouvant

être résumée ainsi : le développement de

Truecrypt a été ar rêté en Mai 2014 , après

que M icrosoft ait intégré à ses récents

systèmes d’opérat ions une solut ion

propr iétaire notoirement vérolée :

BitLocker. Ainsi, il est conseillé

d’abandonner Truecrypt.

Les précédentes version du logiciel ont

toutes été remplacées par une ne

permettant que de déchiffrer des données

Truecrypt (et donc plus de chiffrer ), et un

tutor iel détaillé explique comment migrer

vers BitLocker.

W TF ?!

L’absurde comme pseudo-déni

plausible : une solution de

communication? Au final, qu’un logiciel libre cesse d’être

développé, r ien de plus commun ; après

tout, les mecs sont bénévoles, ils ont sans

doute d’excellentes raisons. Mais cesser de

développer un logiciel open source en

invoquant l’existence de solut ions

propr iétaires et intégrées, là, on tombe

dans l’absurde!

Des mecs ayant intégré à leur logiciel une

solut ion de Déni plausible n’auraient-ils pas

pu trouver un moyen de communication leur

permettant, de façon absurde et ironique,

de transmettre un message à la

communauté?

C’est la thèse qui domine, évidemment ;

après l’affaire Lavabit, chat échaudé craint

l’eau froide. Et si d’autres pistes sont

également envisagées (notamment une

éventuelle volonté de responsabiliser la

communauté en lui foutant la trouille), elle

demeure la plus plausible à ce jour .

SUITE ARTICLE P.5

Par une communication aussi absurde, les développeurs ont peut -être souhaité faire comprendre qu’ils ont été mis dans une situation telle qu’ils ont été obligé de cesser le développement du logiciel, ou d’abandonner cer taines des valeurs et garanties qui l’ont définies pendant des années (anonymat des développeurs, code source ouvert, etc.). En gros : déchiffrez l’absurdité de nos actes ; de notre côté, nous pouvons plausiblement affirmer que nous avons respecté la loi. Et si, temporairement, ceux qui ont pu souhaiter la fin de Truecrypt ont pu se frotter les mains, force est de constater qu’ils r isquent de se prendre un sér ieux retour de bâton. La communauté réagit assez mal aux tentatives de pression, et de nouveaux projets (comme Truecrypt.ch) sont déjà en pôle pour reprendre le flambeau. Pour nous autres, utilisateurs aver tis, r ien ne change : il faut continuer à suivre l’actualité du secteur , soutenir cer tains projets dans la limite de nos moyens, et faire preuve de pédagogie auprès du public non-averti. Par Adrien Gevaudan Géoéconomiste spécialisé Cyber, Fondateur d’IntStrat @agevaudan

TrueCrypt a publié un “communiqué de presse” sur SourceForge explicquant que sa solution n’était plus sécur isée et livrant un guide pour migrer vers BitLocker, un logiciel propr iétaire de M icrosoft:

truecrypt.sourceforge.net

War Ram - Juin 2014

Si cer taines rubr iques sont dédiées à la

rencontre et à la const itution d’équipes (en

fonct ion des talents de chacun), d’autres

sont dédiées à la mise en vente des lots de

numéros de car tes et de comptes. Ces

forums sont consultés par les propr iétaires

de shops qui vont acheter auprès de ces

grossistes leurs lots de données, en

spécifiant bien le type de car te (Gold,

Premier , Amex, etc.), la zone

géographique, etc. qui les intéressent.

Le gérant du shop prendra bien garde à

n’acheter qu’un échantillon la première fois,

afin d’évaluer la fiabilité du grossiste. Une

fois en confiance, il récupère le lot de

car tes et les met en vente sur son shop,

site de vente de numéros de car tes

bancaires similaire à n’impor te quel site de

e-commerce, avec des cr itères de tr i, un

panier et un por te-monnaie vir tuel. Le

gérant de shop peut également se fournir

sur cer tains chats en ligne (IRC, jabber ). Le

contact est alors direct. Une fois cela fait ,

démarre la phase de monétisation qui

implique d’autres acteurs (mules, etc .).

L’actualité du mois, c’est évidemment le

piratage massif d’eBay, une entreprise

autrement plus médiatisée et connue que

Target. Les sociétés civiles semblent se

rendre compte que le cybercrime est

devenu industriel. N’est-ce pas un peu

tard ?

