War Ram - Avril 2014

2 849 vues

Publié le

Attention: pour profiter au maximum du contenu de la War R@m, un téléchargement est nécessaire. En effet, du fait de sa politique de partage, SlideShare bloque les liens des 3 premières pages.

War Ram est une lettre d’information mensuelle, consacrée aux thématiques de cyberdéfense et de cybersécurité, ainsi qu’aux infrastructures (OIV, data centers…) qui sous-tendent le cyberespace. Cette publication est également disponible en ligne via le Slide Share (War Ram).

Publié dans : Technologie
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
2 849
Sur SlideShare
0
Issues des intégrations
0
Intégrations
430
Actions
Partages
0
Téléchargements
33
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

War Ram - Avril 2014

  1. 1. A quoi ressemble un "hack"? A quoi ressemble un hack réussi? Cette lettre d’information s’est suffisamment moqué des stéréotypes hollywoodiens pour ne pas signaler quand une scène de piratage est réussie. Issue du film The Social Network, retraçant l’histoire du fondateur d’un célèbre réseau social, cet extrait montre le piratage des trombinoscopes de l’université par Mark Zuckeberg. La vidéo du mois « La guerre civile est le règne du crime » (Sertorius, Acte I). Dans cette pièce, la plus politique de Corneille, deux camps s’affrontent : celui de Pompée, défenseur de l’Etat et celui de Sertorius, général des armées rebelles. L’un représente l’ordre républicain, l’autre le désir de liberté. L’un agit par devoir, l’autre par idéal. Les deux hommes, s’ils se tiennent sur des rivages opposés, se vouent néanmoins une admiration mutuelle. Comment ne pas faire le parallèle avec l’actualité du cyberespace, qui semble étrangement coller à ce drame antique ? Entre les pro et les anti Snowden, partisans d’un Internet libre ou d’une gouvernance renforcée, les communautés du W eb s’entredéchirent, parfois aux dépens de tout sens critique. En parallèle, qu’on l’admette ou qu’on le cache, les crimes liés au cyberespace montent, inexorablement. Cette lettre d’information n’a pas pour ambition de dire quel camp choisir; son but est moins ambitieux. Avec cette RAM, nous souhaitons mettre à la portée de tous des informations objectives pour que chacun puisse bâtir sa propre opinion. Ainsi, dans notre veille mensuelle, nous nous pencherons principalement sur le cybercrime et son visage – les hommes, les méthodes, les circuits, sur l’usage de cyberarmes en Ukraine aussi, qui appelle à la prudence d’analyse, avant de conclure sur le développement de la gouvernance du Net. Parallèlement, nous avons la chance d’accueillir trois contributeurs de qualité que nous remercions chaleureusement :  CybelAngel pour les Experts, lauréat de la PME innovante au FIC 2014 et du concours Innovation 2030, catégorie Big Data  3C, dans la rubrique Out-Of-The-Box, qui esquisse pour nous le cadre juridique complexe du droit du cyberespace  @TomChop_, pour Pimp My Opsec, qui répond à nos questions sur le métier d’Incident Handler Chacun à sa façon, nos contributeurs nous offrent une vision moins opaque du cyberespace, afin de forger notre esprit critique. Pour une fois, oublions les camps : et comme Pompée et Sertorius, aspirons à discuter, comprendre, se former, dans un respect mutuel et sincère. Bonne lecture. L’E-DITO Sommaire Les gros titres THE WAR R@M L’Edito 360° Les Experts Out-of-the-Box Pimp my Opsec #DroitDuCyber #CybelAngel #Incident Response #Cybercrime #Uruboros #Digital Single Market • Retrouvez aussi nos publications sur notre Slideshare.net/ W arRam • Envie d’en savoir plus? Contactez-nous: redaction.warram@vistomail.com • Les contributeurs associés à ce numéro, pour leur contribution et leur soutien, visible ou invisible: @CybelAngel, @tomchop_, @SecuSystJuri, @lrcyber, @ncaproni, @Mduqn DE L’ESPRIT CRITIQUE FOLLOW THE W HITE RABBIT Avril 2014
  2. 2. Le nouveau visage du cybercrime Botnets: Commande à distance, Keyloggers, Spam & Download. Ex: Zeus/ Zbot ($700/ $3000 selon les versions), Butterfly ($900) Botnets simples: Fichiers exe. contenant un malware. Ex: Bredolab (min. $50) Remote Access Trojans (RAT): Attaques ciblées, contrôle de la webcam et captures d’écran à distance. Ex: Gh0st Rat, Poison Ivy ($250) Exploit Kits: Vente d’exploit permettant l’attaque de sites web. Ex: Gpack, Mpack, IcePack, Eleonor ($1K-$2K) Crypters, Packers, Binders: Vente d’outils permettant d’éviter la détection ($10-$100) Code Source: Mise à disposition gratuite et en ligne de code source de malwares afin d’en booster le développement. 360° 2 War R@M – Avril 2014 Conseil et mise en place de botnets ($350- $400) Infection/ Propagation de malwares (~$100/ 1,000 éléments installés) Spam: DDOS ($535 pour 5 heurs par jour/ sur une semaine), Spam ($40/ 20,000 mails), Spam de sites web ($2/ 30 posts) Assurance contre la Détection (Location d’outils de cryptage et de scans - $10 par mois) Services de mule ou de transfert de fonds (Commission de 25%) Casse de CAPTCHA: $1 pour 1000 CAPTCHA (la casse est réalisée par des êtres humains, payés $0,6/ 1000 C APTCHA) Le marché noir de la cybercriminalité mobile en Chine Un chercheur de Trend Micro s’est intéressé au marché noir de la cybercriminalité mobile. Détaillé et fourni, ce rapport fait le tour des logiciels malveillants vendus par les criminels et s’intéresse spécifiquement au marché chinois, qui semble en plein essor. Ref: "The Mobile Cybercriminal Underground Market in China", Trend Micro (2014) Fait rare, l’entreprise de sécurité Fortinet a rédigé un rapport non pas sur la