Successfully reported this slideshow.
THE WAR R@M
FOLLOW THE W HITE RABBIT

Janvier 2014

L’E-DITO

L’ART DE LA GUERRE

W ar Ram.
Deux mots.
W ar pour guer r e....
TO DISCLOSE OR NOT TO
DISCLOSE

LES EXPERTS

Le full disclosure : une approche critiquée
Tr aditionnellement, la communaut...
360°

En vrac

Et pour quelques Bitcoins de
plus…
Les cas de br aquage en ligne de
banques semblent se bousculer au
por ti...
Faciliter la prise de contact (Suite de "To
Disclose or Not to Disclose« , p.2 )
Par fois, même avec toute la bonne volont...
OUT-OF-THE-BOX
L'adoption de la Loi de programmation
militaire en décembr e 2 0 1 3 a été
l'occasion d'un mouvement de
con...
PIMP MY OPSEC

L’AFFAIRE SNAPCHAT

Comme toute application de star tup qui
se r especte, le développement de
SnapChat a ét...
Prochain SlideShare
Chargement dans…5
×

War Ram - Lettre d'information sur le cyberespace et la cybersécurité - Janvier 2014

2 883 vues

Publié le

War Ram est une lettre d’information mensuelle, consacrée aux thématiques de cyberdéfense et de cybersécurité, ainsi qu’aux infrastructures (OIV, data centers…) qui sous-tendent le cyberespace. Cette publication est également disponible en ligne via le Slide Share (War Ram).

Publié dans : Actualités & Politique
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

War Ram - Lettre d'information sur le cyberespace et la cybersécurité - Janvier 2014

