Do you want to play a game?
Film culte, W ar Games met en scène un jeune
hacker qui sans le vouloir se met à "jouer" avec ...
360°
War Ram - Eté 2014
Cybersécurité & Entreprises
Des hackers indépendants ont réussi à
casser l’anonymat sur Tor
TOR es...
360°
War Ram - Eté 2014
Kenya: pourquoi le pays peut être
victime d’une cyberattaque
Evans Kahuthu, un expert en
cybersécu...
Facebook sommé de s’expliquer
L’expérience menée par Facebook en 2012 et révélée
en 2014, visant à manipuler les flux d’ac...
NICOLAS CAPRONI "ON NE PARLE PAS
D’UNE MÊME FAÇON À UNE PME OU À
UN OIV"
War Ram - Eté 2014
1) Le rapport Marc Robert est ...
War Ram - Eté 2014
3) Pour poursuivre sur la voie des CERTs,
pourquoi ce rôle n’est pas tenu par l’ANSSI?
Au début, je pen...
War Ram - Eté 2014
Le Patriot Act permet aux agences de
sécurité américaines(FBI, NSA,...)
d'accéder aux données stockées ...
War Ram - Eté 2014
SUITE ARTICLE P.7
2 – Les replis « cybernationalistes »
et la souveraineté numérique
Le concept de « Cl...
War Ram - Eté 2014
Les multiples affaires Snowden ont étonné.
Pourtant le cas français est à la limite du
racolage passif....
LA LONGUE DESCENTE AUX ENFERS DE
TOR
War Ram - Eté 2014
PIMP MY OPSEC
Par exemple, on a beaucoup fait état
du programme XK...
Appel à contributeurs
Cette newsletter mensuelle s’adresse à une
communauté ciblée et se construit sur un
modèle collabora...
Prochain SlideShare
Chargement dans…5
×

War Ram - Cyberespace et cybersecurite - Juillet Aout 2014

1 655 vues

Publié le

Au programme de la lettre d'information sur la cybersecurite et la cyberdefense, on retrouve:
- Une interview sur le rapport Marc Robert contre la cybercriminalite
- Une tribune libre sur la securite des ambassades
- Un article sur le cloud souverain et Cloudwatt
- Un article sur l'anonymat de TOR

Publié dans : Technologie
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
1 655
Sur SlideShare
0
Issues des intégrations
0
Intégrations
207
Actions
Partages
0
Téléchargements
34
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

War Ram - Cyberespace et cybersecurite - Juillet Aout 2014

  1. 1. Do you want to play a game? Film culte, W ar Games met en scène un jeune hacker qui sans le vouloir se met à "jouer" avec un ordinateur surpuissant contrôlant les missiles nucléaires. La scène finale montre comment l’ordinateur, JOSHUA, est en passe de lancer une attaque nucléaire… et comment les personnages réussissent à l’en empêcher! La vidéo du mois “Le vieux monde se meurt, le nouveau est lent à apparaître, et c’est dans ce clair obscur que surgissent les monstres.” Gramsci. C’est l’été, et avec celui-ci vient la fin d’une saison. Pour l’occasion, la W ar Ram vous propose une double édition spéciale "été" qui fusionne le mois de juillet et d’août. L’occasion de revenir sur une aventure qui a regroupé plusieurs collaborateurs d’horizons divers. Bien que nous déplorons encore le faible nombre de "hackers" au sein du groupe, la "Ram" a quand même réussi à rassembler un nombre important de profils divers: industriels, journalistes, chercheurs en cybersécurité, en mathématiques, militaires... L’objectif reste le même: fédérer au sein d’une même lettre d’information "grand public" une communauté de professionnels français du cyberespace. La chose est plus facile à dire qu’à faire, tant les obstacles sont grands et les volontés fébriles. Mais il faut persister, persévérer, car unir les forces vives françaises reste une nécessité à l’heure où les pensées stratégique et tactique se doivent d’être renforcées. Au sommaire: - Une interview éclairante de Nicolas Caproni sur le rapport Marc Robert - Un article de Thierry Berthier sur CloudW att et le Cloud souverain - Une tribune libre d’un contributeur anonyme qui dénonce sans concessions les pratiques de certains ministères en matière de cybersécurité - Un article de Stéphane Leroy sur TOR et l’anonymat Et bien sûr, l’habituel veille sur la cyberdéfense, la cybersécurité et les questions afférentes. Puissiez-vous profiter sans soucis de cette période estivale, et que cette RAM vous donne la possibilité de garder un œil sur le cyber du bout de votre terrasse! L’E-DITO Sommaire Les gros titres THE WAR R@M L’Edito 360° Les Experts Out-of-the-Box Pimp my Opsec #Marc Robert #CloudWatt #TOR #Ambassade #CrouchingYeti #DragonFly • Retrouvez aussi nos publications sur nos plateformes: blogwarram.tumblr.com et Slideshare.net/ W arRam • Envie d’en savoir plus? Contactez-nous: redaction.warram@aol.com • Les contributeurs associés à ce numéro, pour leur contribution et leur soutien, visible ou invisible: @ncaproni, Thierry Berthier, @0X0ff.info, @lrcyber, @Mduqn UN AUTRE MONDE FOLLOW THE W HITE RABBIT War Ram – Eté 2014
  2. 2. 360° War Ram - Eté 2014 Cybersécurité & Entreprises Des hackers indépendants ont réussi à casser l’anonymat sur Tor TOR est-il cassé? Apparemment oui (voir p.9). Des hackers indépendants prétendent avoir trouvé des solutions techniques pour défaire l’anonymat du réseau. Alexander Volynkin et Michael McCord, les deux experts à l’origine de cette trouvaille, devaient présenter leurs méthodes lors du Black Hat 2014, au cours d’une conférence intitulée "Vous n’avez pas besoin d’être la NSA pour briser TOR" (la conférence a été finalement annulée). Si les forces de l’ordre doivent déjà se réjouir à l’idée d’une solution clef en main contre les cybercriminels de tout genre, les défenseurs de la vie privée risquent de faire grise mine. L’intérêt de TOR comme instrument anti-censure reste entier. La cyberattaque sur le fond de pension n’était qu’un simple scénario Pour une fois, la réalité n’avait pas dépassé la fiction. Un exercice de BAE Systems impliquant une cyberattaque supposée sur un fond de pension a été finalement démentie. Il ne s’agissait que d’un exercice, mené dans le cadre d’une campagne plutôt iconoclaste. L’"information" était partie du Rogue Code, un livre de Mark Russinovich. Les cybercriminels, aussi puissants que els Etats? Les cybercriminels seraient-ils devenus aussi puissants que les Etats? C’est en tout cas ce que veut nous faire croire McAfee