Spécial sécurité - Stuxnet désossé; Anonymous rancuniers; Honeynet à Paris

Aujourd'hui, nos confrères de CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information s'intéressent au désossage des mécanismes du ver Stuxnet par Symantec. Ils reviennent aussi sur l'escarmouche qui a opposé le groupe de hackers "Anonymous" à HBGary Federal, une société américaine de conseil en sécurité ainsi que sur la tenue prochaine d'une session du honeynet project à Paris pour qui veut se former aux techniques les plus récentes des "pots de miel".

Sommaire
1 - Stuxnet : les logs avouent sous la torture
2 - HBGary et Rootkit.com : far-west numérique

3 - Honeynet Project : du pur extrait de recherche sécu sur Paris

1 - Stuxnet : les logs avouent sous la torture
Symantec continue son studieux travail de « reverse » sur Stuxnet et, grâce à la collecte de plus de 3000 souches différentes, peut commencer à tirer des conclusions des journaux d’événements tenus par le virus lui-même. Car, rappelle l’éditeur, Stuxnet enregistre les « timestamp » de ses différents déclenchements. Et c’est en observant cette succession de dates que les chercheurs de Symantec ont pu dégager les points suivants

- Il existe au moins 3 variantes de Stuxnet, lancées à 3 époques différentes : en juin 2009, puis mars et avril 2010. Ces souches auraient été lancées en 5 vagues : juin et juillet 2009, mars avril et mai 2010. Une quatrième version serait, un peu comme les planètes invisibles de la ceinture de Kuiper, « prouvée mathématiquement » sans la moindre preuve physique.
- Ces 3 variantes viseraient 5 organisations différentes, certaines « éditions » de Stuxnet ciblant entre une seule à trois des organisations en question.
- 12 000 infections conduisent à ces organisations
- Toutes les organisations auraient une présence en Iran
La « piste iranienne » serait donc en partie confirmée (ce qui ne veut pas dire qu’elle soit absolument certaine ou unique). Une autre partie de l’analyse Symantec nous apprend qu’un code fossile, inachevé et désactivé, aurait pu constituer une seconde stratégie d’attaque visant d’autres cibles physiques.

Toujours à propos de Stuxnet, mais assaisonné à la sauce Anonymous, Chris Barth se fait l’écho d’une rumeur laissant entendre que les « Anonymes » seraient en possession d’une souche dudit virus. Souche qui pourrait notamment provenir des archives des serveurs de HBGarry récemment piratés par ce groupe. Tel que, Stuxnet est un peu comme un mécanisme d’horlogerie : totalement inexploitable en l’état, et guère plus dangereux que n’importe quel autre virus reposant sur des exploits désormais connus si ses composants sont réutilisés en « pièces détachées ». Information à ranger donc dans la catégorie buzz et propagande. L’origine de la trouvaille semble confirmée par Cryptome qui héberge bon nombre de documents rendus publics après le pillage des disques de HBGary.

2 - HBGary et Rootkit.com : far-west numérique
Méthodes de crapules contre pratiques de barbouzes, l’affaire du viol de Rootkit.com prend des allures de mauvais roman : après avoir affirmé que le groupe Anonymous avait été infiltré et prétendu posséder les identité de plusieurs de ses membres (dont celles de certains meneurs), Aaron Barr, COO de l’entreprise de conseils en sécurité HBGary Federal, a vu les serveur de son entreprise pris pour cible et leurs contenus mis sur la place publique. Et notamment les identités et mots de passe des clients et usagers du site Rootkit.com, ainsi que plusieurs fichiers et documents administratifs et techniques appartenant à HBGary Federal (documents débutant tous par la chaine « HBG- » sur le site Cryptome). L’administrateur de Dazzlepod précise que bon nombre de ces crédences sont également employées pour accéder à des comptes Twitter ou Gmail, certains de ces comptes étant liés parfois très directement avec des activités professionnelles dans le secteur de la sécurité des TIC.

Nos confrères de Ars Technica dressent un historique assez précis des évènements qui se sont déroulés durant ces derniers jours.

