Upload
warram
View
1.229
Download
1
Embed Size (px)
DESCRIPTION
La War Ram de Juin 2014 est sortie. Au menu: - La TrueCrypt Gate (Adrien Gévaudan, IntStrat) - Cybercriminalité et marchés noirs (Barbara Louis-Sidney, CEIS) - Sécurité du Big Data et des ojets connectés (Gerome Billois, Solucom) Et toujours la veille 360 avec le danger du logiciel Computrace, la montée en puissance des objets connectés et le mariage des industriels français de la cybersécurité.
Citation preview
Scully appelle Internet
A la douce époque où Internet faisait toujours
office de technologie magique (non, pas en 2014 ,
non), on pouvait tomber sur quelques moments de
grâce.
C’est le cas notamment dans cette version
française de l’épisode 2Shy (Meur tres sur
Internet). Dans la version anglaise, Scully appelle
"the online service", mais en français, le résultat
est pour le moins loufoque. Regardez.
La vidéo du mois
"Vous qui entrez ici, abandonnez toute espérance" (Divine Comédie,
Chant III)
Cette maxime célèbre de Dante pourrait inspirer plus d’un
professionnel de la sécur ité au vu des piratages massifs de
données des derniers mois: Adobe, Target, Apple, eBay… Et que
dire de la défection de TrueCrypt, qui a secoué toute la
communauté cyber? La sécur ité serait -elle devenue une chose du
passée?
La réponse est évidemment non. Certes, comme on l’a maintes
fois répété, la sécurité absolue n’existe pas. Celui qui la pense
"comme une for teresse" est sûr d’échouer.
La sécur ité est une notion globale. Changeante. Mouvante. En
perpétuelle évolution. Elle naît de l’accumulation de couches de
protection – avant, pendant et après les incidents, qui arr iveront
bien un jour .
Mais tout espoir n’est pas perdu: à l’étranger (FireEye avec
l’acquisit ion de Mandiant) et en France (Atos avec l’acquisit ion de
Bull), des géants du secteur apparaissent avec, pour maître-mot, la
vélocité, la flexibilité, l’agilité. Une industr ie de la cyberdéfense
suffira-t-elle à sécur iser le cyberespace? Peut -être pas, mais c’est
un début.
De notre côté, nous nous proposons, avec cette lettre
d’information collaborative, d’apporter une pierre à l’édifice. Ce
mois-ci, nous aurons donc la chance d’accueillir :
- Adrien Gevaudan, géoéconomiste et fondateur d’InStrat sur le
très cr it iquable TrueCryptGate
- Barbara Louis-Sidney, jur iste pénaliste à CEIS spécialisée cyber
pour un point sur les marchés criminels
- Gerome Billois, senior consultant à Solucom, pour nous par ler
de la sécur ité du Big Data et des objets connectés
Comme d’habitude, notre veille 360° (Cybersécur ité, Cyberdéfense,
Cyberculture) fait le tour des évènements du mois écoulé en se
concentrant par ticulièrement sur la thématique des objets
connectés.
N’hésitez pas également à visiter notre Tumblr, qui rassemble
toutes nos publications. Bonne lecture!
L’E-DITO
Sommaire
Les gros titres
THE WAR R@M
L’Edito 360° Les Experts Out-of-the-Box Pimp my Opsec
#M2M #BigData #CyberCrime
#CompuTrace #Industrie #M2M
• Retrouvez aussi nos publications sur nos plateformes: blogwarram.tumblr.com et Slideshare.net/ W arRam
• Envie d’en savoir plus? Contactez-nous: [email protected]
• Les contr ibuteurs associés à ce numéro, pour leur contr ibut ion et leur sout ien, visible ou invisible: @agevaudan @gbillois,
@b_sidney, Thierry Berthier, @lrcyber, @Mduqn
A NEW HOPE
FOLLOW THE W HITE RABBIT
War Ram - Juin 2014
360°
War Ram - Juin 2014
Cybersécurité & Entreprises
Des chercheurs planchent sur la défense des systèmes cyberphysiques Grands oubliés de la cybersécur ité (cf W ar Ram – Mai
2014 ), les systèmes cyberphysiques qui représentent
l’architecture d’Internet deviennent de plus en plus
cr it iques.
Aux Etats-Unis, la quest ion est même devenue très
sensible (cf. W ar Ram – Avril 2014 ), ce qui a poussé
le gouvernement a lancé le défi Smar tAmerica aspirant
à développer la défense des réseaux, pr incipalement le
réseau électr ique par t iculièrement sensible car trop
centralisé.
En par tant de cet état de fait , la Smart Energy CPS,
une équipe de chercheurs amér icains provenant de
différentes universités, mettent à l’épreuve le
développement d’un modèle d’informatique distr ibuée,
se reposant sur le Cloud, des machines vir tuelles et la
mult iplicat ion des points de contrôle.
Les résultats de leur recherche devraient être
disponibles cet été et pourraient servir à toutes les
grandes métropoles.
La porte dérobée TCP 32764 réactivée dans le plus grand secret La por te dérobée TCP-32764 , présente dans plusieurs routeurs (Linksys, Netgear, Cisco, pour ne citer que les plus célèbres) et
découver te par le chercheur français Eloi Vanderbeken, a été réintroduite à l’intér ieur même du patch censé cor r iger cette grave er reur
de sécur ité.
Eloi Vanderbeken a ainsi découver t une ligne de code permettant de réactiver la por te dérobée. Se pose désormais la quest ion de savoir
si cette dernière a été introduite intent ionnellement, ou s’il s’agit à nouveau d’une er reur…
Le retour du Data Center Les cibles des cyberattaques s’étendent désormais à
plusieurs plateformes, et les data centers ne sont pas
épargnés.