  1. 1. THE WAR R@M FOLLOW THE W HITE RABBIT Janvier 2014 L’E-DITO L’ART DE LA GUERRE W ar Ram. Deux mots. W ar pour guer r e. Dans le cyber espace, nous y ser ions pr esque. Cer tes pas la guer r e tr aditionnelle et déclar ée des États qui s’affr ontent sur un champ de bataille. Celle qui nous intér esse est "multiscalair e", r ime avec bits et s’écr it en lignes de code. Ram pour Random Access M emory. Le ter me ne r envoie pas qu’à l’excellent album des Daft Punk, il évoque sur tout les for ces vives d’un or dinateur , le ner f de la guer r e infor matique. M is ensemble, ces deux ter mes r appellent par homophonie les célèbr es "W ar Rooms" de Chur chill, où l’infor mation str atégique la plus impor tante était agr égée en un lieu. L’ambition de ce pr ojet de Newsletter est de s’inspir er de cette initiative. En une maxime : centr aliser au sein d’une lettr e mensuelle la « substantifique moelle » des sphèr es cyber défense/ cyber sécur ité. Le « champ de bataille » numér ique qui s’ouvr e aujour d’hui est au croisement de la sécurité informatique, de la cyberdéfense, du droit et de la technologie. Cette complexité appelle au plus gr and des discer nements. Car le théâtr e et son pér imètr e sont incertains, ses acteur s nombreux et par fois difficiles à identifier : entr epr ises, hacker s, cr acker s, Etats, univer sitair es… Lever le voile, c’est ce que vous pr oposent les contr ibuteur s de la W ar R@m à tr aver s quatr e catégor ies distinctes :  Les Experts : Contr ibution d’un exper t du cyber espace sur une pr oblématique donnée.  3 6 0 ° : Une veille globale sur la cyber sécur ité/ cyber défense et les infr astr uctur es.  Out-of-the-box : Contr ibution d’un exper t qui sor t du cadr e “classique” de la cyber sécur ité : pr ofesseur s d’univer sité, doctor ants, hacker s…  Pimp my Opsec : Une analyse pointue d’une faille de sécur ité ou de mesur es à pr endr e pour qu’elle ne se r epr oduise pas ! Puisse cette pr emièr e « Ram » d’infos vous appor ter une meilleur e compr éhension de ce qui se passe sous les cir cuits du cyber espace… • • • Sommaire L’Edito Les Experts 360° Out-of-the-Box Pimp my Opsec Les gros titres #SnapChat #LPM #InfoSec #FullDisclosure La vidéo du mois Let’s Enhance, le retour Pour le plaisir des yeux, un inter naute a décidé d’uploader une ver sion HD du fameux « Let’s Enhance ». L’occasion de r ir e un peu et de r appeler que quand « la résolution est mauvaise, agrandir ne servirait à rien »… Les Exper ts ne sont pas for cément ceux que l’on cr oit… Retrouvez aussi nos publications sur notre Slideshare Envie d’en savoir plus? Contactez-nous: redaction.warram@spray.se Les contr ibuteurs associés à ce pr emier numér o, pour leur contribution et leur soutien, visible ou invisible : @morganhotonnier, @evematringe @leroycyber, @ncaproni @M Duqn, @blog_e_sphere, @comptoirsecu
  2. 2. TO DISCLOSE OR NOT TO DISCLOSE LES EXPERTS Le full disclosure : une approche critiquée Tr aditionnellement, la communauté sécur ité est tr ès par tagée entr e :   Le "full disclosure", qui consiste à four nir au gr and public l’ensemble des infor mations concer nant une vulnér abilité découver te Le "coordinated disclosure" ou "responsible disclosure", moins r adical, où la vulnér abilité est d’abor d communiquée à l’éditeur pour qu’il la cor r ige. Ce n’est que lor sque celui-ci four nit son autor isation, souvent apr ès cor r ection, que la faille est diffusée au monde entier . Le responsible disclosure peut par aîtr e idéal, car l’infor mation sur la vulnér abilité n’est accessible que lor squ’elle n’est plus exploitable. M ais si l’appr oche peut fonctionner avec des éditeur s r esponsables, la r éalité est génér alement tout autr e. Cet ar ticle est par u pour la 1 èr e fois sur le M edium du Comptoir de la sécur ité Quand l’éditeur maîtrise la communication, il n’est pas pressé par le temps "À quoi bon se presser et débloquer un budget en ur gence ? Le public n’est pas au courant, nous aurons tout le temps d’allouer des r essources au budget de l’année pr ochaine." J’exagèr e le trait, mais l’idée est là. La correction des vulnérabilités est souvent le cadet des pr éoccupations des dir igeants. La pr ior ité est à l’ajout de fonctionnalités demandées par l’utilisateur ou qui optimisent les bénéfices