dans son rapport, citant un responsable du renseignement européen. L’hypothèse est parfaitement plausible: le marché de la cybercriminalité pèse 400 milliards de dollars par an, et la puissance de groupes criminels a déjà dans le passé atteint des niveaux colossaux (on pense aux narcotrafiquants sud-américains ou à la mafia italienne, par exemple). Mais la puissance a toujours été une notion relative (plus puissant par rapport à un Etat? Oui mais lequel? La France, l’Estonie, le Kenya?), et d’autre part, il s’agit principalement de malwares visant à dérober des richesses et non à perpétuer des actes de sabotage. Plus inquiétant donc est le phénomène de hackers mercenaires, certains groupes atteignant des degrés de sophistication inquiétants et servant une cause politique. Cigref et Clusif veulent sensibiliser Fin juin, le Club de la sécurité de l’information français (Clusif) publiait un rapport titré "Menaces informatiques et pratiques de sécurité en France" dans lequel il fustigeait l’absence de chiffres concrets sur la sécurité, conséquence de la non- obligation de déclaration des attaques informatiques chez les entreprises et les collectivités. Le Clusif affirme qu’une meilleure prise en compte des données permettrait une plus grande sensibilisation des acteurs. De son côté, le CIGREF (réseau des grandes entreprises) privilégie une approche plus ludique et planche actuellement sur un serious game, baptisé « Keep an Eye », qui met le joueur dans la peau d’un ange gardien dont la mission est de protéger les données d’un salarié. No-IP vs Microsoft: tout est bien qui finit bien? No-Ip s’est fait saisir 22 noms de domaines à la suite d’une demande motivée par Microsoft. Dès lors, les choses se sont envenimées. No-IP s’est déclarée outrée de cette mesure à la hussarde qui avait touché, par répercussion, des utilisateurs parfaitement innocents. Microsoft a longtemps adopté la posture de l’autruche, en accusant No-Ip d’être à l’origine de cette erreur technique. Cependant, devant les preuves irréfutables avancées par No-Ip, L’entreprise de Bill Gates s’est finalement rétractée et a admis que son infrastructure n’avait pas su tenir le choc. Les deux sociétés (Microsoft et VitalW erks, l’éditrice de No-Ip), ont fini par trouver un terrain d’entente. Mais le fait qu’une société privé puisse être capable d’en faire tomber une autre avec un minimum de procédures judiciaires a suscité l’interrogation des professionnels. Vulnérabilité « sérieuse » découverte chez Paypal Fin juin, une vulnérabilité très sérieuse a été découverte par des chercheurs de Duo Security et concerne l’API des applications mobiles PayPal. Selon les experts, elle permet de contourner le système de double authentification pour le service et le transfert d’argent d’un compte à un autre. Du côté de PayPal, on affirme avoir pris en compte la vulnérabilité et avoir déployé une solution temporaire pour limiter les dégâts. En revanche, on ne sait pas à l’heure actuelle quand la faille de sécurité sera véritablement résolue. Un piratage à 3,75 milliards au Brésil Un malware aurait, pendant deux ans, ciblé le marché brésilien du paiement en ligne. Il se serait attaqué aux "boletos", un dispositif de paiement endémique au Brésil qui permet aux consommateurs de payer sans avoir besoin d’un compte bancaire. Il fonctionne sur le principe de factures spéciales émises par les banques. En ayant recours à un malware de type Man-in-the-browser, les cybercriminels ont réussi à modifier les destinataires des factures mais ont aussi créé de faux boletos. RSA Security, qui a découvert la fraude, l’estime à 3,75 milliards de dollars. Le FEBRABAN (association des banques brésiliennes) estime en revanche le préjudice à 700 millions de dollars.
  3. 3. 360° War Ram - Eté 2014 Kenya: pourquoi le pays peut être victime d’une cyberattaque Evans Kahuthu, un expert en cybersécurité kenyan a attiré l’attention, au cours d’une interview pour All Africa, sur les dangers qui pèsent sur la sécurité des SSI kenyans. L’expert pointe tout particulièrement du doigt le risque d’une cyberattaque d’origine terroriste, sans pour autant préciser qu’elle en serait la forme (une simple attaque DDoS? De l’espionnage?). Cette annonce intervient à l’heure où Nairobi annonce un plan pour sa cybersécurité de grande ampleur. Elle est à croiser avec la situation particulièrement tendue entre les Shebab et les autorités. Crouching Yeti et Energetic Bear Les experts de Kaspersky Labs ont publié un rapport sur Energetic Bear, l’un des autres noms de DragonFly, en démontrant que cette campagne d’espionnage industriel dépasse finalement le simple secteur énergétique, mais touche également les domaines de l’industrie, de la pharmacie, de la construction, de l’IT et même de l’Education! Plus d’informations sont disponibles sur le site officiel de Kasperky Labs. ProtonMail: PayPal bloque le projet Proton Mail est un projet de messagerie sécurisée, chiffrée, avec des data centers basés en Suisse, qui a été mis en place par des chercheurs du MIT et du CERN. L’initiative, qui a suscité l’intérêt d’une vaste communauté d’internautes à la suite du scandale de la NSA, a néanmoins connu un coup de frein brutal. ProtonMail, qui a uniquement recours aux fonds publics pour son financement, s’est vu geler ses comptes par PayPal. ProtonMail a essayé de rebondir avec une nouvelle initiative PanaCoin, mais cette dernière s’est vue à nouveau bloquée par PayPal qui se refuse à tout commentaire. De nombreuses hypothèses fleurissent sur l’implication éventuelle des autorités américaines, ce n’a pas été prouvé. La Finlande, victime de cyberattaques Dans une allocution télévisée qui risque de créer des remous diplomatiques, le Ministre des affaires étrangères finlandais a avoué que le pays a été victime d’attaques sur ses systèmes critiques à deux reprises. L’objectif de l’attaque était de dérober des informations classifiées à haute valeur ajoutée, et selon les premiers éléments, il y a fort à parier que d’autres pays européens ont été touchés. Sur le plan technique, on sait qu’il s’agit d’une APT, d’un calibre