Spécial sécurité : Guide des métiers dangereux, le pirate Chinois

Aujourd'hui, nos confrères de CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information, reviennent sur la vague de vol de données en Chine. Un pays certes pointé du doigt pour son contrôle intérieur mais qui semble lui aussi victime d’actes de piraterie. Ils s’arrêtent ensuite sur les attaques en « arrondi sur les opérations de change » avant de décrypter les rustines de Microsoft et de Adobe, publiées en janvier. Ils terminent en attirant notre attention sur le vol d’identité, un phénomène qui sera au coeur des préoccupations sécuritaires en 2012, tant par hacktivisme que par intérêt lucratif et commercial.

Sommaire
1 - Guide des métiers dangereux, le pirate chinois
2 - Rounding attack, ou comment se venger de son banquier
3 - Rustines de janvier met l’exploit de côté
4 - Identités… Volent
5 - Vol d’identités, entre lucre et politique

1 - Guide des métiers dangereux : pirate chinois
En août dernier, les « organes officiels » du Gouvernement Chinois lançaient pour la première fois ce qui allait devenir une rengaine diplomatique : «  Nous aussi, nous sommes victimes des pirates informatiques et par conséquence, nous ne pouvons être à l’origine des Dragon Night, Aurora et autre calamités dont on nous accuse ». Si l’argument paraissait un peu bancal, force était de reconnaître, mi-décembre, que les océans informatiques intérieurs de l’Empire du Milieu étaient sillonnés par de dangereux flibustiers. Les journaux du groupe Caixin révélaient que 6 millions de comptes (identité et mot de passe) appartenant aux membres du China Software Developer Network s’étaient retrouvés dans la nature. Dans les jours qui ont suivi, la fuite s’est avérée plus grave que prévue, atteignant plus de 100 millions de comptes attachés à divers services en ligne : forums grand public, sites d’information, réseaux sociaux, plateforme de microbloging et sites de jeux en ligne. Dans un pays qui compte près de 1, 36 milliard d’âmes, le plus petit pourcent de la population victime d’un crime informatique représente un nombre impressionnant de victimes. Comment peut-on imaginer telle attaque intérieure, dans un pays si cybersurveillé, en ces contrées où même les réseaux cybermafieux sont toujours plus ou moins contrôlés ou du moins canalisés ?

La réponse est simple : a une telle échelle, ce n’est pas possible. Mi-janvier, la police découvre le pot-aux-roses, et effectue plusieurs arrestations… au sein même des entreprises d’hébergement. 12 services en ligne auraient ainsi été vidés d’une partie de leurs fichiers par des employés ou collaborateurs indélicats, certains ayant été poussé à l’acte par pure gloriole personnelle. C’est du moins, affirment les autorités, le cas du pirate du Developer Network, un jeune homme de 19 ans qui souhaitait se faire passer pour un « überHacker ». Cette série de faux piratages est relatée et régulièrement mise à jour par le quotidien China Daily qui reprend une dépêche de l’agence Chine Nouvelle. Un détail au moins est rassurant dans cette histoire : les fichiers de données en Orient sont aussi soigneusement chiffrés qu’en Occident.

2 - Rounding attack, ou comment se venger de son banquier
Acros Security publie une analyse très amusante des attaques en « arrondi sur les opérations de change ». Le principe est simple, et joue sur le fait que l’arrondi au centime supérieur ou inférieur est différent selon que l’on se situe du côté de l’interface utilisateur « client » ou de celui du logiciel (nécessairement plus précis) utilisé par la banque. Centime après centime, en effectuant de multiples changements de devise sur de très petites sommes et à un rythme élevé, il est possible de gagner beaucoup d’argent… en théorie. Le procédé n’est absolument pas nouveau et avait été exploité notamment durant la période de passage à l’Euro. Le traitement étant totalement automatisé côté banque, on peut qualifier l’opération « d’attaque informatique légale » …

… ou presque. Car certaines banques limitent ou interdisent les opérations automatiques de la part de leur client (mais ne s’interdisent pas toujours la pratique du « high frequency trading »), ou imposent des commissions, des règles d’arrondi, des montants minimum sur les opérations de change qui rendent ce genre d’opération totalement inefficace.

Est-ce la fin d’une belle histoire ? Certainement pas, affirment les auteurs du site. «  Many other flaws are not publicly known and it would be a disservice to our existing and future customers to reveal them  ». Avec une promesse pareille, gageons que le blog d’Acros risque de gagner quelques lecteurs, même si le passage à l’acte relèvera, pour beaucoup, du domaine du fantasme.

3 - Rustines de janvier met l’exploit de côté
Chez Microsoft, 7 bouchons pour 8 trous : la fièvre des cumulatifs faiblit un peu, probablement en raison de la publication, avant le saut de l’an, du seul « out of band » de 2011. Un « hors calendrier » qui fait encore parler de lui car, comme l’explique brièvement Manuel Humberto Santander Peláez du Sans Institute, son exploit aurait été rendu public depuis quelques jours.