cybercriminalité, mais sur les cybercriminels et les services/ outils qu’ils proposent. Cette publication, dont nous vous proposons un schéma récapitulatif ci-contre, se fonde sur des milliers d’offres parus sur des portails de cybercriminels pour en extraire la vision la plus objective possible. Car le cybercrime n’est pas l’apanage d’adolescents cloîtrés dans leurs sous-sols, mais bien le reflet d’une criminalité méthodique, organisée, qui se développe, investit, recrute et propose en sous-main des services allant d’actes de piratages graves à des actes moins répréhensibles (Black SEO, VPNs). Un rapport incontournable donc, qui évince les poncifs et vient en amont du récent rapport sur l’analyse macroéconomique du cybercrime réalisé par Rand Corporation. Réf: "Cybercriminals Today Mirror Legitimate Business Processes", Fortinet (Décembre 2013). "Markets for cybercrime Tools and Stolen Data: Hackers’ Bazaar« , Rand Corporation (Mars 2013) Operation Windigo: Linux touché L’information a fait le tour de la toile. Ces deux dernières années, un cheval de Troie du nom de W indigo a infecté près de 25,000 serveurs Unix/ Linux, les transformant en plateformes de spams massives. En outre, selon l’OS, W indigo peut être plus agressif, avec l’installation d’un malware supplémentaire (W indows) ou se contente de diffuser des publicités et pop-ups pornographiques. Ref: http:/ / www.welivesecurity.com/ wp- content/ uploads/ 2014/ 03/ operation_windigo.pdf Cybersécurité & Entreprises Le Dirigeant: Dirige et s’assure du bon développement de l’organisation, conçoit le business model et fixe le cap. Le Recruteur: Aide l’organisation à recruter les Petites Mains dans le cadre de campagnes massives. Le Développeur ou “Affiliate”: Aide le recruteur dans la création de programmes malicieux qui seront ensuite distribués aux Petites Mains. La Petite Main: Celui qui est réellement en charge de l’infection de masse et de la protection des réseaux cybercriminels. Souvent recruté par le biais de portails cybercriminels. Les Outils LesServices Comment le cybercrime utilise les données volées On s’est tous déjà posés la question de l’après-piratage : que peuvent bien devenir nos données une fois dérobées? Selon W ade W illiamson, de Shape Security, le volume piraté lors de brèches est généralement trop important pour que les cybercriminels à l’origine de l’attaque soient en mesure d’en exploiter les données. C’est à ce moment que la machine cybercriminelle se met en place. Les pirates vont vendre le gros de leurs données à un receleur qui vend ensuite ces dernières à des petits criminels ou d’autres organisations. S’il s’agit de données bancaires, celles obtenues récemment seront vendues très chères ($100) alors que de vieilles données, plus susceptibles d’être obsolètes, seront bradées. S’il s’agit d’identifiants de connexion, le prix de revente sera plus fluctuant. Ce dernier peut vite exploser si les identifiants donnent accès à plusieurs services et que le pirate a réussi à les lier ensemble. En revanche, une chose est certaine : les attaques ne sont souvent que le début d’actions de plus grande ampleur. D’où la nécessité d’être réactif et de prendre les mesures appropriées le plus rapidement possible. Inria découvre une faille dans le protocole TLS La nouvelle a fait l’effet d’un petit séisme (enfin, toute proportion gardée). Une équipe INRIA / Microsoft a découvert une faille de sécurité importante dans le protocole TLS, le principal mécanisme de sécurisation des communications sur Internet. Les experts ont pu démontrer qu’"un hacker déterminé pourrait usurper le certificat de sécurité via un serveur malicieux". Ce n’est ni la première, ni la dernière fois que des failles sont découvertes dans le protocole TLS. Cependant, les chercheurs sont inquiets et appellent à le refondre « en profondeur » afin de garantir la sécurité des particuliers et des entreprises. A noter, que la faille a été signalée six mois à l’avance et qu’une solution a donc d’ores et déjà été déployée. LesHommes L’ECONOMIE DU CYBERCRIME
  3. 3. 360° 3 War R@M – Avril 2014 Cyberdéfense La DARPA veut l’aide du secteur privé La DARPA veut l’aide du secteur privé pour booster ses capacités de cyberdéfense. Après Memex (cf. W ar Ram de mars), l’équivalent américain de la DGA (les moyens en plus) souhaite garder la main haute sur le cyberespace. L’agence est prête à investir 5 milliards de dollars pour recruter des talents et des professionnels du privé hautement qualifié. L’objectif assumé est de développer l’état de l’art du domaine et de produire de nouvelles cyberarmes. Mais l’appel d’offre ne s’arrête pas là: la DARPA veut aussi augmenter de façon significatif la résilience des réseaux IT et SCADA, et augmenter les défenses des réseaux militaires et des OIV américains. L’Agent.btz, le chaînon manquant entre Snake et Red October? Snake et Red October sont deux campagnes de cyberespionnage qui ont ciblé des infrastructures hautement sensibles et sécurisées en Europe. Là où Snake s’est appuyé sur le rootkit Uruboros pour mener à bien son travail, Red October aurait eu recours au malware Turla. Or des experts de Kaspersky Lab pensent avoir trouvé le chaînon manquant entre les deux: l’Agent.btz, un malware qui avait touché le Pentagone en 2008. Les chercheurs de Kaspersky ont retrouvé chez Snake comme chez Red October des éléments de l’Agent.btz tels que des logs en commun, des lignes de code similaires ou la présence suspecte du fichier Thumb.dd. Autant d’éléments qui suscitent la curiosité des experts, bien qu’à ce jour