Spécial sécurité - Projet de loi : Sopa à satiété

Aujourd'hui, nos confrères de CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information, reviennent sur cinq actualités qui ont marqué la fin du moins de janvier : le projet de loi américain Sopa bien sûr, qui a provoqué l’une des plus importantes levées de boucliers des ténors d’Internet, mais également l’affaire MegaUpload qui a entrainé une réaction épidermiques des célèbres « Anonymous ». Ils s’arrêtent également sur l’outil de phishing Open Source STP et pointent du doigt la montée en puissance des malwares pour la plate-forme Mac. Ils terminent enfin en nous contant l’histoire d’un cyber-braquage à la sud-africaine.

Sommaire
1 - Projet de loi : Sopa à satiété
2 - Megaupload et effets collatéraux
3 - Sensibilisation : Poisson et antidote
4 - Macintosh : 58 malwares en un an
5 - Braquage : Fric-frac à la Sud-Africaine

1 - Projet de loi : Sopa à satiété
La journée du 18 janvier a été marquée, sur la Grande Toile, par un mouvement de protestation US d’une ampleur remarquable. Jamais, jusqu’à présent, autant de sites Web importants n’avaient affiché de page de protestation avec une telle détermination et un tel élan commun. Les blogs orientés « sécurité » ont immédiatement accompagné l’action de Wikipedia, Craigslist de l’EFF ou de Reddit : D’ErrataSec à I-Hacked, en passant par le blog de Bruce Schneier , le site de Steve Bellovin, the Hacker’s Factor et tant d’autres sites orientés « sécurité ».

A l’origine de ce mouvement de protestation virtuel, deux propositions de loi, Sopa et Pipa, acronymes respectifs de Stop Online Piracy Act et de Protect intellectual property Act. Deux texte, l’on s’en doute, qui ne sont pas très favorables au libre échange sur Internet, et qui verraient même d’un très bon œil le développement d’outils de routage moins sécurisés (car ainsi plus facilement « filtrables et blocables ») et d’accessoires de protection moins opaques.

Tellement opaques et tellement orwelliennes que le blog de la Maison Blanche publiait dès le 14 janvier une lettre cosignée par Victoria Espinel, Aneesh Chopra et Howard Schmidt (l’ancien Security Czar) laissant clairement entendre en termes diplomatiquement choisis que ces lois ne passeraient pas. La raison invoquée : les techniques de filtrage suggérées par les boutiquiers de la musique de variétés et autres sociétés de production cinématographiques allaient « inciter à la multiplication de serveurs DNS peu fiables et compromettre le déploiement de DNSSec ». Neal Krawetz, du Hacker’s Factor (voir url plus haut), analyse une à une les incongruités et les abus du camp « pro Sopa ». A commencer par le blocage arbitraire d’adresses ou de groupe d’adresses jugées coupables d’activité illégales. Surtout si lesdites adresses appartiennent à des serveurs situés en dehors du territoire des Etats Unis. On imagine les tracasseries que les conflits de concurrence peuvent ainsi générer : Je veux bloquer le site web de mon adversaire ? Je le dénonce comme honteux pirate sous prétexte que son site héberge une image protégée par un copyright et que sa source n’est pas clairement affichée. Ceci n’est qu’un exemple parmi tant d’autres.

Paradoxalement, fait remarquer Neil Krawetz, on compte parmi les supporters de Sopa des gens comme Ruper Murdoch, pourtant gros diffuseur de contenus vidéos gratuites en streaming sur Youtube, et au rang des protestataires, des entreprises comme Google qui pourtant n’apprécie pas toujours la liberté d’expression lorsque celle-ci va à l’encontre de ses propres intérêts.

