Spécial sécurité : Barbouzes, buzz, réseaux sociaux et social engineering
Aujourd'hui, nos confrères de CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information, s'intéressent au buzz sur Internet, un buzz à double tranchant : positif pour l'entreprise lorsqu'elle le génère et le contrôle, négatif - et, donc, à surveiller - lorsqu'il est non maîtrisé. Mais un buzz qui intéresse aussi... la CIA. Ou comment Internet peut recéler des indices précieux pour les barbouzes. Nous confrères s'attardent également sur la psychologie de l'internaute et comment celle-ci s'accommode, ou non, des antivirus. A lire également aujourd'hui le vade mecum du gestionnaire de logs.
Sommaire :
1 - Barbouzes, buzz, réseaux sociaux et social engineering
2 - Un César pour les AV, un Oscar pour les virus
3 - Tenue de logs : "ne perd rien" ou des 6 maux ?
1 - Barbouzes, Buzz, réseaux sociaux et social engineering
Il y a deux manières de considérer la présence d’une entreprise sur la « toile » : la première, active et optimiste, qui considère la nécessité de posséder et étendre un « périmètre IP » le plus visible possible, la seconde qui vise à restreindre le plus possible tout ce qui pourrait servir à alimenter les « vecteurs d’intelligence » des entreprises concurrentes. D’un côté donc l’optique d’un Internet –vitrine, sur laquelle tout est bon pour faire du « buzz »- et de l’autre un regard paranoïde qui considère toute information divulguée comme une fuite d’information. Entre les deux, un « juste milieu », qui associe à la fois cette forme de couverture médiatique et un véritable contrôle de ce qui se raconte.
Mais comment découvrir précisément ce qui se raconte ? s’interroge Spylogic, dans un passionnant article consacré à l’Osint (Open Source Intelligence). Ce premier volet d’une série est consacré aux outils capables d’effectuer ce « data mining du web », cet audit de ce qui se dit d’une entreprise, que ces propos soient véhiculés par les canaux officiels de la société, les médias un peu moins contrôlés des blogs tenus par les collaborateurs ou les sources plus fluctuantes des forums et services Web2.0 assimilés. De Google à Spock, de Social Mention à Who’s talking, en passant par les analyseurs de contenu vidéo tel Pixsy ou Junoba, les outils de recherche Facebook ou MySpace… Il y a là un intéressant travail de « compilation des outils de compilation », préalable indispensable avant de penser à établir une véritable politique de communication Internet.
L’on a déjà hâte de lire le second volet. A de très rares exceptions près, les « DirCom » se montrent généralement incapables de maîtriser correctement les réseaux sociaux, parfois par manque de culture « geek », souvent par absence de dialogue interne. Soit le résultat manque totalement de spontanéité, soit la seule réponse face à cette nouvelle forme de communication se traduit par une interdiction formelle de « parler ». Un oukase qui très souvent profite à « l’ennemi ».
Pendant ce temps, à Langley, nous apprend Wired, les Maîtres-Espions de la CIA ont estimé que la chasse aux utilitaires, freewares et crawlers divers pouvait être élégamment évitée en investissant directement dans une entreprise spécialisée dans ce genre de recherche. In-Q-Tel, la branche investissements de l’Agence, a pris une participation dans Visible Technology, spécialiste de la rechercher et du recoupement d’informations disponibles sur le réseau public. Le but cette fois n’est pas franchement de veiller à ce que ne se produise une fuite d’information pouvant nuire à la « maison USA », mais plutôt de jouer le rôle de la partie adverse, à savoir la récupération d’indices à caractère privé concernant tout internaute ou entité ayant commis l’imprudence de confondre « périmètre IP » et « donnés exploitables »… si tant est qu’il existe une frontière précise entre ces deux notions.
