Spécial sécurité : la réputation des organisations... insubmersible
Régulièrement, LeMagIT ouvre ses colonnes à ses partenaires de CNIS Mag, magazine sur la sécurité des systèmes d’information. Dans cette édition, nos confrères se penchent sur l'impact des affaires de vol de données sur la réputation des organisations. Et montrent combien il est difficile de ruiner une marque établie.
Sommaire
- 1 - Attaques de réputation : Am stram gram, mythes et mythes paquets de drames
- 2 - Cyber-délinquance : plus de spam, plus de failles
- 3 - F-Secure répond (gratuitement) au ZDE
- 4 - DNSChanger : un vieux danger de circonstance
- 5 - Firefox, lui aussi, imite Microsoft
1) Attaques de réputation : Am stram gram, mythes et mythes paquets de drames
A en croire certains spécialistes en sécurité, le premier des dols à déplorer après une cyberattaque visant un établissement financier, c’est l’atteinte à sa réputation. Un argument chanté sur tous les tons tout au long d’une étude commanditée par Javelin, un spécialiste de la protection d’identité. « 55% of consumers experiencing a security breach expressed diminished confidence in the breached organization’s ». Mieux encore: « Data breach victims (56%) favor a solution that prevents fraud ». Etude que viendrait confirmer d’autres analyses, notamment du Ponemon Institute et d’ID Expert, dont Adam Dodge du Security Catalyst reprend les chiffres essentiels.
Traduction synthétique :
55% (Javelin) ou 57% (Ponemon) des particuliers perdent toute confiance en l’organisation [qui aurait été victime d’une fraude] ; 30% (Javelin) à 31% (Ponemon) des personnes interrogées ont précisé qu’une faille de sécurité exploitée marquerait la fin de leurs relations avec l’entreprise concernée. En d’autres termes, un client sur 3 changerait de banque, d’assurance, de caisse de retraite complémentaire.
Inutile de préciser que, dans une telle perspective, il est difficile de trouver un banquier – particulièrement en France - qui accepterait de révéler l’existence de fraudes à quelque niveau que ce soit. On « vend de la confiance » en premier lieu, pas du carnet de chèque. « Oui, mais non ! »rétorque le très décapant Alan Shimel sur son blog Still Secure. « Si cela était vraiment le cas, les entreprises touchées s’effondreraient comme un château de cartes dès le premier entrefilet publié dans la presse. Or, il n’en est rien ». De TJX à DSW Shoes en passant par Best Buy (le hit parade des vols d’identité et de comptes qui ont fait la Une des années 2007-2008), aucune de ces entreprises n’a essuyé le moindre coup de semonce provenant des marchés boursiers. L’action s’est maintenue contre vents et marées. Et pourtant, un actionnaire, c’est frileux en diable, si, sur ses actions, plane la moindre rumeur de baisse d’activité et de rapport d’abondement.
Cet avis de véritable expert est à rapprocher d’une vieille, très vielle étude, la première du genre, entamée peu de temps après l’affaire CardSystems. Ce brocker – intermédiaire de paiement dans les transactions par carte de crédit -, fut l’un des premiers à faire les gros titres de la presse sécurité. Une faille SQL très connue avait permis à des truands de s’approprier identités et numéros de comptes de centaines de milliers d’acheteurs. Si CardSystems a bu le bouillon, suite au départ de ses principaux clients (American Express, Visa, MasterCard…), les utilisateurs de ces mêmes cartes n’ont pas bronché. Passé quelques semaines d’agitation boursière, le cours de l’action des principaux responsables – car une banque est directement responsable du choix et de la qualification des intermédiaires avec qui elle travaille -, le cours de l’action donc a retrouvé son niveau « normal ». Tous les détails dans cet étonnant document intitulé « How It's Difficult to Ruin a Good Name: An Analysis of Reputational Risk ». Toute autre pseudo-étude commanditée par une entreprise à la fois juge et partie est donc à prendre avec des pincettes … Et ce, quoiqu’en disent d’autres experts qui, additionnant de la monnaie de singe et l’argent virtuel qui « aurait dû être dépensé », parviennent à chiffrer les « pertes » du hack de TJX par exemple. Combien, dans ces cas précis, coûte à l’entreprise non pas le piratage, non pas l’atteinte à la réputation, mais l’incompétence de la DSI en place ? Nul rapport sur ce point.