équivalent à celui de Red October. Dragonfly: cette libellule qui ne nous veut pas du bien La découverte du malware Dragonfly par Symantec est une douche froide pour le secteur énergétique mondial. Des ordinateurs et des plateformes d’entreprises européennes et américaines auraient été compromis depuis 2011. Selon l’enquête, le logiciel aurait été introduit par trois biais différents: • L’envoi de malwares par le biais de phishing • L’utilisation de watering holes • L’împlantation de trojans dans des suites logiciels parfaitement normales Les chercheurs de Symantec ont conclu qu’il s’agissait d’un malware étatique au vu de la complexité du programme, mais il n’est pas exclu que des hackers mercenaires l’aient construit. Le plus inquiétant demeure les capacités de sabotage de DragonFly, qui, bien que non utilisées, auraient pu sérieusement endommager les équipements. Cyberdéfense Le rapport Marc Robert suffira- t-il? C’est la question auquel notre contributeur essayera de répondre (p.6). Le rapport du magistrat éponyme est une premier pierre à la défense contre la cybercriminalité. La publication s’est faite attendre: paru en juillet, il aurait dû initialement sortir en février. Un gage de qualité? Espérons-le! Degré d’infection du malware DragonFly La cour européenne de justice s’attaque aux accords US-UE La cour européenne de justice a fait de son cheval de bataille la défense des droits des internautes. Dans un jugement rendu début juillet, elle a donc ordonné plus de transparence sur le programme de coopération US-UE concernant le suivi des avoirs liés au terrorisme dans le monde. La cour européenne a décidé d’agir après qu’une députée néerlandaise, Sophie in’t Veld, s’est vu restreindre pendant cinq ans l’accès à des informations touchant à cet accord, qui devait être en partie réaménagé dans le cadre du nouveau traité de partage de données Safe Harbour. Arménie et Azerbaïdjan se font la guerre sur le Web Un groupe de pirates arméniens (Monte Melkonian Cyber Army) a défacé plusieurs sites de l’armée d’Azerbaïdjan en laissant des messages d’avertissement vis-à-vis du conflit en cours.
  4. 4. Facebook sommé de s’expliquer L’expérience menée par Facebook en 2012 et révélée en 2014, visant à manipuler les flux d’actualités de ses utilisateurs, crée des remous. Le commissaire de l’Office of the Data Protection, l’équivalent britannique de la CNIL, a sommé Facebook de s’expliquer début juillet sur cette expérience visant à étudier la "propagation des émotions". A ce jour, aucune mesure coercitive ou punitive n’a été avancée. 360° War Ram - Eté 2014 Le rapport Robert fait peur Le rapport Marc Robert ne fait pas que des heureux. Les défenseurs des libertés civiles fustigent et s’insurgent contre les 55 propositions du rapport. Olivier Iteanu, un avocat spécialiste des questions numériques, se dit outré par le nombre impressionnant de mesures répressives. La Quadrature du Net a réagi de la même manière en rejetant la plupart des mesures, notamment celle relative au blocage administratif du site. Enfin, la question de l’enquête sous pseudonyme inquiète également les défenseurs des libertés. De façon générale, la crainte d’une surveillance généralisée est utilisée pour condamner ce rapport. Il convient cependant de rappeler que le rapport Robert ne contient pas de mesures de surveillance véritable: ce qui inquiète les associations, c’est avant tout les risques de dérive. En ce qui concerne les mesures les plus techniques (CERT, etc.) les associations des libertés numériques sont restées globalement silencieuses. Russie: une loi souveraine contre l’expatriation des données personnelles Le Parlement russe a voté une loi stipulant que les données personnelles de chaque citoyen devait être hébergée sur son sol. Une loi d’abord politique, puisque l’on sait que, depuis l’aveu de Microsoft, les entreprises américaines sont obligées de transmettre les données hors sol aux autorités américaines si celles-ci les réclament. Bull veut revenir sur le devant de la scène Bull se rêve en champion international du Big Data et des objets connectés. Avant de rentrer dans le giron d’Atos fin juillet, l’ancien "fleuron de l’informatique française" a signé plusieurs partenariats. Un avec CustomerMatrix, une société de traitement intelligent de la data, visant à intégrer une application cognitive au sein de son offre Big Data. L’autre avec Axiros dans le domaine des objets connectés. Cyberculture Les cyberattaques sous formes de data vizualisation: l’initiative de Norse est à la fois esthétique mais nous rappelle également que les salves de malwares ne connaissent pas de répit. Accessoirement, cela rappelle furieusement le film culte W ar Game sur les thématiques de la guerre et du cyberespace! Minilock, le chiffrement à la portée de tous? Un nouveau service du nom de Mini Lock est en train de voir le jour. Le postulat est alléchant: l’application web permettrait de chiffrer toutes ces données très facilement. Sur le papier, cela peut sembler intéressant: dans la pratique, on est en droit de se poser quelques questions notamment quand on sait que plus une solution est populaire, plus les efforts déployés pour la craquer le sont. L’intérêt véritable de MiniLock (dont une partie du code traîne sur GitHub) est ailleurs. En facilitant l’accès au chiffrement – souvent complexe pour les non initiés, on peut s’attendre à une meilleure sensibilisation de la société civile à ces questions. On peut également s’attendre à un nivellement par le haut de la sécurité des données. Microsoft rejoint l’alliance Allseen Microsoft a rejoint l’Allseen Alliance, un consortium formé par l’entreprise Qualcomm visant à établir des normes pour les objets connectés dans la maison. Ce consortium, principalement composé d’entreprises américaines, serait aussi soutenu par des géants asiatiques (LG, Panasonic). Il se murmure pourtant qu’un projet rival serait en train de voir le jour. La question des normes dans les objets connectés est une future bataille juridique qui décidera certainement de la réussite ou de l’échec de certaines entreprises.
