Spécial sécurité : L’alibi de l’employé véreux

Aujourd'hui, nos confrères de CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information, reviennent sur la condamnation d’un ex-administrateur de systèmes ainsi que sur la mise en place par la Police de Santa Cruz d’un système statistique pouvant deviner à l’avance la localisation des crimes. Ils s’arrêtent sur une attaque cachée derrière un mail d’UPS pour terminer par une étude publiée par une université américaine, sur la robustesse des talkies-walkies utilisés par la Police outre-Atlantique.

Sommaire
1 - L’alibi de l’employé véreux
2 Quand les stats jouent les shérifs
3 - Monsieur UPS nous aime…
4 - Radio-flic se fait brouiller l’écoute

1 - L’alibi de l’employé véreux
Un court article du Reg relate la condamnation d’un ex-administrateur de systèmes qui aurait, pour motifs non expliqués, effacé une quinzaine d’hôtes VMware supportant 88 serveurs différents. Ces machines appartenaient à la filiale US d’un groupe pharmaceutique japonais. L’attaque aurait été conduite grâce à l’utilisation abusive d’anciennes autorisations d’accès et depuis les postes Internet en libre-service situés dans une boutique de restauration rapide. L’admin-pirate, qui comptait ainsi couvrir ses traces, a commis l’erreur d’utiliser sa carte de crédit quelques minutes avant le hack dans l’établissement en question.

Si l’on ne peut en aucune manière excuser le geste de cet ex-employé (sa faute pourrait lui coûter 10 ans de prison et 250 000 $ d’amende), on se demande quelle sera la peine requise pour l’actuel administrateur. Car les bévues commises par la « victime » sont pharaoniques : autoriser un accès administratif à partir de n’importe quelle station distante, conserver des logins actifs ne correspondant plus à la liste des personnes réellement autorisées et ayant quitté la compagnie depuis plus d’un an (source Network World ), compromettre la sécurité des données des clients et du système de production en négligeant les mécanismes de plan de continuité d’activité (le « hack » aurait coûté plus de 800 000 dollars, ce qui implique qu’aucun backup n’avait été effectué)… pour nettement moins que ça, bien d’autres responsables informatiques auraient encouru l’estrapade.

On pourrait s’interroger sur la « bienveillance » avec laquelle nos confrères anglo-saxon traitent ce genre d’information, « victimisant » l’entreprise coupable d’une telle accumulation de négligences, tout en concentrant l’attention des lecteurs sur la culpabilité de l’interpelé. Cette affaire en rappelle une autre, tout aussi comparable : celle des statistiques en « Google-hacking » indiquant clairement les entrailles VMwares accessibles à partir du WAN. Perseverare diabolicum.

2 - Quand les stats jouent les shérifs
Le New York Times titre « Envoyer la police avant qu’il n’y ait crime ». A Santa Cruz, Californie, la police locale, sans l’aide de « precogs », parvient à intervenir sur les lieux du crime avant même que l’acte soit perpétré. Divination ? Non, estimations statistiques délivrées par un ordinateur, explique le rédacteur de l’article. Et de témoigner sur une arrestation fructueuse survenue sur un parking de la ville.

Il faut dire que Santa Cruz n’est pas une ville comme les autres. Le nombre de barbus unixiens est de loin le plus élevé de la planète, et il s’y tient probablement les réunions les plus cryptiques qui soient entre spécialistes du chiffre et de l’algorithmique de sécurité. Patrie originelle de SCO notamment, ville universitaire par excellence et entourée de thébaïdes pour milliardaires à la retraite, Santa Cruz et ses environs ne brillent pas pour son insécurité. Il serait peut-être risqué d’extrapoler les résultats triomphants clamés par les pandores locaux en d’autres lieux où règne une insécurité légèrement plus tangible. L.A. South Central par exemple.

