Spécial sécurité : les sept stigmates du phishing
Aujourd'hui, nos confrères de CNIS, magazine dédié à la sécurité des systèmes d'information, détaillent une récente étude taillant en pièces 7 idées reçues concernant le phishing (ou hameçonnage). Avant de s'étonner des surprises réservées par un mardi des rustines Microsoft... sans surprise.
1 - Les 7 stigmates du phishing, par le Cert Lexsi et Caloga
2 - Les trous du bouche-trou Microsoft
3 - Kinect : il a fini par tomber
1) Les 7 stigmates du phishing, par le Cert Lexsi et Caloga
Le Cert Lexsi et Caloga se sont associés pour publier un « décalogue abrégé » du phishing, rappelant (en français dans le texte) ce qu’il faut savoir sur ce genre d’attaque et combattant un certain nombre d’idées reçues. Des idées telles que personne ne peut succomber à des pièges aussi grossiers (hélas si !), que les fraudeurs finissent leurs jours en prison (si l’on se base sur des lois telles que LCEN ou Loppsi …). Et pourtant, « Depuis 2005, aucun commanditaire d’une campagne de phishing ciblant la France n’a jamais été arrêté suite à la plainte de victimes françaises »… Les mules, prévient également l’étude, ne sont pas nécessairement des criminels aguerris. Les crédules, les victimes du chômage croissant, les troisièmes couteaux de la délinquance ordinaire : on trouve de tout dans le profil psychologique des porteurs de valises virtuelles. Quand à la provenance de l’attaque, elle n’est pas systématiquement d’origine russe. Ce serait plutôt vers le Maroc, l’Algérie et la Tunisie qu’il faudrait rechercher avant tout les plus gros requins du phishing. Les autres « contre-vérités » énoncées par l’étude sont plus classiques. Notamment pour ce qui concerne le fait qu’il n’existe pas de véritable « empire du mal » d’une cyber-mafia collectant des sommes folles, mais plutôt des associations temporaires d’intérêts communs dans le cadre d’opérations de petite envergure. Ou que la sensibilisation ne « fait pas tout » et que « le client paye toujours l’addition » puisqu’en Europe en général, ce sont les banques qui sont responsables des pertes causées par de telles exactions.
En attendant, le phishing visant la communauté francophone s’améliore de jour en jour. Les « charset » exotiques tendent à disparaître, les fautes d’orthographe ou de style sont de plus en plus rares : les « phishers » appartiennent de plus en plus à des communautés d’expression française. Il serait possible, continue l’étude Lexsi-Caloga, de limiter sensiblement les dégâts avec l’adoption généralisée des mécanismes et protocoles Dkim et SPF, dont le rôle est de garantir l’authenticité de l’adresse de chaque expéditeur d’email et d’assurer l’intégrité des courriels.
Mais si ces outils sont souvent adoptés par les grands fournisseurs de messagerie « cloudifiée » (Gmail, Hotmail…), c’est plus rarement le cas pour les messageries d’entreprise « hostées » au sein des services informatiques internes. Particulièrement pour ce qui concerne Dkim. Enfin, l’on pourrait ajouter que le phishing s’attaque essentiellement à la personne, personne qui généralement possède 3 ou 4 sources de messageries différentes, tant à titre professionnel que personnel, systèmes de messagerie qui ne sont pas tous sécurisés. Ce qui laisse encore de beaux jours et des rentes de situation confortables pour les artistes du « compte suspendu » et de la « tombola qui offre des iPhones ».
2) Les trous du bouche-trou Microsoft
Le plus surprenant, concernant le tout dernier « mardi des rustines » du mois de novembre publié par Microsoft, c’est qu’il ne comportait aucune surprise… pas même celle que l’on espérait. Comme prévu, la MS10-087 colmate le « remote » visant Outlook, et les 11 trous prévus par le bulletin anticipé sont bien là, tous là, sans plus.
Mais de correctif Internet Explorer, point. Fait d’autant plus inquiétant que depuis le début de ce mois l’éditeur a publié le bulletin d’alerte 2458511, et que le ban et l’arrière-ban des chasseurs de virus clament que la faille est activement exploitée dans la nature. Et plus exactement par le « pack d’exploits » baptisé Eleonore (attention, certains liens donnés sur ce site sont indiscutablement dangereux). Selon AVG, Eleonore serait responsable de plus de 1,2 million d’infections. Certes, toutes n’ont pas pour origine ce fâcheux bug Internet Explorer, mais le danger est indiscutablement présent. Les mesures de contournement conseillées par le bulletin d’alerte susmentionné sont donc à respecter, tout en gardant à l’esprit que leur mise en œuvre provoque parfois des dysfonctionnements de navigation.
Il faut donc s’attendre à ce que Microsoft publie une rustine « out of band » dans les jours qui suivent. Il faut également s’attendre à ce que cet « out of band » ne soit pas appliqué rapidement, notamment à l’intérieur des réseaux d’entreprise, comme ce fut le cas pour la « faille Conficker ».
A noter également que les bouchons pour Office 2004 et 2008 pour Macintosh ne sont pas disponibles, comme le précise le bulletin d’alerte. Seule la version Office 2011, récemment mise sur le marché, peut recevoir un correctif.
3) Kinect : il a fini par tomber
Cette fois, le hack ne sera pas jalousement gardé par son auteur : les secrets du capteur optique Kinect de Microsoft ont été percés et un pilote « Open Source » existe. C’est ce que clame Adafruit, qui verse du coup la somme rondelette de 3000 $ à son inventeur et 2000 $ supplémentaires à l’EFF. Cette opération de « recherche commanditée » devrait ouvrir la voie à des développements inattendus dans le domaine des jeux et applications Open Source. A commencer par tout ce qui touche à la robotique et aux automates, aux drones terrestres, alarmes volumétriques intelligentes en DIY, aide aux handicapés visuels (amblyopie, cécité) et autres projets de hacking matériel.