aucune corrélation avérée n’est possible entre les deux campagnes. La Syrian Electronic Army a-t-elle hacké le CENTCOM? La SEA aurait-elle encore frappé? Ceux qui se présentent volontiers comme hacktivistes (cf. W ar Ram de mars) prétendent avoir marqué un nouveau point avec le piratage du CENTCOM, le centre de commandement militaire central des Etats-Unis. Une information que ce dernier a formellement démentie. Pour étayer ses dires, la SEA a de son côté menacé de faire fuiter des documents classés Secret Défense. En attendant, le doute persiste et il est bien impossible de savoir si le site du CENTCOM a effectivement été compromis, malgré les captures d’écran mises en ligne par les partisans du régime de Damas. Le Japon muscle sa cyberdéfense avant les JO Après le Royaume-Uni avec ses banques, c’est au tour du pays du Soleil Levant d’avoir organisé un vaste crash test au niveau national. Le but de l’exercice était d’exposer les vulnérabilités du Japon en cas de cyberattaque, en amont des JO de Tokyo en 2020. Pour ce faire, le gouvernement Abe a engagé près de 50 cabinets spécialisés alors que plusieurs hackers étaient invités à pirater des sites gouvernementaux et y implémenter une vidéo Youtube comme signe de victoire. L’intention est noble, d’autant qu’elle fait appel à un public généralement peu choyé par les gouvernements. S’il y a fort à parier que les résultats ne seront pas divulgués, l’exercice a le mérite de prendre la mesure d’une éventuelle cyberattaque de grande ampleur. Les leaks de Rucyborg En Ukraine, les coups viennent de tous les côtés. En représailles à l’implication du Kremlin en Crimée et à Kiev, un hacker du nom de Rucyborg a piraté des données sensibles d’industriels de l’armement ainsi que des échanges de l’entreprise russe spécialisée en renseignement Search Inform. Les leaks, disponibles en ligne via le site CyberW arNews, sont volumineux (près de 500 dossiers auraient été téléchargés). Attention cependant : il semblerait qu’un cheval de Troie ait été découvert parmi les fichiers mis en ligne. Cette information jette un certain trouble sur les motivations exactes de Rucyborg. Ref: http:/ / www.cyberwarnews.info/ 201 4/ 03/ 12/ russian-intel-and-spy- company-searchinform-hacked-client- apps-access-leaked-by-rucyborg/ http:/ / www.cyberwarnews.info/ 201 4/ 03/ 06/ russian-defence-export- hacked-500mb-data-leaked-by- rucyborg/ L’Ukraine: le conflit s’étend au cyberespace La situation géopolitique en Crimée attire l’attention de tous les observateurs, et le monde de la cyberdéfense n’est pas en reste. Si on ne peut évidemment pas parler de cyberguerre, il est incontestable que le conflit s’est transposé sur le Net. Qu’il s’agisse de dissémination de malwares, d’attaques DDoS contre l’OTAN, d’actions de désinformation ou du fameux malware Uroboros/ Snake, la crise ukrainienne apporte de nombreux précédents… aux dépens des populations. Pour mieux aborder la situation sous l’angle géopolitique, la rédaction vous a fait une sélection de quelques articles de chercheurs, en français ou en anglais, à ne pas manquer: Daniel Ventre: http:/ / pro.01net.com/ editorial/ 616458 / la-dimension-cybernetique-de-la-crise- ukrainienne/ Yannick Harrel: http:/ / harrel- yannick.blogspot.fr/ 2014/ 03/ cyber- crimee.html Kevin Limonier: http:/ / villesfermees.hypotheses.org/ 243 Jeffrey Carr: http:/ / jeffreycarr.blogspot.fr/ 2014/ 03/ russian-cyber-warfare-capabilities-in.html
  4. 4. Big Data et sécurité informatique, un duo gagnant? L’idée n’est pas nouvelle mais fait son chemin. Les professionnels de la sécurité informatique envisagent de plus en plus d’investir dans le Big Data afin de croiser, recouper et obtenir la vision la plus complète possible d’une attaque. 360° 4 War R@M – Avril 2014 Politique Internet Commune L‘Europe doit se doter d’un marché unique européen du numérique. C’est à demi-mot les conclusions que tisse un rapport adressé au Parlement européen sur la situation économique des métiers liés à l’Internet. Cette absence serait, selon les rédacteurs, la raison pour laquelle l’Europe est à la traîne et qu’aucun géant de l’Internet européen n’a pu réellement émergé ces dernières années. Mais le rapport ne se contente pas d’enfoncer les portes ouvertes. Il revient également sur l’impact négatif des problèmes techniques, comme la connectivité ou le roaming entre Etats européens. En tout et pour tout, la publication définit 7 grandes recommandations:  Transposer le concept de libre circulation des marchandises au W eb  Explorer et s’inspirer de la conception des modèles d’e-gouvernements (ex: Estonie)  Développer le marché européen sur les questions de streaming et d’open data  Favoriser le concept de paiement par vue/ clic  Favoriser les solutions de cloud européen  Développer la cybersécurité, la neutralité du net et la protection des données personnelles tout en favorisant le développement des objets connectés  Protéger la vie privée en ligne face aux évolutions diverses. Full Disclosure List, c’est fini Full Disclosure Security List, ça vous parle? La newsletter, créée en 2002, diffusait régulièrement des informations de sécurité et pratiquait le Full Disclosure ou le Responsible Disclosure (cf. W ar Ram de janvier) fréquemment. Mais après une décennie d’existence, l’aventure a fait long feu. Poursuivi par un des membres de la communauté, les responsables de Full Disclosure ont décidé d’arrêter les frais. Amers, ils estiment que la « communauté des hackers n’existe plus ». Les Etats-Unis lâchent du lest sur l’ICAAN Les temps