On reconnaît bien là le vieux démon totalitariste américain, et ce ne serait pas en Europe qu’une telle chose pourrait arriver, vieux continent héritier des Lumières du XVIIIème et d’une longue tradition eudémoniste, défenderesse d’un Internet-espace-de-liberté…
Enfin presque. Puisque « chez nous », cette infrastructure de flicage prend le nom d’Indect, "Intelligent information system supporting observation, searching and detection for security of citizens in urban environment". Un site Web existe même, expliquant qu’Indect est destiné notamment à la« registration and exchange of operational data, acquisition of multimedia content, intelligent processing of all information and automatic detection of threats and recognition of abnormal behaviour or violence »… à l’enregistrement, à l’échange de données opérationnelles, à l’acquisition de contenu multimédia, au traitement de toute forme d’information, la détection automatique de menaces et reconnaissance des comportements anormaux ou violents…. Ce n’est jamais, résume Wikileak, qu’un organisme de plus chargé de filtrer la totalité de ce qui se passe sur le Net afin d’en tirer des données privées ou personnelles. Security4all en publie d’ailleurs un billet relativement dépressif, qui conclut en substance « doit-on, outre les cybercriminels, craindre également nos propres gouvernements ? ». L’on pourrait ajouter « de ces deux maux, quel est celui qui est le plus à craindre ? », car si l’on peut toujours espérer une absence de mémoire organisationnelle de la part des organisations mafieuses, il est illusoire d’espérer la moindre amnésie de la part d’un service de police ou d’espionnage gouvernemental. Et il est tout aussi vain de croire que les dispositions sécuritaires d’aujourd’hui ne seront jamais exploitées demain par des gouvernements un peu moins libéraux, un peu plus musclés, encore plus inquisiteurs.
2 - Un césar pour les A.V., un oscar pour les virus
Parfois, les hasards du calendrier –ou les conséquences technico-marketing d’une annonce- provoquent des télescopages aussi intéressants qu’amusants. L’on pouvait lire, en début de semaine passée, un billet très mesuré sur le blog de Nono, expliquant pourquoi les antivirus sont parfois ou souvent rejetés par les usagers et pour quelle raison l’arrivée de Security Essential de Microsoft (A.V. gratuit successeur de Onecare) pouvait, dans une certaine mesure, réconcilier l’homo-informaticus avec ce bouclier imparfait… mais bouclier quand même. Dans ce dialogue philosophique à la Micromega, le rôle de l’avocat général est tenu par un certain « Robert », dont les arguments sont étrangement repris en très grande partie par…. F-Secure, dans un film d’animation expliquant lui aussi les défauts des antivirus traditionnels.
Seule diffère la conclusion de l’histoire. Dans le premier conte, l’A.V.-Charmant sauve l’utilisatrice des griffes des abominables malwares grâce à sa légèreté et sa gratuité, dans la seconde narration, le Sauveur-Heuristique-Pourfendeur de virus remporte la victoire en parvenant à battre de vitesse les Méchants grâce à sa réincarnation en « cloud-computing » (ce qui lui assure long karma, légèreté, adaptabilité et surtout préservation de l’abonnement-RATP qui lui permettra d’acheter chaque année l’avoine de son cheval ontologique).
Quelque chose nous dit que, malgré le dessin-animé et la parabole sur le « pouce opposable », Robert, le copain de Nono, ne va pas apprécier la version métempsychose proposée par F-Secure.
3 - Tenue de logs : « ne perd rien » ou des 6 maux ?
Désactiver les journaux tenus par défaut, oublier d’activer ceux qui paraissent les plus importants, omettre de centraliser le syslog sur une machine centralisatrice (ou d’en dupliquer le contenu), vider les journaux après une courte période… Anton Chuvakin dresse sur son blog les 6 ou 7 péchés capitaux du log mal maîtrisé. C’est vivant, didactique, amusant… que celui qui n’a jamais commis au moins l’une des erreurs ainsi dénoncées jette le premier mini-dump.
38 bouchons, 16 trous qualifiés de « nouveaux », 6 failles exploitables à distance, la dernière CPU d’Oracle est plantureuse. Plantureuse et à prendre extrêmement au sérieux, de l’avis même d’Eric Maurice, patron sécurité d’Oracle, lequel recommande sur son blog d’appliquer les correctifs au plus tôt. Le blog d’Andrea Kornbrust, quand à lui, est légèrement plus sarcastique, faisant remarquer que, parmi les nombreux bug-reports expédiés à l’éditeur, « Only 20 Oracle security issues are unfixed…. ». Certains défauts, dont le problème dbms_sys_sql, ont pris près de deux ans avant d’être résolus.