Mais alors, le « client final » est-il un imbécile achevé ? Une question que les experts du Ponemon feraient bien de se poser. Une question que ne se posent généralement pas les premiers concernés. Car qui n’a pas dû, une fois dans sa vie, changer de banque suite à un déménagement ? Entre les virements automatiques, les formulaires 39bis modifiés 45 en triples exemplaires, les « temps de latence » de transfert de carte de crédit, les absences du responsable d’agence, les courriers aux correspondants… Un parcours du combattant qui montre à quel point l’usager est plus ou moins prisonnier du système.
2) Cyber-délinquance : plus de spam, plus de failles
Alors, la réputation, un mot creux ? Certainement pas. Car sa valeur, fidèlement entretenue par les Grands Argentiers, est un capital que savent fort bien exploiter les organisations mafieuses. On n’attaque pas une réputation, on l’exploite, on la détourne, nous explique une récente étude conduite par Cisco. L’on y parle de « reputation hijacking » dans le cadre du spam et du phishing… car quoi de meilleur pour un vendeur de viagra frelaté que de se réclamer des laboratoires Pfizer ou, pour un boutiquier du Scareware, de s’abriter sous une enseigne ayant le goût, la couleur, la senteur de Microsoft ? La réputation, c’est le Canada Dry de l’entreprise piratée. Et cela commence avec le cassage des codes de protection de type « Captcha ». Car l’on ne peut soupçonner un spam derrière la « réputation » d’un Hotmail, d’un Gmail ou d’un Yahoo. Une technique qui ne représente que 1 % du spam mondial, mais qui atteint 7,6 % du volume de courrier transféré par ces fournisseurs de services. A titre de référence, le volume de spam estimé par Cisco frise les 200 milliards d’e-mails émis chaque jour, soit 90 % du volume mondial des courriels envoyés.
Ouvrons ici une parenthèse pour signaler l’existence d’un autre papier, publié, lui, dans les colonnes de Network World, et qui porte le titre évocateur suivant : Can Spam : qu’est-ce qui a mal tourné ?. L’article de notre consœur Carolyn Duffy Marsan fourmille de chiffres absolument catastrophiques, très peu différents de ceux avancés par Cisco d’ailleurs. Mais pourquoi fallait-il en « tartiner » trois pages web, alors que toute l’information tient ironiquement dans le titre ? En promulguant la loi « Can Spam », dont l’un des plus ardents défenseurs fut Bill Gates, les Etats-Unis ont favorisé les dérives d’un pollupostage soumis à la seule règle de « l’opt out ». En d’autres termes, tout le monde peut envoyer n’importe quoi à tout le monde, en vertu d’un droit légitime à la communication et au commerce. Les usagers ayant la possibilité, en revanche, de demander par retour du courrier d’être rayé des listes de diffusion. Mais qui peut se permettre, avec une moyenne de 1 500 pourriels par jour, de demander une radiation pour chaque message non sollicité reçu ? Quel organisme peut prétendre légiférer ce capharnaüm permanent ? Les quelques sentences décrochées par la FTC envers de rares polluposteurs ont fait s’évanouir les acteurs les plus actifs derrière des sociétés-écrans, des domiciliations canadiennes et des armées d’avocats spécialistes des ripostes pour vice de procédure. Can Spam n’est rien d’autre qu’une tentative étatique pour organiser en partie la délinquance sur Internet. C’était une chose prévisible lorsque cette loi fut votée, cela se vérifie hélas chaque jour aujourd’hui.