Pour ce qui concerne les bugs de l’année nouvelle, les experts s’accordent au moins sur un point : deux d’entre eux sont à corriger immédiatement. Il s’agit de MS12-004 et MS12-005 (affectant respectivement Windows Media et « Windows » sans précision particulière). L’écriture d’un exploit visant la vulnérabilité 004 appartient au domaine du possible, précise le tableau de dangerosité établi par le Response Team de Microsoft. C’est d’ailleurs la seule considérée comme étant « critique » par Microsoft, alors qu’une vaste majorité de spécialistes estime qu’il y a danger d’exploitation de la faille 005.

On note &eac ute;galement la présence d’un correctif récurrent, MS12-006, qui corrige une nouvelle fois SSL/TLS, sans oublier la traditionnelle faille I.E. MS12-007 sans laquelle un « patch Tuesday » ne serait plus un « patch Tuesday ». Détail savoureux, le trou de sécurité en question se situe dans un outil de protection : 007 (nom de code Bond) affecte la bibliothèque de fonctions « antiXSS ».

Adobe, pour sa part, ne déclare ce mois-ci que 6 vulnérabilités, dont une rendue publique début décembre et qui était demeurée en souffrance de colmatage. Sauf alerte particulièrement dangereuse, le prochain bulletin de sécurité concernant Acrobat et le « Reader » sera sous presse le 10 avril prochain.

4 - Identités… Volent
L’année 2012 est partie pour être un excellent cru en matière de perte d’informations. Fin décembre, la presse généraliste résonnait au son du hack de Stratfor par les Anonymous. La publication des noms et coordonnées des clients de ce prestataire, voire quelques prélèvements effectués sur leurs comptes bancaires au profit d’organisations caritatives ou mafieuses a fait l’objet d’une série de publications dans les archives de Cryptome.

A peu près à la même époque, le Cattles Group, organisme financier britannique (prêts et recouvrement de dettes), égarait deux bandes de sauvegarde avec près de 1,4 million d’identités enregistrées, dont au moins 600 000 aisément exploitables et contenant une profusion de détails personnels, historiques financiers y compris. Nos confrères de Search Security laissent clairement entendre qu’aucune de ces bandes n’était chiffrée.

Toujours en Grande Bretagne le vendeur de produits de beauté United Beauty voit son réseau cracké et plus de 5000 fiches client dérobées avec leurs mots de passe associés. Potentiellement, cette attaque comporte plus de risques que la précédente, même si le nombre de victimes est considérablement plus faible. Le principe de « réutilisation du mot de passe » laisse entendre qu’il y a là un cheptel de victimes financièrement exploitable.

5 - Vol d’identités, entre lucre et politique
Hacktivisme, encore, avec ce quasi misérable hack de 160 identités… mais le contexte est intéressant, puisqu’il s’inscrit dans le cadre d’un réelle « cyber-intifada » visant les institutions Israéliennes et conduite par les militants du mouvement OpFreePalestin. La dernière en date frappait l’Institut de Technologie d’Israël (un creuset de personnes sensées savoir protéger sérieusement un réseau), attaque faisant suite à une longue liste de petits « pentests » efficaces et limités, recensés par DataBreach.net. Comme de coutume dans des cas pareils, le fruit du hack se trouve publié sur Pastebin.

L’on aurait pu croire que l’attaque visant l’Islamic Network cette même semaine était une réponse du berger à la bergère… Que nenni ! D35m0nd142, son auteur, s’offrait au même moment une tournée sur les très universitaires serveurs d’Oxford et de Harvard sous prétexte de prévenir leurs administrateurs de l’existence de certaines failles de sécurité. Arguments et activités presque « classiques » d’un serial-hacker. Tout n’est pas politique, même si l’invocation d’un acte militant est parfois mise en avant pour justifier ce genre de comportement.

En revanche, la guéguerre qui oppose le hacker Saoudien ou Emirati ox0mar aux hackers, blogueurs et politiques Israéliens relève quelque peu des techniques d’Agit-prop. Tout commence, expliquent nos confrères du Register lorsqu’ox0mar rafle un fichier de 400 000 clients ayant effectué des achats dans un grand magasin de sport et publie près de 15 000 identités bancaires israéliennes. Le quotidien Haaretz relate les faits de la manière la plus neutre possible. Pourtant, la riposte ne se fait pas attendre, et plusieurs sites de vente en ligne d’origine saoudienne essuient le feu de pirates Israéliens. Le ton monte, les politiques s’emparent de l’affaire et Daniel Ayalon vice-ministre des Affaires étrangères (parti d’extrême droite Beitenou) lance le mot de « terrorisme » pour qualifier l’attaque. Propos rapportés par nos confrères de Network World et qui vaudront au Ministre une visite et un « defacement » en règle de son propre site.

Ces minutes de cyberviolence quotidienne marquent un renouveau de l’hacktivisme politico-confessionnel offensif, tendance que l’on avait un peu perdu de vue en raison de la sur-médiatisation des évènement du Printemps Arabe.

Pour approfondir sur Gestion d’identités (IGA, PAM, Bastion, PASM, PEDM)