Spécial sécurité - Hack du FMI : impressionnant rapport signal sur bruit

Aujourd'hui, nos confrères de CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information, s’alarment de voir autant d’hypothèses germées sur la Toile sur la source et les raisons du hack du FMI. Un vrai nuage de fumée. Ils se sont ensuite penchés sur les fournées de rustines livrées cette semaine par Microsoft et Adobe, avant de terminer sur un autopsie de l’attaque de Citigroup.

Sommaire
1 - Hack du FMI : impressionnant rapport signal sur bruit
2 - Mercredi, le jour des Trustines
3 - Citigroup : autopsie d’une attaque pas si Advanced que ça

1 - Hack du FMI : impressionnant rapport signal sur bruit
Le scoop est signé David Sanger et John Markoff du New York Times, les « avis d’experts » ont été publiés par la BBC : le FMI aurait été « hacké » et des quantités importantes de fichiers auraient été copiés. L’attaque aurait été possible via la compromission d’une seule station de travail, à partir de laquelle « d’importants transferts de fichiers auraient été constatés ». Le reste n’est qu’hypothèses, succession de démentis et nuages de fumée. Non, ce hack n’est pas en rapport avec « l’affaire DSK ». Non, ce hack n’est pas lié au vol d’informations dont a été victime récemment RSA. Non, aucune donnée concernée n’était de caractère privé. Oui, ces informations étaient « confidentielles » affirme l’Economic Newspaper (mais dans quel cas des données internes ne sont-elles pas considérées comme confidentielles ?). Non (selon certains experts) Oui (selon d’autres), cette intrusion pourrait être le fait d’un gouvernement « ennemi » ou serait le fruit d’une « APT ». Oui (une info de CGN), la Banque Mondiale en a profité pour couper tous liens informatiques avec le FMI par mesure de sécurité… L’écart entre le signal informatif et le niveau de bruit dépasse les 80 dB. A qui profiterait un tel « crime » ? Allons-y de nos spéculations fantaisistes. Timeo Danao … surtout lorsqu’ils n’ont plus le moyen de faire de cadeau. Regardons également du côté de la Chine, histoire de respecter une déjà longue tradition liée à l’APTologie.

L’on pourrait également voir quelques ressemblances entre l’attaque du FMI et celle qui avait frappé Bercy à grand coups d’exploits Adobe. Et puisque nous sommes dans une ambiance parano-militaro-informatique, ajoutons à ce « bruit » le lien d’une petite séquence vidéo signalée notamment par Gnu Citizen et le blog de F-Secure, et qui résume dans les grandes lignes ce que fut Stuxnet. Quelques riff endiablés de guitare électrique rythmés par les échos syncopés d’une batterie très « rock’n Roll » pourraient presque faire passer Stuxnet pour le 8ème cercle de l’enfer Internet. Notons au passage l’inflation de « zero days » qui auraient constitué le vecteur d’attaque : 26, pas moins. De ce virus, l’on pourra dire qu’il est plus grand mort que vivant.

2 - Mercredi, le jour des Trustines
Long est le chemin du Trusted Computing, parsemée de rustines est sa route, surtout les mois pairs tels que juin. Ce mois-ci, 14 correctifs dont 9 qualifiés de critique et un nombre impressionnant de CVE colmatés (34 au total) : la MS11-050, dite « le traditionnel cumulatif I.E. » en corrige 11 à elle seule, tandis que la MS11-045 bouche 8 trous dans différentes éditions d’Excel, sous Window et OSX. Ce sont d’ailleurs ces «gros » bouchons que les spécialistes en sécurité conseillent de déployer sans attendre. A noter deux autres habitués des bulletins, les MS11-042 et MS11-043 corrigeant deux problèmes sur SMB et les DFS. Achevons ce rapide survol en signalant le billet du blog MSRC qui pavoise à propos de la nette diminution des virus exploitant la faille Autorun

Chez Adobe, on cimente 13 failles affectant Reader et Acrobat. L’éditeur en profite au passage pour inciter ses clients et usagers à activer, si ce n’est déjà fait, le mécanisme de mise à jour automatique. A noter que les CVE 2011-2094 à 2011-2100 sont considérées comme critiques.

Mais ce qui est le plus intéressant, sous cette giboulée de bouchons, c’est le nombre de revendications signées par le Zero Day Initiative : 27 au total concernant aussi bien Microsoft qu’Adobe. 26 CVE sur 47, soit plus de la moitié des découvertes. Le ZDI devient véritablement LE point de concentration de tout ce que peut compter le monde des chercheurs de faille catégorie « white hat ». Une puissance en termes de connaissances en sécurité concentrée entre les mains d’une seule entreprise privée, ça pourrait faire réfléchir même les moins soupçonneux.

3 - Citigroup : autopsie d’une attaque pas si Advanced que ça
Le Mail Online revient rapidement sur le cyber-casse de la banque CitiGroup qui s’était soldé par la fuite de plus de 200 000 comptes et identités bancaires. « Attaque sophistiquée », « high profile data breaches », « conséquence du hack de RSA » disait-on à l’époque. Que nenni non point ! rétorque Lee Moran du Mail. Les pirates se seraient connectés à l’aide des crédences d’un véritable compte, puis auraient modifié le numéro de compte apparaissant dan s l’URL une fois la première (et unique) authentification validée. Un peu de logique et trois grains de bruteforcing plus tard, les contenus des comptes tombaient comme à Gravelotte. C’est là un classique des attaques et surtout une erreur figurant au hit-parade des Owasp de tous bords. APT : Attaque Pas Tortueuse.

Pour approfondir sur Menaces, Ransomwares, DDoS