DEFCON



[Intelligence Online – 05/02/2009]
Depuis deux semaines, les réseaux informatiques du ministère de la défense sont infectés par un virus qui a immobilisé certains systèmes d’armes, à l’instar des Rafale de l’Aéronavale – L’origine et les caractéristiques exactes de ce virus restent encore inconnues, mais la crise – dont Intelligence Online révèle l’ampleur – pose de sérieuses questions sur la sécurité des réseaux militaires français et leur capacité à faire face à une cyber-attaque d’envergure.

http://www.intelligenceonline.fr


[CNIS Mag – 17/11/2008]

Après la France, l’Allemagne, l’Italie, c’est au tour le la Grande Bretagne d’adopter une série de lois visant à réprimer sévèrement tout possesseur « d’outils de hacking » signale Out Law. Sont ainsi confondus dans un melting-pot fort pratique, à la fois les programmes de test de pénétration et les logiciels capables de provoquer des attaques en déni de service. Les textes, renforçant le Computer Misuse Act, portent à 10 années d’emprisonnement toute attaque d’un système d’information « sans autorisation ».

De prime abord, il s’agit bien là d’une loi salvatrice visant à renforcer la protection des honnêtes internautes, particuliers comme professionnels. Il reste que tout viol d’un S.I. faisait déjà l’objet de mesures répressives relativement sévères. Mais, précisent nos confrères Britanniques, les nouveaux textes visent quiconque « fabrique, adapte, fournit ou offre de fournir (sic) quelque article que ce soit qui pourrait être susceptible de commettre ou de concourir un méfait [du genre hacking, modification non autorisée de données ou attaque en déni de service]. » Une fois de plus, la loi établit une confusion entre l’outil et l’usage de l’outil, et étend la culpabilité au diffuseur de l’outil. En osant une parabole fort inexacte, et si l’on étendait l’esprit des lois au secteur automobile, les constructeurs de voiture et équipementiers seraient tous fichés au grand banditisme pour meurtre aggravé, les concessionnaires automobiles auraient un casier digne de Mesrine, et les derniers cascadeurs finiraient leurs jours dans les geôles de Guantanamo. Dans toute démocratie, c’est la nature de l’acte qui définit l’accusation, et non l’intention de l’acte ou l’information relative à l’acte.

Bien sûr, il s’agit, tout comme c’est actuellement le cas en nos contrées, d’une loi légèrement liberticide (mais pas trop), entravant légèrement (mais pas trop) le travail des spécialistes et chercheurs en sécurité, et dont l’application la plus rigoureuses est laissée à la seule appréciation des juges. Bien sûr, il s’agit, tout comme c’est actuellement le cas en nos contrées, d’une loi strictement nationale, dont les rodomontades et les moulinets n’inquiètent pas particulièrement les industriels de la fabrication de malwares établis en Chine, en Russie, au Brésil. Bien sûr, il s’agit, tout comme c’est actuellement le cas en nos contrées, d’un texte qui favorisera grandement le travail des cyber-délinquants. En dissuadant, par excès de paperasseries et arguties juridiques, la pratique saine des tests de pénétration réguliers et des audits intrusifs. En opacifiant un peu plus les marchés « underground » sur lesquels l’on trouve kits de malwares et plateformes de « Piracy as a Service ».

A l’heure où nous rédigeons ces lignes, il n’existe pratiquement plus qu’un seul pays en Europe où la liberté de conduire et de publier des recherches n’attire pas systématiquement les foudres de la justice. Ce pays, défenderesse de la liberté d’expression depuis le Siècle des Lumières, terre d’accueil du THC, c’est la Hollande. Une contrée qui, depuis ces 5 dernières années, est l’un des centres de communication scientifique les plus prolifique qui soit dans le domaine de la recherche sécurité. Tant en termes de fuzzing appliqué au « safe programming », que de préservation de la vie privée ou de dénonciations des mauvaises pratiques institutionnelles (dans le secteur des RFID notamment). Peu étonnant donc que les principales entreprises de « managed services » et d’audits à distance y installent systématiquement leurs NOC.