changent-ils? Après les ravages de l’affaire Snowden sur leur réputation, les Etats-Unis semblent vouloir se racheter une virginité. Cette opération de reconquête d’Internet et de ses acteurs passeraient par une émancipation de l’Icaan, la fameuse organisation internationale qui détient (littéralement) les clefs d’Internet. Jusque-là sous contrôle américain, le contrat avec l’Icaan et le gouvernement américain expirera en 2015 et ne sera pas renouvelé… au profit d’un « nouveau modèle de gouvernance mondiale ». Une bonne nouvelle bien que le modèle de gouvernance internationale fait déjà débat, au regard des échecs répétés essuyés ces dernières années par des grandes organisations internationales comme l’ONU. Le réseau américain, colosse aux pieds d’argile Un rapport gouvernemental américain a récemment sonné l’alarme sur la vulnérabilité du réseau aux attaques « physiques », ciblant principalement ses infrastructures. Peu repris, la publication estime pourtant qu’il suffirait de mettre à bas 9 centrales électriques pour perturber durablement (au moins 18 mois) le réseau électrique et l’Internet américain : un gouffre financier. Or, une information, diffusée dans le W all Street Journal, et très peu médiatisée au niveau national comme international, fait grincer des dents à la Maison Blanche. En février, un commando aurait tenté de mettre à bas une centrale électrique, en ciblant à l’aide de fusils sniper des points névralgiques de la structure. W ashington craint désormais des attaques terroristes d’un nouveau genre, visant à plonger les Etats-Unis dans le « black out ». Cyberculture Thibault Reuille est un chercheur en cybersécurité à OpenDNS et est par ailleurs amateur de data vizualisation. Ici, le chercheur nous offre un graphique, baptisé Dandelion (Pissenlit), qui représente comment des domaines malicieux (en rose) sont rattachés à un nombre restreint d’IP (en jaune). Pour plus de data vizualisation mélangeant cybersécurité et graphique, n’hésitez pas à visiter son tumblr : thibaultreuille.tumblr.com
  5. 5. CYBELANGEL: “LA SECURITE ABSOLUE N’EXISTE PAS” En quelques mots, pouvez-vous nous présenter CybelAngel ? Pourquoi ce nom, d’ailleurs ? Cybèle est la gardienne des savoirs dans la mythologie grecque. C’était notamment la gardienne des clefs. Et Angel car on garde un œil ouvert pour protéger au mieux nos clients. Que fait-on ? Nous partons du principe que les attaquants arrivent toujours à trouver une porte d'accès dans une société. A partir de là, ils vont exfiltrer des informations et les publier. Parfois ce sont des données très importantes, et le client doit être prévenu aussi vite que possible pour pouvoir réagir. Parfois, les données qu'ils trouvent ne sont pas sensibles en soi, mais elles sont déjà signe qu'il y a une faille, un premier accès dans le système d'information du client, dont des pirates pourraient tirer profit pour de futures intrusions plus graves. Bref, il faut écouter les attaquants potentiels, "connaître son ennemi pour mieux se protéger." Concrètement on a développé un algorithme qui va crawler à très haute fréquence des sous-parties du net qui servent d’échanges, de publications ou de revendications des attaquants. Bien sûr, nous ne faisons aucune intrusion et ne scannons que des parties publiques et ouvertes du net. Enfin, une fois ces informations détectées (préparations d’attaques, échanges sur des vulnérabilités, attaques réalisées ou échanges / publications de données volées) on prévient nos clients en moins de 24h. (Suite p.6) 5 War R@M – Avril 2014 Tout d’abord, félicitations pour votre victoire au FIC 2014 cette année ! Que ressentez- vous suite à cette récompense méritée ? Avez-vous le sentiment d’avoir bénéficié d’une prise de conscience générale dans l’industrie ? Tout d’abord merci ! C’est grâce à des medias comme le vôtre que les états d’esprits changent. Nous avons eu l’idée du crawling haute-fréquence du web il y a 2 ans et demi. A l’époque on rencontrait des responsables de la sécurité informatique pour la première fois qui nous expliquaient que s’ils perdaient une base de donnée client ou des documents « ce ne serait pas un drame » et « ça ne coûterait pas si cher que cela ». Avec le temps, nous avons compris qu'il fallait une démarche plus pédagogique que technique. Nous allons voir les clients avec des exemples concrets de documents très sensibles leur appartenant qui sont disponibles en accès libre ou rendus publics par les pirates. Les démarches d’explications à l’attention des dirigeants des grandes entreprises du CAC40 de l’ANSSI ou d’autres organismes a fait beaucoup de bien. Expliquer notamment que la sécurité absolue n’existe pas dans ce domaine contrairement à ce que vendent parfois les sociétés traditionnelles de sécurité informatique est très sain. Puis il faut bien avouer que Snowden est aussi un excellent pédagogue. LES EXPERTS W ar R@m est allée à la rencontre de CybelAngel, entreprise de cybersécurité qui cartonne grâce à ses solutions de Data Loss Detection. Erwan Keraudy, le porte-parole de l’entreprise, a accepté de répondre à nos questions. « Contrairement à ce que vendent parfois les sociétés traditionnelles de sécurité informatique, la sécurité absolue n’existe pas. » Ces deux dernières années, les pertes de données, qu’elles soient d’origine criminelle ou accidentelle, ont explosé et font les gros titres des médias. Au-delà de la perte d’image, les frais engrangés et les factures dépensées en analyse des dégâts et compensation des usagers se sont parfois comptés en centaines de millions.