Que reprochent les Anonymes à HBGary et à son COO en particulier ? Probablement pas la tentative d’infiltration, qui, elle-même, est de « bonne guerre ». Il n’est même pas certain que la « désanonymisation » de certains de ses membres ait été moteur, bien qu’en général, l’anonymat des sociétés secrètes ait toujours été préservé depuis ces quelques 3000 dernières années par des moyens très dissuasifs, voir violents. Non, c’est surtout la tentative de collaboration de HBGary avec deux autres spécialistes de l’intelligence économique, Palantir Technologies et Berico Technologies. Une sorte d’union sacrée ayant pour but de décrédibiliser, par tous les moyens (y compris calomnieux) l’activité de Wikileaks et des autres organisations fonctionnant sur le même modèle. C’est ce qu’explique avec force détails Steve Ragan dans les colonnes du Tech Herald. Une menace qui doit être prise au sérieux car le procédé (lui aussi utilisé durant ces quelques 3000 dernières années) s’est toujours montré relativement efficace.

Que Barr ait eu raison ou tort importe d’ailleurs assez peu. Il a montré en en payant le prix fort que les Anonymes pouvaient être manipulés par provocation. En conséquence de quoi HBGary a été techniquement anéanti et pourra difficilement redorer son blason d’entreprise de sécurité compétente. Image d’autant plus ternie que les actions précédentes des anonymes pouvaient aisément laisser présager ce qui pouvait arriver. Et c’est là un point bien plus impardonnable à un spécialiste de la sécurité qu’une faille SQL ou une fuite d’information. Les anonymes, pour leur part, ont fait preuve d’un manque notable de retenue et de self control dans leur action et ce, que le mouvement soit ou non coordonné par un comité central. L’image de « Robin des Bois » a pris un coup de vieux et laisse peu à peu la place à celle d’un justicier masqué autoproclamé. Une image qui peut encore séduire de l’autre côté de l’Atlantique, mais qui fait peur sur le vieux continent, là où la justice est un droit régalien sans laquelle il ne peut exister de démocratie.

3 - Honeynet Project : du pur extrait de recherche sécu sur Paris
Depuis son occultation en 2007, le projet Honeynet France avait laissé comme un vide dans la communauté des chercheurs Français. C’est là chose oubliée, puisque s’ouvrira le 21 mars prochain la première journée publique du Honeynet Project à Paris, dans les locaux de l’Esiea. Le programme détaillé précise qu’il n’y aura que 180 places de disponible… il est donc urgent de s’inscrire. Le droit d’entrée s’élève à 80 euros (15 euros pour les universitaires et étudiants), tarif promotionnel provisoire qui augmentera à partir du 10 mars.

Précisons pour les non initiés à cette science complexe qu’est le réseau-leurre, que le projet Honeynet est une initiative internationale de Lance Spitzner, un des gourous des machines « attrape-pirate ». Le rôle de ces fausses infrastructures informatiques (généralement constituées de machines virtuelles) est de servir d’appâts aux crackers de tous poils (humains et logiciels) dans le but d’analyser leurs méthodes d’attaque et d’en tirer des astuces de protection adaptées. Ce sport est réservé à une catégorie de spécialistes de haut niveau, l’analyse des traces exigeant à la fois beaucoup de temps et énormément de savoir. Historiquement, le tout premier Honeypot a été inventé par Fred Cohen (All.net), papa des Deception tools et de la célèbre série des « 50 ways » de la sécurité. De ces simples « deamon » chargés de simuler une activité réseau, les honeypots se sont perfectionnés, et ont donné naissance à une association internationale de recherche, le Honeynet Project. Cercle de gourous parmi les gourous, ce mouvement ne faisait que très rarement parler de lui, à l’occasion de concours de « reverse engineering » de code. Parfois l’on entendait parler de développement d’outils tels que Népenthès (François Ropert a rédigé un article de synthèse sur le sujet) ou Sebek dont le client a été porté sur BSD par une équipe Française.

Par définition et par construction, un bon honeypot doit être et demeurer discret, voir invisible s’il veut être efficace. Une transparence qui semble hélas également s’étendre aux chercheurs qui travaillent dans ce domaine. Les plus connus (Christian Houdot, Marc Dacier, Christian Seifert) sont rarement cités dans la presse.

.

Pour approfondir sur Menaces, Ransomwares, DDoS