Spécial sécurité : le blues de l'identité volée
Depuis le début du mois d’août, LeMagIT vous propose de découvrir en avant première des extraits de CNIS Mag, service d’informations en ligne sur la sécurité des systèmes d’information qui ouvrira en septembre. Dans cette édition, la rédaction de CNIS se concentre sur le vol de données personnelles, un genre de malversation prisé par les organisations mafieuses, s'attarde sur les rustines de VMWare avant de s'interroger sur le non passage à IPv6.
1) Le blues de l’identité volée
La « capitalisation de l’utilisateur » est très exactement ce que les spéculateurs aventureux de la bulle internet ont manqué par excès de cupidité, et ce que les organisations mafieuses commencent aujourd’hui à faire fructifier. Une capitalisation qui débute avec la constitution de fichiers clients, eux-mêmes construits pierre après pierre, nom après prénom, numéro de carte de crédit après immatriculation de sécurité sociale, dans le cadre d’immenses campagnes de phishing, scam, escroqueries à l’identité diverses. La semaine écoulée fut riche en études conduites sur ce sujet. Tour du monde d’une carte d’identité virtuelle :
Tout commence dans le bac à sable des jeux en ligne et des mondes virtuels. Une superbe étude conduite par McAfee revient sur les épidémies de vols de mot de passe (les troyens PWS ou PassWord Stealers), qui donnent aux pirates accès aux comptes des joueurs, dans le but de leur dérober des objets virtuels qui, à leur tour, seront convertis en monnaie virtuelle, puis, quelques temps plus tard, en argent sonnant et trébuchant. Le marché parallèle des « biens virtuels », l’esclavagisme de jeunes joueurs chargés de glaner, 15 heures par jour, des trésors totalement numériques, pour le compte de groupes mafieux, tout çà constitue une sorte d’école du crime trop négligée jusqu’à présent car associée à son origine ludique.
Le stade suivant, c’est celui de la vraie vie, du monde réel, de l’email émis par une banque prévenant un client du non versement d’une coquette somme. L’affaire débute donc comme une sorte de « scam nigérian », nous explique Mikko Hippönen de F-Secure, mais bifurque rapidement en une attaque virale, dont la « charge utile » est… un troyen récupérateur de crédences, un autre « password stealer ». Ce qui dérange, dans ce genre de roman noir, c’est l’absence totale de suspens ou de rebondissement.
Bon, faut tout de même admettre que parfois, les truands ont de la suite dans les idées. Un correspondant du Sans est tombé sur un phishing d’un genre nouveau. Ou plus exactement d’un assemblage nouveau utilisant des composants usés jusqu’à la trame. Tout commence avec un email avertissant son lecteur qu’une suspension de compte le menace. Jusque là, l’affaire est banale à bailler. Mais, tente de convaincre le courriel en question, d’élémentaires mesures de prudence interdisent à la banque de résoudre ce problème en ligne... seule une conversation téléphonique est à même d’éviter les risques d’infection, de PWS, d’attaque XSS et autres redoutables dangers internetesques. Et l’usager de tomber sur un répondeur de « phoning » automatisé qui, après quelques phrases de mise en confiance et manipulations DTMF totalement inutiles, demande à la victime… un numéro de carte de crédit, numéro PIN et autres marques d’identité.
Le même jour, le journal du Sans revenait sur les mille et une méthodes de vol d’identité employées par les scammers. On y retrouve le phishing VoIP, mais également certaines manœuvres nées d’un esprit particulièrement retord. Ainsi ce courriel émis par un très hypothétique service Nigérian de dédommagement des victimes de scam Nigérian . Ce serait risible si des victimes ne s’y faisaient régulièrement plumer.
Légèrement en marge de cette grande épopée du vol d’identité, cette étude très « statisticienne », travail de Richard Clayton de l’Université de Cambridge* qui nous explique par le menu pourquoi certains alias email débutant par A , M ou P ont plus de chances de se faire spammer que des internautes baptisés Zoé ou Zarathoustra. C’est là, nous explique le chercheur, le fruit du travail des attaques par dictionnaire et de la fréquence des noms courants. Le vol d’identité débute parfois par une opération de passage en « brute force ».
Les spécialistes du marketing le savent bien, les prénoms suivent généralement des modes. Un Anselme ou une Cunégonde fleurent bon le troisième âge… un terreau fructifiant pour les ventes de couvertures chauffantes et rocking-chair confortables. Ce qui est nettement moins le cas des Kevin et des Sue-Helen… Le marché du vêtement bon-chic-bon-genre aurait plutôt tendance à s’adresser à des Marie-Béatrix et autres Louis-Amédée. Ce profilage sociologique n’est pas encore une arme utilisée par les spammeurs et voleurs d’identité. Mais il semblerait qu’ils s’en rapprochent dangereusement.
Nous finirons ce tour du monde du vol d’identité avec une toute nouvelle approche : le bookmarklet de la mort. Sans le moindre « zeroday », et avec deux doigts de persuasion –forme antique du Social Engineering-, n’importe qui peut exploiter un « bookmarklet » à finalité néfaste. Car un bookmarklet n’est rien d’autre qu’un javascript inséré dans les « signets » stockés par le navigateur. Selon que l’on est optimiste ou pessimiste, l’on appellera cette caractéristique soit un « puissant outil d’automatisation et générateur d’appliquettes sympathiques », soit « une dangereuse injection de scripts ». Et il existe notamment un lien entre les bookmarklet, les navigateurs et le vol d’identité : la capacité desdits navigateurs de stocker des crédences, identifiant et mot de passe, afin de les restituer automatiquement lorsque le besoin s’en fait sentir. L’on possède, grâce au bookmarklet, le moyen d’émettre ces crédences, il ne reste plus qu’à penser la partie amont du piège, celle qui simulera le serveur nécessitant l’injection de ces identifiants. Certes, ce n’est pas Armageddon. Les attaques de ce type sont assez complexes, nécessitent un peu d’ingénierie sociale. Mais il y a matière à réflexion pour que, au moins dès le premier lancement, le navigateur prévienne l’usager de la présence de ces automates incontrôlables.
