Spécial sécurité : Enfin, l’Elysée et l’intérieur perdent une clef USB « confidentielle »

Aujourd'hui, nos confrères de CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information, se se arrêtés sur le dernier rapport de F-Secure. Un rapport semestriel qui fait le point sur les pratiques en matière de malware et dresse un palmarès des stars du genre. Ils font ensuite le tour des derniers correctifs publiés par Adobe et Microsoft avant de revenir sur l’affaire du vol d’une clé USB. Mais pas n’importe laquelle : une clé USB qui contenait les plans de l’Elysée, du Ministère de l’Intérieur et de la Préfecture de Police de Paris.

Sommaire

1 - Encore trop de spam …

2 - Adobe, Microsoft : à la Mi-août ce sera moins RAM antique 3 - Enfin, l’Elysée et l’intérieur perdent une clef USB « confidentielle »

1 - Encore trop de spam …

Certes orienté et un brin partial, mais qui, assurent ses rédacteurs, ne repose que sur les métriques de ses outils de détection, le

rapport semestriel 2012 de F-Secure vient d’être mis à disposition en téléchargement gratuit. Pas de grands changements ni de renversement de tendance. Plutôt une « optimisation des ressources » du côté obscur de la force, avec un usage de plus en plus intensif des « exploit kits » de développement de malwares, et une forme de «

microsoftisation » de l’offre, de concentration monopolistique autour de quelques outils. Concentration qui explique la brusque montée en puissance de BlackHole notamment. La recherche d’exploit, explique le rapport F-Secure, est devenu une seconde nature chez les délinquants du net. Les cyber-pirates lancent des attaques très classiques genre « drive by download », souvent en se reposant sur des astuces d’intox et de social engineering et en utilisant la caisse de résonance offerte par les réseaux sociaux. Dès que l’attaque a réussi, une investigation de la machine cible est alors effectuée pour y découvrir des failles et les exploiter. La seule véritable nouveauté en cette première moitié 2012 a été l’étonnant succès du troyen Flashback qui exploitait un défaut Java et permettait de zombifier des machines sous Mac OS/X. Léger accroissement également d’une variante des scareware (faux antivirus) qui utilisent de nouveaux canaux de diffusion, notamment les SEO (Search Engine Optimization). Sur le plan de la croissance, aucune surprise : c’est bien la plateforme Android qui constitue la cible privilégiée des auteurs de malwares de flicage et de vol d’information : 65% de croissance durant le second trimestre de l’année. Sur celui de la longévité, c’est encore et toujours Conficker qui détient la palme. Ce Jeanne Calment de la cybervirologie représente encore 13 % des infections à ce jour, et s’avère relativement persistant dans des pays comme le Brésil, la Malaisie, la Chine, la Roumanie… et très bizarrement la Belgique. Sans surprise, le rapport F-Secure décerne une mention spéciale à un virus plus médiatique que véritablement répandu : Flame, le virus-espion largué par la NSA et le Mossad contre les infrastructures de certains pays du Golf Arabo-Persique, Iran en tête. Mention spéciale également pour DNS Changer, ce pollueur de mécanismes de routage qui détournait d’honnêtes surfers vers des sites Web généralement peu recommandables. Début juillet, le FBI prenait la décision de tuer les « annuaires DNS de substitution » mis en service dans l’urgence pour contrer le malware DNS Changer et occulter les «annuaires pourris ». Un arrêt d’activité qui a plongé dans le noir les internautes et entreprises encore infectés par le malware et qui, sans le savoir, fonctionnaient grâce à la béquille d’un service de police US. Il est intéressant de noter que cette coupure (cette intervention de pompier devrait-on dire) a été très mal perçue par une partie des usagers d’internet. Mécontentement d’ailleurs reflété par un sondage effectué par F-Secure et mentionné dans son rapport. Un mécontentement qui dénote l’état de dépendance (d’assistanat disent certains) dans lequel vivent beaucoup d’utilisateurs du Net, qui pourtant pourraient se libérer de cette tutelle en désinfectant leur matériel.

