Spécial sécurité - HES 2011 : à la recherche du virus matériel

Aujourd'hui, nos confrères de CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information, se sont intéressés au propos de Itzik Kotler, pour qui Stuxnet aura finalement replacé le virus matériel sur le devant de la scène. Ils pointent du doigt une nouvelle publication indienne, avant de s’arrêter sur le databreach investigation report 2011 de Verizon. Progression ou régression des pertes et vols de données en 2011 ? La réponse dans le rapport.

Sommaire
1 - HES 2011 : à la recherche du virus matériel
2 -ClubHack, Culte calculateur de Calcutta
3 -Verizon Databreach Report : disparition du bouc émissaire « insider », retour du RSSi négligeant

1 - HES 2011 : à la recherche du virus matériel
Pour Itzik Kotler, le cadeau le plus empoisonné que nous ait offert l’attaque Stuxnet, c’est le discret retour du « virus matériel ». Une thèse autour de laquelle s’étayait sa présentation, tranchant ainsi avec le Kotler de HES 2010, celui qui avait modélisé le premier « botnet sans C&C » (Centre de Commande et Contrôle). Alors, le virus qui détruit le « hard », fantasme technoïde ou nouvelle génération de malware ?

«  Je ne dis pas que tous les virus cibleront un jour les équipements informatiques ou graviteront autour de l’informatique. Mais le précédent Stuxnet nous le fait bien comprendre : le code malfaisant capable de détruire ou de dérégler un périphérique ou un système existe. Et ce précédent risque d’en inspirer beaucoup. »

Examinons tout d’abord la « faisabilité » de ces virus matériel, continue Kotler. Dès que sont apparus sur le marché les premiers ordinateurs personnels, et ce bien avant que l’on puisse imaginer l’invasion des infections logicielles, il s’est trouvé des hackers, des chercheurs qui ont rédigé des codes potentiellement destructeurs. Des routines capables de persuader un lecteur de disquettes ou le bras d’un disque dur d’aller chercher des données sur des secteurs situés « au-delà » de la piste zéro, par exemple. Des bouts de code persuadant un registre que l’affichage d’un écran monochrome IBM devait s’effectuer en 800x600 (ndlr contre 640x480) : cette commande avait rapidement raison des amplis de déviation ligne, et le moniteur finissait rapidement par rendre l’âme. Par essence, ces programmes méritaient plus le qualificatif de bombes que de virus, leur déclenchement entraînait de facto leur propre mort. De nos jours, on ne compte plus les amateurs d’overclocking qui jouent tantôt avec les tensions d’alimentation, tantôt avec les fréquences des mémoires, des processeurs, des cartes graphiques… Bon nombre de ces paramètres nécessitent une simple modification des variables Bios, lesquelles bien entendu peuvent être modifiées par un programme. Mal utilisés, ces paramètres peuvent irrémédiablement griller un ordinateur ou un composant vital. Parallèlement, les mécanismes de propagation d’une charge létale se sont singulièrement améliorés. Le malware peut « survivre » à la destruction de la machine porteuse s’il est véhiculé par une attaque en drive by download, un botnet ou un virus « USB+SMB » genre Stuxnet.

Voilà pour la partie la plus évidente. Mais l’on comprend vite les implications d’une telle évolution des menaces. Dans le secteur industriel notamment. Si, dans les années 70 à 90, les chaînes de contrôle de processus industriel étaient pilotées par des mini-ordinateurs contrôlant des automates programmables, les contraintes économiques et les obligations de rentabilité ont peu à peu fait remplacer ces minis par des micros… Des micros que l’on préfère changer lorsqu’ils sont fatigués plutôt que d’acquérir des modèles « durcis », des micros qui sont plus souvent que l’on ne le croit raccordés à Internet, des micros (Stuxnet nous l’a prouvé) qui ne sont guère plus protégés contre des attaques extérieures que n’importe quelle autre machine bureautique.

D’un point de vue technique, les logiciels de défense périmétrique classiques sont souvent impuissants face à ce genre de danger. Si le vecteur de propagation de Stuxnet pouvait être effectivement détecté et analysé, ce n’était pas le cas de la partie chargée de modifier les points de consigne de l’automate programmable visé : autre noyau, autre langage, autre protocole… rien qui ne puisse paraître suspect voir simplement connu par un antivirus moderne, un IPS ou un firewall classique. Cette attaque « par la bande » totalement hétérogène montre les limites des principes de défense utilisés en microinformatique.

