Spécial sécurité : Evaporation d’identités, une cuvée 2008 exceptionnelle

Depuis le mois d’août, LeMagIT vous propose de découvrir en avant première des extraits de CNIS Mag, service d’informations en ligne sur la sécurité des systèmes d’information qui ouvrira prochainement. Dans cette édition, la rédaction de CNIS revient sur les pertes d’identité qui s’accumulent, le rachat de MessageLabs par Symantec et les problèmes de sécurisation de RFID.

cnis logosnoirSommaire :

- 1 Evaporation d’identités : une cuvée 2008 exceptionnelle

- 2 - Evaporation d’identité : c’est Shell que j’aime

- 3 - Voyage gratuit grâce au RFID

- 4 - Navigation payante et grand air du ClickJacking

- 5 - Symantec absorbe MessageLabs

L’affaire Shell, (voir ci-après) ainsi que quelques centaines d’autres histoires de pertes d’identités se déroulant sur le territoire nord-américain, fait l’objet d’un méticuleux recensement de la part de l’Identity Theft Ressource Center. Lequel ITRC vient de publier son tout dernier bilan 2008, longue litanie de fraudes et d’erreurs de manipulation qui s’étale sur plus de 162 pages. Au total, 524 pertes d’identités –dont certaines d’une ampleur dépassant la dizaine de milliers de noms- ont été répertoriées au fil des 9 premiers mois de l’année. A titre de comparaison, sur l’ensemble de l’année précédente, 446 cas avaient été recensés.

La moyenne des « pertes et vols de fichiers » se poursuit à un rythme de 57 affaires par mois environ –pratiquement deux par jour-, dont près de 80% ont pour origine un fichier informatique (les 20 % restants concernant des dossiers « papier »). Au total, les fuites 2008 s’élèvent à 30 millions d’enregistrements… pour l’instant. Un chiffre à prendre avec beaucoup de prudence pour plusieurs raisons. En premier lieu, parce que tous les Etats des USA n’imposent pas aux entreprises victimes de ce genre d’accident de publier systématiquement une alerte à ce sujet ni d’en décrire le détail. D’autre part, il est fréquent que l’on ne connaisse pas immédiatement le nombre exact de victimes une fois le vol ou la perte constatée. En 2007, il aura fallu plus de 3 semaines pour que la justice ait une estimation plus ou moins exacte de l’étendue des pertes provoquées par l’intrusion du réseau WiFi de TJX (on estime aujourd’hui que les pertes totales d’identités en 2007 ont dépassé les 127 millions d’enregistrements, dont une grande partie provoquée précisément par l’affaire TJX).

Qui sont les cibles privilégiées des voleurs d’identité ? Les banques, principalement, ainsi que les chaînes commerciales… TJX fait école. Mais également les universités et écoles, qui totalisent plus de 21 % des plaintes auprès des autorités. L’origine de la fuite est généralement extérieure. L’activité d’un employé véreux et autres complicités internes ne sont constatées que dans 16% des cas. Le hacking informatique compte pour 13% des vols. En revanche, les pertes d’ordinateurs portables, les vols de disque dur, les fuites de données par le biais de clef usb, bref, l’évaporation d’information via des supports physiques est mentionnée dans 20 % des cas. A noter que la volumétrie importante de ce genre de fuite semble, en revanche, d’une portée moins critique que ne peuvent être les autres cas. En effet, beaucoup de ces pertes de fichiers sont la conséquence de vols d’ordinateurs portables, soit dans l’enceinte des locaux de l’entreprise concernée, soit sur un siège arrière de voiture, soit une perte dans les transports en commun. Il est rarissime que les données ainsi égarées se retrouvent un jour exploitées, le contenant étant, dans la majorité des cas, bien plus précieux aux yeux de son nouveau propriétaire que son contenu.

Dernière statistique peu étonnante, dans 14% des cas, la fuite est due à une « bévue » : divulgation d’un fichier sur un site web, une vente de matériel d’occasion, listings jetés à la poubelle sans autre forme de procès…
Si, il y a quelques années, les pertes les plus importantes semblaient accidentelles, il semble désormais que tout ce qui dépasse le million d’identités compromises soit désormais le fait d’actes frauduleux volontaires.

En France, d’importants efforts sont prodigués pour que soient protégés les fichiers numériques diffusés par un petit groupe de commerçants dans le secteur de la musique de variété. C’est un début très encourageant.