pour faire plaisir aux investisseurs. Sans la pression des médias et des clients, les corr ections tr aînent, par fois elles ne viennent jamais. Une fois l’information publiée, l’image de l’éditeur en pâtit et chaque jour qui passe sans correction augmente la chance de voir son nom dans les journaux associé à une grosse fuite d’information. C’est malheureusement par fois le seul moyen pour que l’entr epr ise se décide à tr aiter la vulnér abilité comme elle le mér ite : une ur gence. M ême Google commence à ser r er la vis et applique le full disclosure si apr ès 7 jour s l’éditeur n’a toujours pas cor r igé une faille qu’ils estiment cr itique ou déjà utilisée. Alors, full ou responsible disclosure ? Je suis per sonnellement pour une ver sion hybr ide, similair e à celle que pr éconise Google. Je tr ouve dommage d’offr ir en pâtur e aux médias une entr epr ise qui ser ait pr ête à jouer le jeu et tr aiter la cor r ection de la vulnér abilité dans les délais qu’elle mér ite. Ainsi une divulgation en pr ivé aupr ès de l’éditeur semble êtr e une bonne appr oche. Si l’entr epr ise s’implique et communique en bonne intelligence,le responsible disclosure peut r ester une solution viable. Le full disclosure r ester ait donc un « plan B », der nièr e ar me à utiliser quand l’éditeur :  Est connu pour son hostilité envers ce genre de requête.  N’offre aucun moyen de contact adéquat  Ne répond pas à nos sollicitations Certains éditeurs prennent le problème à l’envers  Si vous avez écouté notr e épisode 2 du Comptoir Sécu sur les failles 0 -day, vous savez à quel point ce genr e de découver te peut valoir cher sur le mar ché noir … Refuse de traiter la vulnérabilité en accord avec son niveau de criticité Le traitement des "responsible disclosure" par une entreprise M algr é tout, cer tains individus avec encor e un peu d’éthique sont pr êts à offr ir le r ésultat de leur tr avail à l’éditeur , gr atuitement…et se font attaquer en guise de r emer ciement. Vous pensez que j’exagèr e ? Pour tant ce genr e de situation est déjà ar r ivé. Les débats qui entourent le "full disclosure" ne sont ni récents, ni homogène. Ainsi, en 2 0 0 9 , le collectif Anti Sec avait hacké l’hébergeur d’images Image Shack pour protester contre cette pratique. War R@M - Janvier 2014 Il ne faut pas s’étonner apr ès ce genr e ’affair es de voir de plus en plus d’exper ts pr ôner le full disclosur e, souvent sous couver t d’anonymat pour éviter le r etour de flamme. 2 Si j’avais car te blanche dans une entr eprise sur le tr aitement des failles de sécur ité découver tes par un tier s, voilà ce que je pr éconiserai (suite p.4 ) Par M organ Hotonnier Ingénieur spécialisé SSI @morganhotonnier
  3. 3. 360° En vrac Et pour quelques Bitcoins de plus… Les cas de br aquage en ligne de banques semblent se bousculer au por tillon. La cible pr ivilégiée ? Les Bitcoins, la devise vir tuelle « so trendy » développée par le mystér ieux Satoshi Nakamoto. Il faut dir e que le "Bt" ne manque pas d’ar guments: son cour s a r écemment explosé, au point de dépasser celui de l’or , fin novembr e. Or , si voler un Bitcoin est « facile », le « blanchir » est une autr e pair e de manches. Contr airement à la monnaie classique, les tr ansactions en Bitcoin sont publiques et consultables par tous. Ainsi, un pir ate s’est r etrouvé bien embêté quand il a dû falloir pr ofiter de cette manne si chèr ement acquise. Il a tr ès vite été inter pellé par le FBI, devenu depuis quelques années docteur ès cyber espace. M ais ce pauvr e pir ate peut se consoler: la Chine a décidé de ser r er la vis sur cette monnaie vir tuelle, et de nombr euses banques centr ales le r emettent en cause. Un krach similair e à celui de la tulipe est-il à pr évoir ? (Pour aller plus loin: voir les auditions du Sénat sur le Bitcoin) Un outil de reverse engineering gratuit! Infor mation pour les détectives du clavier : un outil de reverse engineering a été mis en ligne sur GitHub.com. Pr ofitez-en, il est gr atuit! The Russian Job L’affair e Tar get aur a fait coulé beaucoup d’octets. Le géant amér icain a en effet subi une cyber attaque qui a affecté pr ès de 1 1 0 millions de ses clients lor s des achats de fin d’année. Or , il s’avèr e que le gr oupe a sa par t de r esponsabilité dans ce pir atage massif (selon The W ired, le r éseau Tar get avait déjà été cr acké en 2 0 0 5 , mais celui-ci se ser ait lavé les mains de la faille de sécur ité). Alor s que l’enquête se pour suit, on sait d’or es et déjà deux choses :  Au moins 1 1 Go de données ont été envoyées ver s un ser veur r usse.  