Il n’est jamais trop tard pour ce type de

pr ise de conscience ! Il est tr iste de

l’admettre, mais seules des affaires

bruyantes aux conséquences graves seront

susceptibles, en créant un précédent, de

générer cette pr ise de conscience chez les

pr incipaux acteurs. La cybercr iminalité est

trop souvent considérée comme un délit

« indolore ». Difficile de convaincre ou de

sensibiliser sur une cr iminalité qui reste de

basse intensité. Les précédents tels

qu’eBay et Target ont le mér ite de rendre la

menace plus « réelle », palpable aux yeux

des non-init iés qui, ne voulant cer tainement

pas se retrouver dans des situat ions

similaires, sont désormais plus susceptibles

d’engager des budgets sur ces

problématiques.

(Suite p.8 )

OUT-OF-THE-BOX

Bonjour Barbara. Tu as récemment publié une étude sur les marchés cybercriminels avec l’équipe Secu-Insight de CEIS, une démarche bienvenue car plus que rare en France ! Quelles sont les conclusions les plus marquantes que tu tires de votre enquête ? Bonjour Stéphane. Tout d’abord merci pour cet entretien pour la W ar Ram. Cette étude s’est concentrée sur l’usage que font les cybercriminels des monnaies virtuelles. Elle est complémentaire de notre premier livre blanc sur le sujet (cf. Les marchés noirs de la cybercr iminalité, 2011), où l’on ident ifiait déjà l’impor tance de la monnaie vir tuelle comme outil du cybercr ime. Nos conclusions sont que les cybercr iminels sont passés à la vitesse supér ieure ; les monnaies vir tuelles de type Liber ty Reserve étant délaissée au profit des crypto-monnaies. Les avantages de ces crypto-monnaies sont ut ilisés à des fins malveillantes dans le cadre de la cybercr iminalité. Et, sur tout, les crypto-monnaies ayant pour finalité première de renforcer l’anonymat et la difficile traçabilité, là où Bitcoin est moins « fiable », sont désormais au centre de leurs préoccupations (ZeroCoin, DarkCoin, etc.). On dit que les cybercriminels russes sont des précurseurs et de véritables « leaders » dans le domaine. C’est ton avis ? Les cybercr iminels russes sont précurseurs sur de nombreux points. Ils se sont illustrés lors de conflits interétatiques (avec la Géorgie en 2008 , par exemple). Très présents (le russe est la seconde langue la plus ut ilisée, après l’anglais, sur les forums cybercr iminels), ils sont leaders également dans leur domaine en raison de la tolérance existant à leur égard, dès lors qu’ils ne s’attaquent pas à des intérêts nat ionaux. D’autant que le degré de contrôle des autor ités russes sur ces hackers reste flou.

Pour ce mois de Juin, l’équipe de la W ar Ram

s’entretient avec Barbara Louis-Sidney, qui a co-

écr it un excellent rapport sur la cybercr iminalité

(voir en fin d’ar ticle), sur la montée en

puissance des cybercr iminels.

Une question prégnante, à l’heure où eBay et

Target se remettent péniblement de leur

piratage massif.

Ils ont également très rapidement segmenté et professionnalisé les tâches sur les marchés noirs de la cybercr iminalité ; faisant de l’économie de la cybercr iminalité un écosystème au fonct ionnement relat ivement classique. A t it re d’exemple, ils ont for tement contr ibué au CaaS ou Crime as a Service, proposant des out ils clés en main à dest inat ion d’autres cybercr iminels. Enfin, puisqu’on par le de monnaies vir tuelles, il faut noter que le précurseur W ebMoney, monnaie vir tuelle la plus impor tante (après e-Gold et avant Liber ty Reserve) sur les black markets est implantée en Russie. Son succès a longtemps reflété l’impor tance de la cybercr iminalité dans cette région du monde. Un point particulier, qui continue encore et toujours de perturber les néophytes, c’est l’utilisation que font les cybercriminels de ces données piratées en masse. Pourrais-tu nous éclairer ? Comme je l’explique plus haut, les marchés noirs sont organisés et structurés par une str icte division des tâches. Les résultats d’une grande campagne de vol de données (numéros de car tes bancaires ou comptes en ligne, par exemple), sont vendus « en gros » sur des forums. Ces forums sont divisés par rubr iques afin que les cybercr iminels s’y retrouvent.

BARBARA LOUIS-SIDNEY "LA CYBERCRIMINALITÉ EST TROP SOUVENT CONSIDÉRÉE COMME INDOLORE"

War Ram - Juin 2014

SUITE ARTICLE P.7

En tant que juriste, quelle vision as-tu

des raids des services de l’ordre

contre les cybercriminels ? Est-ce

que les Etats se sont enfin résolus à

contre-attaquer ?

