Spécial sécurité - Hack Areva : analyse …à chaud

Aujourd'hui, nos confrères de CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information, reviennent sur le piratage de Areva en tendant d’y faire un peu plus la lumière. Ils pointent enfin du doigt deux événements majeurs qui devraient rassembler la communauté de la sécurité informatique : le 28ème Chaos Communication Congress à Berlin et La Nuit du Hack.

Sommaire
1 - Hack Areva : analyse …à chaud
2 - Le CCC appelle à communication…
3 - … La Nuit du Hack itou

1 - Hack Areva : analyse …à chaud
Les faits ont été découverts par nos confrères de l’Express/l’Expansion : Areva (ex Cogema, Compagnie générale des matières nucléaires) a vu son infrastructure informatique piratée pendant plus de deux ans. Le fait aurait été découvert il y a une dizaine de jours, et révélé en interne dans le courant de la journée de jeudi. Intrusion qui toucherait aussi bien des installations situées en France qu’à l’étranger. Depuis plus de trois jours, précisent nos confrères, les équipes informatiques « renforcent les mesures de sécurité ». Etrange réponse… car pour renforcer, il faut au minimum connaître l’ampleur des points de pénétration, ce qui laisserait entendre qu’il faut… 10-3… oui, 7 jours pour réaliser un audit général d’une structure étendue dans le monde entier, touchant aussi bien aux domaines du nucléaire civil que militaire… et immédiatement déployer des solutions de colmatage adéquates. Ce qui impliquerait également que les intrus, deux ans durant, n’auraient jamais pris la peine de se réserver d’autres backdoors que celles qu’ils auraient utilisés pour violer les systèmes d’Areva une première fois.

Même xylolangage envers nos confrères de France Info , qui parviennent à arracher ce qui est probablement la plus remarquable formule d’enfumage de l’histoire de la sécurité informatique. Nous citons : « Des pirates sont parvenus à infiltrer le réseau qui permet l’échange d’informations "non-critiques" entre les différentes entités du groupe, selon le porte-parole d’Areva. » Fin de citation. Le porte-parole ne dit pas formellement que les réseaux compromis ne comportaient que des informations non critiques, mais que le point d’entrée relevait d’une sorte d’intranet destiné aux échanges inter-filiales non importants. Le dernier hack qui a exploité une faiblesse dans un intranet pour ensuite dérouler toute une pelote de faiblesses de cloisonnement interne était celui de Sony, et l’on connaît les conséquences et les réactions en chaîne ...

L’on peut également se féliciter de la célérité des analyses forensiques des DirCom de cette entreprise stratégique nationale qui sont, dans le même temps, parvenus à remonter à la source de l’intrusion. Toujours selon nos confrères de l’Expansion, « Une origine "asiatique" est évoquée ». Là, l’équipe de Cnis se perd en conjectures. Asiatique… Serait-ce le Japon en quête d’une solution de remplacement aux réacteurs de Fukushima ? Car depuis quelques mois, il est devenu impossible d’accuser les dangereux hackers Chinois. Car tout d’abord, il leur arrive d’utiliser des exploits antédiluviens utilisant des fichiers pdf forgés, et ça, c’est pas glorieux. Des fois que les Sorciers de l’Atome se seraient fait avoir avec autant de facilité que les ronds de cuir de Bercy… Ensuite, c’est le Quai d’Orsay qui pourrait trouver à y redire. Accuser l’Empire du Milieu, outre les conséquences désastreuses que cela pourrait avoir dans le cadre des échanges commerciaux, ce serait risquer de voir naître une nouvelle campagne de presse et des avalanches d’articles dans le Quotidien du Peuple expliquant que la Chine est le premier pays piraté au monde, et que tout çà est une honteuse accusation, dénuée de preuve de surcroît. Ce qui serait exact d’ailleurs : un « traceback » de numéro IP ne signifie strictement rien dans l’univers informatique … Il reste, de ce préoccupant fait divers, deux ou trois points relativement graves qui n’ont pas été notés par nos confrères. A commencer par une absence totale de maîtrise de la communication de la part de la cellule de crise mise en place. L’on a échappé à un « les pirates n’ont pu avoir accès aux systèmes de commande de plongée des barres de combustible », mais on en n’était pas loin. Il semble également que le cloisonnement de l’infrastructure n’ait pas été aussi parfait qu’on voudrait le laisser entendre : un hack ne perdure pas deux années durant s’il ne parvient pas à extraire des informations intéressantes. Le dernier point concerne les conséquences de cette découverte. En toute logique, cet accident débouchera sur la nomination d’une équipe chargée d’auditer l’infrastructure touchée. Audit dont les conclusions seront tenues secrètes, tant pour ce qui concerne les mesures à prendre que pour ce qui touche aux points de faiblesse qui auront été mis en évidence. Ce secret est logique, mais doit-il être systématiquement aussi opaque lorsqu’il concerne une infrastructure Scada aussi sensible ?

2 - Le CCC appelle à communication…
Le 28ème Chaos Communication Congress (28C3), qui se déroule traditionnellement durant la période des fêtes de fin d’année à Berlin, ouvre son « appel à communication ». Les thèmes sont… ceux du Chaos, et concernent tous les types de hack possibles et imaginables : technologies, sécurité, sciences en général, arts, politique, philosophie, éthique, sociologie… et keylockpicking. Le communiqué a été publié sur la ML du Full Disclosure, du Bugtraq et autres canaux de communication de la gente hackeuse. Les papiers doivent être soumis aux organisateurs via l’interface en ligne prévue à cet effet... Laquelle interface connaît quelques problèmes de certificat. Mais ces temps-ci, une autorité de certification qui défaille, c’est presque banal. La date limite de remise des copies est fixée le 11 octobre à minuit. Les sujets retenus seront connus le 20 novembre au plus tard.

3 - … La Nuit du Hack itou
La Nuit du Hack/Hack in Paris 2012 aura lieu, pour sa part, du 18 au 24 juin, à Disneyland Paris, tout comme la précédente édition qui a réuni plus de 900 participants. A l’occasion de cette dixième édition sera fêté le 10ème anniversaire de la manifestation. Le temps des CTF sur une péniche est bien révolu, le tandem HZV/Sysdream a su transformer une messe pour initiés en une grande réunion où se côtoient passionnés, chercheurs et professionnels de la sécurité. Le communiqué d’appel à communications est également diffusé sur la liste du « full disclo », la liste des thèmes retenus sera publiée sur le site de la NDH. Les soumissions doivent être envoyées par mail à l’adresse cfp (à) hackinparis . com, le 14 février au plus tard. Les sujets retenus seront arrêtés le 1er mars au plus tard, les auteurs prévenus, et le calendrier définitif publié le 5 mars. La partie purement « conférence » (Hack in Paris) se déroulera sur 5 jours, du 18 au 22 juin 2012, suivie par la fameuse « nuit » du 23 au 24.

Pour approfondir sur Menaces, Ransomwares, DDoS