Un pir ate r usse de 1 7 ans ser ait à l’or igine du malware, r épondant au doux nom de Trokan.POSRAM . Cette infor mation r este toutefois à confir mer. Seculert, iSight Partners et IntelCrawler sont en char ges de l’enquête. Quant à Tar get, le chiffr e d’affair e est déjà appelé à baisser … de 3 0 %! Facebook et la campagne malveillante d’Adobe Les campagnes malveillantes sont légion sur Facebook. Récemment, Dancho Danchev, un éminent exper t en cyber sécur ité, a découver t une campagne hostile, toujours active à ce jour, enjoignant les utilisateurs à installer un faux logiciel Adobe Flash Player, utilisant les ser vices de r edir ection de Google. Plus d’infos sur le blog de M . Danchev. 123456, sésame, ouvre-toi ! Insolite: un malware transforme un réfrigérateur connecté en "botnet " Alor s que les objets connectés sont appelés à pr endr e une place gr andissante, ces der nier s sont déjà la cible de crackers. Ainsi, l’éditeur de sécur ité Proofpoint a détecté un malwar e visant… un r éfr igér ateur connecté. Ce der nier était au centre d’une lar ge campagne de spams. War R@M - Janvier 2014 Des cher cheur s du SpiderLab de Trustwave’s, une entr epr ise de cyber sécurité or iginellement connue pour ses « penetr ation tests » efficaces, ont fait une découver te intér essante en enquêtant sur un gr oupe de « black hats ». Apr ès avoir pénétr é avec succès un de leur s ser veurs, basé aux Pays-Bas, ils se sont r endus compte que pr ès de 2 millions de mots de passe de comptes Facebook, Google, Twitter et Yahoo avaient été dér obés à l’insu de leur s utilisateurs. Les géants du Net ont vite fait de pr évenir les pauvr es inter nautes lésés… qui conser vent néanmoins une cer taine par t de r esponsabilité dans le pir atage, au vu du peu d’intér êt donné à la sécur ité de leur s données en ligne. En effet, les mots de passe les plus fr équents oscillaient entr e 1 2 3 4 5 6 , password, admin, ou plus sobr ement encor e, 1 2 3 . Tellement évident qu’on pour r ait en fair e un film. 3
  4. 4. Faciliter la prise de contact (Suite de "To Disclose or Not to Disclose« , p.2 ) Par fois, même avec toute la bonne volonté du monde, il est tellement difficile d’obtenir un inter locuteur compétent, voir e un inter locuteur tout cour t, que les exper ts jettent l’éponge et s’en r emettent au full disclosur e. Il est donc impor tant: 360° Etats et cyberdéfense  De mettre en place un moyen de contact dédié aux évènements de sécur ité une adr esse email à destination des équipes sécur ité IT en inter ne (ou du r esponsable de la sécur ité de l’entr epr ise) est amplement suffisante  Four nir quelque par t sur le site institutionnel une r éfér ence ver s ce moyen de contact  For mer l’équipe r esponsable du suppor t tr aditionnel à r edir iger les sollicitations sur ce point de contact Israël se lance dans la course au cyber-armement Si, comme le pense Thomas Rid, « la cyber guer re n’aur a pas lieu », cela n’empêche pas cer taines nations de se lancer dans une cour se à l’ar mement effr énée. Depuis août der nier , Elta, une star t-up isr aélienne devenue filiale du géant Israel Aerospace Industries, développe et r enfor ce son offr e dans les capacités offensives et défensives de cyber défense. La balkanisation du Net, c’est pas pour demain ! L’idée n’aur a pas fait long feu. Le concept de « balkanisation du net » (splinternet en anglais ou cyberbalkanisation), vér itable mar r onnier depuis son invention par un cer tain Clyde W ayne Crews, semble êtr e passé de mode. Pr enant outr ageusement la poussièr e, l’idée avait finalement r egagné l’intér êt des exper ts et des analystes avec le scandale PRISM et les r évélations de Snowden. Las, Dilma Roussef a beau se démener , la gr ande major ité des acteurs du numér ique semblent peu intér essées par l’idée d’un Inter net sépar é. Un r etour en ar r ièr e semble bien impr obable désor mais, tant l’initiative ser ait coûteuse. Le r étr opédalage de l’Allemagne sur la pr otection des données per sonnelles montre bien