Spécial sécurité : bidonnages et pâturages autour des chiffres de la cyberdélinquance
Aujourd'hui, nos confrères de CNIS, magazine spécialiste de la sécurité des systèmes d'information, s'attardent notamment sur les statistiques sur la délinquance. Ils s'étonnent ainsi de constater comment les différents Ministères et Députés d’Europe cherchant officiellement à combattre le « sentiment d’insécurité » sont eux-mêmes vecteurs de cette propagande anxiogène, exemples à l'appui. Au programme également, gouvernements à ranger dans les statistiques de la cyberdélinquance, alerte de sécurité et pentesting.
Sommaire
1 - Microsoft : la faille était dans le bouclier
2 - Statistiques sur la délinquance : bidonnages et pâturages
3 - Gouvernements à ranger dans les statistiques de la cyberdélinquance
4 - Pentesting, hack, Mac et micmacs (horoscope 1)
1 - Microsoft : la faille était dans le bouclier
Le titre de l’alerte résume toute la dimension dramatique de l’information : « Vulnerability in Microsoft Malware Protection Engine Could Allow Elevation of Privilege ». En d’autres termes, le fait même d’utiliser ce moteur donnait à l’attaquant des armes facilitant l’intrusion sur un ordinateur distant. L’alerte CVE précise que le moteur vulnérable est utilisé dans plusieurs produits antiviraux de la marque, à savoir Defender, Security Essentials, Forefront client et endpoint et « live OneCare » qui est relégué depuis longtemps aux oubliettes et ne fait plus partie du catalogue MS. La rustine colmatant cette faille est diffusée via le mécanisme de mise à jour des antivirus Microsoft.
2 - Statistiques sur la délinquance : bidonnages et pâturages
Il est assez étonnant de constater comment les différents Ministères et Députés d’Europe cherchant officiellement à combattre le « sentiment d’insécurité » sont eux-mêmes vecteurs de cette propagande anxiogène. Outre-Manche, par exemple, Graham Clueley (Sophos) est surpris des chiffres communiqués par l’actuel gouvernement de Sa Gracieuse Majesté : le cybercrime serait, sur les falaises d’Albion, aussi grand que le sont les Bretons qui y résident et coûterait 27 milliards de livres sterling chaque année. 27 milliards de livres… 32 milliards d’Euros. Pour sûr, on a dû y ajouter les pertes hypothétiques de l’Industrie du disque et les coûts des droits voisins de l’industrie cinématographique londonienne, qui, depuis quelques années, connaît un formidable essor grâce à l’augmentation des caméras de vidéosurveillance (et non vidéo-protection, car la Bretagne Grande n’est pas soumise à la relecture sémantique imposée en France).
En se penchant quelque peu sur les chiffres de l’étude, l’on s’aperçoit que les plus touchés sont les organisations « sans but lucratif » (le paradoxe est savoureux), ainsi que les sociétés de service et de support. On imagine qu’il s’agit là de spam, scam, phishing, scarewares … viagra non compris, puisque la catégorie « pharmaceutical & biotech » n’est presque pas impactée. Autre grande victime du cybercrime, le secteur de la construction. Les « online thiefs » d’Outre Manche seraient-ils parvenus à développer un protocole capable de faire passer des sacs de ciment et des panneaux de BA13 sur une fibre optique ? Plus logiques sont les secteurs statistiquement les plus touchés par le cyberespionnage : aéronautique et défense, services financiers et mines. Il peut sembler surprenant que le secteur minier soit touché, mais l’on doit garder à l’esprit que la prospection des gisements fait l’objet, depuis toujours, d’une lutte acharnée opposant les pays et les industriels entre eux.
Cette fantaisie des chiffres et cette inflation anxiogène se portent également très bien en France, nous rappelle nos confrères de PC-Inpact, qui rapportaient, le 16 novembre dernier, une question du député Jacques Remiller, supporter de la Loppsi et de ses paragraphes concernant le filtrage des sites. Il s’indignait, alors, du manque d’efficacité apparent des mesures de blocage d’un « Internet, qui est un moyen de communication incroyable est aussi, malheureusement, le lieu de toutes les dérives dont une en particulier: la pédopornographie ». Et de rappeler qu’il existerait « plus de 1 million d'images et plus de 40 millions de sites à caractère pédopornographique». Glissons sur le fait que l’on recense plus de sites que de contenu (1 image pour 40 sites, on friserait le réseau à haut degré de résilience). Reste que ça fait peur, 40 millions de sites pédopornographiques. Surtout lorsque ce chiffre (d’origine incontrôlée bien que rapporté par le Garde des Sceaux) est sorti de tout contexte, de toute appréciation volumique, et notamment du nombre de sites de tous types recensés sur Internet… Si l’on se base sur de vieilles statistiques, 234 millions de sites web dans le monde fin 2009, ou 129 millions aujourd’hui selon Whois, cela ferait dans le meilleur des cas au moins un site pédopornographique sur 9… franchement, oui, ça fait peur. Mais peut-être doit-on y ajouter les 200 ou 300 millions de blogs ? Même dans ces conditions, ce taux serait tel qu’il serait impossible de lancer une recherche Google sur la culture des artichauts en Bretagne sans tomber sur une bonne dizaine de sites pédopornographiques. Utiliser l’insupportable pour justifier la propagation de l’angoisse et de l’indignation, est-ce vraiment là le meilleur moyen de lutter pour un Internet ouvert, responsable et sécurisé ?