Face au r isque de compromission d’une infrastructure
toujours aussi stratégique (cf W ar Ram – Mai 2014 ),
Cisco a décidé d’étendre son offre de protection contre
les APT et les 0 -day.
Cisco prétend ainsi pouvoir défendre les infrastructures
d’un point à l’autre, des data centers jusqu’au cloud,
tout en offrant une assistance avant, pendant et après
l’at taque.
Hélas, sur le papier l’offre a beau être intéressante, les
récentes accusations de la Chine sur les liaisons
dangereuses entre Cisco et les services de
renseignement américains font planer le doute sur
cette offre miraculeuse.
Un supercalculateur piraté Le NIW A, l’inst itut néozélandais pour
la recherche sur l’eau et
l’atmosphère, a vu son
supercalculateur piraté la semaine
dernière.
Il s’agit d’une première et la nouvelle
a de quoi surprendre, car ce
supercalculateur était uniquement
consacré aux calculs
météorologiques.
Certains supposent que l’object if
derr ière ce piratage était d’arr iver à
créer un "mineur" de Bitcoins.
L’équipe de la NIW A a réussi à
contourner le piratage en éteignant le
supercalculateur .
Alerte! TrueCrypt ferme ses portes Le logiciel de chiffrement le plus
populaire, et une alternative sér ieuse
selon l’ancien consultant Edward
Snowden, a jeté l’éponge mercredi
28 mai, car la fin de la mise à jour
du support XP rendrait l’utilisation du
programme dangereuse.
Une annonce qui a provoqué un
séisme dans la communauté de la
cybersécur ité internationale. Pr is de
cour t par cette décision brutale, les
analystes fourmillent de théor ies
réfutant la posit ion officielle qu’ils
t rouvent dur à croire: influence
gouvernementale, pression sur
l’anonymat des développeurs...
Le consultant renommé Brian Krebs
a quant à lui évoqué l’idée que des
développeurs externes pourraient
reprendre TrueCrypt en main, tout en
rappelant que la fiabilité du
programme de chiffrement faisait
débat.
Le piratage d’eBay, sans précédent? Le piratage d’eBay est un choc
pour le secteur du e-commerce.
Considéré comme un des sites
les plus sûrs, celui-ci a été
délesté de près de 148 millions
de données personnelles – et ce
chiffre n’est pas définitif.
Un cadre supér ieur de PayPal,
filiale d’eBay, a récemment
donné une interview pour le site
Inc. sur cette faille.
Selon celui-ci, la dist inct ion claire
(tant au niveau du chiffrement
que des informations) entre
eBay, la plateforme de
commerce, et PayPal, la
plateforme d’achat, aurait
épargné le vol de données
financières.
Une cer t itude qu’il est difficile de
par tager…
Computrace : le mouchard universel révélé Korben relaye une information
particulièrement importante, et
bien trop peu repr ise dans les
média.
Un mouchard universel du nom
de Computrace serait installé de
base sur tous les ordinateurs,
selon les chercheurs de
Kaspersky qui auraient fait cette
découverte récemment.
Ce mouchard se lancerait dans
le BIOS dès le dépar t, et on ne
saurait que trop vous
recommander de lire l’article
que Korben consacre à ce sujet:
ht tp:/ / korben.info/ computrace-
lojack-absolute.html
360°
War Ram - Juin 2014
L’Allemagne abandonne la poursuite de la NSA Le gouvernement allemand connaît un
retour de flamme de la par t
d’associat ions de protection des
données après que le procureur ait
abandonné l’enquête cr iminelle censée
viser la NSA et le GCHQ.
Le procureur fédéral avait en effet fait
cette annonce, mais selon une
information parue dans la presse
Bull et Atos se marient Deux géants de l’informatique français sont sur le point
de se mar ier . Atos, l’un des plus grands acteurs SSI
au niveau mondial, vient en effet proposer une OPA
amicale à Bull pour 620 millions d’euros. L’object if du
premier est de bénéficier de l’exper t ise du second
dans les domaines de niche (supercalculateurs,
cybersécurité, data centers).
Les act ionnaires sont globalement ravis et Orange, qui
dét ient Bull à 8%, a fait savoir qu’il sout iendrait cette
init iat ive.
Atos est ime quant à lui que cet achat permettrait de
favor iser l’émergence d’un grand nom de la
cybersécur ité et du cloud à l’échelle européenne.
Alcatel Lucent et Thales aussi… Parallèlement, Alcatel-Lucent et Thalès ont également noué un par tenar iat stratégique. La seconde a repr is les act ivités de cybersécur ité de la première. Le terme "activités" est évidemment large, et il y a for t à par ier que la pose de câbles sous-mar ins, une act ivité stratégique mais sulfureuse, faisait par t ie du marché. Ce mar iage renforcera cer tainement l’impor tance de Thalès en temps qu’acteur majeur de la cybersécur ité des télécoms. A quel pr ix, diront cer tains?
L’Iran et le point d’eau L’Iran aurait réussi à espionner le
secteur de la défense amér icain en
mettant au point une campagne d’
ingénier ie sociale avancée.
Cette dernière consistait à mettre en
place un faux site Internet d’information,
relayant des informations per t inentes.
Par ce biais, les "journalistes", en réalité
des espions, menaient des campagnes
d’espionnage se reposant sur des
techniques d’ingénierie sociale dans le
but d’obtenir des informations sensibles
de la par t de leurs cibles.
Les tact iques ut ilisées étaient avancées,
comme le spear phishing (harponnage)
ou le "trou d’eau", une technique déjà
employée dans le piratage de sous-
traitants de la défense française et
pr ivilégiée par des hackers d’Etat.