Il est très frustrant, en tant que

jur iste pénaliste, de voir que les

condamnations de cybercr iminels en

tant qu’individus, n’ont que très peu

d’impact sur le démantèlement de

filières ent ières. Les act ions visant à

démanteler leurs infrastructures

semblent bien plus efficaces à cour t

et moyen termes.

La combinaison des deux méthodes

(démantèlement des infrastructures

associé à des condamnations

fermes) peut alors être dissuasive à

long terme. Cette vision dynamique

de la lutte contre la cybercr iminalité

marque un signal résolument posit if

pour le monde judiciaire. Elle place

l’étude des infrastructures et des

out ils des cybercr iminels au cœur de

la démarche.

« Les marchés noirs de la cybercriminalité »

(juin 2011) http:/ / www.secuinsight.fr / livre-

blanc-blackmarkets/ lb.pdf

« Monnaies virtuelles et cybercriminalité - Etat

des lieux et perspectives » (janvier 2014)

http:/ / www.ceis.eu/ fr / actu/ note-strategique-

monnaies-vir tuelles-et-cybercr iminalite-etat-des-

lieux-et-perspect ives

Téléchargements :

Dernière question : dans cette RAM nous

nous intéressons particulièrement aux

objets connectés. Représentent-ils une

cible idéale dans le futur ?

Les objets connectés sont bien

évidemment une cible idéale déjà

aujourd’hui, et cela s’amplifiera dans le

futur . L’augmentation du nombre d’objets

connectés élargit la sur face d’attaque à

disposit ion des cybercr iminels (nouveaux

points d’entrée, de vulnérabilité). De

nouvelles données, de plus en plus proches

des ut ilisateurs, sont collectées ; elles

peuvent être la cible de vols de données et

être, pourquoi pas, revendues.

Les objets connectés peuvent également

être source de vulnérabilités, s’ils

fonct ionnent avec un système d’exploitat ion

non mis à jour : il s’agit-là d’une simple

t ransposit ion des problématiques existant

déjà sur les PCs. Il n’est donc pas exclut

que les objets connectés servent à la

créat ion de botnets. Le rôle d’IPv6 est

également à analyser . Reste à voir

comment les cybercr iminels en par lent sur

les marchés noirs, et les forums de

discussion.

C’est un sujet que CEIS pourrait étudier !

Par Barbara Louis-Sidney

Consultante en cybersécur ité, CEIS

@B_Sidney

Les condamnations de cybercriminels en tant qu’individus n’ont que très peu d’impact sur le démantèlement de filières entières. Démanteler les infrastructures semblent plus efficaces à court et moyen termes.

Le poids du cybercrime en une infographie.

CEIS est une société de conseil en stratégie et

management des r isques qui assiste ses clients

dans leur développement à l’étranger et à

l’internat ional.

Depuis plusieurs années, leurs compétences

reconnues en cybersécur ité leur ont permis de

nouer des par tenar iats stratégiques avec la

Défense, notamment la gendarmer ie.

Ils organisent depuis deux ans le Forum

International de la Cybercriminalité.

Site: ht tp:/ / www.ceis.eu/

Twitter: @ceis_strat

CEIS

GEROME BILLOIS: "IL FAUT PRÉPARER LA SÉCURITÉ DES OBJETS DÈS LEUR

CONCEPTION"

War Ram - Juin 2014

PIMP MY OPSEC

Le Big data nécessite de se poser des quest ions sur les données en tant que telles. Comment les a-t-on collectées ? Quelles sont leur niveau de qualité (n'oublions pas l’adage anglo-saxon "Garbage In / Garbage Out") ? Comment gérer les contrôles d'accès sur des lacs de données non structurés alors que la situat ion est déjà compliquée avec des bases bien délimitées ? Comment séparer et chiffrer les données sensibles alors qu'il va y avoir une grande diversité d'ut ilisateurs et un besoin de rapidité d’accès et de traitement ? Autant de quest ions qu'aujourd'hui nous commençons seulement à toucher du doigt . Les pr incipales solut ions de Big Data ont été conçues sans intégrer la sécur ité (et oui encore une fois...). Mais des out ils addit ionnels commencent à apparaître pour gérer les droits d'accès et le chiffrement à l'échelle des données unitaires ("cell based secur ity"). Ces solut ions sont jeunes et doivent encore faire leurs preuves mais il faut dès aujourd'hui les intégrer dans les pilotes. L'autre r isque du Big Data est règlementaire, en par t iculier sur les sujets liés à la protection des données à caractère personnel. Aujourd'hui la loi est structurée autour de traitements de données bien définis, qui dispose d'une finalité claire. Mais le Big Data vise justement à créer des lacs de données sur lesquelles on peut

