SlideShare une entreprise Scribd logo
THE WAR R@M
FOLLOW THE W HITE RABBIT

Janvier 2014

L’E-DITO

L’ART DE LA GUERRE

W ar Ram.
Deux mots.
W ar pour guer r e. Dans le cyber espace, nous y ser ions pr esque.
Cer tes pas la guer r e tr aditionnelle et déclar ée des États qui
s’affr ontent sur un champ de bataille. Celle qui nous intér esse est
"multiscalair e", r ime avec bits et s’écr it en lignes de code.
Ram pour Random Access M emory. Le ter me ne r envoie pas qu’à
l’excellent album des Daft Punk, il évoque sur tout les for ces vives d’un
or dinateur , le ner f de la guer r e infor matique.
M is ensemble, ces deux ter mes r appellent par homophonie les
célèbr es "W ar Rooms" de Chur chill, où l’infor mation str atégique la plus
impor tante était agr égée en un lieu.
L’ambition de ce pr ojet de Newsletter est de s’inspir er de cette
initiative. En une maxime : centr aliser au sein d’une lettr e mensuelle la
« substantifique moelle » des sphèr es cyber défense/ cyber sécur ité.
Le « champ de bataille » numér ique qui s’ouvr e aujour d’hui est au
croisement de la sécurité informatique, de la cyberdéfense, du droit et
de la technologie. Cette complexité appelle au plus gr and des
discer nements.
Car le théâtr e et son pér imètr e sont incertains, ses acteur s nombreux
et par fois difficiles à identifier : entr epr ises, hacker s, cr acker s, Etats,
univer sitair es…
Lever le voile, c’est ce que vous pr oposent les contr ibuteur s de la W ar
R@m à tr aver s quatr e catégor ies distinctes :
 Les Experts : Contr ibution d’un exper t du cyber espace sur une
pr oblématique donnée.
 3 6 0 ° : Une veille globale sur la cyber sécur ité/ cyber défense et les
infr astr uctur es.
 Out-of-the-box : Contr ibution d’un exper t qui sor t du cadr e
“classique” de la cyber sécur ité : pr ofesseur s d’univer sité,
doctor ants, hacker s…
 Pimp my Opsec : Une analyse pointue d’une faille de sécur ité ou de
mesur es à pr endr e pour qu’elle ne se r epr oduise pas !
Puisse cette pr emièr e « Ram » d’infos vous appor ter une meilleur e
compr éhension de ce qui se passe sous les cir cuits du cyber espace…

•
•
•

Sommaire
L’Edito
Les Experts
360°
Out-of-the-Box
Pimp my Opsec

Les gros titres
#SnapChat
#LPM
#InfoSec
#FullDisclosure

La vidéo du mois
Let’s Enhance, le retour

Pour le plaisir des yeux, un inter naute a
décidé d’uploader une ver sion HD du fameux
« Let’s Enhance ». L’occasion de r ir e un peu
et de r appeler que quand « la résolution est
mauvaise, agrandir ne servirait à rien »…
Les Exper ts ne sont pas for cément ceux
que l’on cr oit…

Retrouvez aussi nos publications sur notre Slideshare
Envie d’en savoir plus? Contactez-nous: redaction.warram@spray.se
Les contr ibuteurs associés à ce pr emier numér o, pour leur contribution et leur soutien, visible ou
invisible : @morganhotonnier, @evematringe @leroycyber, @ncaproni @M Duqn,
@blog_e_sphere, @comptoirsecu
TO DISCLOSE OR NOT TO
DISCLOSE

LES EXPERTS

Le full disclosure : une approche critiquée
Tr aditionnellement, la communauté sécur ité est
tr ès par tagée entr e :




Le "full disclosure", qui consiste à four nir au
gr and public l’ensemble des infor mations
concer nant une vulnér abilité découver te
Le "coordinated disclosure" ou "responsible
disclosure", moins r adical, où la vulnér abilité
est d’abor d communiquée à l’éditeur pour
qu’il la cor r ige. Ce n’est que lor sque celui-ci
four nit son autor isation, souvent apr ès
cor r ection, que la faille est diffusée au
monde entier .

Le responsible disclosure peut par aîtr e idéal, car
l’infor mation sur la vulnér abilité n’est accessible
que lor squ’elle n’est plus exploitable. M ais si
l’appr oche peut fonctionner avec des éditeur s
r esponsables, la r éalité est génér alement tout
autr e.

