FIC 2013 : Scada, Internet, cyberguerre, la découverte de vieux dangers
Aujourd'hui, nos confrères de CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information, prennent du recul par rapport à la dernière du FIC, attirent notre attention sur le piratage du système d’authentification à double facteur ainsi que le rapport 2013 de McAfee sur les cyber-menaces. Puis ils s’arrêtent sur les portes dérobées offertes par Skype ainsi que par les équipements Baracuda.
C’est France Culture qui a donné le ton du FIC 2013 en titrant son choix de la rédaction « Vers une cyber-armée Française ». Le langage pudibond consistant à ne parler que de défense passive et de protection des S.I. face aux attaquants inconnus est en train d’évoluer, voire de changer du tout au tout. Et ce notamment grâce à cinq leitmotiv : Stuxnet, Aramco, Areva, Bercy et l’attaque de l’Elysée.
Cinq cas qui prouvent sans l’ombre d’un doute que l’adversaire n’est plus seulement un groupuscule de mafieux Russes, Africains ou Brésiliens, mais bel et bien les forces des cyber-armées ou de cyber-renseignement agissant pour le compte d’un Etat-Nation, cinq cas qui indiquent sans l’ombre d’un doute les « ventres mous » stratégiquement intéressants pour des adversaires économiques. Les rouages administratifs dans un premier temps (Bercy, l’Elysée), les secteurs industriels liés à l’énergie, voir à la défense nationale (Areva, Aramco, Stuxnet).
L’esquisse d’un cyber-corps de combattants se dessine donc en Europe (notamment avec la récente création du Centre Européen de lutte contre la Cybercriminalité) mais également en France, où l’on entend de plus en plus souvent des militaires parler des conséquences « dramatiques » d’une cyber-bombe « qui pourrait tuer ou blesser » en attendant quelques propositions distillées au fil du prochain « livre blanc de la Défense ».
Pourquoi ici, pourquoi maintenant ? « Parce que l’arrivée de IP a fortement fragilisé les infrastructures des réseaux d’automatisation industrielle » entend-on. « Parce qu’Internet véhicule sans filtrage des messages de tous bords, provenant aussi bien d’extrémistes que de canaux d’informations officiels », « parce qu’Internet permet à des forces malveillantes d’atteindre les serveurs des entreprises et ainsi les frapper au cœur »…
Pourtant, aussi loin que remonte la mémoire Internet (autrement dit celle du Darpa), les armées et les universités du monde occidental se regardent en chien de faïence et cherchent à se protéger de leurs tentatives d’indiscrétions mutuelles. Pourtant, les bus « propriétaires standards » en usage dans le monde industriel (Modbus notamment, mais ce n’est pas le seul) n’ont jamais été conçus dans une optique « security in mind » et ont toujours été réputés vulnérables. Pas plus d’ailleurs que certains réseaux télécoms d’opérateur orientés données, ainsi X25 ou de très réputés réseaux bancaires.
Les interconnexions avec un réseau public n’ont fait que mettre en évidence une fragilité coupable qui existait depuis la nuit des temps. Pourtant, la récupération des outils informatiques à des fins activistes ou politique ne date pas d’hier. Souvenons-nous de JerusalemB. Les fondateurs d’Internet, outil partiellement d’origine militaire, ne pouvait ignorer ces risques que certains visiteurs du FIC, notamment parmi les chefs d’entreprise invités, semblaient découvrir avec surprise.
Le risque cyber est inscrit dans les gènes d’internet, qu’il soit criminel, activiste, politique ou martial. La croissance de ce risque proportionnellement à l’accroissement du réseau et du nombre d’usagers était également prévisible. Les premiers à s’en être rendu compte ont été les spécialistes des scam nigérian, les vendeurs de pilules bleues et dompteurs de botnets du RBN et autres réseaux mafieux ou les artistes du phishing que semble tout à coup découvrir tel fournisseur d’énergie Français ou telle banque. Internet, développé à grands renforts de subsides d’Etat et de travaux des grands opérateurs Télécom pour la seule gloire d’un cyber-commerce florissant.