  5. 5. NICOLAS CAPRONI "ON NE PARLE PAS D’UNE MÊME FAÇON À UNE PME OU À UN OIV" War Ram - Eté 2014 1) Le rapport Marc Robert est à peine sorti qu'il ne fait déjà pas l'unanimité. Quel est le regard que tu portes sur cette publication? Premièrement, enfin il est sorti ! On commençait à se demander s’il n’allait pas finir dans un tiroir à prendre la poussière. Puis une semaine auparavant, il fuitait dans la presse. Mais sans faire trop de buzz. Effectivement maintenant qu’il est publié officiellement, des critiques se font entendre par les défenseurs de la vie privée. Mais ce n’est pas étonnant… Je ne suis pas juriste donc je ne me suis pas trop penché sur la 3ème partie du rapport qui portent sur les réponses répressives et qui font souvent débat. Mais plus globalement c’est un rapport qui va dans le bon sens car il montre qu’au delà de la cyberdéfense le gouvernement se penche maintenant sur la lutte contre la cybercriminalité. On avait tendance ces dernières années à ne se focaliser (à juste titre) sur les OIV et la cyberdéfense, tout en laissant côté la cybercriminalité à qui les moyens alloués sont trop insuffisants. Ce rapport est une première étape vers une meilleure prise en compte de ce phénomène, loin d’être nouveau. La cybercriminalité est une plaie pour les citoyens et les PME en particulier. Et ces deux populations semblent laissées de côté. Je regrette toujours le manque de chiffres « objectifs » non issus d’études américaines ou d’éditeurs de sécurité qui font plus du marketing qu’autre chose… LES EXPERTS Nicolas Caproni est un expert reconnu en cybersécurité et membre de la Réserve Citoyenne Cyber. Pour nous, il revient sur le rapport Marc Robert contre la cybercriminalité et ses 55 propositions. Tour d’horizon en cinq questions. Personnellement j’ai apprécié la deuxième partie du rapport qui milite pour une stratégie globale contre la cybercriminalité et qui met en évidence la prévention, la formation, les partenariats public- privé. Et pour y arriver, elle préconise une réorganisation au niveau étatique avec notamment la créations d’une délégation interministérielle et une plus grande implication de la justice mais aussi une augmentation des moyens alloués qui vont de paire. Après beaucoup de monde va critiquer ce rapport car certaines recommandations ne leur plaisent pas. D’autres vont critiquer l’auteur qui n’est pas un spécialiste du sujet. D’autres vont encore critiquer le choix d’une certaine sémantique ou vilipender le rapport complet pour une ou deux erreurs factuelles. Moi je préfère retenir le positif de la démarche et certaines propositions qui j’espère seront suivies d’effet à court terme. Malheureusement je ne peux déplorer le manque de médiatisation autour de ce rapport. Finalement il y a eu quelques critiques mais mêmes elles sont restées confidentielles… Peu de personnes, blogueurs, "experts" ou journalistes ont analysé ce rapport… 2) En tout, le rapport Robert comporte 55 propositions. Si tu ne devais en retenir qu'une, quelle serait-elle? Pourquoi? Sans hésitation, ça serait la proposition N°6 qui recommande la création d’un nouveau CERT qui répondrait aux besoins des populations non couverts par les CERTs existants. Je pense notamment aux PME et aux particuliers. J’en ai discuté sur Twitter et si certains pensent que l’ANSSI devrait assurer ce rôle, d’autres pensent qu’une nouvelle structure plus adaptée est indispensable pour toucher ces populations particulières. Je suis plutôt d’accord. Mais peut être que le terme de « CERT » n’est pas le plus adapté et on devrait plutôt parler de « Centre » national qui aurait comme missions de sensibiliser et informer les PME, collectivités locales et les particuliers sur les menaces « actuelles » et surtout leur donner les outils pour se protéger. Car il ne faut pas se leurrer. Les PME, les collectivités et les particuliers représentent 90% des personnes et entités à sensibiliser, former et protéger. Et personne ne s’en occupe. Enfin oui, il existe des clubs, des associations mais aussi la gendarmerie nationale ou la Réserve Citoyenne Cyberdéfense qui agissent mais chacun de leur côté. Il faut coordonner les initiatives. La Réserve Citoyenne Cyberdéfense réfléchit actuellement à cette question. Elle dispose d’un réseau national et régional de réservistes et de représentants étatiques qui peuvent aider.
  6. 6. War Ram - Eté 2014 3) Pour poursuivre sur la voie des CERTs, pourquoi ce rôle n’est pas tenu par l’ANSSI? Au début, je pensais également que c’était le rôle de l’ANSSI de traiter de ces questions. Mais l’ANSSI a grandi très vite car les cyber menaces se sont développées très rapidement et que la France avait du retard à rattraper. L’ANSSI a deux gros chantiers : sécuriser les administrations et les OIV. Tout en répondant aux attaques informatiques qui touchent les grandes entreprises et l’Etat. Et si on en croit l’ANSSI, la réponse aux incidents les occupe beaucoup et prend le pas sur leur mission de prévention. Alors il semble difficile de leur demander, en plus, de veiller sur les PME et les particuliers. On ne peut pas parler de la même façon à une PME qu’à un OIV… Créer une structure à côté a des avantages mais aussi des inconvénients. Evidemment ça nécessite des moyens, ça prendra du temps, il faudra aussi trouver du personnel compétent. Mais c’est indispensable sinon ça signifie tirer un trait sur 90% du tissu économique français… 4) Le rapport milite également pour l'instauration de différentes structures étatiques de pilotage dédiées à la cybercriminalité. Est-ce un signe bienvenu de réveil politique, ou risque-t-on d'aller vers une usine à gaz ? Je pense que c’est positif. C’est un réveil tardif vis à vis de la problématique de la cybercriminalité. La cyberdéfense a bénéficié depuis plusieurs années de moyens énormes. L’ANSSI a grandi très vite et c’était nécessaire. Mais l’ANSSI ne s’occupe pas de cybercriminalité. La cyberdéfense est bien coordonnée. L’ANSSI a un rôle majeur interministériel. Avec la DGA, l’EMA et les Services spécialisés, notre dispositif de cyberdéfense est bien organisé et complémentaire. Les forces de police et de gendarmerie et la justice disposent de trop peu de moyens. Mais on constate que tout ça commence à se réorganiser : création d’une sous- direction dédiée à la cybercriminalité au sein de la Police Judiciaire, prochaine nomination d’un préfet « cyber ». SUITE ARTICLE P.5 Les choses avancent. Et la proposition de créer une délégation interministérielle va dans le bon sens. N’oublions pas que le cyber est un sujet transverse. Après usine à gaz, je ne pense pas. On part de pas grand chose et il faut consolider les petites entités qui existent et les coordonner. 