http://www.cnis-mag.com/londres-ses-bobbies-ses-cameras-ses-lois-anti-pentest.html


[Bruno Kerouanton – 23/05/2008]

Ce billet est sans doute polémique. Je ne cherche pas à provoquer, mais il y a quand même des points sur lesquels j’ai des inquiétudes et qui méritent réflexion. Par coïncidence, la semaine dernière – une fois n’est pas coutume – je me suis retrouvé à regarder la télévision en pleine nuit, ne souhaitant pas dormir. Me voilà donc devant Arte à 1h30 du matin, face à une émission fort intéressante traitant avec force détails la raison pour laquelle peu de personnes même brillantes n’ont pas vu venir la seconde guerre mondiale, malgré ce que son instigateur avait pourtant marqué noir sur blanc. Tout était écrit… Mais vu que cet ouvrage est censuré dans de nombreux pays, difficile pour les historiens et les prospectivistes de faire correctement leur travail. De plus la veille j’avais vu l’excellent film La vie des autres, une histoire de la Stasi et de ses conséquences, ce qui a contribué à renforcer mon ressentiment.

La vision de ce documentaire ne m’a pas laissé indifférent, puisque je venais le soir même de prendre connaissance puis de lire en détail les différents appels d’offres de l’armée américaine concernant leur nouvel armageddon numérique, j’en parle plus loin. Je me risque en tout cas ici à faire un parallèle pouvant être discuté et critiqué : Le réarmement massif de Berlin en 1936 a laissé beaucoup de monde indifférent. Et pourtant de nombreux pays se réarment en ce moment – ce qui ne semble manifestement pas être le cas de la France, soit dit en passant. Tout comme la Chine qui connaît un accroissement phénoménal de ses forces armées depuis quelques années et qui inquiète sincèrement Washington depuis 2007, l’armée américaine continue à s’équiper en technologies de toutes nature.

Sur le plan qui m’intéresse plus particulièrement, à savoir la guerre numérique, les travaux de recherche et d’équipement vont bon train. Le Pentagone avait déjà créé en 2006 une branche de son armée de l’air spécialisée dans les combats numériques, le Cyber-Command, mais depuis peu les chantiers avancent à grand pas. Tiens, vous pouvez même directement aller zieuter leur site pour juger.

En tout cas, quatre évènement ont défrayé la chronique ces dernières semaines : La déclaration du secrétaire du Homeland Security Department au sujet du projet Cyber-Manhattan, un article paru dans la presse militaire faisant état du souhait de l’armée américaine de s’équiper d’un botnet militaire, un appel d’offres concernant l’étude et la mise en place d’une telle arme, et un second appel d’offres concernant la mise en place d’un simulateur de batailles numériques Internet. (suite…)


[C-Net – 7/03/2008]

Selon une étude américaine, la mémoire vive d’un PC retiendrait plusieurs minutes la clé de cryptage utilisé par des données protégées. Ce qui réduirait grandement l’efficacité de certains cryptages. Votre PC portable doté d’un système d’encryption des données est-il aussi sûr que son constructeur veut bien l’affirmer ?

Rien n’est moins certain selon une étude menée par des scientifiques américains de l’université de Princeton.

Comme l’a expliqué le professeur Edward Felten à la BBC, « il est largement répandu que lorsqu’on coupe le courant d’un ordinateur, les données en mémoire vive sont effacées ; or nous avons découvert que ce n’est pas le cas ». Et ce savant de mettre en cause le mode Hibernation de Windows et la robustesse des mémoires actuelles. « Nous avons compris que les clés de cryptage nécessaires à la lecture des données protégées sont toujours accessibles en mémoire après quelques secondes ou minutes d’inactivité ».

Soit un laps de temps largement suffisant pour un pirate pour accéder à ces clés et donc aux informations sensées être en lieu sûr. Une simple extinction-allumage rapide du portable suffirait pour un expert à extraire ces clés.

