Spécial sécurité / Les mules émulent : Visa offre 11 M$ à des malfrats nécessiteux
Aujourd'hui, nos confrères de CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information, reviennent sur le « casse du siècle » dont a été victime Visa, porte à notre connaissance la grosse fournée de correctifs Java, avant de s’intéresser au piratage des comptes Twitter. Ils terminent en relayant l’appel à communication de Hackito Ergo Sum.
Les mules émulent : Visa offre 11 M$ à des malfrats nécessiteux
Lorsqu’un « casse du siècle » survient pour la première fois, c’est vraiment un « casse du siècle ». A la seconde édition, cela tourne à la négligence. A la troisième, on peut commencer à parler de philanthropie. Visa, durant la dernière trêve des confiseurs, aurait été victime d’un formidable casse à la carte de débit portant sur 9 millions de dollars dans un premier temps, puis 2 millions de dollars supplémentaires quelques jours plus tard. Comme par le passé avec la désormais célèbre affaire RBS-Worldplay, le vol organisé a été perpétré par une petite armée de mules, réparties sur 12 pays différents, et opérant de manière synchronisée durant un laps de temps très court (moins de deux jours). Les mules étaient chargées de retirer un maximum de liquide sur des distributeurs automatiques de billets (DAB) à l’aide de cartes dont les montants avaient été modifiés après intrusion sur les systèmes d’information des établissements financiers visés.
Brian Krebs détaille le film des évènements dans un article aussi palpitant qu’un polar de quai de gare. Il mentionne au passage la très discrètes lettre que Visa a expédié à ses différents membres, laissant ainsi clairement entendre que la majorité des réseaux et serveurs informatiques des établissements visés par les mules étaient vulnérables. On peut s’étonner de voir ainsi rappeler la nécessité d’installer quelques IDS sur un système bancaire, de configurer correctement un firewall ou de déployer les correctifs nécessaires pour éviter des attaques en injection SQL. Tout ça fleure bon un amateurisme inquiétant : Les porteurs de cartes de débit pouvaient retirer parfois jusqu’à 500 dollars.
Précisons que ni les mules, ni les cerveaux n’ont, jusqu’à présent, été fortement inquiétés. Dans l’affaire du casse RBS-Worldplay (qui a été chiffré à près de 9 millions de dollars), les cerveaux de l’affaire ont fini par se faire arrêter et condamner… à deux ans de prison avec sursis. En ces temps de militarisation des cyber-compétences, un bon malfrat libre vaudrait-il mieux qu’un prisonnier aigri croupissant dans les geôles de la Loubianka ?
Oracle et ses 50 trous Java de février
L’alerte concerne Java SE. Prévue pour être publiée mi-février, cette avalanche de correctifs a été avancée compte tenu de la cote de risque qui caractérisait certains CVE. Il faut dire que sur les 50 bouchons de sécurité, 49 concernent des failles exploitables à distance et 26 atteignent une cote d’alerte de 10 sur l’échelle CVSS. Le billet de blog de l’éditeur insiste sur l’importance d’un déploiement rapide.
Twitter cache ses trous derrière ceux du N.Y.Times
« Vous avez vu ? Il y a comme un gros trou informatique du côté du New York Times… et le Wall Street Journal ne va pas très bien à force de se faire intruser par des intrusions intrusantes. Et on ne vous parle pas de Java… les pauvres, 50 trous, à tel point qu’on n’ose plus du tout l’installer, ce nid de bug. Pour preuve, Apple et Mozilla désactivent cet add-in sans chercher à comprendre ».
Franchement, voir le blog de Twitter se transformer en concurrent de CNIS-Mag et relater les trous importants de la semaine écoulée, ça n’arrive pas tous les jours. Il faut passer tout le premier paragraphe pour enfin découvrir l’information importante : 250 000 comptes de Twittos ont été potentiellement compromis, avec une fuite probable de données à caractère personnel notamment nom et adresse de courriel de certains usagers du service.
Qu’un réseau social grand public se fasse pirater, la chose aurait presque tendance à devenir courante de nos jours. Un jour Linkedin, le lendemain Facebook, la semaine suivante une flopée de comptes MSN... Mais que la direction de la communication tente de banaliser l’affaire sur l’air du « mais qui donc n’est plus piraté de nos jours… même les grands mass media en souffrent », voilà qui est moins banal. Et ce qui est encore plus étonnant, c’est que les éditeurs de logiciels servent également d’alibi pour mieux détourner les attentions. La mention de la dernière CPU d’Oracle et de son JRE particulièrement peu étanche n’est rien d’autre qu’une façon de rejeter la responsabilité sur les concepteurs même d’outils Web.
Cette tentative de diversion n’empêche toutefois pas les responsables du response team de Twitter de préciser avec franchise qu’ont également été récupérés des token de session et des mots de passe « chiffrés et salés »…le salage est une précaution que n’avait pas pris en son temps un autre réseau social également compromis, LinkedIn. Cet effort de transparence est particulièrement louable. Il reste à tous les utilisateurs de Twitter, par mesure de précaution, de changer leurs mots de passe.
Du côté de l’affaire du NY Times, on peut lire une intéressante analyse de nos confrères de CSO, qui titrent « Les leçons que l’on tire de l’attaque du NYT ». Le hack en question entre dans la catégorie des APT, aurait perduré durant plus de 4 mois, probablement entamée par une opération de phishing ciblée estime Mandiant, l’entreprise mandatée pour effectuer l’audit et le nettoyage « post-hacking » du NYT. Bercy, l’Elysée, NYT : même combat. La presse grand public s’étonne du fait que les défenses périmétriques en général et les antivirus (Symantec dans ce cas précis) aient été incapables de détecter l’intrusion… ce qui est étonnant, c’est que l’on puisse encore être étonné de cet état de fait à notre époque.
Sans surprise, l’attaque est attribuée à des hordes de cyber-pirates Chinois, une « quasi habitude » chez Mandiant estiment plusieurs spécialistes sécurité.
HES 2013 : appel à communication
Hackito Ergo Sum, quatrième épisode : la conférence de sécurité parisienne vient de publier son appel à communication. La date de clôture a été fixée au 31 mars prochain, et les orateurs retenus seront informés le 4 avril suivant. Le programme définitif sera rendu public trois jours plus tard.
Cette année, HES se déroulera du 2 au 4 mai, dans l’enceinte de la Cité des Sciences de Paris (La Villette). Les tarifs d’entrée sont fixés à 480 € pour les représentants d’entreprises, à 160 € pour les professionnels de la sécurité et 70 Euros pour les « non inscrits ». Des ateliers de formation pratique répartis sur deux jours sont également proposés à raison de 1900 euros par participant.