qu’une compar timentation n’est pas pour demain : si balkanisation il y a, elle se fer a à minima. Le coup du chapeau Rien ne va plus au pays du M atin calme. En effet, plusieur s dizaines millions de car tes de cr édit aur aient été pir atées en Corée du Sud. En cause, l’ "indiscr étion" de cer tains employés et des actes malveillants de pir atage. La situation r este difficile à estimer: on par lait de 2 0 millions de données bancair es pir atées, alor s qu’un r écent chiffr e du W all Str eet Jour nal évalue la per te à plus de 1 0 0 millions, soit le double de la population sud-cor éenne. La France révise sa copie en matière de cybercriminalité La Fr ance a finalement décidé de r epousser la publication de son r appor t inter ministériel sur la cyber cr iminalité en févr ier . Les ministèr es concer nés sont, sans sur pr ise, la Justice, l’Intér ieur , l’Economie numér ique et le Budget. Aucune r aison valable n’a été avancée pour l’instant. Cloud, Data Centers, Big Data Big Data vs Cybercrime L’association des deux ne coule pas de sour ce : pour tant, le Big Data pour r ait appor ter énor mément dans la lutte contr e le cyber cr ime. C’est en tout cas l’avis du site HackSur fer , qui r evient sur trois outils qui utilisent le Big Data afin d’analyser , de compar er et d’avoir une analyse en temps r éel des cyber attaques. L’outil en ligne d’HackSur fer est disponible ici. War R@M -Janvier 2014 Bull et Osiatis accompagnent EDF dans le Cloud EDF –ERDF s’est lancé dans un pr ojet dantesque: l’exploitation et la migr ation de plus de 1 6 0 ,0 0 0 postes sur un cloud pr ivé, utilisant des technologies M icr osoft. Le pr ojet, por té par le consortium Bull-Osiatis, est le plus impor tant pr ojet mondial de cloud utilisant les technologies M icr osoft à ce jour . 4 Disposer d’un processus de mise à jour d’urgence À par tir du moment où une vulnér abilité est découver te, on peut supposer qu’elle est déjà connue et peut êtr e même exploitée par d’autr es individus. Il faut donc r éagir dans les plus br efs délais. Une bonne pr atique consiste à mettre en place une politique de patching. Cette politique définit différ ents niveaux de cr iticités pour les patchs, avec pour chaque niveau un délai de tr aitement maximal. Pour les patchs les plus cr itiques, on peut assouplir les tests pour accélér er la mise en pr oduction. Entretenir la relation avec les experts sécurités Snapchat (voir l’Affaire SnapChat, p.6 ) est le par fait exemple de pr ise de contact r atée. M ettre les exper ts en r elation avec du per sonnel adéquat en inter ne est la pr emièr e chose à fair e. Ce genr e d’échange ne peut pas se fair e avec un r esponsable communication ou un suppor t client standar d. Il faut une per sonne compétente en sécur ité infor matique, avec un pouvoir de décision ou au moins des capacités d’escalades appr opr iées. Il faut ensuite gar der contact avec l’exper t et le tenir infor mé de l’avancement sur la cor r ection des vulnér abilités. Cer taines entr eprises comme M icr osoft ou Google vont même jusqu’à offr ir des r écompenses pour ce genr e de ser vices, ce qui est selon moi une tr ès bonne appr oche. Le "responsible disclosure" est un vér itable cadeau fait aux entr epr ises. La conscience et l’éthique ne devr aient pas êtr e les seules motivations disponibles, la r econnaissance, financièr e ou publique, devr ait à minima êtr e de la par tie. Sans cette r econnaissance, et avec l’impor tance cr oissante des outils de « cyber guer r e », cet acte de char ité se fer a de plus en plus r ar e. L’éthique ser a sacr ifiée au pr ofit d’une vente juteuse du 0 -day en question, ou d’un débauchage par des pr ofessionnels du milieu.