Qui va gagner ? Les industriels du divertissement qui cherchent à limiter la puissance d’un médium ? Les utilisateurs d’Internet, industriels, associations ou particuliers, qui imaginent sans trop d’effort comment de telles armes de flicage, sous prétexte de protection des auteurs (et surtout des ayants droits) peuvent se transformer en armes de surveillance policière et mettre à mal les libertés fondamentales ? En termes moins exaltés et plus réalistes, la question peut se poser d’une toute autre manière : dans quelle mesure les limitations et le flicage souhaités par les industriels du divertissement et les inventeurs de la notion de « propriété intellectuelle » ne risquent-ils pas soit de s’opposer aux intérêts financiers d’autres industriels (notamment des opérateurs, des FAI, des prestataires de service « Cloud », des cybermarchands du secteur « brick and mortar » etc.), soit de convenir aux volontés de contrôle et de surveillance policière qu’espèrent quelques gouvernements. C’est donc là une partie de billard à trois bandes, dans laquelle s’opposent politiques (mais avec prudence), ennemis des médias en ligne et vendeurs d’infrastructures et de médias en ligne. Il y a peu de chances que la voix des internautes soit prise en considération dans une telle lutte pour le pouvoir et pour l’argent.

2 - Megaupload et effets collatéraux
Megapuload fermé par le FBI au moment même où s’achevait la journée de protestation contre les propositions « Sopa-Pipa » ( Stop Online Piracy Act et de Protect intellectual property Act), la limite entre les hasards du calendrier et le message subliminal est assez floue. Pour les « Anonymes », cet acte est considéré comme une provocation… et comme ce mouvement qui n’en est pas un réagit à la moindre provocation, les sites du FBI, du Département de la Justice, d’Universal, de Warner, du RIAA et du MPAA sont tombés sous les coups d’attaques en déni de service nous apprend RT. Les différentes associations qui luttent contre les tentatives de mainmise des professionnels de l’industrie du divertissement (dont le Parti Pirate) ont immédiatement protesté : le business model de l’hébergeur de fichier n’est pas directement responsable du contenu qu’y placent ses clients et, depuis que temps déjà, l’entreprise avait entamé un vaste programme de « nettoyage » et d’expurgation.

Si la fermeture de Megaupload a permis d’amuser quelques amateurs de L.o.i.c., il provoque également le bonheur de certains éditeurs. C’est notamment le cas de LifeHacker qui, du jour au lende main, publie un article intitulé « Cinq alternatives intéressantes à Megaupload »... Article situé en première page du site, immédiatement au-dessus d’un autre papier intitulé « que sont les magnet-link et comment puis-je les utiliser pour télécharger un torrent ». Provocation ? Il s’agit là d’un autre article opportuniste qui suit la décision du site Pirate Bay de ne plus diffuser de fichiers .torrent.

Opportunisme également en France, où l’évènement a permis aux radios et aux quotidiens de revenir sur la question du piratage des contenus de variétés et de divertissement audiovisuel, et de mettre en perspective l’avenir d’Hadopi en cette période pré-électorale. Entre les « bravo » de l’actuelle Présidence et le couplet sur la licence globale défendue par certains ténors de l’opposition, tout ça permet de faire des titres et des phrases.

3 - Sensibilisation : Poisson et antidote
SPT, ou « Simple Phishing Toolkit » est un outil de phishing Open Source prêt à l’emploi et disponible en téléchargement gratuit… et légal. Légal, car il ne comporte aucun programme d’enregistrement des données saisies par les « victimes », légal car il entre, expliquent ses créateurs, dans le cadre des outils de sensibilisation. Car quoi de plus parlant qu’une véritable vrai-fausse attaque en phishing perpétrée sur l’intranet d’une entreprise, pour mieux montrer, démontrer et démonter les mécanismes de ces Blitzkrieg psychologiques ?

Il se trouvera certainement de doctes savants qui viendront expliquer qu’il n’est pas utile d’enseigner l’art d’écrire un virus pour mieux s’en protéger, de montrer comment l’on contourne un firewall pour consolider une défense périmétrique, ou de composer des pages « Vous avez gagné un iPad » pour secouer la pulpe de l’administré de base ne sachant pas informatiser prudemment. Mais parallèlement, cela fait des années que les spécialistes du pentest jouent indifféremment avec Wireshark, Nmap, le Social Engineer Toolkit ou le crochetage de serrures des colonnes sèches de sous-sols d’immeubles. L’analyse des points faibles, dans une campagne de contrôle des éléments de sécurité, porte aussi bien sur le matériel ou le logiciel que l’élément humain. Mais ce dernier est généralement considéré comme moins glorieux qu’une exploitation de faille d’über-geek découverte sur un système d’exploitation cryptique.