réaliser tous les recoupements et les traitements imaginables a poster ior i. Un vrai casse-tête à résoudre sur lequel les jur istes, les avocats et la CNIL sont en première ligne. Pour les objets connectés, une des difficultés réside dans la capacité à les maîtr iser et à les maintenir à jour dans la durée. Imaginons un instant devoir réagir suite à une faille comme Heartbleed. Les problèmes seraient immenses : qui possèdent les objets ? Comment les contacter ? Quels r isque à les mettre à jour avec des taux de défaillance qui peuvent être élevés (le r isque de "br ickage") ? Comment gérer l'obsolescence de ces objets et de leur OS souvent par t iculier ? Comment maîtr iser l'ident ité de ces objets dans son SI ou en tant que constructeur alors que l'on n'est pas encore capable aujourd'hui de gérer cor rectement l'ident ité de ses employés ou clients ? Mais aussi, et peut -être sur tout, comment concevoir des objets connectés simples à ut iliser mais suffisamment sûrs pour ne pas être attaqués en masse ? Face à cette situat ion, malheureusement, la plupart des constructeurs penchent vers la simplicité : mot de passe par défaut, ouver ture automatique des flux dans les box grâce à l’UPNP, services cloud interconnectés...

(Suite p.10 )

Aujourd’hui, les concepts des objets connectés et de Big Data sont largement remis en cause, entre catastrophe annoncée et or noir potentiel.Quelle est votre position ? Ces deux concepts sont pressentis pour transformer notre quotidien dans les années à venir , et c'est for t probable qu'ils y ar r ivent ! Les objets connectés entrent déjà dans beaucoup de foyers ou d'entreprises de tous les secteurs. Le Big Data fait en parallèle l'objet de nombreuses expér imentations, en par t iculier dans des entrepr ises B2C. L’efficacité doit encore être démontrée concrètement mais les attentes sont for tes. À mon sens, il ne faut pas considérer ces évolut ions comme des catastrophes à venir , d'autant plus lorsque l'on travaille dans la sécur ité. Il est nécessaire de les prendre en compte et d'appor ter des réponses pour réduire les r isques. Ne r ien faire serait la vraie catastrophe ! Interdire en bloc serait également contreproductif, la sécur ité serait contournée rapidement. Mais cela ne veut pas dire qu'il faut tout laisser passer : il faut définir les front ières acceptables pour ces nouveaux concepts et c'est bien là que sur ce plan que le débat se situe. Quelles sont les principales menaces informatiques que représentent (ou qui pèsent) sur les objets connectés et le Big Data ? Ce sont deux concepts différents, qui se recoupent sur un thème : la protection de la vie pr ivée. Il s’agit d’un des pr incipaux r isques, en alliant une collecte massive d'information sur notre quotidien grâce aux objets connectes avec une capacité d'analyse fine issue du Big Data, nous pouvons rapidement envisager des scénar ios « catastrophes ». La règlementation doit s’adapter à ces nouveaux concepts, mais le bon sens de tout un chacun reste essentiel. L'expér ience montre malheureusement que l'at trait des nouvelles technologies peut souvent faire oublier les r isques associés. Au-delà de ses aspects sociétaux, chaque concept por te ses propres r isques. Sans avoir la prétention d’être exhaustif, voici ceux que nous ident ifions comme les plus complexes à traiter .

Gérôme Billois, est senior manager en cybersécurité au

cabinet Solucom, le cabinet de conseil en management

d’information auprès des grands comptes.

Il revient pour nous sur les défis de sécur ité posés par le

Big Data et les objets connectés. Un sujet vaste… et

enr ichissant!

Appel à contributeurs Cette newsletter mensuelle s’adresse à une

communauté ciblée et se construit sur un

modèle collaboratif, s’inspirant d’une démarche

open source dans le souci d’un par tage de

connaissances.

De fait , elle vit et s’enr ichit de ses

contr ibuteurs, pour la plupar t des exper ts dans

leurs domaines respect ifs, et de fait nous

sommes toujours à la recherche de

contr ibutions diverses.

Si publier par notre biais vous intéresse,

n’hésitez pas à nous à contacter pour en

discuter plus en détails.

Cordialement,

La Rédact ion

War Ram vous est proposée chaque mois et est disponible en ligne. C’est une publicat ion libre, vous pouvez donc la par tager sans réserves, à condit ion de respecter la propr iété intellectuelle des personnes qui y publient .