5) Enfin, une autre proposition a attiré notre attention. Marc Robert demande la création d'outils statistiques indépendants pour mesurer les cyberattaques: est-ce qu'on doit y voir une certaine forme de dénonciation d'un complexe militaro-industriel? Oui cette proposition est également une proposition très intéressante. La lutte contre la cybercriminalité manque cruellement de chiffres, de vrais chiffres. On ne peut plus se baser sur les chiffres fantaisistes sortis par les entreprises de sécurité informatique qui les utilisent pour faire peur et justifier leur marketing qui ne fait pas avancer la lutte contre les cyber attaques. On ne se protège pas de la cybercriminalité avec un outil miracle. Mais attention à ne pas tomber dans la culture du « chiffre ». Malheureusement nous savons tous la difficulté de résoudre des enquêtes d’affaires cybercriminelles qui impliquent presque toujours un besoin de coopération internationale. Les chiffres ne seront donc pas bons… Mais ils pourront servir à identifier les tendances majeures en termes de cybercriminalité (types d’infractions, pays impliqués…) et mettre les moyens là où il faut. Et puis ça montre aux « victimes » qu’on s’occupe de leurs problèmes. Il faut donc encourager aussi les entreprises et particuliers à porter plainte. Il faut faciliter ce dépôt de plainte et tenir au courant les victimes de l’avancement ou non de l’enquête. Par Nicolas Caproni Consultant en sécurité des systèmes d’information chez BSSI @ncaproni http:/ / www.cyber-securite.fr/ Nicolas Caproni est consultant auprès de BSSI, un cabinet de conseil et d’audit en sécurité des systèmes d’information. Il dirige le blog Cyber- sécurité.fr (http:/ / www.cyber- securite.fr/ ) et fait également partie de la Réserve Citoyenne Cyber. Cette initiative associe des bénévoles civiles experts en SSI à des réservistes militaires et des organismes d’Etat afin de « sensibiliser, éduquer, débattre, proposer, organiser et susciter des évènements contribuant à faire de la cyberdéfense une priorité nationale ». Plus largement, la RCC englobe des pans plus larges de la société civile (Elus, journalistes, jeunes, formation, think-tanks, entreprises…) dans le but de développer le réseau et de sensibiliser. Réserve Citoyenne Cyber (RCC)
  7. 7. War Ram - Eté 2014 Le Patriot Act permet aux agences de sécurité américaines(FBI, NSA,...) d'accéder aux données stockées dans les Datacenter sans contrôle préalable d'un juge. La confidentialité des données relève alors de l'utopie...Les entreprises françaises l'ont bien compris et se montrent assez réticentes à confier leurs données dans de telles conditions. Le cloud souverain offre une solution « made in France » qui s’affranchit de la tutelle américaine. L'affaire PRISM -Snowden-NSA constitue alors l'un des meilleurs arguments commerciaux de la société Cloudwatt auprès de ses clients. Elle justifie à elle seule la création de Cloudwatt... Un nouveau Directeur conscient de l'accélération technologique mondiale En charge de la phase initiale et du lancement du projet de cloud souverain, le premier Président de Cloudwatt, Patrick Stark, a cédé sa place en avril 2014 à Didier Renard, jusque-là Président de la société Tasker spécialisée dans le développement d'outils de gestion des plate- formes cloud. Notons que Didier Renard est le premier Français diplômé de l'Université de la Singularité. Loin d’être anecdotique, cette sensibilité singulariste s'inscrit parfaitement dans le profil attendu d'un dirigeant de société de Cloud souverain. C'est certainement la plus adaptée aux changements exponentiels et la plus pertinente aujourd'hui ! Selon lui, « Pour appréhender le futur, il ne suffit pas de calquer le modèle du passé ». Didier Renard s'inquiète souvent du manque d'ambitions de la France et de l'incapacité de nos élites à intégrer l'accélération technologique... OUT-OF-THE-BOX 1 – Cloud souverain français : L'exemple de Cloudwatt La naissance de Cloudwatt On trouve, à l'origine de la création de Cloudwatt, une prise de conscience et une volonté stratégique de positionner la France sur le marché mondial du cloudcomputing. Fondée en septembre 2012, Cloudwatt est une société française spécialisée dans les solutions de stockage en ligne et les solutions de calcul par machines virtuelles. La naissance de Cloudwatt s'inscrit alors pleinement dans le projet Andromède lancé en 2009 destiné à soutenir le développement d'un cloudcomputing « made in France ». Le Grand Emprunt qui a fait émerger le concept de cloud souverain a facilité le démarrage de la société Cloudwatt. L'idée principale consistait à proposer aux professionnels et aux particuliers des infrastructures sécurisées de stockage en ligne et de machines virtuelles (VM) localisées sur le territoire national puis par la suite en Europe. Le gouvernement mobilise le Fond d'Initiative Stratégique (FIS) et décide de soutenir deux projets ambitieux dotés chacun de 225 millions d'euros : la société Cloudwatt dont Orange (44,4 %), la Caisse des Dépôts et Consignations (33,3 %) et Thales (22,2 %) sont les actionnaires principaux et la société Numergy soutenue par SFR, CDC et Bull. Cloudwatt choisit alors de construire sa propre plateforme de cloud opensource basé sur l'environnement OpenStack. Il s'agit d'un premier choix de nature stratégique qui permet à Cloudwatt de maîtriser totalement son infrastructure, d'évoluer en autonomie et de s’affranchir de technologies propriétaires contraignantes et « liantes ». En 2012, Cloudwatt intègre la fondation OpenStack et contribue en développant de nouvelles ressources comme le framework Hadoop présenté en 2013 lors du forum OpenStack summit Hong Kong. On