Spécial sécurité : Fuite de données, la vengeance de PCI

Régulièrement, nous ouvrons nos colonnes à CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information. Aujourd'hui, nos confrères reviennent sur les fuites de données chez Heartland, la progression des attaques web, la protection des réseau wifi et… l’inénarrable Conficker.

cnis logo

Sommaire

- 1 - Fuite de données : la vengeance de PCI

- 2 - Attaques Web : +300% l’an

- 3 - Comment hacker du Citrix sans les mains et protéger un routeur WiFi

- 4 - Conficker, c’est pas gagné

- 5 - Le dictionnaire des trous Adobe

Fuite de données : la vengeance de PCI

Vae victis, malheur aux vaincus. Selon nos confrères du RegHeartland et RBS Wordpay ne seraient plus dans les petits papiers de Visa. Petits papiers qui indiqueraient les établissements financiers en conformité avec les normes PCI-DSS.

Fait étrange, avant ces deux formidables affaires de fuite d’information, les deux sociétés en question étaient considérées comme « conformes ». Et Security News précise que les deux entreprises seraient en train de travailler pour requalifier leurs entreprises. En d’autres termes, l’avis de visa est purement symbolique et a peu de chance de nuire aux relations qui lient les banques et ces organismes de crédit et intermédiaires de transaction.

PCI, cette norme sécurité totalement forgée par l’industrie financière américaine, avait déjà bien du mal à se faire accepter des banquiers Européens. Avec ce « bannissement rétroactif mais temporaire conjoncturel» d’entreprises « formerly compliant… but not yet », Visa montre à quel point PCI n’est pas exactement ce cadre normatif strictement objectif qu’il prétend être. De là à dire que ces agréments ne sont jamais qu’un argument marketing pour endormir les craintes de la clientèle ou d’invoquer des certifications de copinage, il n’y a qu’un pas que n’hésitent pas à franchir les médias.

Comment hacker du Citrix sans les mains et protéger un routeur WiFi

La lecture de SynJunkie est parfois aussi drôle qu’un sketch de José Garcimore. Il prépare son auditoire, met en scène sa démonstration, montre à quel point la mission sera impossible, fait grimper la tension à un point quasi paroxystique. Puis, tel un illusionniste, il détruit d’un coup de touche « return » la confiance absolue qui habillait fièrement l’Administrateur Réseau. A savourer, cette pièce en trois actes (pour l’instant) intitulée Abusing Citrix et qui montre comment contourner les principales restrictions imposées par les « policies » de sécurité d’un serveur d’applications.

A lire également, à diffuser, ce décalogue de la sécurité des routeurs WiFi. Tout y est bel et bon, ou presque. Ton firmware upgraderas et les vielles failles éviteras. Les mots de passe par défaut changeras, et le chiffrement activeras. Bien fol tu seras si l’administration distante par les ondes tu autoriseras. Ton SSID modifieras et son broadcast supprimeras. Les adresses MAC tu filtreras, et uPnP assassineras. Ta plage DHCP changeras et vers un DNS sérieux pointeras. Enfin, le log activeras pour t’en servir tu apprendras.

Ah les beaux conseils que voilà, simples à mettre en œuvre, compréhensibles par beaucoup. Certains conseils, pourtant, semblent avoir été ajoutés pour « faire peuple ». Un décalogue (en anglais « top ten ») qui ne compte que 8 points, ça fait tout de suite moins sérieux. Pourtant, le commandement relatif au SSID est totalement inutile. N’importe quel wardriver est à même de récupérer un SSID « masqué » même en l’absence de broadcast. Même un journaliste… c’est dire ! Quant à changer l’identifiant « par défaut », ce n’est là qu’une mesure purement cosmétique. Mieux encore, il n’est pas de plus vif plaisir que d’inscrire le SSID par défaut d’un équipement dans la mémoire d’un autre appareil. Tsunami sur un routeur Linksys par exemple, ou Wanadoo-xxx sur un antique Breezecom. Ce n’est pas là de la « sécurité par l’obscurantisme », mais un pied de nez adressé aux indiscrets.

Si le changement d’espace IP est un excellent conseil -80 % des pirates « amateurs » ne testent que de 192.168.0.x à 10.x- la gestion des adresses MAC demeure, quant à elle, un véritable casse-tête. C’est là, en l’absence d’outil efficace, générique et normé capable de gérer les couples IP/MAC, un vecteur de pannes réseau potentiel. A classer dans la catégorie des fausses bonnes idées, à côté de la gestion des Vlan reposant également sur les adresses MAC. Car, en WiFi comme en infrastructure Ethernet « base cuivre », une carte WiFi, çà se change, et parfois même, çà peut voir sa mac adress modifiée par logiciel.

Sur ce même thème, le Sans a publié une analyse un peu plus édifiante, intitulée Wireless at the hospital and the threats they face. L’informatique hospitalière utilise effectivement, aux USA comme en France, de plus en plus d’équipements sans fil. Pis encore, certains services se voient allouer des équipements possédant des fonctions WiFi qui ne sont pas nécessairement utilisées, laissant ainsi planer une menace sur l’intégrité du réseau. Il y a là quelques scenarii d’attaques assez intéressants, qui, sans analyse approfondie, pourraient bien ne pas attirer l’attention d’un administrateur.

Attaques Web : +300% l’an

Fatalitas ! s’écrierait Chéri Bibi. La causalité provoque la sinistralité. La crise précarise les « cols blancs » et Internet en général, accroissant le nombre d’attaques conduites contre les sites Web. Fatalitas, encore, lorsque les armées de Downadup-Conficker ou Waledac sont perçues comme des vecteurs d’encouragement au business des Scarewares, ces faux antivirus qui détectent des choses aussi abominables qu’improbables.