Un sous-traitant informatique indélicat, un fichier du personnel non chiffré et, conséquence logique, tout cela débouche sur l’utilisation frauduleuse des nom, prénom, date de naissance et numéro de sécurité sociale de certains employés travaillant pour le compte de Shell USA. Immédiatement, l’entreprise a prévenu son personnel et rompu le contrat avec l’entreprise ayant engagé le présumé voleur de données. Rappelons que le numéro de sécurité sociale aux Etats-Unis est une donnée personnelle « sensible » très utilisée par les organismes de prêts bancaires. Dans le cas présent, seules quatre personnes auraient été victimes de ce vol d’identité. Si l’affaire est loin d’être importante, elle empoisonne singulièrement les relations entre grandes entreprises et prestataires de service œuvrant dans le secteur des technologies de l’information.


Le Mifare Classic est l’un des RFID les plus utilisés dans le domaine des transports en commun. Un RFID dont les données sont protégées par un algorithme de chiffrement 48 bits propriétaire, le Crypto1. Une vulnérabilité de Crypto1 permet de récupérer la clef privée propre à chaque carte. Une vulnérabilité d’autant plus facilement exploitable lorsque l’application de gestion utilise une clef publique unique et commune. C’est là le fruit des recherches de la Radboud University de Nijmegen, que le constructeur NXP a tenté, en vain, de censurer en poursuivant devant la justice les chercheurs ayant travaillé sur le sujet. La faute incombant au fabricant de l’objet déficient, et non à celui qui découvre le défaut, la publication des recherches a donc été autorisée. Le texte non expurgé de la conférence donnée en juillet dernier à l’occasion d’Esoterics 2008 est donc disponible sur les serveurs de l’Université. Dismantling MIFARE Classic décrit dans le détail la cryptoanalyse de la Myfare, In sneltreinvaart je privacy kwijt (en langue Batave) décrit les méthodes de protection des données privées mises en œuvre dans la carte néerlandaise OV-chipkaart, tandis que la dernière communication, Making the Best of Mifare Classic, s’attache aux contremesures envisageables tant contre l’intrusion que dans la détection des tentatives de clonage du RFID en question.

Le « délai de réserve » vient de s’achever, et RSnake lève légèrement le voile sur sa fameuse attaque en Clickjacking, ou « détournement de clic souris ». Une attaque qui connaît déjà au moins 10 variantes, dont très peu d’entre elles peuvent être contrées à l’heure actuelle. Une « preuve de faisabilité » a même, un bref instant, été disponible, preuve s’appuyant sur une vulnérabilité du gestionnaire des paramètres de sécurité de Flash Player. Le bug, depuis, est corrigé et Adobe incite ses clients à suivre pas à pas la procédure capable de bloquer ce genre d’attaque. Une séquence vidéo donne un aperçu des dangers du Clickjacking. La « petite démonstration » offerte par ce PoC est orwelienne en diable, puisqu’elle active la webcam locale à l’insu de son propriétaire.

Rappelons que les attaques en Clickjacking concernent touts les navigateurs. Il n’est pas interdit de s’abimer dans la lecture de l’article Hello ClearClick, Goodbye Clickjacking! publié sur hackademix.net, et de s’intéresser sans plus attendre aux bienfaits de « NoScript », petit développement GPL salvateur pour tout usager des navigateurs génétiquement proches de Firefox.


Dans une transaction estimée à 695$ en cash, versé en partie en Livres Sterling (310M£) et en dollars (US 154 M$), Symantec rachète MessageLabs, un spécialiste de la messagerie en ligne, qui compte près de 19 000 clients. Le net dégagé par l’entreprise avoisine, affirme le communiqué, les 145 M$ sur le fiscal 2008.

MessageLabs est essentiellement connu pour la virulence fracassante de ses études et communiqués de presse, aussi sensationnalistes que ceux de son concurrent Postini (acheté en 2007 par Google). Etudes sur le spam, le phishing, les scam, la diffusion de virus, de spywares, les opérations de spear phishing, la prévention des fuites de données, ce prestataire de services ne ménageait pas ses efforts pour se faire remarquer. Sa dernière invention : la visualisation en 3D des principales menaces qui encombrent les courriels. A plume, à poil, globuleuses, végétales ou quasi minérales, ces « représentations mettant en œuvre des technologies de haut niveau » avaient au moins l’avantage d’être plus agréables à contempler qu’un code désassemblé du virus en question.

Pour Symantec, cette acquisition est une avancée dans le secteur du SaaS, Software As A Service, mot nouveau désignant une idée presque poussiéreuse que l’on désigna autrefois sous les vocables de « email outsourcing », « ASP » (pour Application Service Provider) et, aussi loin que remontent les souvenirs des utilisateurs d’Atlas 400, de sous-traitance de courrier électronique.

Pour approfondir sur Gestion d’identités (IGA, PAM, Bastion, PASM, PEDM)