  6. 6. 6 War R@M – Avril 2014 Concrètement, comment votre algorithme réussit à ne rien manquer des informations sensibles ? Je suppose que derrière l’aspect technique, il y a un énorme travail de sourcing, d’autant plus que les plateformes d’échanges entre pirates doivent apparaître constamment. Sur les canaux les plus utilisés par les pirates, nous avons toujours récupéré les informations. Maintenant, le problème est qu'il y a de nouveaux canaux qui apparaissent très régulièrement et qu'il faut être capable de les suivre. Je vais essayer de répondre sans trop en révéler sur le fonctionnement de notre technologie, mais grosso modo nous avons d'un côté une intelligence artificielle qui identifie de nouvelles sources potentielles, de l'autre un pôle d'analyse qui cherche lui-même de nouvelles sources. SUITE ARTICLE P.5 L’analogie de l’iceberg est fréquemment utilisée pour décrire les différentes couches de W eb. Contrairement au W eb visible, référencé par les moteurs de recherche, le W eb invisible et autres Dark Net(s) contiennent près de 550 fois plus de données que le W eb classique. Cette partie « immergée » du W eb est aussi très difficile à crawler. L’outil de CybelAngel est donc une belle réussite technique! CybelAngel est une PME de cybersécurité basée en France. Vous souhaitez les contacter? N’hésitez pas à visiter leur site: www.cybelangel.com « Notre outil couvre à la fois le web invisible, le dark web et le deep web : tout cela est très complémentaire » « En cybersécurité, la vitesse est l’élément déterminant et CybelAngel est vraiment pensée pour offrir un temps de réponse aussi court que possible. » Le mot de la fin : comment voyez-vous vôtre avenir dans les années à venir ? Est-ce que vous pensez lorgner du côté du Reverse Engineering ou du Data Loss Prevention (DLP) ? On fait déjà beaucoup de DLP, en avertissant les entreprises lorsqu'elles sont visées par des menaces concrètes. Surtout, ces exemples peuvent aider les DSI et le management à donner à la sécurité informatique le budget qu'elle mérite. Nos projets sont nombreux, répondent souvent à la demande des clients, dans la prévention « intelligente » contre le social engineering ou des contre- mesures contre l’intelligence économique par exemple. Mais notre spécialité est de scruter le dark web et le deep web. On a encore beaucoup de choses à faire dans ce domaine, on veut le faire bien. 2013 a été l’année où le cybercrime a explosé dans les média . Dans le cadre de ces cyberaffaires, quel est selon vous l’élément déterminant d’une politique de réponse à une attaque / perte de données ? La vitesse ? En effet, je pense que la vitesse est l’élément déterminant et CybelAngel est vraiment pensée pour offrir un temps de réponse aussi court que possible. Cependant, avant de penser à éviter rapidement une menace, il faut déjà avoir conscience de la menace. En discutant avec des décideurs on trouvait encore certains d’entres eux dans le déni. A présent les mentalités changent et les politiques de sécurité évoluent. Grâce au travail de mise en garde de l’ANSSI notamment qui semble partager ses expériences avec les grandes sociétés françaises. Mais aussi grâce aux départements sécurité / sûreté des entreprises qui communiquent leur culture « sécu » aux DSI par exemple. Certaines sources se créent, d’autres se font fermer… on suit cela minute après minute et on s’adapte. Nous avons fais notre devise de cette citation de Darwin « Ce ne sont pas les espèces les plus fortes ou les plus intelligentes qui survivent. Ce sont celles qui s’adaptent le plus vite à un changement d’environnement. » Est-ce que vôtre plateforme couvre uniquement le W eb visible ou elle s’attaque aussi à des pans du W eb invisible (forums, base de données…) ? Il couvre les deux, le web visible et une partie du web invisible ou encore le dark web et le deep web si on veut reprendre des termes plus « marketeux ». Et tout cela est très complémentaire. C’est la force de l’outil que nous avons développé.