Cet ar ticle est par u pour la 1 èr e fois
sur le M edium du Comptoir de la
sécur ité

Quand
l’éditeur
maîtrise
la
communication, il n’est pas pressé
par le temps
"À quoi bon se presser et débloquer
un budget en ur gence ? Le public
n’est pas au courant, nous aurons
tout
le
temps
d’allouer
des
r essources au budget de l’année
pr ochaine."
J’exagèr e le trait, mais l’idée est là.
La correction des vulnérabilités est
souvent le cadet des pr éoccupations
des dir igeants. La pr ior ité est à l’ajout
de fonctionnalités demandées par
l’utilisateur ou qui optimisent les
bénéfices pour faire plaisir aux
investisseurs. Sans la pression des
médias et des clients, les corr ections
tr aînent, par fois elles ne viennent
jamais.
Une fois l’information publiée, l’image
de l’éditeur en pâtit et chaque jour qui
passe sans correction augmente la
chance de voir son nom dans les
journaux associé à une grosse fuite
d’information. C’est malheureusement
par fois le seul moyen pour que
l’entr epr ise se décide à tr aiter la
vulnér abilité comme elle le mér ite :
une ur gence.

M ême Google commence à ser r er la
vis et applique le full disclosure si
apr ès 7 jour s l’éditeur n’a toujours
pas cor r igé une faille qu’ils estiment
cr itique ou déjà utilisée.
Alors, full ou responsible disclosure ?
Je suis per sonnellement pour une
ver sion hybr ide, similair e à celle que
pr éconise Google. Je tr ouve
dommage d’offr ir en pâtur e aux
médias une entr epr ise qui ser ait
pr ête à jouer le jeu et tr aiter la
cor r ection de la vulnér abilité dans les
délais qu’elle mér ite. Ainsi une
divulgation en pr ivé aupr ès de
l’éditeur semble êtr e une bonne
appr oche.
Si l’entr epr ise s’implique et
communique en bonne intelligence,le
responsible disclosure peut r ester
une solution viable.
Le full disclosure r ester ait donc un «
plan B », der nièr e ar me à utiliser
quand l’éditeur :


Est connu pour son hostilité
envers ce genre de requête.



N’offre aucun moyen de contact
adéquat



Ne répond pas à nos sollicitations

Certains éditeurs prennent le
problème à l’envers



Si vous avez écouté notr e épisode 2
du Comptoir Sécu sur les failles 0 -day,
vous savez à quel point ce genr e de
découver te peut valoir cher sur le
mar ché noir …

Refuse de traiter la vulnérabilité
en accord avec son niveau de
criticité

Le traitement des "responsible
disclosure" par une entreprise

M algr é tout, cer tains individus avec
encor e un peu d’éthique sont pr êts à
offr ir le r ésultat de leur tr avail à
l’éditeur , gr atuitement…et se font
attaquer en guise de r emer ciement.
Vous pensez que j’exagèr e ? Pour tant
ce genr e de situation est déjà ar r ivé.

Les débats qui entourent le "full disclosure" ne sont ni
récents, ni homogène. Ainsi, en 2 0 0 9 , le collectif Anti
Sec avait hacké l’hébergeur d’images Image Shack pour
protester contre cette pratique.

War R@M - Janvier 2014

Il ne faut pas s’étonner apr ès ce
genr e ’affair es de voir de plus en plus
d’exper ts pr ôner le full disclosur e,
souvent sous couver t d’anonymat
pour éviter le r etour de flamme.

2

Si j’avais car te blanche dans une
entr eprise sur le tr aitement des
failles de sécur ité découver tes par un
tier s, voilà ce que je pr éconiserai
(suite p.4 )

Par M organ Hotonnier
Ingénieur spécialisé SSI
@morganhotonnier
360°

En vrac

Et pour quelques Bitcoins de
plus…
Les cas de br aquage en ligne de
banques semblent se bousculer au
por tillon. La cible pr ivilégiée ? Les
Bitcoins, la devise vir tuelle « so trendy »
développée par le mystér ieux Satoshi
Nakamoto. Il faut dir e que le "Bt" ne
manque pas d’ar guments: son cour s a
r écemment explosé, au point de
dépasser celui de l’or , fin novembr e.
Or , si voler un Bitcoin est « facile », le
« blanchir » est une autr e pair e de
manches. Contr airement à la monnaie
classique, les tr ansactions en Bitcoin
sont publiques et consultables par tous.
Ainsi, un pir ate s’est r etrouvé bien
embêté quand il a dû falloir pr ofiter de
cette manne si chèr ement acquise. Il a
tr ès vite été inter pellé par le FBI, devenu
depuis quelques années docteur ès
cyber espace.
M ais ce pauvr e pir ate peut se consoler:
la Chine a décidé de ser r er la vis sur
cette monnaie vir tuelle, et de
nombr euses banques centr ales le
r emettent en cause.
Un krach similair e à celui de la tulipe
est-il à pr évoir ?
(Pour aller plus loin: voir les auditions du
Sénat sur le Bitcoin)

Un outil de reverse engineering
gratuit!
Infor mation pour les détectives du
clavier : un outil de reverse engineering
a été mis en ligne sur GitHub.com.
Pr ofitez-en, il est gr atuit!