La valeur d’une donnée Le maître de conférences Thier ry
Ber thier, contr ibuteur régulier pour la
W ar Ram, a publié en collaborat ion
avec la chaire de cyberdéfense et de
cybersécur ité de Saint -Cyr un ar t icle sur
la valeur des données.
Cet ar t icle, plutôt technique, revient sur
l’importance des données en prenant
l’exemple du piratage du compte Twitter
d’Associated Press (et du fameux tweet
à 136 milliards de dollars).
L’ar t icle ent ier est disponible à cette
adresse: http:/ / www.chaire-
cyber .fr / IMG/ pdf/ ar ticle_4_3_-
_chaire_cyberdefense.pdf
Cyberguerre froide entre la Chine et les Etats-Unis Alors que depuis peu, les tensions
semblaient s’être calmées entre les
Etats-Unis et la Chine avec la mise en
place d’une collaborat ion sur les
quest ions de cyberdéfense,
l’ar restation de six ressortissants
chinois accusés de piratage a remis
de l’huile sur le feu.
La hache de guerre définit ivement
déter rée et les premières vict imes de
ces échanges sont les entrepr ises
amér icaines.
Ainsi, Cisco et IBM n’auront plus droit
de cité auprès des entrepr ises
sensibles ou des infrastructures
publiques, ni près des banques.
Le gouvernement chinois a fait une
déclarat ion officielle, rappelant
l’impor tance stratégique et
pr imordiale de la cyberdéfense pour la
nat ion.
Cyberdéfense
L’Estonie veut créer des ambassades de données Très inquiète par l’évolut ion de la
situat ion ukrainienne et t irant
probablement les leçons de la
cyberattaque de 2007 , l’Estonie a
décidé de mettre en place des
"ambassades" de données qui lui
permettraient d’opérer dans le cloud,
même en cas de cyberattaques.
L’idée serait d’assurer la cont inuité et
l’accessibilité du gouvernement même
en cas d’occupation militaire.
L’idée ne serait pas nouvelle, selon
Jaan Priisalu, directeur général du SSI
de l’Etat estonien, mais l’"invasion"
russe aurait précipité les plans.
allemande, l’absence de preuves
formelles et la difficulté technique
d’une telle enquête ont poussé les
services jur idiques à abandonner les
charges.
Exaspérée par cette nouvelle, Rena
Tangens, du groupe Digitalcourage, a
dénoncé une situation "grotesque".
Cinq hackers chinois ont été arrêtés par le FBI pour le piratage informatique et le vol de données sensibles d’entreprises américaines. L’arrestation de ces cyberespions a déclenché une grave crise diplomatique entre la Chine et les Etats-Unis.
Huawei: la 4G, l’autoroute des objets connectés Huawei veut aussi se placer sur le créneau des objets
connectés. La télécom chinoise vient de publier une étude, qui
peine un peu à se médiatiser , présentant la 4G comme une
"autoroute" de connexion.
En réalité, le concept est assez similaire à celui de Sigfox, utiliser
la 4G comme réseau pour connecter les objets entre eux.
Hélas pour Huawei, Sigfox, la star t-up toulousaine, est beaucoup
plus en avance sur cette thématique: le réseau de connectivité à
bas débit semble d’ore et déjà plus fiable.
360°
War Ram - Juin 2014
Anne Lauvergeon préside dans l’Internet des objets Anne Lauvergeon rejoint la star t-up
Sigfox, spécialiste des objets
connectés.
Celle qui a dir igé Areva pendant près
de dix ans s’intéresse depuis longtemps
à la quest ion. Symbole de la réflexion
sur le Big Data et le M2M (Machine to
Machine), présidente du rappor t sur la
Commission Innovation 2030 ,
Lauvergeon a depuis longtemps déclaré
qu’il ne fallait sur tout pas manquer le
virage des Big Data.
La par t icular ité de Sigfox est que la
star t-up prévoit de déployer un réseau
de connectivité à bas débit , basé sur la
technologie Ultra Narrow Band, qui
permettrait d’assurer un lien fiable et
peu gourmand en octets entre les
différents objets connectés.
C’est dire, vu l’impor tance du marché
du M2M , si Sigfox est stratégique…
L’ar r ivée d’Anne Lauvergeon est donc
symbolique pour cette star t -up qui se
prépare à entrer en bourse: serait -on
en train d’assister à la genèse d’un
géant des objets connectés?
L’UPnP veut créer un pont entre l’Internet des objets et le Cloud L’Universal Plug and Play (UPnP), le protocole réseau promulgué
par le groupe d’entrepr ises de l’UPnP Forum, veut harmoniser
le réseau très fragmenté de l’Internet des objets.
Pour ce faire, cet "UPnP+" prône le concept d’un produit type
pont de capteurs, capables de stocker et de traduire les
données provenant de différents objets connectés afin de les
lier avec d’autres services, comme le Cloud par exemple.
Google veut de la pub dans les objets connectés Google veut de la pub sur tous les
objets connectés. C’est du moins
ce qu’il a écr it noir sur blanc au
gendarme de la bourse
amér icaine dans une lettre
dénichée par le W all Street
Journal.
On remerciera 01Net pour la
traduction ci-dessous de Google:
« Nous pensons que la not ion
même de "mobile" va évoluer à
mesure que les "appareils
intelligents" vont gagner du ter rain
sur le marché.
Par exemple, d’ici quelques
années, nous et d’autres
entrepr ises pourr ions fournir des
publicités et d’autres contenus sur
des réfr igérateurs, des tableaux
de bords de voitures, des
thermostats, des lunettes et des
montres pour ne citer que
quelques possibilités (…). Nous
nous attendons à ce que nos
ut ilisateurs ut ilisent nos services
et voient nos publicités sur un
nombre grandissant et diversifié
d’appareils dans le futur ».