  7. 7. 7 War R@M – Avril 2014 Cette infraction a été créée par la loi Godfrain du 5 janvier 1988 (1) sur la fraude informatique modifiée par la loi de 2004 sur la confiance dans l’économie numérique (2) qui a principalement augmenté les peines. Quatre comportements sont précisément punis : • l’installation de programmes espions (Sniffer) ou l’administration à distance frauduleuse du poste ; • fausser le fonctionnement d’un STAD, une messagerie électronique, par exemple. • modifier les données d’un STAD comme une offre commerciale publiée sur Internet ; • posséder un logiciel malveillant. Toujours dans registre du pénal, il existe les infractions de la cybercriminalité qui concernent l'ensemble des infractions pénales commises via les réseaux informatiques, notamment, sur le réseau Internet. Ce terme désigne à la fois les atteintes aux biens (ex: fraude à la carte bleue sur Internet sans le consentement de son titulaire) et les atteintes aux personnes (diffusion d'images pédophiles, de méthodes pour se suicider, de recettes d'explosifs ou d'injures à caractère racial, etc.). (Suite p.6) DURA LEX, CYBER LEXOUT-OF-THE-BOX Nul n’est censé ignorer… que le cyberespace comporte, outre des caractéristiques techniques complexes, des aspects juridiques délicats. L’ambition de ce court article est de présenter et d’esquisser les contours de cette vaste matière qu’est le droit du cyber. Définition La définition du concept de cyber n’étant elle-même pas arrêtée et source de débats doctrinaux, il serait prétentieux d’affirmer que celle du droit le concernant soit clairement définie, d’autant plus, que foncièrement, le droit du cyber n’existe pas ! En effet, actuellement, il est seulement possible de dire que le droit du cyber ou droit de la sécurité des systèmes d’information (SSI) s’exprime au travers des autres droits. Tel un patchwork, il est composé de l’agrégation des dispositions juridiques issues d’autres droits comme le droit pénal, le droit de la défense ou encore le droit des postes et télécommunications. Le droit du cyber n’a donc pas de corpus juridique dédié. Toutefois, il est quand même possible de circonscrire son périmètre. Le droit du cyber concerne, d’une part et de façon stricte, la protection du système d’information en tant que tel et les réseaux ainsi que, d’autre part et plus largement, la protection des informations et leurs qualités intrinsèques qui circulent sur de tels systèmes. Ainsi, le droit du cyber protège le contenant et le contenu à savoir le flux et les machines du cyber. Champ d’application Les aspects juridiques du droit du cyber sont divers et variés, il est donc difficile de dresser un panorama exhaustif du droit du cyber. Le droit pénal a appréhendé assez tôt le droit du cyber avec notamment la répression de la fraude informatique ou plus précisément l’intrusion frauduleuse dans un système de traitement automatisé de données (STAD). Le droit du cyberespace est un véritable patchwork législatif qui se nourrit de différents autres droits (pénal, civil). C’est pourquoi notre contributrice 3C nous propose de mettre de l’ordre dans ce labyrinthe juridique. Extrait de la Loi n°88-19 du 5 janvier 1988, l’un des fondements juridiques du droit du cyber..
  8. 8. 8 War R@M – Avril 2014 SUITE ARTICLE P.7 Autant pour la fraude informatique que pour la cybercriminalité, les atteintes au biens ou aux personnes cités précédemment peuvent être punis d'une peine d'emprisonnement assortie d'une amende. Dans d’autres registres, le droit du cyber incorpore ainsi différentes juridictions, issues de plusieurs droits différents. Premièrement, l’efficacité du droit se mesurant à son pouvoir contraignant et donc aux sanctions qu’il impose, force est de constater que concernant le droit du cyber, les sanctions sont légères et la jurisprudence faible. L’exemple phare est la dernière sanction que la CNIL a imposé à Google une amende de 150,000 euros (ndlr: le 3 janvier 2014, la formation restreinte de la CNIL a prononcé une sanction pécuniaire à la société GOOGLE Inc.) en raison de la non-conformité des traitements des données collectées par W ifi dans le cadre notamment des services Google Maps, Street View et Latitude alors que Google a réalisé presque 15 milliards de dollars de chiffre d’affaires au troisième trimestre de 2013 . En ce qui concerne le cyberespace, le droit tâtonne et cherche le juste équilibre relatif à la bonne proportionnalité des sanctions à mettre en place. Deuxièmement, le droit du cyber réglemente une matière innovante et mouvante. Ainsi, par exemple, le concept du cloud computing ne fait pour le moment l’objet d’aucune formalisation juridique. Sur le plan du droit, il demeure bel et bien virtuel. Or, le principal enjeu lié au développement du cloud concerne la protection des données personnelles et, plus largement, des données de toutes sortes, dès lors qu’elles sont stockées dans le « nuage ». Les questions du droit applicable et de la juridiction compétente, qui sont classiques en cas de conflit de lois n’en sont que plus complexes. Et il en est de même pour le big data, le BYOD, le bitcoin, etc. Enfin, le droit du cyber touche une matière technique dont les développements sont peu maîtrisés par les professions judiciaires. Au final, la construction du droit d cyberespace se heurte au fait que la matière cyber qu’elle réglemente est elle- même difficile à appréhender. Toutefois, ce constat n’est pas alarmant car le droit a ceci de formidable qu’il est garant à la fois de permanence et d’adaptabilité. Certes, il est utile de créer des nouveaux outils juridiques tels la nouvelle loi de programmation militaire (3) mais il est également important de se rattacher aux principes classiques du droit tels la punition du vol qui dans son principe reste les mêmes sur Internet que sur l’étal du marché. Par 3C, @SecuSystJuri http:/ / securitedessystemesjuridiques.blogspot.fr/ Limites du droit du cyber 1. Loi 1988 sur la fraude informatiquen°88-19 du 5 janvier . 