ne présente plus Thierry Berthier, contributeur régulier de la W ar Ram et professeur d’université en mathématiques. Ce spécialiste du cyberespace se pencher pour cette édition d’août sur les notions de cloud souverain et de cybernationalisme qui, à l’ère Snowden, sont sur toutes les lèvres… Le premier Datacenter de Cloudwatt Situé en Normandie à Val-de-Reuil, le premier Datacenter (opéré par Orange) de la société Cloudwatt propose un taux de disponibilité de 99,995 % de niveau Tier 4, hautement sécurisé incluant un contrôle biométrique pour l'accès aux équipements hébergés et des chaînes d'alimentation redondantes. Cloudwatt propose une large gamme de stockage en ligne modulable partant d'une offre de base gratuite d'un espace de 50 Go, puis des solutions payantes à partir de 100 Go pouvant évoluer jusqu'à plusieurs teraoctets. L'utilisateur peut gérer son stockage de façon élémentaire à partir de l'interface du site accessible depuis tout navigateur ou utiliser une application de transfert de fichiers comme Clouberry ou Cyberduck. Les données chargées sur les infrastructures de Cloudwatt sont localisées en France et opérées par des acteurs sans lien avec des sociétés américaines. Ces données ne sont donc pas soumises à l'application du Patriot Act. L'offre Cloudwatt en machines virtuelles débute en 2014 (version Beta). Il s'agit ici d'une valeur ajoutée importante par rapport aux offres équivalentes d'Amazone ou de Microsoft qui sont soumises au Patriot Act. CLOUD SOUVERAIN ET CYBERNATIONALISME
  8. 8. War Ram - Eté 2014 SUITE ARTICLE P.7 2 – Les replis « cybernationalistes » et la souveraineté numérique Le concept de « Cloud souverain » émerge d'un écosystème numérique mondial fragilisé par des turbulences d'hégémonies et des luttes d'influence. Les révélations Snowden- Prism-NSA ont créé un tel traumatisme qu'elles doivent aujourd'hui questionner l'ensemble des acteurs du numérique sur le sens réel de la confidentialité/ sécurité/ intégrité des données. Si les grandes nations technologiques n'ont pas attendu l'affaire Snowden pour construire et promouvoir des solutions numériques locales sur lesquelles elles conservent un contrôle stratégique, elles ont tout de même saisi l'occasion offerte par l'affaire Snowden pour accélérer leur réorientation vers des infrastructures nationales. Ainsi, la Russie, par la voie de son Président Vladimir Poutine, a fait le choix du développement de solutions de stockage de données implantées sur le territoire. Le repli cyber national russe ne se limite d'ailleurs pas aux seuls Datacenter mais impacte également les moteurs de recherche. Vladimir Poutine a lancé plusieurs projets dont celui du développement d'un moteur de recherche national, indépendant des moteurs américains, « adapté au peuple russe » et supervisé par des sociétés russes. Le moteur russe Yandex, quant à lui, a été sommé de réduire ses liens de dépendance financière avec des sociétés occidentales. La Chine n'est pas en reste et multiplie les constructions de Datacenters de très grandes capacités. Elle développe également ses propres moteurs de recherche. [1] Le site de la société Cloudwatt : https:/ / www.Cloudwatt.com/ fr/ [2] La page wikipédia de Cloudwatt : http:/ / fr.wikipedia.org/ wiki/ Cloudwatt [3] Interviews du CEO de Cloudwatt, Didier Renard: http:/ / www.silicon.fr/ didier-renard-Cloudwatt- livrer-10-000-vm-notre-offre-cloud-fin-2014- 95374.html http:/ / www.lemondeinformatique.fr/ actualites/ li re-didier-renard-remplace-patrick-stark-chez- Cloudwatt-57228.html [4] Didier Renard, premier Français diplômé de la SU : http:/ / www.lepoint.fr/ technologie/ singularity- university-escale-dans-le-futur-29-03-2014- 1806987_58.php La souveraineté numérique, si elle recherche une cohérence globale, doit s'appliquer aux infrastructures de stockages de données (Datacenters) mais également aux moteurs de recherche. Les uns ne peuvent être dissociés des autres. La perte de souveraineté sur l'une des deux fonctions fragilise l'autre. Le développement d'un moteur de recherche européen devrait figurer à l'ordre de jour des grands projets de l'UE car la recherche, le classement et la hiérarchisation des données participent directement à la valorisation de l'information. Le moteur est une composante de la chaîne informationnelle qui fonde et conditionne la souveraineté numérique d'une nation. Enfin, cette souveraineté numérique passe également par le développement de solutions de cybersécurité nationales (antivirus nationaux, firewall dynamiques, systèmes de prévisions des cyberattaques). C'est bien sur le triplet « Datacenter, moteur de recherche, antivirus » qu'il faut agir si l'on souhaite doter la nation d'une souveraineté numérique... Par Thierry Berthier Professeur d’université en mathématiques http:/ / cyberland.centerblog.net/ Infrastructures de stockage Cloudwatt Cyberland est le blog de cybersécurité/ cyberdéfense du Professeur Thierry Berthier. Régulièrement mis à jour et se penchant sur des cas concrets et récents, c’est un incontournable du secteur. Il fera partie de l’initiative Echo Radar, successeure de l’AGS, qui sera lancée en mi- août. Plus de détails ici: http:/ / www.cyberland.centerblog.net/ CYBERLAND
  9. 9. War Ram - Eté 2014 Les multiples affaires Snowden ont étonné. Pourtant le cas français est à la limite du racolage passif. Ambassade espionnée à W ashington? Mais, votre serviteur connaissant bien les environs, est-il raisonnable de parler d’espionnage quand tout est librement accessible et que personne n’est sensibilisé à la SSI? Que fait- donc un lion quand il voit un pauvre petit hamster dégueulasse, agonisant à ses pieds? Il lui file un petit coup de patte, sans trop y penser, abrégeant ses souffrances presque par pitié. Si seulement, en face du mastodonte étatique gangréné, se trouvait une masse de citoyens éduqués et engagés… Toi, le connard qui ne me lira pas : pourquoi gueuler contre la NSA quand ton pays fait de même? Comment prendre au sérieux tes opinions de pilier de comptoir quand tu ne fais aucun effort pour te mobiliser quand l’enjeu en vaut vraiment la peine? Swartz peut bien se suicider, Lavabit fermer et l’équipe de Truecrypt abandonner : ça t’en touche une sans faire bouger l’autre. Reste Assange à foutre en taule, et les moutons seront bien gardés. Le paquebot France a viré de bord. Fort bien. Mais il tourne trop lentement. A temps/ tant de crises, remèdes de cheval. Lancer un audit de productivité sur les agents de certains ministères serait un premier pas dans le bon sens. Dégager les nuls et les lèches-culs, un second. Embaucher/ former/ sensibiliser les autres, un troisième. Mais si l’on souhaite que le cyber demeure un espace de liberté potentielle, de la même façon qu’il ne fallait pas le laisser aux crypto-complotistes et cyberpunks de romans, il est nécessaire que les citoyens prennent conscience de l’importance d’être un contre-pouvoir. Dans le cas contraire, les Etats n’auront aucune raison de moraliser les actions qu’ils y accomplissent, et ce sera Monsieur-Tout-le-Monde qui paiera les pots cassés. Alors profitons du formidable tissu d’impertinence qu’est la France pour encourager les initiatives locales : les ateliers, les espaces, les conférences, les discussions, les formations informelles. Ne laissons pas les SI rejoindre le monde des mystiques méprisées et magiquement craintes par le peuple… et des monstres surgir. OUT-OF-THE-BOX Bordel, mais qu’est-ce que c’est que ces branleurs? Incultes, prétentieux, jaloux, puérils. Imaginez l’idéal-type de la faille humaine, avec ce que cela suppose de naïveté, de mauvaise foi et d’inconscience, multiplié par autant de postes à responsabilité. Ils sont dangereux. Pourtant, ils représentent la France à l’étranger. La dernière fois, ils ont souhaité installer un système de surveillance au sein des bâtiments. Ils ont fait appel à une société locale, qui, évidemment, leur a fait une ristourne, toute heureuse de pouvoir planquer des mouchards avec la bénédiction du taré en chef. Heureusement, les pompiers sont intervenus. Ailleurs, ils ont installé un lecteur d’empreintes digitales à l’entrée… non- sécurisé, avec une jolie prise Ethernet permettant de se connecter au système. Tranquille. Partout, le sens du terme confidentiel se perd, et l’on organise des séances “photocopies gratos” avec des télégrammes diplomatiques à diffusion limitée. Tout le monde utilise les login des vioques, l’admin balance ses codes d’accès par téléphone (wtf?!) et chacun connecte ce qu’il veut au réseau sécurisé du ministère. Et on dit que la France a “enfin pris le tournant du cyber”! Bon, il semble que certains corps de l’Etat sont devenus de bonnes grosses brutasses en la matière. Pour qui s’impatientait de voir la France enfin tenir son rang, c’est une bonne nouvelle. Il s’agit d’un exercice que nous aimerions voir plus fréquemment dans la RAM. Un contributeur anonyme, dont on taira le nom et le sexe, ayant occupé des fonctions en ambassade, livre une analyse crue et sans concessions du tournant cyber de la France. Attention, cela pourra en choquer plus d’un. [Petite parenthèse : si les Etats frustrés cessaient de se préoccuper de je-ne-sais quelle place dans le concert des connards internationaux pour s’intéresser aux citoyens qu’ils sont censés représenter/ protéger, peut-être se serait-on rendu compte que le problème fondamental du monde du renseignement actuel réside dans l’opposition interne Etat- citoyens plutôt que dans l’artificielle Etat-Etats. Passons.] Certes, on progresse. Mais, la représentation extérieure est un paquebot bondé de vieux que l’on croit trop influents pour être virés à coup de pompes dans le cul, et qui représentent une myriade de failles humaines potentielles. La RAM de ce mois-ci met à l’honneur Gramsci : “Le vieux monde se meurt, le nouveau est lent à apparaître, et c’est dans ce clair obscur que surgissent les monstres.” [On passera outre la tendance qu’ont les “penseurs communistes” (LOL) à ne cerner avec finesse que les problèmes des autres systèmes.] Le Nouveau Monde tarde donc à naître. Si l’accouchement est si difficile, la raison est à chercher du côté des rigidités institutionnelles et de la passivité citoyenne. L’Etat, loin de prendre exemple sur certaines entreprises privées, préfère grossir, grossir, grossir, et gaver d’indemnités de vieux diplomates boursouflés de leur pseudo- importance, plutôt que prendre les mesures qui s’imposent afin de limiter les risques inhérents à leur manque total de maîtrise des mécaniques informationnelles. En ces temps d’austérité aussi drastique qu’injuste envers les citoyens, d’aucuns pourraient croire qu’on chercherait à diminuer le poste Salaires relatif à des employés improductifs/ contre- productifs. Pensez-vous! L’on préfère couper dans les fonds alloués aux missions, plutôt que proposer de baisser la rémunération des Conseillers de 12 000 à 4 000 EUR. Idem, pourquoi embaucher de la chair fraiche quand il est possible de prolonger les gérontes? TRIBUNE LIBRE
  10. 10. LA LONGUE DESCENTE AUX ENFERS DE TOR War Ram - Eté 2014 PIMP MY OPSEC Par exemple, on a beaucoup fait état du programme XKeyScore de la NSA, dont le code-source (voir ci-contre) a été diffusé en clair sur de nombreuses plateformes et tourne encore dans son intégralité sur Gitthub et d’autres plateformes liées à la cybercriminalité. Lors d’un reportage, la chaîne allemande ARD a démontré que XKeyScore pouvait identifier et atteindre des cibles utilisant TOR, démontrant de fait que l’anonymat du logiciel a été brisé. Par le passé, le FBI aussi était parvenu à casser la "forteresse" TOR grâce à l’utilisation d’une faille 0 -day du navigateur Firefox, illustrant sa capacité à atteindre des réseaux pédophiles qui se réfugiaient derrière le réseau en oignon. Mais les États d’Unis ne sont pas les seuls à avoir TOR en ligne de mire. La Russie, ironiquement pays d’accueil d’Edward Snowden, a récemment proposé une prime de 80,000 euros à qui réussirait à casser le réseau. Le Kremlin a formellement déconseillé l’utilisation de TOR, et on estime qu’il ne s’agit pas de la première tentative russe pour casser le réseau. Des chercheurs (Lindskog, W inter) de l’université de Karlstad, en Suède, ont ainsi constaté qu’une entité russe non identifiée surveillait les exit nodes du réseau (cf schéma ci-dessus), se concentrant particulièrement sur le trafic