Spécial sécurité : quand l'espionnage informatique chinois envoie au tapis l'aviation US

Nos confrères de CNIS, magazine spécialisé dans la sécurité informatique, reviennent aujourd'hui sur les misères du programme F35 qui, selon le Wall Street Journal, pourrait être abandonné, des espions (et hackers) chinois ayant, semble-t-il, réussi à mettre la main sur les spécifications du futur avion de chasse. Nos confrères reviennent aussi sur le prix de l'innovation décerné à Arxsys, une jeune pousse française qui a développé un outil d’analyse forensique. Enfin, ils terminent par l'annonce des correctifs critiques attendus le 13 juillet chez Microsoft. Un feu d'artifice avec un jour d'avance...

Sommaire
1 - Quand l’espionnage Chinois envoie au tapis l’aviation US

2 - ArxSys : Prix du Cercle de la Sécurité 2010

3 - Trois failles critiques chez MS

1) Quand l’espionnage Chinois envoie au tapis l’aviation US

La maîtrise ultime de la voie du sabre, c’est de vaincre sans même avoir eu à combattre ni à tirer la lame de son fourreau. Un article du WSJ laisserait entendre que le programme F35, l’avion de chasse le plus sophistiqué que les USA aient développé jusqu’à ce jour, serait probablement sur le point d’être abandonné. Ceci en raison des « progrès fulgurants qu’auraient réalisé la Chine en matière militaire ». En lisant entre les lignes, le F35 n’apporterait que trop peu de supériorité tactique sur un terrain d’opération et compte tenu de son prix. Constatation étrange lorsque l’on sait les prodiges de technologie en matière de furtivité, d’agilité, de systèmes d’armes qu’intègre la fabrication d’un tel vecteur.

Déjà, le mois dernier, un article de Defense News laissait prévoir une baisse des commandes (originellement prévues à hauteur de 2500 appareils). Les raisons invoquées étaient déjà les mêmes, mais avec un peu plus de précision cependant. L’armée Chinoise pourrait disposer de systèmes de détection, contre-mesures et de défense (missiles notamment) capables de contrer tous les gadgets les plus sophistiqués de la famille F35. Or, la mise au point de ces radars hautement perfectionnés ne peut se faire sans une idée relativement précise des capacités des appareils ennemis. En d’autres termes, si les ingénieurs Chinois savent comment contrer le F35, c’est qu’ils en possédaient les plans depuis déjà relativement longtemps. Rappelons que cette affaire survient alors qu’un réseau d’espionnage Russe opérant sur le territoire américain vient d’être démantelé, brouillant singulièrement les cartes du jeu diplomatique.

Et Richard Bejtlich, du blog TaoSecurity, d’exhumer les origines de l’histoire. Encore dans le WSJ d’ailleurs, dans un article remontant au mois d’avril dernier, qui révèle une intrusion dans les systèmes informatiques du Pentagone (précisément ceux stockant les informations du projet F35) ainsi que dans les systèmes du réseau de contrôle du trafic de l’Air Force. Un projet d’armement de plus de 300 millions de dollars a donc été totalement réduit à néant à la simple force du clavier. Les militaires se sont faits battre par quelques barbouzes et un escadron de geeks.

2) ArxSys : Prix du Cercle de la Sécurité 2010

ArxSys vient de remporter le Prix 2010 de l’innovation décerné par le Cercle Européen de la Sécurité et des Systèmes d’Information. A peine un entrefilet sur le site du Cercle, mais une histoire passionnante qui nous conduit dans les armureries logicielles secrètes des « Experts » qui luttent contre la cyber-délinquance.

Comme dans bien des histoires de sécurité, tout a commencé il y a trois ans dans les murs de l’Epitech. «  C’est là que nous nous sommes rencontrés », explique Solal Jacob. L’un y donnait des cours, l’autre travaillait sur le laboratoire Open Source de l’école, tous se sont retrouvés sur ce qui était à l’origine un projet de travail étudiant. Tous, ce sont Frédéric Baguelin, Christophe Malinge, Jeremy Mounier et bien sûr Solal Jacob. Le but de l’équipe : mettre au point un « environnement » destiné à la recherche de preuve. Une sorte de Metasploit de l’analyse forensique, en quelques sortes.