2- Adobe, Microsoft : à la Mi-août ce sera moins RAM antique De son petit nom

CVE-2012-1535 , cette faille Flash a un peu fait parler d’elle, chez Adobe. Multiplateforme (Mac, Window, Linux), ce défaut est qualifié de critique car très probablement exploitable sous Windows, explique le « priority rating » de l’éditeur. Outre cet accident Flash, Adobe lance une nouvelle version de ses « Reader » sur toutes les plateformes. Les

éditions Windows et

Macintosh se voient ainsi protégées des risques liés à 19 CVE dont certains sont exploitables. Attention, un bouchon peut en cacher un autre. Toujours chez Adobe, à l’occasion de ce grand nettoyage d’été, l’on offre une édition revue et corrigée de

Shockwave Player pour Mac et Windows. Cinq trous sont éliminés au passage. Chez Microsoft, août a été l’occasion de publier le célèbre « cumulatif Internet Explorer ». Au total, 9 correctifs,

27 CVE dont un

trou Office activement exploité. Ces bouchons nécessitent un redémarrage de la machine.

3 - Enfin, l’Elysée et l’intérieur perdent une clef USB « confidentielle »

Après des années de dialectique ampoulée durant lesquelles les caméras de flicage se transformaient en protecteurs musclés et les intrus informatiques ne « parvenaient à ne rien dérober », voilà que nos confrères du

Parisien apprennent que des plans de l’Elysée, du Ministère de l’Intérieur et de la Préfecture de Police de Paris ont été dérobés. Plans contenus sur des clefs USB et disques durs qui auraient été kidnappés avec d’autres documents et appareils appartenant à un entrepreneur de BTP travaillant pour l’Administration. Certains de nos confrères s’émeuvent du fait que ces plans n’auraient pas étés cryptés ce qui est totalement inexact. Toute personne ayant tenté de retrouver s on chemin dans les dédales des couloirs du Quai des Orfèvres sait fort bien que l’organisation de ces lieux est hautement cryptique. Ou alors notre éminent confrère voulait-il parler de chiffrement des données ? Et de préciser que lesdits plans «

sont très précis puisque l’emplacement de chaque pièce y est représenté »… ce qui, pour des plans, semble être une fonction a priori fondamentale. Selon la coloration politique des quotidiens relatant l’affaire, l’importance du larcin oscille entre la petite délinquance et la Haute Trahison. Nos confrères de

Libé rapportent les propos de la Préfecture qui précise «

les documents (volés) ne relèvent pas de la catégorie des documents classifiés et les informations qu’ils contiennent ne mettent pas en péril la sécurité des sites concernés », tandis qu’au

Figaro, l’éclairage change légèrement. «

Ces documents hautement confidentiels entraient dans le cadre d'un plan de vidéoprotection de la ville de Paris, selon le quotidien. Sensibles puisqu'ils représentaient l'emplacement de chacune des pièces de ces bâtiments, les fichiers n'étaient pas cryptés pour autant ». Crypté, vidéoprotection, hautement confidentiel… la novlangue anxiogène a encore la vie dure dans certains titres. Dans les faits, la « Présidence Normale » semble donc renouer avec une tradition de « transparence normale » faisant état de « bévues normales », comme cela se pratique depuis des années dans d’autres démocraties d’Europe, notamment en Allemagne et en Grande Bretagne. Le scoop, contrairement à ce que prétendent nos confrères, n’est pas que les plans de trois administrations (dont la première de France) soient tombés entre les mains de petits voleurs à la tire. Non. Le scoop, c’est que l’on en parle enfin dans les journaux. Et ça, c’est un signe notable d’évolution de la démocratie et de la liberté de la presse. Après le mythe de l’Administration qui ne saurait être victime de la moindre fuite, il serait peut-être bon que d’autres fables trépassent. Notamment celles de l’inviolabilité des données bancaires en France (seules les banques étrangères ont perdu des clefs USB à ce jour) ou du caractère inexpugnable des infrastructures Scada Nationale. En 40 ans d’informatique industrielle, une seule intrusion au sein de l’intranet Areva, c’est peut-être la preuve que les lois statistiques nous mentent. Ou pas.

Pour approfondir sur Gestion des accès (MFA, FIDO, SSO, SAML, IDaaS, CIAM)