Facebook grâce à l’utilisation d’attaque de type homme du milieu. Un modèle de plus en plus vulnérable? Mais la NSA n’est pas le seul danger qui pèse sur TOR. Des failles majeures comme HeartBleed ont en effet déjà mis à mal le réseau en oignon, puisqu’elle dépendait du protocole chiffré OpenSSL. Roger Dingledine, le leader du projet TOR, a admis à la suite de HeartBleed que 12% des relais du réseau (380) avaient ainsi été compromis. D’autres chercheurs parmi lesquels le white hat Pierluigi Pagnini, membre de l’ENISA et figure célèbre de la cybersécurité, ont également évoqué la possibilité d’une attaque par corrélation du trafic de TOR (l’attaque par corrélation est un procédé en cryptographie reposant sur le contrôle des points d’entrée et de sortie). (Suite p. 10) TOR est-elle toujours cet outil magique, qui permet à tout un chacun de naviguer tranquillement en anonyme sur le W eb ? Hélas, plus vraiment. De sa création à sa démocratisation, TOR a connu une période d’or durant laquelle internautes, hacktivistes, mais aussi cybercriminels ou trafiquants ont pu exploiter les joies de l’anonymat sur le W eb. Mais la solidité du logiciel a été éprouvée petit à petit, de sorte que désormais, s’il demeure un excellent outil pour contourner la censure, sa capacité à rendre anonyme est largement écornée. Qui veut la peau de TOR ? De façon générale, il y a une volonté de surveiller les données des utilisateurs du Deep W eb. Certains y voient le spectre de la société panoptique, d’autres pointent simplement du doigt les failles sécuritaires qu’implique la possibilité de canaux d’informations sécurisés pour des groupes malveillants (terroriste, cybercriminels, trafiquants). Les agences de renseignement ou les forces de l’ordre sont en première ligne de la bataille. Stéphane Leroy se spécialise dans le cyberespace depuis près d’un an. Il est contributeur régulier et l’un des fondateurs de la W ar Ram. / * * * Placeholder fingerprint for Tor hidden service addresses. Real fingerpritns will be fired by the plugins * 'anonymizer/ tor/ plugin/ onion/ * ' * / fingerprint('anonymizer/ tor/ hiddenservice/ address') = nil; / / END_DEFINITION / / START_DEFINITION appid('anonymizer/ mailer/ mixminion', 3.0, viewer=$ascii_viewer) = http_host('mixminion') or ip('128.31.0.34 '); / / END_DEFINITION Cet extrait du code d’XKeyScore démontre également qu’en plus de TOR, la NSA s’intéresse à d’autres services d’anonymisation comme MixMinion (voir ci- dessous) Le réseau TOR est appelé réseau en oignon car une fois connecté, le trafic est chiffré et réparti aléatoirement sur plusieurs relais. Les exit nodes sont les seuls à ne pas être chiffrés
  11. 11. Appel à contributeurs Cette newsletter mensuelle s’adresse à une communauté ciblée et se construit sur un modèle collaboratif, s’inspirant d’une démarche open source dans le souci d’un partage de connaissances. De fait, elle vit et s’enrichit de ses contributeurs, pour la plupart des experts dans leurs domaines respectifs, et de fait nous sommes toujours à la recherche de contributions diverses. Si publier par notre biais vous intéresse, n’hésitez pas à nous à contacter pour en discuter plus en détails. Cordialement, La Rédaction War Ram vous est proposée chaque mois et est disponible en ligne. C’est une publication libre, vous pouvez donc la partager sans réserves, à condition de respecter la propriété intellectuelle des personnes qui y publient. Vous pouvez aussi suivre notre actualité et bénéficier de nos ressources en ligne par le biais de notre compte Slide Share : http://fr.slideshare.net/WarRam blowarram.tumblr.com War Ram - Eté 2014 SUITE ARTICLE P.9 Parallèlement, une déclaration de deux chercheurs du CERT de l’université Carnegie Mellon a également montré que le système n’était pas dénué de failles. Alexander Volynkin et Michael McCord ont ainsi affirmé qu’ils étaient capables de briser l’anonymat de TOR très facilement. Conscient qu’une faille existe bel et bien, TOR a lancé ces derniers dans une quête folle pour retrouver le bug et le corriger. Volynkin était supposé intervenir lors du BlackHat de cette année mais au dernier moment, il s’est rétracté. Les hypothèses fourmillent autour des raisons qui l’auraient poussé à annuler sa présentation, d’autant que les chercheurs ont avancé de simples lenteurs administratives pour justifier cette déprogrammation. Toujours est-il que la réputation de TOR était déjà bien fragilisée jusqu’à ce que le coup de semonce final soit porté, par la TOR Team elle-même. Le logiciel aurait été piraté pendant au moins 5 mois. Une attaque vieille de cinq mois Les chercheurs du Projet TOR ont avoué, dans un billet daté du 30 juillet 2014, avoir été victime d’un piratage visant à surveiller le comportement de ses utilisateurs. La faille a été comblée le 4 juillet, après que l’équipe a trouvé un groupe de relais dont le but était de contourner l’anonymat des utilisateurs. Cette annonce intervient donc au pire des moments pour le logiciel qui a dû encaisser ces derniers mois coup de boutoir sur coup de boutoir. Il n’est pas dit que TOR puisse se relever de la crise dans laquelle il s’est plongé. La piste poursuivie est celle d’une attaque par corrélation du trafic, comme l’avait déjà évoqué M. Paganini. Mais au-delà du réseau en lui-même, la question de l’anonymat sur le W eb est là encore mise à rude épreuve. Bien que l’anonymat soit avant tout une question de comportement et moins de logiciel, on constate de plus en plus un décalage important entre société civile, voire entreprise, et Etat/ hackers d’élite. Plus largement, cela illustre la difficulté d’une solution de sécurité pérenne et démocratique. A l’avenir, TOR va donc être amené à perdurer, bien que sa capacité à permettre un anonymat total et complet est certainement révolue. Par Stéphane Leroy 13 sept. 13: FBI cible TOR avec des malwares 25 juil. 14 La Russie publie un appel d’offres pour casser TOR. 6 juil. 14 Volynkin annonce qu’il a trouvé le moyen de briser TOR. 3 juil. 14 ARD dévoile que XKeyScore cible TOR 17 avr. 14 12% des serveurs TOR touchés par le bug HeartBleed 30 juil. 14 TOR admet avoir été piraté pendant 5 mois. Vers une remise en cause du réseau?

×