Rapidement, le projet prend de l’ampleur, tourne au chantier de développement, cherche (et trouve) des appuis techniques auprès notamment de l’Ircgm, les gendarmes du Fort de Rosny. De développement, le projet devient un « programme fonctionnel », à qui il ne manque qu’une structure. La décision est prise de passer au stade supérieur, avec une enseigne, une raison sociale, une infrastructure qui sera capable de mettre sur le marché une version commerciale de l’outil. ArxSys est créée grâce à l’incubateur Paris Développement et le projet a enfin un nom. Ce sera DFF, pour Digital Forensics Framework .

«  Ce qui est important , insiste Solal Jacob, c’est que l’outil reste dans la sphère Open Source et qu’il continue à évoluer comme tel. Il est d’ailleurs disponible en téléchargementsur le site Digital Forensic.org ». Les informations et échanges de la communauté de développeurs sont assurés par trois mailing lists différentes.

Qu’est-ce que fait ce logiciel ? Tout et rien à la fois, comme la quasi-totalité des « framework ». C’est avant tout un cadre de travail qui, à l’image de ses cousins éloignés tel Metasploit, est constitué de séries de « modules » d’analyse. Sans ces modules, FDD n’est rien. Ces pièces maîtresses sont lancées, « scriptées » et exécutées de manière automatisée. Modules qui, eux aussi, peuvent être écrits, inventés, pour des besoins d’enquêtes spécifiques. Soit en C++, soit en Python (deux classiques des frameworks ). L’environnement ne se limite donc pas à une simple interface graphique d’intégration et d’un patchwork de routines et d’exécutables. Il intègre même plusieurs outils de développement nécessaires à la fabrication de nouveaux blocs-programmes.

Plus concrètement, les principaux modules déjà disponibles servent essentiellement à analyser différents systèmes de fichiers. DFF encapsule également Volatility, un autre environnement d’analyse et de recherche de preuve, mais spécialisé quant à lui dans le domaine des espaces mémoire (outil également scripté en Python d’ailleurs). Une future version devrait même intégrer un module spécialisé dans l’examen des mémoires de téléphones portables.

Les résultats du travail effectué par ces différents logiciels sont, une fois la batterie de tests achevée, concentrés dans un outil de reporting, lequel a trois utilités : l’une, évidente, est de réunir et synthétiser les résultats pour que le technicien-enquêteur puisse travailler sur ces éléments, l’autre est de pouvoir générer des résultats ordonnés qui pourront être directement exploités dans un rapport d’expertise tel qu’exigé dans le cadre de toute enquête de police. La troisième enfin, est de pouvoir fournir une traçabilité précise des enchaînements d’opérations, logs qui prouveront que le déroulement des opérations a été effectué de manière conforme et donc « recevable » devant un tribunal.

Mais si tout est «  open » et gratuit, comment comptent vivre les créateurs d’ArxSys ? «  Grâce aux offres dérivées, explique Solal Jacob. Des cours de formation, tout d’abord, car l’utilisation d’un tel outil n’est pas franchement triviale. Si des experts peuvent rapidement maîtriser cette suite de logiciel perpétuellement enrichie, ce ne sera pas obligatoirement le cas des RSSI et hommes micro des entreprises. Car nous avons voulu développer un outil qui ne soit pas l’arme élitiste d’une minorité. Ces formations ne seront d’ailleurs pas uniquement techniques. Il est important que chaque usager puisse savoir les erreurs à ne pas commettre, les actions qui pourraient oblitérer la recevabilité d’une preuve »

Outre ces cours de formation, ArxSys développera une activité de support logiciel ainsi que la maîtrise d’œuvre de développements spécialisés demandés par tel ou tel client. Et dans la matière, les demandes de chaque « client » (force de police ou cabinet d’expertise) sont souvent très « pointues ».

3) Trois failles critiques chez MS

L’été est une période critique dans le landernau du déploiement de rustines. Non pas dans les grandes entreprises –car des équipes de spécialistes veillent en permanence sur la santé des machines tout au long de l’année*- mais surtout au sein des petites structures pour qui le départ en vacances de « l’homme sécurité » peut parfois créer quelques angoisses les premiers mercredis de chaque mois de juillet et d’août.

Ce mois-ci, le MSRC (le vrai, pas l’autre nous promet le colmatage de trois défauts qualifiés de critiques : deux dans Office, un dans Windows. Un quatrième défaut non quantifié fera partie du lot. A noter également que l’équipe sécurité promet la fermeture du bulletin d’alerte 2219475, celui du célèbre débarquement d’Ormandy.

*NdlC Note de la Correctrice :… probablement dans le but de garder les trous au frais… remember Conficker !

Pour approfondir sur Menaces, Ransomwares, DDoS