CNIS : L’exception ne fait pas la règle et Stuxnet est pour l’instant un fait unique, dont on se demande encore s’il relève de l’échec, du vecteur de « guerre psychologique » ou de l’opération d’intoxication. Qui donc aurait intérêt à utiliser un virus « casseur de hard » ? Itzik Kotler :On l’a supposé lors des attaques Stuxnet : des organismes gouvernementaux. Mais ce ne sont pas les seuls. Que l’on considère les statistiques des éditeurs ou ceux d’institutions officielles ou des multiples organisations policières occidentales, les attaques « ciblées » ont tendance à prendre le pas sur les invasions virales massives et aveugles. Pour les bandes mafieuses, c’est une manière d’optimiser les attaques et accroître des gains, ou plus exactement de « retour sur investissement » d’une location de botnet ou d’un développement de virus spécialisé dans le vol d’informations. Pour les Etats misant sur les actes de « cyberguerre » ou « cyberespionnage » (et tout ce que cela englobe) c’est le seul moyen de ne pas être noyé par un bruit de fond constitué de données sans importance. Pour certaines entreprises peu scrupuleuses, c’est un moyen de frapper un concurrent précis à un moment stratégique.

CNIS : … Malgré le risque d’une fuite « sur le tard » qui pourrait révéler leur implication et ainsi ternir leur image de marque et la confiance de leurs clients ? I.K. : Sans le moindre doute. Ce qui était prudence jusqu'à présent s’efface aujourd’hui face à des politiques plus expéditives, plus radicales. Peut-être la conséquence de l’actuelle récession économique occidentale, qui force certains à durcir leurs a ctions. Imaginez, dans la course opposant deux entreprises concurrentes, que l’une d’entre elle voit la majorité de son système informatique rendu inutilisable à la suite d’une série de pannes matérielles ? Là, aucune possibilité de recours au backup salvateur.

CNIS : Le risque pourrait être mitigé en imaginant un partage équilibré des ressources de traitement chez un sous-traitant « cloud computing » ? I.K. C’est une possibilité. Mais elle n’est pas nécessairement la plus fiable. Imaginez que je développe un outil capable de stresser un disque dur par des cycles de lecture-écriture incessants. Dans le cadre d’une informatique « cloudifiée », ce petit jeu affectera également tous les clients partageant la ressource matérielle commune. L’attaque a été conduite sans même avoir à pénétrer le S.I. de l’entreprise concurrente. Certes, c’est là une vision très schématique de ce que l’on peut faire dans le registre des attaques matérielles, et les résultats dépendent d’un nombre de facteurs assez important (type de disques, organisation au sein des grappes RAID, répartition et architecture du SAN de l’hébergeur…), mais je ne puis vous donner que cet exemple, souhaitant demeurer le plus imprécis possible pour ne pas inspirer trop de vocations chez les blackhats.

Itzik Kotler, ancien chercheur en sécurité au sein de l’entreprise Israélienne Radware, est depuis peu Chief Technical Officer et co-fondateur de Security Art, dont le slogan est « Going above and beyond traditional security ». L’an passé, lors de la précédente édition de Hackito Ergo Sum, sa présentation portait sur la conception d’un botnet ne nécessitant aucun C&C. Sa manière de penser « en dehors des sentiers battus » fait de lui l’un des principaux empêcheurs de penser en rond de la scène sécurité internationale.



2 - ClubHack, Culte calculateur de Calcutta
Aperçu rapidement sur la liste DailyDave, cet appel signé Abhijeet Patil, appelant à télécharger le magazine Indien CHMag. Il s’agit d’une publication en langue anglaise, orientée « sécurité », et ratissant très large, comme l’explique son éditeur : du geek au newbie, du passionné à l’usager. Le numéro le plus récent aborde Firefox v4.x sous pratiquement toutes ses coutures. Tout çà est rédigé dans un anglais très clair, avec un style soigné, une érudition certaine et un constant souci de compréhension. A ne manquer sous aucun prétexte les rubriques « Mom’s Guide », qui sont de petits bijoux de vulgarisation intelligente, et la photo de Bruce Schneier enturbanné qui fait encore plus « gourou » que d’habitude.


3 - Verizon Databreach Report : disparition du bouc émissaire « insider », retour du RSSi négligeant
Annoncé en grandes pompes sur le blog de l’opérateur/fournisseur de services, le «  databreach investigation report 2011 » de Verizon vient de sortir. De tous les rapports du genre édités par les éditeurs, c’est probablement l’un des plus mesurés et des plus sérieux. Cette année, outre les statistiques des Services Secrets US particulièrement riches dans le domaine des fraudes financières, le rapport 2011 intègre les données fournies par la brigade anti cybercrime hollandaise. Ce rééquilibrage des données criminalistiques ne fait toutefois pas disparaître un certain éclairage américano-américain.