Cyberculture
La répartition d’Internet dans le monde par Geonames.org. Cette data vizualisation a été réalisée en croisant les
données démographiques et les adresses IP.
Le marché français des objets connectés 500 millions d’euros. C’est le montant que
pèsera le marché français des objets
connectés d’ici 2016 , selon Xerfi et le
journal du Net, soit quasiment une
augmentation de 500%.
Il s’agit donc d’une vér itable oppor tunité
économique, mais aussi technologique. En
effet, se joue aujourd’hui la quest ion de l’OS
des objets connectés. Le constructeur
canadien BlackBerry y voit le salut après
une traversée du déser t économique.
Mais c’est un OS français vers lesquels
tous les regards. Emmanuel Baccelli,
chercheur à l’Inria, a por té ce système
d’exploitation open source qui se veut être
le "Linux" de l’Internet des objets.
A la création, un public de hackers et de
chercheurs, ce qui promet un rendu
probablement excellent.
Bataille d’OS dans le M2M L’Universal Plug and Play (UPnP), le protocole réseau
promulgué par le groupe d’entrepr ises de l’UPnP
Forum, veut harmoniser le réseau très fragmenté de
l’Internet des objets.
Pour ce faire, cet "UPnP+" prône le concept d’un
produit type pont de capteurs, capables de stocker et
de traduire les données provenant de différents objets
connectés afin de les lier avec d’autres services,
comme le Cloud par exemple.
TRUECRYPT ET LE DÉNI PLAUSIBLE
War Ram - Juin 2014
Coup de tonnerre dans le monde de
la sécur ité informatique, la semaine
dernière, avec l’annonce extravagante
de la fin du développement de
Truecrypt. Ce logiciel de chiffrement,
ut ilisé depuis des années aussi bien par
les professionnels que les ut ilisateurs
aver t is, était l’exemple type prouvant la
supér ior ité, en matière de sécur ité des
systèmes d’information, des logiciels
libres sur les solut ions propr iétaires.
Depuis les révélat ions Snowden (et bien
avant pour ceux s’y connaissant un
peu), il est devenu de notor iété publique
que des agences gouvernementales
n’hésitent pas à ut iliser cer taines
méthodes afin d’accéder à ce à quoi
elles ne devraient normalement pas
avoir accès, les pr incipales étant les
suivantes :
1) Insertion d’une porte dérobée
(logicielle ou matér ielle) ;
2) Accès aux serveurs et à leurs
bases de données ;
3) Installation de malwares (type
keyloggers et/ ou troyens) ;
4) Pressions directes et indirectes
sur des personnes-clés.
LES EXPERTS
Adrien Gévaudan, fondateur d’IntStrat et
géoéconomiste, revient sur la TrueCrypt
Gate, cet évènement qui a secoué la
communauté de la cybersécur ité. En effet,
les développeurs anonymes du célèbre
logiciel de chiffrement ont jeté l’éponge.
Pourquoi?
C’est à cette question que notre
contr ibuteur se propose de répondre
Truecrypt répondait à toutes ces méthodes de la façon suivante :
1) Son code source est disponible, ce qui signifie que tout un chacun peut compiler soit même le logiciel, et que des audits externes peuvent être tenus permettant d’en assurer la sécur ité (un audit était d’ailleurs en cours lors de la bombe du 29 mai). L’inser t ion d’une por te dérobée dans le code source (en l’occur rence un raccourci mathématique permettant un déchiffrement rapide) était donc impossible, au r isque de se faire choper le premier audit venu ;
2) Truecrypt s’installe en local, et r ien n’est stocké sur des serveurs ou des bases de données externes ;
3) Cf. : 2 ). En effet, il aurait fallu agir directement sur tous les systèmes ayant installé Truecrypt ce qui, vu la popular ité du logiciel et l’immensité des moyens alors nécessaire, n’est ni rentable ni probable ;
4) Deux personnes-clés sont susceptibles de pressions : les développeurs du logiciel et les ut ilisateurs. Les premiers ont toujours souhaité conserver leur anonymat (c’est pour tant ce point -ci
le plus susceptible à pressions) ; quant aux seconds, ils avaient la possibilité d’avoir recours à un concept br illant issime int itulé le Déni Plausible (pour Plausible Deniability).
Le pr incipe est simple : Truecrypt offre la possibilité de configurer une “fausse phrase de passe”, qui, dans le cas où cer taines autor ités (comme les br itanniques) forceraient l’ut ilisateur à donner l’accès à ses données, servirait à ouvr ir un volume Truecrypt pré-configuré contenant d’autres fichiers que ceux que l’on souhaitait protéger . Ainsi, plus besoin d’avoir peur de devoir révéler sa phrase de passe vér itable, car r ien ne permet aux autor ités de prouver l’existence d’autres fichiers que ceux que l’on avait pu préparer au préalable.
Pour toutes ces raisons, Truecrypt a été, pendant longtemps, le fer de lance des logiciels de sécur ité, recommandés même par des entités publiques (comme l’ANSSI).
… et tout s’est ar rêté le 29 mai dernier .
(Suite p. 6 )
War Ram - Juin 2014
Truecrypt-gate : rappel des faits Les premiers visiteurs ont pu croire (à
raison) à un défaçage, et pour tant non! Un
message des développeurs affirme :
“Attention : ut iliser Truecrypt n’est pas
sécur isé car le logiciel pourrait contenir des
problèmes de sécur ité non-résolus”
S'ensuit une explicat ion lapidaire, pouvant
être résumée ainsi : le développement de
Truecrypt a été ar rêté en Mai 2014 , après
que M icrosoft ait intégré à ses récents
systèmes d’opérat ions une solut ion
propr iétaire notoirement vérolée :
BitLocker. Ainsi, il est conseillé
d’abandonner Truecrypt.