Il serait tout aussi intéressant d’utiliser ces modèles prédictifs (basés, dit-on, sur des recherches en sismologie) dans d’autres domaines d’application. Sur les chances qu’un virus réellement dangereux soit vraiment intercepté par un antivirus, par exemple, ou sur le nombre potentiel de failles dangereuses que comptera un nouveau système d’exploitation ou un routeur flambant neuf… L’on pourrait ainsi, grâce à ce procédé, développer des correctifs et des banques de signatures avant même que l’auteur du virus ou que l’inventeur d’une faille n’ait entamé l’écriture de son malware ou de son PoC. Plus de problème de déploiement dans l’urgence, puisque les rustines tomberaient des mois avant la découverte des trous. Franchement, les hautes technologies, elles mériteraient presque d’être prises au sérieux.

3 - Monsieur UPS nous aime…
Depuis le début de la semaine passée, le phénomène allant crescendo, la rédaction de Cnis reçoit force courriels d’avertissement émanant de la société UPS. Un probable colis en instance de réception, ou quelque achat effectué à notre insu… Ledit courriel est, on s’en doute, accompagné d’une pièce attachée généralement au format Zip, pièce dont le niveau de contagion infectieuse rivalise avec les meilleurs prions informatiques du moment, le tout trônant au-dessus d’un message lapidaire rédigé dans la langue de Jerome K. Jerome. Ce qui n’incite donc pas franchement les ressortissants français à consulter ladite pièce.

Le volume de cette attaque, estiment les statisticiens de Comtouch, a été multiplié par 5,5 durant cette dernière semaine, comparé au flot moyen des pourriels divers utilisant le nom UPS. Sur les serveurs de la rédaction, les logs d’Exchange affirment que ce volume est plus que largement dépassé, frisant 10 fois le niveau de « bruit du faux colis UPS ». A surveiller prudemment, l’ouverture des pièces attachées « de provenance connue » (si si, UPS est un transporteur connu) étant une pratique courante chez les administrés.

4 - Radio-flic se fait brouiller l’écoute
6 uni versitaires de UoPenn, dont le célèbre Matt Blaze, viennent de publier une étude sur la robustesse des talky-walky utilisant les protocoles APCO projet 25 employés par les polices aux Etats-Unis. Outre les vulnérabilités de la couche de chiffrement, qui ne surprendront personne, les chercheurs se sont particulièrement intéressés aux possibilités de perturbation des transmissions (lancer une recherche sur le mot « jamming » au sein du document). Contrairement aux systèmes analogiques en bande étroite, perturber une émission numérique à étalement de spectre n’est pas très simple. Elle demande au moins –en théorie- une source de perturbation de 30 dB supérieure à l’émetteur écouté (rappelons que les dB « puissance » sont égaux à 20log du rapport des puissances… à ne pas confondre avec les dB « tension »). Mais cette débauche de puissance n’est pas toujours nécessaire, et quelques hacks bien conçus permettent de transformer un gadget d’émission de messages sans fil très « girly »vendu dans le commerce en un redoutable perturbateur anti-gallinacés radio-actifs. Point d’émetteurs surpuissants, juste une émission de « sous-trames » expédiées au bon moment, sur la bonne fréquence. Ce serait encore plus simple à réaliser avec un SDR et un ordinateur, mais l’équipe de Matt Blaze aime les défis apparemment insurmontables.

Ce hack est, d’un point de vue technique, plus ennuyeux à résoudre que celui ayant permis au THC de duper Tetra, l’équivalent européen de ce type de réseau. Le hack de Tetra donnait à une station intruse la possibilité de se synchroniser au réseau et d’en écouter les échanges, mais seulement à partir du moment où ceux-ci n’étaient pas chiffrés. Les communications APCO sont, quant à elles, chiffrées théoriquement de bout en bout, ce qui ne semble pas trop gêner les auteurs de cette étude.

On peut également ajouter que la technique d’attaque par « sous trames » employée dans le cas présent peut être adaptée et étendue à pratiquement tous les réseaux de transmission sans fil numériques, à bande large ou étroite.

Pour approfondir sur Menaces, Ransomwares, DDoS