Vous pouvez aussi suivre notre actualité et bénéficier de nos ressources en ligne par le biais de notre compte Slide Share : http://fr.slideshare.net/WarRam blowarram.tumblr.com

War Ram - Juin 2014

SUITE ARTICLE P.9

Tout cela crée des situat ions à r isque,

peut-être encore limitées aujourd'hui,

mais qui demain pourraient provoquer

des effets larges et impor tants. Nous

pouvons même imaginer des

scénar ios de r isques qui s'éloignent

du "classique" vol de données.

L'ut ilisat ion de failles par des

cambr ioleurs est largement possible,

par exemple pour désact iver les

mécanismes de protection liés à la

domotique ou encore pour observer

une présence dans le domicile via le

compteur électr ique ou les caméras

de surveillance. Encore pire, mais ne

souhaitons pas que ces scenar ios

existent, si des failles permettent de

mettre en défaut la sécur ité électr ique

des objets et par exemple de

déclencher leur destruction, voire des

incendies dans cer taines condit ions. Il

ne faut pas tomber dans le

catastrophisme mais bien savoir de

quels r isques on veut se prémunir .

Comment pourrait-on remédier à ces

problématiques de sécurité ?

Il serait possible de consacrer un

ouvrage ent ier sur le sujet, mais une

prat ique clé me vient à l'espr it

immédiatement : « security by

design ». Même si cela est difficile à

mettre en place et par fois coûteux,

réfléchir aux mesures de sécur ité

nécessaire est essentiel. L’ajout de la

sécur ité ultér ieurement, sera au

mieux plus couteux, au pire

impossible ! Il faut donc préparer des

réponses adéquates, dès la genèse

des projets, aux r isques possibles,

aux limites et aux contournements. Il

faut également tenir compte de la

typologie des attaquants, très var iés

comme le montre l'actualité récente,

allant des Etats aux scr ipt kiddies en

passant par des groupes de

cybercr iminels mafieux.

Des pr incipes for ts doivent guider ces

études : protéger la vie pr ivée "par

défaut" et prévoir la capacité à

maintenir la sécur ité dans le temps.

De nombreuses solut ions techniques

sont possibles mais il n'y a pas de

solut ions magiques. Comme évoqué le

Big Data dispose de solut ions

innovantes à tester. Pour les objets

connectés, la situat ion est plus

complexe car les systèmes sont très

var iés en termes d'usage (du

compteur électr ique à la voiture en

passant par les brosses à dents…) et

les contraintes très for tes (systèmes

embarqués avec peu de

mémoire/ CPU, technologies

propr iétaires, consommation

énergét ique limitée...). Il est possible

de réut iliser les bonnes prat iques de

l'embarqué mais en le considérant

comme connecté à Internet par

défaut.

Revenons au Big Data. Est-ce que

l’hypothèse que celui-ci pourrait

véritablement apporter une troisième

couche de protection à la sécurité

informatique vous semble crédible ?

Il est évident que nous atteignons une

limite sur les capacités des outils de

surveillance des SI. La logique actuelle

de la plupar t des out ils est de

chercher des scénarios d'attaques

connus dans le SI. Tous les cas

récents le montrent, les attaquants

font évoluer en cont inu ces scénarios.

Il faut alors se concentrer sur la

recherche d'anomalie et les signaux

faibles. Dans ce contexte, l’applicat ion

des pr incipes du Big Data peut-être

une solut ion. Il permet en effet des

traitements stat istiques suffisamment

rapides pour pouvoir être efficaces.

Reste encore à le mettre à l'épreuve

du ter rain et à gérer l’épineux

problème des faux posit ifs.

Les "anciens" se souviendront des

moteurs "heur ist iques" des ant ivirus

qui malheureusement n'ont pas été

très efficaces. Affaire à suivre dans

les mois qui viennent !

Par Gérome Billois

Senior Manager à Solucom

@gbillois

Solucom est un cabinet de conseil en management et IT consulting s’or ientant autour de six « pract ices »: - Business Transformation Energie Transpor ts - Business Transformation Banque Assurance - Excellence opérationnelle et IT - Innovation digitale - Architecture des SI - Risk management et sécur ité de l’information Le cabinet intervient sur l’ensemble des sujets de la cybersécur ité avec plus de 200 personnes spécialisées dans les domaines suivants: gouvernance, analyses de r isques, études d’architecture, conduite d’appels d’offre, tests d’intrusion, réponse à incident (CERT – Solucom). Vous pouvez trouver plus d’informations sur Solucom en allant consulter leur site internet: www.solucom.fr ou en suivant leur fil Twitter: @cabinet_solucom ou @solucomINSIGHT

SoluCom – Cabinet de conseil