Sans aucun lien avec le fameux mode Hibernation, l’autre constat de cette étude est que plus la température est basse, plus les données vont rester longtemps en mémoire vive.

« Un portable refroidi à -50° va conserver des informations en mémoire près de 10 minutes » conclut-il.

Donc, si vous êtes à Vladivostok ou à Mouthe dans le Jura en plein hiver et que votre PC portable contient des données sensibles, restez sur vos gardes !

http://www.cnetfrance.fr/news/pc-peripheriques/un-chercheur-demontre-que-les-donnees-cryptees-d-un-pc-ne-sont-pas-si-protegees-39379362.htm 


[CNET September 7, 2007]
La semaine dernière, les visiteur du site Web de la Bank of India ont été détournés, sans même s’en rendre compte, vers un site pirate hébergeant des exploits nocifs. Que des criminels trafiquent les serveurs pour détourner les visiteurs d’un site légitime n’est pas nouveau, mais ce qui est surprenant c’est que de plus en plus de cybercriminels sont des personnes qui n’ont pas de grandes connaissances techniques.

La société Finjan, spécialisée dans la sécurité informatique, a identifié plus de 10 kits prêts à l’emploi, vendus sur Internet qui vous permettent de pirater des sites Web et piéger des utilisateurs . « Aujourd’hui, si vous voulez être un cybercriminel, explique Yuval Ben-Itzhak, directeur technique de Finjan, « il vous suffit d’acheter un kit auprès d’un hacker. Sans aucune connaissance technique ou d’expérience dans le domaine de la sécurité informatique, vous pouvez installer le kit sur un serveur Web et commencer à infecter les ordinateurs d’utilisateurs avec du code néfaste. Etant donné les opportunités de faire de l’argent que cela ouvre au cybercrime, nous verrons probablement un accroissement de ce genre d’activité, à la portée du premier internaute venu. »

http://reviews.cnet.com/4520-3513_7-6771187-1.html?tag=nl.e501


[C-NET – DEFCON – 10/08/07 – Trad. Grégoire Seither]
Malgré la petite taille de leur pays, les 1.4 millions d’Estoniens sont parmi la population la plus branchée au monde. Internet et les réseaux sont omniprésents dans la vie de tous les jours. Et c’est pour cela que, en mai dernier, des centaines de milliers de citoyens ordinaires se sont soudain retrouvés dans l’impossibilité de prendre de l’essence à la pompe, d’acheter du pain ou de payer leurs factures. Pourquoi ? A cause d’une gigantesque attaque par Deni de service (denial-of-service DoS) qui a paralysé les réseaux du pays pendant plusieurs jours. Une attaque que certains analystes en sécurité informatique attribuent à un différent nationaliste avec la Russie voisine.

Ce qui est effrayant dans cette histoire, c’est qu’il ne s’agissait que d’une petite attaque, menée par quelques centaines de hackers russes nationalistes. Gadi Evron, expert en sécurité qui a subi et analysé l’attaque de mai dernier en Estonie, est est intervenu à la conférence Black Hat et à DEFCON pour tenter de tirer des leçons de cette première cyberguerre du XXIè siècle.

http://reviews.cnet.com/4520-3513_7-6761400-1.html?tag=nl.e501


[IES News Service – GoogleWatch – 09/08/07]
Google s’était illustré en refusant de fournir aux services de sécurité des Etats-unis les logs de connexion et les données de recherche sur le Web de ses utilisateurs. Mais les services secrets n’ont pas besoin de l’autorisation de la direction de Google pour accéder aux logs, ils peuvent utiliser les nombreuses « portes de derrière » humaines qu’ils ont planté dans l’entreprise.

Lors d’un atelier consacré à la sécurité informatique qui s’est tenu à l’occasion de DEFCON, un certain B., prétendument chef de projet chez Google a affirmé que sa société comportait des « human backdoors« , des taupes recrutées par les services de renseignement des Etats-unis et qui permettent aux agents fédéraux d’accéder aux informations recherchées sur certaines personnes. (suite…)