Une course au mercantilisme et à la protection des métiers marchands qui s’est parfois forgée au détriment des libertés citoyennes et cyber-citoyennes, et qui, surtout, a fait perdre de vue aux différents Etat-Nation ces risques génétiques qu’ils connaissaient pourtant fort bien. Le réveil est brutal et risque de provoquer encore, dans les quelques années à venir, des décisions hâtives et des lois expéditives sous prétexte « qu’il fallait faire quelque chose ». Il reste à espérer que d’autres FIC sauront encore mieux faire passer les messages, situer les réelles menaces, et apporter des métriques sérieuses permettant aux politiques de prendre des décisions réfléchies.
Sécurité des banques : Le second facteur se fait sonner deux fois
Les authentifications à double facteur ne sont pas (contrairement à certaines croyances) totalement inviolables. Paul Ducklin, sur le blog Nacked Security (Sophos) nous explique comment deux escrocs natifs de Bombay et de Dehli sont parvenus à battre en brèche le système à double facteur cryptogramme/SMS qualifié d’ « authentification forte complémentaire » par les banques de notre pays.
La technique utilisée était simple : après une enquête portant sur l’environnement et les habitudes de la victime (données généralement achetées auprès de filières mafieuses Nigérianes), les escrocs usurpaient son identité pour pouvoir demander à son opérateur de téléphonie un double de sa carte SIM, en prétextant une perte involontaire. Carte, on s’en doute, interceptée dans la boîte à lettre du légitime propriétaire.
Une fois en possession de ce sésame, les deux truands ouvraient un faux compte en banque au nom de la victime (récupérant au passage un nouveau cryptogramme) et se lançaient dans une course aux achats avant que le légitime propriétaire du téléphone ne s’aperçoive du blocage de sa carte Sim prétendument perdue.
Et encore, précise Ducklin, à condition que l’opérateur télécom accepte d’intervenir. L’une des victimes s’est vue accuser d’escroquerie pas son épicier de la minute de communication pour avoir demandé un nouveau changement de SIM à un intervalle trop rapproché du précédent, changement qu’il aurait « lui-même » autorisé.
Ce schéma de fonctionnement, relativement simple, a permis aux deux escrocs de voler l’équivalent de 30 000 euros… « seulement » pourrait-on ajouter. Il est fort probable que de telles pratiques soient en usage en Europe, puisque des faits semblent remonter à plusieurs années et que l’enseignement de ces techniques passe généralement très rapidement les frontières.
Hacktivisme : Fail de Faux faffiots facilement fabriqués
François Paget (Avert Lab) revient sur l’un des volets de l’étude prospective 2013 sur les cybermenaces publiée par McAfee. Un volet qui aborde l’influence probablement déclinante du mouvement Anonymous, principalement en raison de la dégradation et du délitement de l’image de marque du mouvement. Un délitement relativement facile à prévoir, comparable, d’un point de vue historique, au mouvement anarchiste Prudhomien : sans ligne de parti ni dieu, ni maître (et par conséquent sans organisation politique structurée, porte-parole officiel et comité directeur), il est impossible de juguler les dérives extrémistes et les abus de certains profiteurs dont les excès viennent faisander la pureté originelle du mouvement (ou prétendue telle).
Et François Paget de citer à titre d’exemple un « Anonymous » ayant ouvert boutique spécialisée dans les faux papiers « compatibles administration Française » : permis de conduire, quittances de loyer, carte d’identité, carte grise, on est véritablement là au cœur d’un commerce mafieux et le fait qu’il se pratique sur Internet ne lui permet pas d’échapper à l’article 441-1 et suivants du Code Pénal.
On notera au passage une légère érosion des prix pratiqués sur le créneau du « faux faff ». Il y a trois ans, notre confrère Damien Bancal écrivait un article sur cette industrie naissante et mentionnait quelques tarifs : carte d’identité à 700 euros, permis de conduire à 500 euros, quittance EDF à 60 euros. L’Anonymous-truand que dénonce François Paget propose la carte d’identité et le permis à 340 euros et la quittance EDF à 50.
On ne peut que constater une certaine érosion sur les articles de luxe. En 1962, Michel Audiard écrivait «Le faux talbin, Messieurs, est un travail qui se fait dans le feutré». Le faux faff également. Les archers de la taille douce en patatogravure et de la Marianne en linoléum guilloché n’étaient connus que des hommes du mitan.