  5. 5. OUT-OF-THE-BOX L'adoption de la Loi de programmation militaire en décembr e 2 0 1 3 a été l'occasion d'un mouvement de contestation en r aison des gr ands pouvoir s qu'elle confèr e aux ser vices de r enseignement dans la collecte de métadatas. Ces dispositions existaient déjà aupar avant, mais uniquement pour 1 lutter contre le ter rorisme . En r éalité, ces métadatas sont bien plus per sonnelles que celles habituellement désignées par ce ter me. Leur collecte massive per met de r etr acer l'ensemble de l'activité d'un individu, sauf à ce que celui-ci s'inter dise totalement l'usage de tout moyen de communication électr onique. L'ar ticle 1 3 devenu l'ar ticle 2 0 pose des pr oblèmes de compatibilité jur idique avec les pr incipes de liber té d'expr ession, de liber té de pensée et de liber té politique. Le Conseil constitutionnel a en effet affir mé en juin 2 0 0 9 le pr incipe de la liber té de communication, "condition de 2 la démocratie" . Cette liber té peut êtr e limitée par la loi, mais dans une mesur e str ictement nécessaire à la pr éser vation de l'intér êt génér al. Or la possibilité d'êtr e soumis à des inter ceptions de sécur ité sans aucune gar antie est de natur e à conduir e le citoyen à s'autocensurer et donc indir ectement mais tr ès effectivement, entr ave la liber té politique. Tout le pr oblème est donc d'assur er l'effectivité des liber tés publiques par l'instaur ation de mécanismes de contr ôle LA COLLECTE DE METADATA : VERS LE BUG JURIDIQUE ? sur l'action des ser vices de r enseignement. De la même façon que le dr oit des données per sonnelles confèr e aux per sonnes visées par une collecte de données per sonnelles le dr oit d'en êtr e infor mées, le droit des interceptions de sécurité devrait assurer l'information a posteriori des intéressés, seul moyen d'assur er l'effectivité d'un contr ôle par la possibilité de saisir un 3 juge des éventuels manquements . L'impér atif démocr atique du contr ôle des ser vices de r enseignement et de police a déjà été souligné par nombr es d'or ganisations inter nationales et constitue la condition sine qua non de la légitimité de leur action. Quel r esponsable pr endr ait la r esponsabilité de solliciter une investigation dans un but indéfendable s'il sait qu'a poster ior i, l'ensemble de la pr océdur e fer a l'objet d'un contrôle ? Ces règles feront également toute la différence entre les services de l'Etat et les diverses agences de renseignement privées agissant en dehor s de toute légalité et à des fins inavouables. La LPM aur ait d'ailleur s pu ajouter par mi les objectifs assignés aux différ ents ser vices leur ouvr ant le dr oit de r ecourir à des moyens d'investigation r enforcés, la lutte contr e ce que d'autr es dr oits eur opéens qualifient de "service de 4 renseignement prohibé ", qu'il s'agisse de bar bouzes pr ivés (affair e IKEA) ou de ser vices étr angers inter venant sur notr e ter r itoir e (NSA). De plus, l'infor mation et la vér ification des données et de leur analyse par les intér essés et/ ou par le juge per mettr a d'apur er les STAD (ndlr: Système de traitement automatisé des données) des infor mations inexactes. Différ ents cas ont en effet montr é que la collecte abusive et massive de données per sonnelles ne pr ésentait en r éalité aucun intér êt en r aison de for t taux d'er r eurs qu'elle impliquait et du tr avail de vér ification nécessaire pour les 5 exploiter utilement . Par Eve M atringe, Docteure en dr oit, titulair e du CAPA @Evematringe 1 . Ar t. L. 3 4 -1 -1 du code des postes et des communications électr oniques. 2 . Cons. Constit., DC n°2 0 0 9 -5 8 0 du 1 0 juin 2 0 0 9 et DC n°8 4 -1 8 1 du 1 1 octobre 1 9 8 4 . Lamy dr oit de l'immatér iel, Code annoté 2 0 1 0 , p. 5 et s. 3 . Le contr ôle assur é par la CNIS est actuellement par faitement théor ique, tant les moyens employés que les per sonnes en char ge de sa r éalisation sont faibles au r egar d du nombr e d'inter ceptions à contr ôler et du manque d'indépendance vis-à-vis du pouvoir politique. 4 . Ér ic Denécé, L’éthique dans les activités de renseignement, Revue fr ançaise d'administr ation publique 2 0 1 1 / 4 (n° 1 4 0 ), pp. 7 0 7 -7 2 2 . 5 . Jean-Paul Br odeur , Le renseignement : distinctions préliminaires, Canadian Jour nal of Cr iminologie and Cr iminal Justice, 4 7 (1 ), pp. 1 5 –4 3 , Janvier 2 0 0 5 . Pour aller plus loin…. Si vous avez loupé le coche et que vous ne savez pas ce qu’est la LPM , ces quelques liens pour vous r emettre à jour vous per mettront de vous for ger une idée sur le sujet en complétant, sans r emplacer, l’excellente analyse de notr e jur iste : • La ver sion finale de la Loi de Pr ogr ammation M ilitair e • Le site officiel du Sénat • L’ar ticle 1 3 est-il plus danger eux pour Inter net que les lois existantes? • Big Br other ou big bazar ? Le pr ojet de loi de pr ogr ammation militair e fait contr overse • Tout ce que vous avez toujours voulu savoir sur la # LPM et que vous avez été nombr eux à me demander War R@M -Janvier 2014 5 En outr e, ce mois-ci, le livr e « Loi et Internet » de Fabrice M attatia est sor ti dans la pr esse. Cet ouvr age de r éfér ence vulgar ise pour tout inter naute le cadr e jur idique de la publication et de l’utilisation des contenus sur Inter net. Un indispensable! Loi et Internet Un petit guide civique et jur idique Auteur(s) : Fabr ice M attatia Editeur (s) : Eyr olles Collection : Connectez-moi ! Nombr e de pages : 2 3 2 pages Date de par ution : 0 9 / 0 1 / 2 0 1 4 EAN1 3 : 9 7 8 2 2 1 2 1 3 7 1 6 3