2. Loi n°2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique. 3. Loi n° 2013-1168 du 18 décembre 2013 relative à la programmation militaire pour les années 2014 à 2019 et portant diverses dispositions concernant la défense et la sécurité nationale. La cybersurveillance des salariés, etc. La protection des œuvres intellectuelles sur Internet via le dispositif HADOPI Articles L331-12 à L331 -37 du code de la propriété intellectuelle. L’hébergement des données de santé est soumis à une procédure d’agrément des hébergeurs(1.) qui vise à garantir la sécurité et la confidentialité de ces données (2.) 1. Loi n°2002-303 du 4 mars 2002 relative aux droits des malades et à la qualité du système de santé. 2. Article 226 -13 du Code Pénal La protection des données à caractère personnel Loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers aux libertés. Le droit du cyber, un véritable patchwork juridique
  9. 9. THOMAS CHOPITEA: "LA MÉDIATISATION DES CYBERATTAQUES A SES AVANTAGES ET SES INCONVÉNIENTS" 9 War R@M – Avril 2014 PIMP MY OPSEC Fin 2013, tu intervenais à Botconf pour présenter Malcom, un outil créé par tes soins qui permet d’identifier rapidement les faiblesses des botnets. Quel retour fais-tu de cette expérience ? Botconf est une conférence sur la sécurité informatique avec un focus particulier sur les botnets. De mon point de vue, ce fut une expérience géniale ! C'est peut-être du au fait que je présentais, mais le fait de se retrouver en petits nombres favorisait beaucoup les échanges, nombreux et de qualité, En parlant aux autres chercheurs, on se rend compte qu'on est souvent confrontés aux mêmes problèmes et qu'on travaille tous sur la même chose. Tant de jus de cerveau gaspillé à trouver les mêmes solutions ! C'est pour ça qu'il est indispensable qu'on ne reste pas tous dans notre coin ; il faut que les équipes de gestion d'incidents partagent leurs retours d'expérience et leurs méthodes - ce qui n'est pas toujours évident. Le partage efficace d'information de menaces est d'ailleurs un point clé de Malcom. L'idée de base est de pouvoir répondre instantanément aux questions du genre "est-ce que quelqu'un a déjà vu ce nom de domaine, et est-il malveillant ?". Lorsque nous analysons un malware, il est indispensable pour nous d'arriver à savoir s'il s'agit d'une attaque ciblée ou non. Voir comment et avec qui le malware communique peut aider à répondre à cette question. Le but est aussi d'y arriver le plus rapidement possible afin de nous faire gagner du temps que nous pourrons allouer aux incidents qui demandent plus d'attention. Question pratique. De ton point de vue d’Incident Handler, quel a été le cas d’"attaque" le plus marquant, et pourquoi ? Je dois avouer que j'ai un faible pour Stuxnet. Découvert il y a maintenant quatre ans (j'étais encore naïf à cette époque !), sa sophistication et surtout le mal que se sont donnés ses concepteurs pour arriver à leur but est, à mon avis sans égal. Il montre clairement que si l'adversaire en a les capacités (techniques, financières, temporelles), il sera toujours en mesure de poser une vraie menace contre pratiquement tout système informatisé. (Suite p.10) Il y a plusieurs mois, tu donnais une interview très éclairante à Nicolas Caproni, du blog Cyber Sécurité, sur le métier d’Incident Handler. Pourrais-tu rapidement revenir sur la nature de celui-ci ? Existe-t-il une communauté française des Incident Handler ? Comme son nom l'indique, l’IH pour incident handler (il n'existe pas de traduction française qui tienne vraiment la route) va devoir gérer au jour -le- jour les incidents liés à la sécurité du SI de l'organisation dont il est chargé. Concrètement, la gestion d'un incident se décline en plusieurs phases, de la préparation jusqu'au bilan de leçons tirées de l'incident (un exercice indispensable auquel beaucoup d'équipes n'accordent pas l'attention qu'il mérite). L’IH doit avoir plusieurs casquettes - une casquette managériale pour tout ce qui est coordination des équipes et remontée d'informations, mais il doit aussi avoir un très bon niveau technique pour comprendre la nature de l'incident. Dans le monde anglo-saxon, on se réfère au métier sous l'acronyme "DFIR" - Digital Forensics and Incident Response, ce qui à mon avis montre bien que le métier a (au moins!) deux facettes. Les incident handlers font partie de CSIRT "Computer Security Incident Response Team" (les CERT, "Computer Emergency Response Team" sont un sous-ensemble des CSIRT). Ce sont souvent des équipes de taille réduite, hautement spécialisées dans divers aspects du DFIR - spécialistes forensics, analystes de malware, rétro-ingénieurs, etc. Le CERT Société Générale est aussi confronté aux problématiques du monde bancaire (phishings, arnaques sur internet, etc.), qui ne sont pas forcément les mêmes que celles d'autres organisations. Comme pour tout métier, il existe une communauté "DFIR" en France, qui se confond parfois avec celle des chercheurs en SSI. La différence par rapport aux autres communautés est que nous ne sommes pas très nombreux ! Ceci favorise les rencontres et les échanges, souvent lors de conférences en France ou en Europe. Face à l’explosion des brèches de sécurité en 2013, W ar R@m a décidé de revenir sur un métier qui est en première ligne: celui d’"incident handler". Thomas Chopitea, un membre de la CERT Société Générale, revient sur ce métier passionnant.
