Spécial Sécurité : Rapport signal sur bruit; "Here you Have" …

Aujourd'hui, nos confrères de CNIS, magazine spécialisé dans la sécurité des systèmes d'information, reviennent sur l'attaque "OnMouseOver" sur Twitter et sur les attaques Stuxnet et "Here you have" (malicieusement traduit "Tupeutla'"). Avec ce constat froid : ce n'est pas l'attaque qui a fait le plus de bruit, celle sur Twitter, qui est la plus dangereuse. Nos confrères font enfin un bref point sur les dernières failles chez Cisco

Sommaire

1 - Attaque Twitter « onmouseover » : bruyante, sans plus

2 - Vague d’attachements empoisonnés

3 - Ho-Hisse, et 4 pour IOS

1) Attaque Twitter « onmouseover » : bruyante, sans plus

Beaucoup de bruit autour d’une attaque « onmouseover » ayant affecté les usagers de Twitter. Cette attaque XSS a été relatée tout d’abord par Sophos, Security News, Netcraft, Threat post, F-Secure et même nos confrères du Point. Le nombre de victimes serait très important mais les dégâts relativement limités. Comparativement, les attaques Stuxnet et «  here you have » ont généré, les deux premiers jours de leurs découvertes, un nombre considérablement moindre d’articles de presse… Médiatisation et dangerosité sont parfois des notions totalement étrangères.

2) Des origines jihadiste du virus « Tupeut’la.. »*

Petit rebondissement dans l’affaire du virus « Here you have » avec une très longue collection d’indices relevée par l’équipe de SecureWorks , indices laissant deviner une origine soit Iraquienne, soit Egyptienne du mass-mailer infectieux. SecureWorks parle même de «  eJihad connection » alors que tout au plus peut-on parler d’activisme moyen-oriental ou pan-arabique, les implications religieuses étant relativement ténues, voir franchement douteuses. Une thèse que confirmerait un message de revendication publié sur Youtube au nom d’un groupe portant le nom de Tariq ben Ziyad… référence historique à un général Omeyyade du VIIème siècle. Les groupements islamistes préfèrent généralement des références moins intellectuelles et s’affublent plus souvent du nom d’un « martyr » récent. C’est le principe de la minute de gloire Warholienne dans ses aspects les plus macabres.

La lutte politico-confessionnelle est d’un tout autre ordre, si l’on se réfère à la collection de plus de 40 articles postés par Dancho Danchev sur ce sujet . « Summarizing 3 Years of Research Into Cyber Jihad » couvre aussi bien des tentatives d’attaques virales que des opérations de propagande, des hacks qui auraient pu être utilisés par des cyber-jihadistes, des légendes plausibles autour de leurs pratiques, des attaques Scada… ce sont là des séries d’instantanés pris à chaud, avec un regard scientifique d’homme réseau. Danchev conclut «  Terrorists are not rocket scientists unless we make them feel so!  ». Les actes de cyberguerre provoqués par des groupuscules d’opinion ont des conséquences souvent plus psychologiques que matérielles. C’est l’importance que nous leur accordons qui en font leur relative dangerosité ou portée.

Une chose est claire cependant : il existe une très nette différence de moyens entre une cyber-guerre organisée par un Etat et une cyber-guerre conduite par des mouvements de « combattants » idéologiques. Ces derniers ont souvent recours à des moyens artisanaux connus et exploités parfois depuis longtemps, et tablant sur un effet plus psychologique que tactique. Des cyber-bombes artisanales assemblées par des techno-artificiers compétents mais sans beaucoup d’imagination, le tout lancé un peu au hasard par des cyber-attaquants-suicides contre des cibles civiles offrant un impact médiatique certain. Beaucoup de bruit, peu d’effets

Les cyber-guerriers étatiques sont, quant à eux, plus organisés, plus discrets, plus efficaces. Leur but est de frapper, fort, avec des moyens souvent inconnus, en visant des cibles précises. Qu’est-ce que la cyber-guerre ? demande Richard Bejtlich ? Et de répondre à cette question en 5 points. Un acte de cyber-guerre est innovant, ciblé, son efficacité est de courte durée (exploitation d’effet de surprise), sa valeur tactique se dégrade rapidement (car l’adversaire développe ses contre-mesures), et surtout, il est lancé dans un but précis, avec des intentions toutes aussi précises. C’est ce qui différencie une attaque de cyber-guerre telle que Stuxnet d’un virus à la « Tupeut’la ».Beaucoup d’effets, peu de bruit.

Dans les deux cas l’on peut parler de cyber-attaque… mais là s’arrête tout point commun. Stuxnet fait partie de l’arsenal d’une armée constituée, Tupeut’la relève de la guerre de guerilla.

*NdT Note de la Traductrice : Nous remercions infiniment Monsieur Cidrolin, spécialiste de l’Histoire Générale en particulier, qui nous faisait remarquer que la formule « Here you have » dont est affublé ce virus peut être traduite par « Tiens, voilà du.. » ou «Tupeut’la… ». Notre traduction initiale était, il faut le reconnaître, bien trop expurgée et donc inexacte.

3) Ho-Hisse, et 4 pour IOS

Une vulnérabilité dans la table de translation d’adresses, une autre dans SIP, une troisième dans H.323 et une dernière dans le SSL VPN d’IOS : le dernier lot de rustines de Cisco présente statistiquement plus de risques de dénis de service que d’exploitation à distance.

Pour approfondir sur Menaces, Ransomwares, DDoS