Les précédentes version du logiciel ont
toutes été remplacées par une ne
permettant que de déchiffrer des données
Truecrypt (et donc plus de chiffrer ), et un
tutor iel détaillé explique comment migrer
vers BitLocker.
W TF ?!
L’absurde comme pseudo-déni
plausible : une solution de
communication? Au final, qu’un logiciel libre cesse d’être
développé, r ien de plus commun ; après
tout, les mecs sont bénévoles, ils ont sans
doute d’excellentes raisons. Mais cesser de
développer un logiciel open source en
invoquant l’existence de solut ions
propr iétaires et intégrées, là, on tombe
dans l’absurde!
Des mecs ayant intégré à leur logiciel une
solut ion de Déni plausible n’auraient-ils pas
pu trouver un moyen de communication leur
permettant, de façon absurde et ironique,
de transmettre un message à la
communauté?
C’est la thèse qui domine, évidemment ;
après l’affaire Lavabit, chat échaudé craint
l’eau froide. Et si d’autres pistes sont
également envisagées (notamment une
éventuelle volonté de responsabiliser la
communauté en lui foutant la trouille), elle
demeure la plus plausible à ce jour .
SUITE ARTICLE P.5
Par une communication aussi absurde, les développeurs ont peut -être souhaité faire comprendre qu’ils ont été mis dans une situation telle qu’ils ont été obligé de cesser le développement du logiciel, ou d’abandonner cer taines des valeurs et garanties qui l’ont définies pendant des années (anonymat des développeurs, code source ouvert, etc.). En gros : déchiffrez l’absurdité de nos actes ; de notre côté, nous pouvons plausiblement affirmer que nous avons respecté la loi. Et si, temporairement, ceux qui ont pu souhaiter la fin de Truecrypt ont pu se frotter les mains, force est de constater qu’ils r isquent de se prendre un sér ieux retour de bâton. La communauté réagit assez mal aux tentatives de pression, et de nouveaux projets (comme Truecrypt.ch) sont déjà en pôle pour reprendre le flambeau. Pour nous autres, utilisateurs aver tis, r ien ne change : il faut continuer à suivre l’actualité du secteur , soutenir cer tains projets dans la limite de nos moyens, et faire preuve de pédagogie auprès du public non-averti. Par Adrien Gevaudan Géoéconomiste spécialisé Cyber, Fondateur d’IntStrat @agevaudan
TrueCrypt a publié un “communiqué de presse” sur SourceForge explicquant que sa solution n’était plus sécur isée et livrant un guide pour migrer vers BitLocker, un logiciel propr iétaire de M icrosoft:
truecrypt.sourceforge.net
War Ram - Juin 2014
Si cer taines rubr iques sont dédiées à la
rencontre et à la const itution d’équipes (en
fonct ion des talents de chacun), d’autres
sont dédiées à la mise en vente des lots de
numéros de car tes et de comptes. Ces
forums sont consultés par les propr iétaires
de shops qui vont acheter auprès de ces
grossistes leurs lots de données, en
spécifiant bien le type de car te (Gold,
Premier , Amex, etc.), la zone
géographique, etc. qui les intéressent.
Le gérant du shop prendra bien garde à
n’acheter qu’un échantillon la première fois,
afin d’évaluer la fiabilité du grossiste. Une
fois en confiance, il récupère le lot de
car tes et les met en vente sur son shop,
site de vente de numéros de car tes
bancaires similaire à n’impor te quel site de
e-commerce, avec des cr itères de tr i, un
panier et un por te-monnaie vir tuel. Le
gérant de shop peut également se fournir
sur cer tains chats en ligne (IRC, jabber ). Le
contact est alors direct. Une fois cela fait ,
démarre la phase de monétisation qui
implique d’autres acteurs (mules, etc .).
L’actualité du mois, c’est évidemment le
piratage massif d’eBay, une entreprise
autrement plus médiatisée et connue que
Target. Les sociétés civiles semblent se
rendre compte que le cybercrime est
devenu industriel. N’est-ce pas un peu
tard ?
Il n’est jamais trop tard pour ce type de
pr ise de conscience ! Il est tr iste de
l’admettre, mais seules des affaires
bruyantes aux conséquences graves seront
susceptibles, en créant un précédent, de
générer cette pr ise de conscience chez les
pr incipaux acteurs. La cybercr iminalité est
trop souvent considérée comme un délit
« indolore ». Difficile de convaincre ou de
sensibiliser sur une cr iminalité qui reste de
basse intensité. Les précédents tels
qu’eBay et Target ont le mér ite de rendre la
menace plus « réelle », palpable aux yeux
des non-init iés qui, ne voulant cer tainement
pas se retrouver dans des situat ions
similaires, sont désormais plus susceptibles
d’engager des budgets sur ces
problématiques.