  10. 10. Appel à contributeurs Cette newsletter mensuelle s’adresse à une communauté ciblée et se construit sur un modèle collaboratif, s’inspirant d’une démarche open source dans le souci d’un partage de connaissances. De fait, elle vit et s’enrichit de ses contributeurs, pour la plupart des experts dans leurs domaines respectifs, et de fait nous sommes toujours à la recherche de contributions diverses. Si publier par notre biais vous intéresse, n’hésitez pas à nous à contacter pour en discuter plus en détails. Cordialement, La Rédaction War R@M vous est proposée le dernier vendredi de chaque mois et est disponible en ligne. C’est une publication libre, vous pouvez donc la partager sans réserves, à condition de respecter la propriété intellectuelle des personnes qui y publient. Vous pouvez aussi suivre notre actualité et bénéficier de nos ressources en ligne par le biais de notre compte Slide Share : http://fr.slideshare.net/WarRam War R@m – Avril 2014 SUITE ARTICLE P.9 Le mot de la fin : comment vois-tu l’évolution du métier ? Penses-tu qu’avec l’explosion des cyberattaques, celui est amené à se développer en France ou en ailleurs ? Le métier va sans doute se développer davantage en France et aussi ailleurs. L'explosion des cyberattaques entraîne une médiatisation qui a ses avantages et ses inconvénients. Un des avantages est qu'on a maintenant beaucoup plus de cas réels sur lesquels s'appuyer lorsqu'on donne des conseils ou qu'on fait des préconisations, et même lors de l'analyse d'incidents. On dispose aussi de plus d'informations sur lesquelles travailler lorsqu'il s'agit d'établir des marqueurs d'intrusion ("Indicators of Compromise"). La population générale est plus exposée à ces informations, et j'ose espérer que plus de gens s'y intéresseront ; intéressant, car nous sommes aujourd'hui en sous-effectif ! L'inconvénient est que l'industrie va se "marketiser". C'est à mon avis Mandiant qui a donné le coup de départ avec son fameux rapport sur APT1, qui a été maintes fois critiqué pour son manque d'objectivité analytique. L'usage constant de buzzwords (qui n'ont souvent aucun sens) et la militarisation excessive des termes utilisés dans ce genre de rapports n'ajoutent à mon avis que de l'obscurité et n'aident pas à mieux appréhender les faits - l'attention est ainsi détourné de l'analyse pour se concentrer sur l'analyste. Ce qui est sûr en tout cas, c'est que notre métier ne sera pas le même dans deux ans et qu’il est encore temps de nous rejoindre. Quel est le rôle de l’Incident Handler quand la forêt a déjà brûlé, c’est-à-dire que l’attaque a eu un impact conséquent ? (Adobe, Target). Que préconises-tu pour éviter que le feu ne reprenne ? La forêt ne brule jamais en entier ! Elle peut être dans un sale état, mais notre rôle est toujours d'éteindre le feu, de voir comment il a commencé, de déterminer tout ce qui a été brûlé. La compréhension du "pourquoi/ comment" est très importante, car elle définira les solutions qui seront établies pour que l'incident ne se reproduise pas. C'est l'étape de "lessons learned", ou post- mortem, dont je parlais précédemment. Prenons un exemple grossier : si une base de données a été exfiltrée grâce à une vulnérabilité connue dans un CMS, il ne suffit pas de la patcher pour que l'intrusion ne se reproduise plus. Il faut comprendre pourquoi elle ne l'a pas été, et s'assurer que toutes les futures mises à jour seront appliquées le plus vite possible. Il y a un fort travail à fournir en aval, et les solutions trouvées dépendront fortement de la nature de l'incident et de l'attaquant. Target, par exemple, s'efforcera peut-être de comprendre pourquoi l'alerte remontée par la solution de sécurité qu'ils avaient mis en place n'a pas été traitée - s'ils font un bon post-mortem, ils mettront en place des mécanismes pour s'assurer que toutes les alertes sont traitées en temps et en heure. Stuxnet arrivait effectivement a "sauter" des "air gaps" (on nous dit toujours que les systèmes déconnectés d'Internet sont les moins vulnérables), et aussi avoir des répercussions dans le réel (en sabotant des centrifugeuses nucléaires). L’article de W ired à ce sujet ainsi que la conférence Ted de Ralph Langner se dégustent vraiment comme une nouvelle ou un film. La rétro-ingénierie de Stuxnet a dû être quelque chose de réellement passionnant ! Les menaces étatiques sont souvent les plus créatives et sophistiquées. Les divers documents publiés sur la NSA nous montrent aussi à quel point la créativité est importante lors le l'invention de nouvelles méthodes d’attaques. La sophistication technique est une sorte de créativité, mais elle n'est pas la seule - la collecte massive de méta-données pour avoir accès à un réseau X ou Y est, elle aussi, surprenante par sa simplicité et efficacité. Tu compares fréquemment le métier d’IH à celui de pompier du Net : est-ce que cela inclut également des solutions de prévention avant que le feu ne prenne (solutions utiles SIEM pour le monitoring, autre) ? Bien sur ! Une partie du métier d'IH est de faire de la R&D et de la veille (encore d'autres casquettes) - c'est aussi une des raisons pourquoi il doit être bon techniquement. La R&D sert notamment a développer des outils qui nous permettront d'être plus efficaces lors de nos investigations, de corréler plusieurs attaques, de classifier et d'analyser du malware. Par ailleurs, nous gardons un oeil sur internet (manuellement ou de manière automatisée avec des outils développés maison) à la recherche de nouvelles vulnérabilités ou autres informations nous concernant. Extrait du Code de Stuxnet

×