Première et principale constatation, les statistiques de ces fameux US Secret Services font apparaître une baisse drastique des « pertes de données » au cours de l’année 2006 : de 144 millions d’enregistrements volatilisés en 2009 à 4 millions « seulement » en 2010. Les conjectures vont bon train. Certains y voient un meilleur renforcement progressif des défenses des entreprises et surtout des grandes organisations gouvernementales et financières. D’autres expliquent ce phénomène par le fait que les attaques les plus fructueuses deviennent de plus en plus ciblées, se concentrant sur des données à très haute valeur ajoutée (ce serait donc l’une des origines de ces fameuses « APT », Advanced Persistant Threats). Bien sûr, lorsque des données ciblées échappent au contrôle d’une entreprise, l’on peut se demander à qui profite le crime. Et l’on est bien obligé de se rendre compte que ce ne sont pas toujours les Chinois qui sont derrière ces « APT ». De là à dire qu’il commence à se développer une forme de criminalité du monde du business qui ne serait que la traduction NTIC de l’espionnage industriel de papa, il n’y a pas loin à parcourir. Cette impression est d’ailleurs renforcée par les chiffres liés à l’analyse « qualitative » vs « quantitative » des vols : le « gros » des disparitions d’information (89%) est du fait d’un volume d’attaque très faible (27% des intrusions). Les 70% des attaques restantes ne sont responsables que de 11% des pertes de données. Il se dégage donc bien deux types de « datacrime », l’un très « old school », relativement extensif, ratissant large et rapportant peu, l’autre plus consciencieux et offrant un retour sur investissement appréciable.

A noter que si le volume des pertes de données a fortement diminué, le nombre des brèches de sécurité constatées n’a jamais été aussi élevé. Probablement en raison d’une systématisation des méthodes de tentative d’intrusion et de vol et au recours à des outils peu sophistiqués. Côté cibles, 94% des victimes faisaient partie des services financiers et 85% des attaques émanent de groupes criminels connus. Les techniques d’exploitation n’appellent que très peu de commentaires, tant elles sont classiques : infection du poste ciblé par une attaque genre « drive by download », puis installation d’un logiciels espion (backdoor, keylogger etc.) chargé de fouiller et récupérer des donnés financièrement intéressantes. Là encore, deux « vérités éternelles » sont napalmisées par le rapport Verizon. En premier lieu, 92% des pertes de données ont été provoquées par des « outsiders », les fuites internes ne représentant que 16% des vols d’information. Et tant pis pour les vendeurs de logiciels de flicage. Côté techniques d’extraction, 97% des fuites l’ont été par le biais de virus (portes dérobées, keyloggers etc. encore) « bidouillés », soit développés pour les besoins de la cause, soit modifiés par l’initiateur de l’attaque. Or, contre un malware original, point de signature, donc aucune chance pour que le programme voleur de données soit découvert par un antivirus. Et tant pis pour les vendeurs d’A.V. . Dernier détail relativement déprimant : la complexité des attaques ne risque pas de provoquer un nervous brèkedonne ou une commotion cérébrale aux cybertruands. Le rapport Verizon précise que 13% d’entre elles ne nécessitaient aucune connaissance technique, 28% plafonnaient au niveau « script kiddie » et 44% n’exigeaient qu’un niveau de connaissances minimum.

L’interprétation de ces chiffres peut donner naissance à des théories assez amusantes. Les pertes de données dans le secteur bancaire (France exceptée, cela va sans dire) a fait que la valeur du numéro de carte de crédit sur les places de marché mafieuses s’est fortement écroulée. La carte gold ne vaut presque plus un kopek, provoquant une sorte de dévaluation des cyber-butins, tout comme l’afflux massif de métaux précieux au début du XVIème siècle avait entrainé une crise économique mondiale sans précédent. Le recentrement des vols de données vers des cibles à haute valeur ajoutée et sur une plus faible envergure pourrait donc également résulter d’un réajustement socio-économique dans le monde de la cybertruanderie. Car les grands délinquants ont en commun avec les banquiers un formidable instinct de survie et un flair inné pour tout ce qui touche les flux monétaires et les moyens de les capter.

Pour approfondir sur Menaces, Ransomwares, DDoS