  6. 6. PIMP MY OPSEC L’AFFAIRE SNAPCHAT Comme toute application de star tup qui se r especte, le développement de SnapChat a été fait le plus r apidement possible et n’a sûr ement pas bénéficié d’une r evue sécur ité par des spécialistes. Un gr oupe d’étudiants passionnés, r éunis sous le nom GibsonSec, a décor tiqué l’API de l’application. Ils ont tr ouvé de nombr euses faiblesses et les ont gr acieusement four nies en pr ivé à Snapchat. Ils sont même allés jusqu’à postuler à une offr e d’emploi de la Star tup pour les aider à cor r iger leur s vulnér abilités. Ça, c’était début juillet. En août, GibsonSec commence à s’agacer de l’inaction de Snapchat, qui qualifie l’attaque de « théorique ». Le gr oupe four nie alor s un pr emier aver tissement par le biais d’une communication publique. Cette communication met en évidence les vulnér abilités sans four nir suffisamment d’infor mation pour les r endr e exploitables. Quatr e mois plus tar d, toujours aucune r éaction de la par t de Snapchat. GibsonSec cr aque et passe au « full disclosure ». (Voir notre article sur le "full disclosure" en page 2 ) Le script« find_friends » (retranscrit incomplètement ci-dessus) permet à un cracker d’accéder entièrement aux données personnelles d’un utilisateur, même en mode privé. La nouvelle fait un peu de br uit, Snapchat « noie le poisson » peu de temps après en sous entendant que le pr oblème est mitigé. Les mesur es pr ises sont totalement insuffisantes, et pour fêter la nouvelle année un gr oupe d’individus utilise les infor mations four nies par GibsonSec et met en ligne sur snapchatdb.info une base de données de 4 .6 millions de noms de comptes Snapchat associés au numér o de téléphone de l’utilisateur . Les deux der nier s chiffr es du numér o de téléphones sont r etir és, mais la ver sion non censur ée est disponible sur simple demande. De plus à ma connaissance la faille est toujours exploitable, par conséquent n’impor te qui peut obtenir les mêmes r ésultats. Des per sonnes r evendiquant la diffusion ont communiqué aupr ès des médias les r aisons de cette divulgation. "La motivation de cette release était de sensibiliser les utilisateurs à la gr avité de la vulnér abilité, ainsi que de mettr e la pr ession sur Snapchat pour qu’il la cor r ige. La sécur ité est aussi impor tante que l’expér ience utilisateur ." Snapchat a enfin r éagi, confir mé que ça leur passait au dessus, et pr omis une mise à jour qui ne semble pas cor r iger le cœur du pr oblème. Le tout en ayant le culot de demander aux exper ts sécur ité de les contacter à l’avenir . (Entr e temps, SnapChat a annoncé un cor r ectif de sécur ité… qui a déjà été contour né, en moins de 3 0 mn). Par M organ Hotonnier Ingénieur spécialisé SSI @morganhotonnier Appel à contributeurs Cette newsletter mensuelle s’adr esse à une communauté ciblée et est construite sur un modèle collaboratif, s’inspir ant d’une démar che open source et dans le souci d’un par tage de connaissances. De fait, elle vit et s’enr ichit de ses contr ibuteurs, pour la plupar t des exper ts dans leur s domaines r espectifs, et de fait nous sommes toujours à la r echerche d’appor ts. Si publier par notr e biais vous intér esse, n’hésitez pas à vous adr esser à nous à contacter pour en discuter plus en détails. Cor dialement, La Rédaction W ar R@M vous est pr oposée le der nier vendr edi de chaque mois et est disponible en ligne. C’est une publication libre, vous pouvez donc la par tager sans r éserves, à condition de r especter la pr opr iété Suivez notr e actualité sur notr e compte SlideShar e: intellectuelle des per sonnes qui y publient . http:/ / fr .slideshare.net/ W arRam

×