3) F-Secure répond (gratuitement) au ZDE
C’est probablement l’un des premiers outils de protection reposant sur une approche « cloud computing » : Exploit Shield, actuellement au stade de la « préversion publique », est une sorte de firewall capable de filtrer les attaques Zero Day. Ou plus exactement prétendant les filtrer. Comment fonctionne-t-il ? En stockant des « signatures d’attaque » relatives à un exploit répertorié dans la base CVE. La signature en question est détectée par le réseau de Honeypot/Honeymonkey (automates de recherche d’exploits singeant le comportement d’un internaute imprudent). Dès qu’un exploit nouveau est découvert par ce réseau mondial, les chercheurs du labo F-Secure analysent son fonctionnement, en extraient une signature et propagent cette marque de reconnaissance à l’ensemble des « clients » dispersés dans le nuage Internet. C’est donc du « quasi temps réel » que nous promettent les chasseurs de virus Finlandais. Parallèlement à cette action de protection, chaque copie d’Exploit Shield serait également capable de renvoyer vers les laboratoires d’Helsinki une URL qui paraîtrait suspecte aux mécanismes de protection heuristique embarqués.
Après l’antirootkit BlackLight, un programme d’inventaire de failles en ligne et un « traceroute » graphique indiquant la géolocalisation des adresses IP dialoguant avec le poste protégé, c’est le troisième outil gratuit que propose F-Secure. A cheval donné, on ne regarde pas la dent.
4) DNSChanger : un vieux danger de circonstance
Billet alarmiste, mais billet intéressant que celui de Micha Pekrul sur le blog de l’Avert. Il nous parle d’un vieux classique, DNSChanger, le vecteur d’attaques qui intercepte les requêtes DHCP au vol et redirige les requêtes DNS au bon gré de ses « maîtres ». Si l’une des premières exploitations évidente de DNSChanger est son utilisation dans le cadre d’attaques en phishing – un moyen très élégant pour spoofer une URL. Mais, renchérit Pekrul, il y a un autre danger, bien plus pernicieux, bien plus immédiat, bien plus discret : le détournement des adresses de « mise à jour ». Un Microsoft Update qui boucle sur localhost, c’est déjà pas drôle, mais une mise à jour de base d’antivirus qui pointe sur www . blackhatpwner . org, c’est considérablement plus inquiétant. Surtout par les temps qui courent. Les petites séquences d’animation qui illustrent le papier de l’Avert sont édifiantes, même pour des non-techniciens.
Les plus vieux responsables sécurité ou les plus observateurs se souviennent encore d’une idée qu’avait émis Thierry Zoller, il y a quelques années, à propos des possibilités de détournement des « mises à jour » du spyware commercial Zango (ou de tout autre programme n’effectuant pas de contrôle d’intégrité des fichiers reçus). Il y a là, avec DNSChanger, de la graine de machines à botnet. Il y a surtout un énorme risque de blocage de dialogue des outils de sécurité, donc de « protection » des machines zombies contre les méfaits… d’un correctif salvateur. Intéressant retournement de tendance.
5) Firefox, lui aussi, imite Microsoft
Mise à niveau obligatoire : l’édition 3.0.5 de Firefox corrige une jolie brochette de trous de sécurités, donc certains font d’ores et déjà l’objet de commentaires enflammés sur la liste du Full Disclosure. Quelques PoC commencent à circuler, et les mesures habituelles de prudence sont à observer. Les failles colmatées sont, cette fournée-ci, au nombre de 8.
MFSA 2008-69 XSS vulnérabilité dans SessionStore
MFSA 2008-68 XSS et élévation de privilège JavaScript
MFSA 2008-67 gestion du caractère d’échappement “null“ ignoré par le parser CSS
MFSA 2008-66 Erreur de parsin d’URLs contenant un espace ou un caractère de contrôle (un vieux classique)
MFSA 2008-65 Vol de donnéesCross-domain data
MFSA 2008-64 fuite d’information XMLHttpRequest 302
MFSA 2008-63 flicage de l’usager par l’attribut XUL
MFSA 2008-60 Crash et corruption de mémoire (rv:1.9.0.5/1.8.1.19)