(Suite p.8 )
OUT-OF-THE-BOX
Bonjour Barbara. Tu as récemment publié une étude sur les marchés cybercriminels avec l’équipe Secu-Insight de CEIS, une démarche bienvenue car plus que rare en France ! Quelles sont les conclusions les plus marquantes que tu tires de votre enquête ? Bonjour Stéphane. Tout d’abord merci pour cet entretien pour la W ar Ram. Cette étude s’est concentrée sur l’usage que font les cybercriminels des monnaies virtuelles. Elle est complémentaire de notre premier livre blanc sur le sujet (cf. Les marchés noirs de la cybercr iminalité, 2011), où l’on ident ifiait déjà l’impor tance de la monnaie vir tuelle comme outil du cybercr ime. Nos conclusions sont que les cybercr iminels sont passés à la vitesse supér ieure ; les monnaies vir tuelles de type Liber ty Reserve étant délaissée au profit des crypto-monnaies. Les avantages de ces crypto-monnaies sont ut ilisés à des fins malveillantes dans le cadre de la cybercr iminalité. Et, sur tout, les crypto-monnaies ayant pour finalité première de renforcer l’anonymat et la difficile traçabilité, là où Bitcoin est moins « fiable », sont désormais au centre de leurs préoccupations (ZeroCoin, DarkCoin, etc.). On dit que les cybercriminels russes sont des précurseurs et de véritables « leaders » dans le domaine. C’est ton avis ? Les cybercr iminels russes sont précurseurs sur de nombreux points. Ils se sont illustrés lors de conflits interétatiques (avec la Géorgie en 2008 , par exemple). Très présents (le russe est la seconde langue la plus ut ilisée, après l’anglais, sur les forums cybercr iminels), ils sont leaders également dans leur domaine en raison de la tolérance existant à leur égard, dès lors qu’ils ne s’attaquent pas à des intérêts nat ionaux. D’autant que le degré de contrôle des autor ités russes sur ces hackers reste flou.
Pour ce mois de Juin, l’équipe de la W ar Ram
s’entretient avec Barbara Louis-Sidney, qui a co-
écr it un excellent rapport sur la cybercr iminalité
(voir en fin d’ar ticle), sur la montée en
puissance des cybercr iminels.
Une question prégnante, à l’heure où eBay et
Target se remettent péniblement de leur
piratage massif.
Ils ont également très rapidement segmenté et professionnalisé les tâches sur les marchés noirs de la cybercr iminalité ; faisant de l’économie de la cybercr iminalité un écosystème au fonct ionnement relat ivement classique. A t it re d’exemple, ils ont for tement contr ibué au CaaS ou Crime as a Service, proposant des out ils clés en main à dest inat ion d’autres cybercr iminels. Enfin, puisqu’on par le de monnaies vir tuelles, il faut noter que le précurseur W ebMoney, monnaie vir tuelle la plus impor tante (après e-Gold et avant Liber ty Reserve) sur les black markets est implantée en Russie. Son succès a longtemps reflété l’impor tance de la cybercr iminalité dans cette région du monde. Un point particulier, qui continue encore et toujours de perturber les néophytes, c’est l’utilisation que font les cybercriminels de ces données piratées en masse. Pourrais-tu nous éclairer ? Comme je l’explique plus haut, les marchés noirs sont organisés et structurés par une str icte division des tâches. Les résultats d’une grande campagne de vol de données (numéros de car tes bancaires ou comptes en ligne, par exemple), sont vendus « en gros » sur des forums. Ces forums sont divisés par rubr iques afin que les cybercr iminels s’y retrouvent.
BARBARA LOUIS-SIDNEY "LA CYBERCRIMINALITÉ EST TROP SOUVENT CONSIDÉRÉE COMME INDOLORE"
War Ram - Juin 2014
SUITE ARTICLE P.7
En tant que juriste, quelle vision as-tu
des raids des services de l’ordre
contre les cybercriminels ? Est-ce
que les Etats se sont enfin résolus à
contre-attaquer ?
Il est très frustrant, en tant que
jur iste pénaliste, de voir que les
condamnations de cybercr iminels en
tant qu’individus, n’ont que très peu
d’impact sur le démantèlement de
filières ent ières. Les act ions visant à
démanteler leurs infrastructures
semblent bien plus efficaces à cour t
et moyen termes.
La combinaison des deux méthodes
(démantèlement des infrastructures
associé à des condamnations
fermes) peut alors être dissuasive à
long terme. Cette vision dynamique
de la lutte contre la cybercr iminalité
marque un signal résolument posit if
pour le monde judiciaire. Elle place
l’étude des infrastructures et des
out ils des cybercr iminels au cœur de
la démarche.
« Les marchés noirs de la cybercriminalité »
(juin 2011) http:/ / www.secuinsight.fr / livre-
blanc-blackmarkets/ lb.pdf
« Monnaies virtuelles et cybercriminalité - Etat
des lieux et perspectives » (janvier 2014)
http:/ / www.ceis.eu/ fr / actu/ note-strategique-
monnaies-vir tuelles-et-cybercr iminalite-etat-des-
lieux-et-perspect ives
Téléchargements :
Dernière question : dans cette RAM nous
nous intéressons particulièrement aux
objets connectés. Représentent-ils une
cible idéale dans le futur ?
Les objets connectés sont bien
évidemment une cible idéale déjà
aujourd’hui, et cela s’amplifiera dans le
futur . L’augmentation du nombre d’objets
connectés élargit la sur face d’attaque à
disposit ion des cybercr iminels (nouveaux
points d’entrée, de vulnérabilité). De
nouvelles données, de plus en plus proches
des ut ilisateurs, sont collectées ; elles
peuvent être la cible de vols de données et
être, pourquoi pas, revendues.
Les objets connectés peuvent également
être source de vulnérabilités, s’ils
fonct ionnent avec un système d’exploitat ion
non mis à jour : il s’agit-là d’une simple
t ransposit ion des problématiques existant
déjà sur les PCs. Il n’est donc pas exclut
que les objets connectés servent à la
créat ion de botnets. Le rôle d’IPv6 est
également à analyser . Reste à voir
comment les cybercr iminels en par lent sur
les marchés noirs, et les forums de
discussion.
C’est un sujet que CEIS pourrait étudier !