3 - Gouvernements à ranger dans les statistiques de la cyberdélinquance
Depuis qu’ont été révélées les différentes attaques perpétrées par des « governement sponsored hackers » (pirates commandités par un gouvernement), notamment dans le cadre des attaques présumées Chinoises Aurora et Dragon Nocturne, les sociétés d’analyse de marché commencent à mettre en équation les risques « d’attaques d’origine gouvernementale ». Auparavant, il n’était pas très politiquement correct d’affirmer que les Etats pouvaient avoir recours à la violence et à des méthodes de truand. Il était inapproprié d’appeler « cybergerre » des actes de « simple délinquance »… un peu comme certaines guerres réelles prenaient pour nom « opération de simple police ». Depuis, il y a eu Stuxnet et les différentes opérations de vol d’informations touchant les industriels du bloc de l’Ouest ou les administrations occidentales.
L’un des premiers à établir froidement ce constat, c’est Deloitte qui, dans un récent rapport intitulé The future of Security : Evolve or Die fait la liste des 6 tendances à prendre en compte
- Les cibles sont désormais choisies, et non tirées au hasard
- Le « crime organisé » s’investit de plus en plus dans une activité à faibles risques et qui peut rapporter gros
- Les menaces des « Etats hackers » deviennent de plus en plus concrètes, accroissant les risques politiques, financiers et stratégiques
- Le risque de l’ennemi intérieur augmente, dû à une autre augmentation, celle des conditions économiques actuelles, et à l’élargissement des autorisations d’accès à des tierces parties extérieures
- L’alourdissement du cadre légal, qui peut entraîner de lourde amendes, donc des pertes, en cas de non-conformité
- Les risques liés à la globalisation, qui exposent les entreprises entrainées dans ce processus à des attaques de type Aurora
Il s’agit là d’une vision relativement parcellaire des « nouveaux risques », mais qui confirme sans détour ces nouvelles défiances dont il avait déjà été question au cours de la dernière RSA Conference par exemple. Bien entendu, pour l’heure, l’Etat-Voyou, c’est toujours l’Autre. Dans notre monde d’amour et de respect réciproque, aucune armée occidentale ne se compromettrait à entretenir des botnets ou infester d’autres nations à l’aide de Spywares. Question d’Honneur et de Probité.
4 - Pentesting, hack, Mac et micmacs (horoscope 1)
Cette semaine est placée sous le double signe astrologique du Bug ascendant CVE et du Hack à poil dur. Cela commence avec une révélation d’une incommensurable portée : Apple invente le Beta-test sérieux (http://www.edibleapple.com/apple-asks-security-experts-to-examine-os-x-lion/). L’éditeur-fabriquant-éditeur et directeur de conscience (amateur), nous apprend Edible Apple, a contacté un « pool » de spécialistes en sécurité réputés pour leurs compétences en matière de découverte de failles, et leur a octroyé le droit d’examiner les préversions du futur noyau « Lion » qui succèdera à Snow Leopard.
Double paradoxe amusant, l’un des heureux récipiendaires n’est autre que Dino Dai Zovi, grand chasseur de trous Apple, et militant de la première heure pour que les éditeurs rétribuent les chercheurs en sécurité. Pour l’instant, l’annonce étonne autant qu’elle provoque des remarques narquoises dans le milieu. L’opération, manifestement un pur produit des équipes marketing, pourrait être également interprétée comme une tentative maladroite et mesquine de profiter du talent desdits spécialistes sans avoir à lâcher un liard.
Puisque l’on est sur le dos d’Apple, restons-y, avec ce billet un rien polémique de Robert Graham, lequel nous prédit des gouffres sans fond et des failles gargantuesques avec l’arrivée du nouveau bus œcuménique Thunderbolt. Et de nous remettre en mémoire les trous béants du bus USB, les voies royales offertes par Firewire, les petits sentiers de traverse des lecteurs de carte mémoire intégrés… pas de raison que Thunderbolt échappe à la règle. D’autant plus que les mécanismes de protection déjà prévus ne sont pas gérés par l’actuelle version d’OS/X et que le jeu de composants de certaines machines, dont le Macbook, ne peuvent assurer le fonctionnement du protocole sécurité en question.
D’un côté, des accusations sans fondement réel, sans« proof of concept », à propos d’une technique qui est à peine sortie des bureaux d’étude, de l’autre, la certitude quasi fataliste que Graham a raison « malgré tout » et que ce nouveau bus pourrait nous promettre quelques réveils pénibles. Graham ne fait pourtant que rappeler une « vérité vraie et éternelle » : toute nouvelle technologie contient en elle un inépuisable lot de bugs, et ce quel que soit le niveau d’attention que l’on porte à son développement. A lire avec amusement, et à classer dans la catégorie « portes ouvertes à enfoncer ».