Reste que, dans bien des cas, faire admettre la faillibilité de l’homme au sein d’une entreprise, c’est aussi reconnaître la part de responsabilité et de l’entreprise elle-même dans la fragilisation psychologique de ce même élément humain. Et là, aucune campagne de pentesting, aucun toolkit ne peut colmater ce genre de brèche. S’ajoute à ce constat la remarque liminaire des auteurs de SPT : il se dépense chaque année des millions en équipement de défense et pas un seul centime dans le domaine de l’éducation.

4 - Macintosh : 58 malwares en un an
F-Secure publie une feuille Excel illustrant la progression des malwares dans le monde Macintosh (ce qui exclut IOS). Au total, sur 3 derniers trimestres de l’an passé, 58 malwares ont frappé l’environnement micro d’Apple. Un « rien » qui, tentent de nous persuader les chasseurs de virus Finlandais, serait pourtant en nette progression par rapport à l’année 2010. Voilà des chiffres qui ne vont pas franchement faire le bonheur des vendeurs d’antivirus en quête de nouveaux marchés.

L’équipe de Cnis-Mag, versée dans l’interprétation chamanique des statistiques fondamentalement inutiles, tire d’autres conclusions bien plus passionnantes. Et notamment le fait qu’en avril, le pirate de Mac « ne se découvre pas d’un fil ». A force de rester caché, ses productions en souffrent. En août, les quelques auteurs de Troyens et Portes dérobées d’obédience Apple sont soit en vacances, soit participent à un séminaire intitulé « Quel avenir pour les c0d3rZ Mac ? » ou « Steve peut-il se réincarner en II+ ». En décembre, les fêtes de fin d’année et le raz de marée des ventes d’iPad a provoqué un nouvel arrêt des productions de malware, fruit probable d’une interrogation sur une éventuelle reconversion des compétences. Après tout, l’AppleStore et Itunes peuvent eux-aussi devenir d’excellents vecteurs de propagation de virus. Bien des spywares ont prouvé la véracité d’une telle hypothèse. Auteur de malwares Macintosh, un métier stressant et plein d’interrogations.

5 - Braquage : Fric-frac à la Sud-Africaine
Peut-être le marché du numéro de carte de crédit vendu a détail n’est-il pas assez lucratif ? Le magazine Sud Africain Times Live nous raconte l’histoire d’un cyber-braquage qui, une fois n’est pas coutume, s’est traduit par une perte d’argent bien réelle et immédiate. La Banque Postale nationale s’est ainsi faite dérober en espèces 42 millions de Rand, soit 4 millions d’Euros.

L’affaire s’est déroulée en trois temps. Les braqueurs se sont tout d’abord attaqués au système informatique, en détournant vers un compte privé de l’argent tiré d’autres comptes. Ces virements successifs n’ont provoqué aucune alarme de la part des logiciels de contrôle des flux monétaires. Ensuite, ces Robins des Droits d’accès ont modifié les plafonds de retrait sur ledit compte temporaire. Et pour que le braquage se déroule « sans armes, ni haine, ni violence », ledit compte a été siphonné durant les fêtes de fin d’année, du 1 au 3 janvier, par l’intermédiaire d’une armée de mules. L’opération « prélèvement liquide » s’est achevée peu de temps avant la réo uverture des portes de la banque, une fois la trêve des confiseurs achevée. Champagne !

Ce casse est un intéressant mélange de méthodes modernes et traditionnelles. Moderne de par son approche informatique, classique si l’on considère que le cambriolage s’est effectué durant une période de vacances, dans la grande tradition des films noirs des années 50.

Pour approfondir sur Menaces, Ransomwares, DDoS