Par Barbara Louis-Sidney
Consultante en cybersécur ité, CEIS
@B_Sidney
Les condamnations de cybercriminels en tant qu’individus n’ont que très peu d’impact sur le démantèlement de filières entières. Démanteler les infrastructures semblent plus efficaces à court et moyen termes.
Le poids du cybercrime en une infographie.
CEIS est une société de conseil en stratégie et
management des r isques qui assiste ses clients
dans leur développement à l’étranger et à
l’internat ional.
Depuis plusieurs années, leurs compétences
reconnues en cybersécur ité leur ont permis de
nouer des par tenar iats stratégiques avec la
Défense, notamment la gendarmer ie.
Ils organisent depuis deux ans le Forum
International de la Cybercriminalité.
Site: ht tp:/ / www.ceis.eu/
Twitter: @ceis_strat
CEIS
GEROME BILLOIS: "IL FAUT PRÉPARER LA SÉCURITÉ DES OBJETS DÈS LEUR
CONCEPTION"
War Ram - Juin 2014
PIMP MY OPSEC
Le Big data nécessite de se poser des quest ions sur les données en tant que telles. Comment les a-t-on collectées ? Quelles sont leur niveau de qualité (n'oublions pas l’adage anglo-saxon "Garbage In / Garbage Out") ? Comment gérer les contrôles d'accès sur des lacs de données non structurés alors que la situat ion est déjà compliquée avec des bases bien délimitées ? Comment séparer et chiffrer les données sensibles alors qu'il va y avoir une grande diversité d'ut ilisateurs et un besoin de rapidité d’accès et de traitement ? Autant de quest ions qu'aujourd'hui nous commençons seulement à toucher du doigt . Les pr incipales solut ions de Big Data ont été conçues sans intégrer la sécur ité (et oui encore une fois...). Mais des out ils addit ionnels commencent à apparaître pour gérer les droits d'accès et le chiffrement à l'échelle des données unitaires ("cell based secur ity"). Ces solut ions sont jeunes et doivent encore faire leurs preuves mais il faut dès aujourd'hui les intégrer dans les pilotes. L'autre r isque du Big Data est règlementaire, en par t iculier sur les sujets liés à la protection des données à caractère personnel. Aujourd'hui la loi est structurée autour de traitements de données bien définis, qui dispose d'une finalité claire. Mais le Big Data vise justement à créer des lacs de données sur lesquelles on peut
réaliser tous les recoupements et les traitements imaginables a poster ior i. Un vrai casse-tête à résoudre sur lequel les jur istes, les avocats et la CNIL sont en première ligne. Pour les objets connectés, une des difficultés réside dans la capacité à les maîtr iser et à les maintenir à jour dans la durée. Imaginons un instant devoir réagir suite à une faille comme Heartbleed. Les problèmes seraient immenses : qui possèdent les objets ? Comment les contacter ? Quels r isque à les mettre à jour avec des taux de défaillance qui peuvent être élevés (le r isque de "br ickage") ? Comment gérer l'obsolescence de ces objets et de leur OS souvent par t iculier ? Comment maîtr iser l'ident ité de ces objets dans son SI ou en tant que constructeur alors que l'on n'est pas encore capable aujourd'hui de gérer cor rectement l'ident ité de ses employés ou clients ? Mais aussi, et peut -être sur tout, comment concevoir des objets connectés simples à ut iliser mais suffisamment sûrs pour ne pas être attaqués en masse ? Face à cette situat ion, malheureusement, la plupart des constructeurs penchent vers la simplicité : mot de passe par défaut, ouver ture automatique des flux dans les box grâce à l’UPNP, services cloud interconnectés...
(Suite p.10 )
Aujourd’hui, les concepts des objets connectés et de Big Data sont largement remis en cause, entre catastrophe annoncée et or noir potentiel.Quelle est votre position ? Ces deux concepts sont pressentis pour transformer notre quotidien dans les années à venir , et c'est for t probable qu'ils y ar r ivent ! Les objets connectés entrent déjà dans beaucoup de foyers ou d'entreprises de tous les secteurs. Le Big Data fait en parallèle l'objet de nombreuses expér imentations, en par t iculier dans des entrepr ises B2C. L’efficacité doit encore être démontrée concrètement mais les attentes sont for tes. À mon sens, il ne faut pas considérer ces évolut ions comme des catastrophes à venir , d'autant plus lorsque l'on travaille dans la sécur ité. Il est nécessaire de les prendre en compte et d'appor ter des réponses pour réduire les r isques. Ne r ien faire serait la vraie catastrophe ! Interdire en bloc serait également contreproductif, la sécur ité serait contournée rapidement. Mais cela ne veut pas dire qu'il faut tout laisser passer : il faut définir les front ières acceptables pour ces nouveaux concepts et c'est bien là que sur ce plan que le débat se situe. Quelles sont les principales menaces informatiques que représentent (ou qui pèsent) sur les objets connectés et le Big Data ? Ce sont deux concepts différents, qui se recoupent sur un thème : la protection de la vie pr ivée. Il s’agit d’un des pr incipaux r isques, en alliant une collecte massive d'information sur notre quotidien grâce aux objets connectes avec une capacité d'analyse fine issue du Big Data, nous pouvons rapidement envisager des scénar ios « catastrophes ». La règlementation doit s’adapter à ces nouveaux concepts, mais le bon sens de tout un chacun reste essentiel. L'expér ience montre malheureusement que l'at trait des nouvelles technologies peut souvent faire oublier les r isques associés. Au-delà de ses aspects sociétaux, chaque concept por te ses propres r isques. Sans avoir la prétention d’être exhaustif, voici ceux que nous ident ifions comme les plus complexes à traiter .