NdlC Note de la Correctrice : Il existe en Grande Bretagne trois grandes universités : Cambridge, Oxford et Eaton. La dernière serait le lieu de naissance du terme « snob », contraction de la formule « sine nobilitatis » (sans quartier de noblesse) qui devait émailler les en-têtes des copies des étudiants roturiers. Oxford est mondialement connu pour avoir compté dans ses rangs William Archibald Spooner, professeur de philo et d’histoire antique et père du contrepet d’expression anglaise –Contrepet en Grand Breton se dit spoonerism-. Reste Cambridge, qui connu quelques heures de gloire dans le domaine de la batellerie à rames et dans la production industrielle d’espions soviétiques (Burgess, Maclean, Philby, Blunt, Cairncross…)
2) VMWare, téléchargement de rustines massives
L’application de correctifs sur des machines virtuelles (quelque soit la marque considérée) est rarement un processus simple et léger. L’équipe de CNIS-Mag souhaite donc bon courage aux administrateurs d’outils VMWare qui devront appliquer les rustines colmatant des séries de failles sur
ACE
Player
Server
Et Workstation
Chaque jeu de correctifs concerne plusieurs versions à chaque fois.
3) Qui veut la peau d’IPv6 ?
Johan Denoyer, sur son blog francophone « la vie et les nouvelles technologies », pousse un véritable « coup de gueule » intitulé « IPv6 or not IPv6 », un billet en forme de questions qui dit en substance « faudra-t-il attendre les ultimes secondes avant la saturation d’IPv4 avant que de passer à v6 ? ». Questions bien entendu accompagnées de remarques prouvant, comme si cela était encore nécessaire, l’utilité de cette évolution. L’on peut remarquer également la réaction d’un lecteur attentif, François Ropert répond par un « oui mais » nuançant un peu la nécessité d’une migration rapide.
Indépendamment de toute considération technique, le passage à v6 se heurte avant tout à un obstacle essentiellement psychologique. V4, c’est l’immatriculation apprise à l’école ou à l’occasion d’une formation certifiante. V4, c’est un « machin » robuste dont on annonce la mort imminente depuis plus d’une vingtaine d’années… et qui continue à tenir bon. Et, plus grave encore, v4 est un mécanisme d’identification de ports qui est parvenu à se frayer un chemin jusque dans les habitudes d’utilisation du grand public client des fournisseurs d’accès Internet. Or, il est plus simple de parvenir à convaincre des techniciens d’adopter de nouvelles règles à grand renfort d’arguments scientifiques que d’expliquer à des millions d’usagers-clients le bien-fondé d’une modification délicate des paramètres d’un ordinateur. V6 souffre également d’une forme d’élitisme science-fictionnesque qui n’est pas pour rassurer l’homo-primo-informaticus. Les exemples japonais de réfrigérateurs ou de téléviseurs communicants v6 imposent la vision d’une intrusion croissante du silicium dans nos vies privées qui peut éventuellement séduire une clientèle asiatique, mais qui fait encore frémir les esprits européens, dont la culture romantique garde en mémoire les chimères de Frankenstein et de Prométhée.
4) Le petit Kaminsky en kit
« Sorry Dave, I’m afraid I can’t do that ». Combien d’informatisés des années 80 ont émaillé leurs messages d’erreur avec la bande son de 2001… les charmes d’une informatique futuriste, les balbutiements des premiers logiciels de stupidité artificielle…. L’heure est aux choses plus sérieuses : les générateurs automatiques de remarques émises par des gourous sécurité. Le premier expert à faire les frais de ce cadavre exquis sonore n’est autre que le grand Dan Kaminsky, celui du trou DNS, celui du plus grand « buzz » de l’été. Un contributeur du HackerWebZine s’est donc amusé à échantillonner une succession d’expressions proférées par « big Dan » au cours d’une de ses conférences. L’usage desdits morceaux de phrase peut, à loisir, servir de message sonore remplaçant agréablement les « sound schemes » prédéfinis des systèmes d’exploitation actuels. L’on peut également imaginer quelques amateurs de sensations fortes se lancer dans la reconstitution d’un speech alarmiste prévenant la communauté de l’imminence d’une faille sous I.E. 8.x (banal), d’un écroulement d’IPv4 (rebattu), d’une brèche dans la gestion des ventilateurs USB (moins fréquent) ou d’un hack mondial des appareils électroménagers pilotés par ordinateur. Les lecteurs les plus perspicaces y verront également une nouvelle forme de vol d’identité –car la reconnaissance vocale fait partie des voies exploratoires de l’identification biométrique-.
Il ne reste plus à espérer que la bibliothèque s’agrandira, avec les voix de Bruce Schneier, des frères Litchfield, de Cédric Blancher, de Joanna Rutkowska, d’Ivan le Fou, de Liu Die Yu, d’Hervé Schauer, de Davide Del Vecchio, de Cesare Cerruto… avec un tantinet de persévérance, l’on pourrait ainsi se fabriquer la plus fantastique et la plus belle des Devcon Virtuelles.