Sur l’impact de la crise sur les applications Web, on aurait pu croire que l’Owasp finirait par s’en apercevoir. Et bien non, c’est ScanSafe qui nous l’apprend. Sa « plus grande enquête mondiale jamais réalisée, portant sur plus de 80 pays et 240 milliards de requêtes http » révèle que les attaques Web ont progressé de 300% de 2007 à 2008. Que les cyberdélinquants visent désormais les « données sensibles », que la majorité des malwares sont désormais reconfigurables et qu’ils peuvent être utilisés pour attaquer une cible très précise… Après le classique discours catastrophiste, les chiffres : de 2007 à 2008, la proportion de Troyens spécialisés dans le vol de données est passée de 6 à 14%. Le nombre moyen de nouvelles variantes de ce type découvertes durant les 3 premiers trimestres 2008 était de 52 par client (de ScanSafe). Une unique vague d’attaques SQL en avril de l’an passé aurait, à elle seule, compromise 35000 pages Web appartenant à des administrations gouvernementales, 185 000 pages d’agences de voyage, 25 000 pages du secteur de l’éducation, 17 000 dans le secteur bancaire et 524 000 dans la sphère médicale et pharmaceutique. C’est d’ailleurs, au fil de cette étude,  l’analyse sectorielle qui semble la plus révélatrice d’une véritable mouvance de l’industrie du vol d’identité. Parmi les corps de métier les plus visés, les transports, avec une croissance de 135 % du nombre de sites compromis, suivis de près par l’industrie chimique et pharmaceutique (+103%), l’énergie et le bâtiment (respectivement 94 et 91%), le tourisme et l’éducation (+64%, +62%). Les méthodes d’attaque constatées, quand à elles, sont assez classiques. L’on pourrait même dire qu’elles reviennent à des « fondamentaux » un peu oubliés. Ainsi les droppers, qui étaient en tête des malwares en 2007, passent en troisième place (33%), cédant la tête aux exploits directs et attaques iFrame (près de 58% des attaques), de vieilles méthodes pourtant. Les backdoors et récupérateurs de mots de passe ont, en 2008, décroché la seconde place des menaces les plus fréquemment rencontrées (environ 15%)… un danger de quatrième ordre un an auparavant. Les virus et vers (l’enquête s’arrête avant la vague Conficker) arrivent bon derniers, ne représentant « que » 3% des malwares détectés en 2008. Même les Troyens « tous types confondus », qui constituaient presque 30 % des menaces en 2007, sont retombés l’an passé en dessous de la barre des 8 à 9%. Ne perdons pas de vue que ScanSafe est à la fois juge et partie, et que l’on doit prendre en compte une certaine orientation des chiffres publiés.

Reste que la menace croissante qui plane sur les sites Web n’est pas une chimère. Le Sans vient à ce propos d’éditer un opuscule de 5 pages, qui tient à la fois d’avertissement et de recueil de « bonne pratiques ». Son titre : Protecting Your Web Apps: Two Big Mistakes and 12 Practical Tips to Avoid Them. On retrouve enfin un petit air d’Owasp… et de conseils inlassablement ressassés sur l’importance des précautions à apporter aux champs de saisie. Mais racontée par le Sans, l’histoire prend une toute autre dimension.

Conficker, c’est pas gagné

Le Cert Lexsi, c’est un peu notre Luhrq à nous. Ses analyses ne sont jamais en avance sur celles des  autres, mais le recul qui y est apporté, l’absence de langage « jargonisant » donne aux articles publiés une clarté et une absence de catastrophisme de bon aloi. La dernière étude en date concerne… Conficker, une fois de plus. De la dernière version, dénommée B++, celle qui « corrige » les erreurs de jeunesses –pourtant relativement faibles- de la première édition. Cette fois, les auteurs ont attentivement écouté les conseils de la communauté internationale, et ont su améliorer leur logiciel. Il est désormais impossible de dresser une table des domaines générés, comme ce fut le cas pour les deux premières versions du ver. B++ « fabrique » désormais 50 000 noms de domaine par jour, de quoi saturer les DNS les plus rapides. Ses mécanismes de défense interne s’enrichissent de tous les principaux programmes destinés à éradiquer ledit virus, et le mécanisme de « mise à l’heure » de l’infection elle-même utilise discrètement des sites publics que l’on peut difficilement rayer des annuaires : Google, le W3C, Yahoo, Facebook… Les noms de domaine générés sont, pour certains, testés afin de voir s’ils ne sont par « bouclés » soit sur une classe privée, soit sur une adresse appartenant à un chasseur de virus lié à la « coalition Microsoft anti-Downadup. D’autres surprises pourraient bien être révélées, nous promet Fabien Perigaud. L’équipe aurait notamment détecté un certain nombre de nouvelles fonctions camouflées. Le feuilleton Conficker, c’est encore plus haletant qu’une histoire de Rocambole.


Le dictionnaire des trous Adobe

Quelques jours après la publication d’un correctif majeur d’Acrobat Reader –sans oublier la mise à niveau salvatrice d’un de ses clones Foxit, voilà que Thierry Zoller dresse une liste des derniers articles et communications portant sur les vulnérabilités et exploitations des formats Adobe d’une part, et des fichiers d’origine MS-Office d’autre part. Les interprètes de format Adobe constituent, après les failles noyau Windows et les exploitations des trous liés aux navigateurs, l’un des plus importants vecteurs de vulnérabilité du monde bureautique.
Rappelons que le patch Adobe a été avancé en raison de la divulgation publique d’un code d’exploitation et d’une preuve de faisabilité dans les colonnes de Milw0rm. Attention, l’URL du PoC, bien que non nocive, est directe et active.

Pour approfondir sur Gestion des accès (MFA, FIDO, SSO, SAML, IDaaS, CIAM)