Gérôme Billois, est senior manager en cybersécurité au
cabinet Solucom, le cabinet de conseil en management
d’information auprès des grands comptes.
Il revient pour nous sur les défis de sécur ité posés par le
Big Data et les objets connectés. Un sujet vaste… et
enr ichissant!
Appel à contributeurs Cette newsletter mensuelle s’adresse à une
communauté ciblée et se construit sur un
modèle collaboratif, s’inspirant d’une démarche
open source dans le souci d’un par tage de
connaissances.
De fait , elle vit et s’enr ichit de ses
contr ibuteurs, pour la plupar t des exper ts dans
leurs domaines respect ifs, et de fait nous
sommes toujours à la recherche de
contr ibutions diverses.
Si publier par notre biais vous intéresse,
n’hésitez pas à nous à contacter pour en
discuter plus en détails.
Cordialement,
La Rédact ion
War Ram vous est proposée chaque mois et est disponible en ligne. C’est une publicat ion libre, vous pouvez donc la par tager sans réserves, à condit ion de respecter la propr iété intellectuelle des personnes qui y publient .
Vous pouvez aussi suivre notre actualité et bénéficier de nos ressources en ligne par le biais de notre compte Slide Share : http://fr.slideshare.net/WarRam blowarram.tumblr.com
War Ram - Juin 2014
SUITE ARTICLE P.9
Tout cela crée des situat ions à r isque,
peut-être encore limitées aujourd'hui,
mais qui demain pourraient provoquer
des effets larges et impor tants. Nous
pouvons même imaginer des
scénar ios de r isques qui s'éloignent
du "classique" vol de données.
L'ut ilisat ion de failles par des
cambr ioleurs est largement possible,
par exemple pour désact iver les
mécanismes de protection liés à la
domotique ou encore pour observer
une présence dans le domicile via le
compteur électr ique ou les caméras
de surveillance. Encore pire, mais ne
souhaitons pas que ces scenar ios
existent, si des failles permettent de
mettre en défaut la sécur ité électr ique
des objets et par exemple de
déclencher leur destruction, voire des
incendies dans cer taines condit ions. Il
ne faut pas tomber dans le
catastrophisme mais bien savoir de
quels r isques on veut se prémunir .
Comment pourrait-on remédier à ces
problématiques de sécurité ?
Il serait possible de consacrer un
ouvrage ent ier sur le sujet, mais une
prat ique clé me vient à l'espr it
immédiatement : « security by
design ». Même si cela est difficile à
mettre en place et par fois coûteux,
réfléchir aux mesures de sécur ité
nécessaire est essentiel. L’ajout de la
sécur ité ultér ieurement, sera au
mieux plus couteux, au pire
impossible ! Il faut donc préparer des
réponses adéquates, dès la genèse
des projets, aux r isques possibles,
aux limites et aux contournements. Il
faut également tenir compte de la
typologie des attaquants, très var iés
comme le montre l'actualité récente,
allant des Etats aux scr ipt kiddies en
passant par des groupes de
cybercr iminels mafieux.
Des pr incipes for ts doivent guider ces
études : protéger la vie pr ivée "par
défaut" et prévoir la capacité à
maintenir la sécur ité dans le temps.
De nombreuses solut ions techniques
sont possibles mais il n'y a pas de
solut ions magiques. Comme évoqué le
Big Data dispose de solut ions
innovantes à tester. Pour les objets
connectés, la situat ion est plus
complexe car les systèmes sont très
var iés en termes d'usage (du
compteur électr ique à la voiture en
passant par les brosses à dents…) et
les contraintes très for tes (systèmes
embarqués avec peu de
mémoire/ CPU, technologies
propr iétaires, consommation
énergét ique limitée...). Il est possible
de réut iliser les bonnes prat iques de
l'embarqué mais en le considérant
comme connecté à Internet par
défaut.
Revenons au Big Data. Est-ce que
l’hypothèse que celui-ci pourrait
véritablement apporter une troisième
couche de protection à la sécurité
informatique vous semble crédible ?
Il est évident que nous atteignons une
limite sur les capacités des outils de
surveillance des SI. La logique actuelle
de la plupar t des out ils est de
chercher des scénarios d'attaques
connus dans le SI. Tous les cas
récents le montrent, les attaquants
font évoluer en cont inu ces scénarios.
Il faut alors se concentrer sur la
recherche d'anomalie et les signaux
faibles. Dans ce contexte, l’applicat ion
des pr incipes du Big Data peut-être
une solut ion. Il permet en effet des
traitements stat istiques suffisamment
rapides pour pouvoir être efficaces.
Reste encore à le mettre à l'épreuve
du ter rain et à gérer l’épineux
problème des faux posit ifs.
Les "anciens" se souviendront des
moteurs "heur ist iques" des ant ivirus
qui malheureusement n'ont pas été
très efficaces. Affaire à suivre dans
les mois qui viennent !
Par Gérome Billois
Senior Manager à Solucom
@gbillois
Solucom est un cabinet de conseil en management et IT consulting s’or ientant autour de six « pract ices »: - Business Transformation Energie Transpor ts - Business Transformation Banque Assurance - Excellence opérationnelle et IT - Innovation digitale - Architecture des SI - Risk management et sécur ité de l’information Le cabinet intervient sur l’ensemble des sujets de la cybersécur ité avec plus de 200 personnes spécialisées dans les domaines suivants: gouvernance, analyses de r isques, études d’architecture, conduite d’appels d’offre, tests d’intrusion, réponse à incident (CERT – Solucom). Vous pouvez trouver plus d’informations sur Solucom en allant consulter leur site internet: www.solucom.fr ou en suivant leur fil Twitter: @cabinet_solucom ou @solucomINSIGHT
SoluCom – Cabinet de conseil