Avec l’arrivée d’Internet, des imprimantes à sublimation, des hologrammes en bandes prédécoupées et des plastifieuses de supermarché, le métier se perd, la tradition fout le camp et le respect dû aux vieux travailleurs et aux artistes du cousu-main s’évanouit.
Backdoor Baracuda : G.a.*
Une porte dérobée (accès ssh) a été découverte dans certains équipements Baracuda par les chercheurs de Sec Consult. « Several undocumented operating system user accounts exist » précise l’alerte du laboratoire Autrichien. Comptes burinés dans les entrailles les plus profondes du silicium et qui « ne pourraient être désactivés ».
Baracuda, pour sa part, éclaire la chose d’une manière très différente et parle de « mots de passe liés aux configurations par défaut ». Un fichier correctif colmate en grande partie les risques liés à cet état. Le Sans a immédiatement répercuté l’alerte, tandis que Brian Krebs s’est intéressé à la persistance de cette mauvaise configuration.
Tout laisse à penser, estime Krebs, que ces vulnérabilités existent au moins depuis 2003. Outre ces trous dont on ne sait s’ils ont été prévus à des fins de télémaintenance, de contrôle de parc ou de barbouzerie, les chercheurs Autrichiens ont relevé plusieurs plages de ports réservés, certains d’entre eux étant situés dans des segments « privés non routables », d’autres, entre 205.158.110.0 et 216.129.105.0, ouvrant vers le réseau public.
* NDLC Note de la correctrice : De Voltaire à Frédéric le Grand, se prononce «G grand, A petit»… voir NDLC de l’article sur les backdoor Skype
Backdoor Skype : 6/100 *
Douche écossaise pour Skype qui, en moins d’une semaine, essuie deux revers. L’un purement viral, l’autre essentiellement politique.
Le revers viral est notamment révélé par Trend Labs, qui décortique deux virus-vers capables d’être véhiculés par Skype. L’un de ces malwares fait partie intégrante du tristement célèbre Shylock, l’un des « trojan banker » voleur de crédences le plus répandu dans le cyberespace ces jours-ci. Une vulnérabilité et une exploitation active qui tombent fort mal, puisque ces derniers jours, Microsoft lance une campagne pressant les usagers de Messenger d’abandonner leur ancien IM et de migrer sous Skype.
Certes, Messenger n’est pas un parangon de sécurité et nombreux sont les malwares capables de propager des url faisandées via cet outil de communication. Mais abandonner un vieux navire dont on connaît le moindre défaut pour s’embarquer sur une embarcation que l’on sait activement exploitée par des infections n’est pas franchement rassurant.
Mais plus que ces considérations infectieuses, c’est, une fois encore, le soupçon de l’existence de multiples backdoors qui turlupine un groupe de personnalités de la presse ainsi que diverses associations de défense des libertés individuelles. Lesquels ont formé une sorte de comité de salut public et écrit une lettre ouverte aux principaux responsables de Microsoft en général et de la division Skype en particulier. Lettre qui demande instamment des clarifications sur les soupçons de portes dérobées pouvant se trouver dans le code de ce programme utilisé par plus de 600 millions de personnes de par le monde.
Et de citer en exemple les politiques de transparence pratiquées notamment par Google, Twitter ou Sonic.net. Les promesses n’engageant que ceux qui font l’erreur d’y croire, on peut se demander à quoi peut bien servir un tel Dazi Bao. Probablement n’est-ce là qu’une manière comme une autre de prévenir les usagers qu’un risque existe et que, quel que soient les réponses que Microsoft daignera apporter, la confidentialité des propos tenus via Skype n’est en aucun cas meilleure que celle garantie par une liaison GSM.Le nombre de services officiels et de « plombiers officieux » susceptibles de fliquer les conversations est simplement légèrement plus élevé dans l’un des deux cas.
*NDLC Note de la correctrice : lire «cent sous six». Rébus de Frédéric le Grand à Voltaire (venez souper à Sans Soucis) auquel François Marie Arouet répondit par un «j’ai grand appétit».