The Russian Job
L’affair e Tar get aur a fait coulé beaucoup d’octets. Le géant amér icain a en effet subi
une cyber attaque qui a affecté pr ès de 1 1 0 millions de ses clients lor s des achats de
fin d’année. Or , il s’avèr e que le gr oupe a sa par t de r esponsabilité dans ce pir atage
massif (selon The W ired, le r éseau Tar get avait déjà été cr acké en 2 0 0 5 , mais celui-ci
se ser ait lavé les mains de la faille de sécur ité).
Alor s que l’enquête se pour suit, on sait d’or es et déjà deux choses :
 Au moins 1 1 Go de données ont été envoyées ver s un ser veur r usse.
 Un pir ate r usse de 1 7 ans ser ait à l’or igine du malware, r épondant au doux nom
de Trokan.POSRAM . Cette infor mation r este toutefois à confir mer.
Seculert, iSight Partners et IntelCrawler sont en char ges de l’enquête. Quant à Tar get,
le chiffr e d’affair e est déjà appelé à baisser … de 3 0 %!

Facebook et la campagne malveillante d’Adobe
Les campagnes malveillantes sont légion sur Facebook. Récemment, Dancho Danchev,
un éminent exper t en cyber sécur ité, a découver t une campagne hostile, toujours active
à ce jour, enjoignant les utilisateurs à installer un faux logiciel Adobe Flash Player,
utilisant les ser vices de r edir ection de Google. Plus d’infos sur le blog de M . Danchev.

123456, sésame, ouvre-toi !
Insolite: un malware transforme
un réfrigérateur connecté en
"botnet "
Alor s que les objets connectés sont
appelés à pr endr e une place
gr andissante, ces der nier s sont déjà la
cible de crackers. Ainsi, l’éditeur de
sécur ité Proofpoint a détecté un
malwar e visant… un r éfr igér ateur
connecté. Ce der nier était au centre
d’une lar ge campagne de spams.

War R@M - Janvier 2014

Des cher cheur s du SpiderLab de Trustwave’s, une entr epr ise de cyber sécurité
or iginellement connue pour ses « penetr ation tests » efficaces, ont fait une découver te
intér essante en enquêtant sur un gr oupe de « black hats ». Apr ès avoir pénétr é avec
succès un de leur s ser veurs, basé aux Pays-Bas, ils se sont r endus compte que pr ès
de 2 millions de mots de passe de comptes Facebook, Google, Twitter et Yahoo
avaient été dér obés à l’insu de leur s utilisateurs.
Les géants du Net ont vite fait de pr évenir les pauvr es inter nautes lésés… qui
conser vent néanmoins une cer taine par t de r esponsabilité dans le pir atage, au vu du
peu d’intér êt donné à la sécur ité de leur s données en ligne. En effet, les mots de passe
les plus fr équents oscillaient entr e 1 2 3 4 5 6 , password, admin, ou plus sobr ement
encor e, 1 2 3 . Tellement évident qu’on pour r ait en fair e un film.

3
Faciliter la prise de contact (Suite de "To
Disclose or Not to Disclose« , p.2 )
Par fois, même avec toute la bonne volonté du
monde, il est tellement difficile d’obtenir un
inter locuteur compétent, voir e un inter locuteur
tout cour t, que les exper ts jettent l’éponge et
s’en r emettent au full disclosur e. Il est donc
impor tant:

360°

Etats et cyberdéfense



De mettre en place un moyen de contact
dédié aux évènements de sécur ité une
adr esse email à destination des équipes
sécur ité IT en inter ne (ou du r esponsable de
la sécur ité de l’entr epr ise) est amplement
suffisante



Four nir quelque par t sur le site institutionnel
une r éfér ence ver s ce moyen de contact



For mer l’équipe r esponsable du suppor t
tr aditionnel à r edir iger les sollicitations sur
ce point de contact

Israël se lance dans la course au cyber-armement
Si, comme le pense Thomas Rid, « la cyber guer re n’aur a pas lieu », cela
n’empêche pas cer taines nations de se lancer dans une cour se à
l’ar mement effr énée. Depuis août der nier , Elta, une star t-up isr aélienne
devenue filiale du géant Israel Aerospace Industries, développe et r enfor ce
son offr e dans les capacités offensives et défensives de cyber défense.

La balkanisation du Net, c’est pas pour demain !
L’idée n’aur a pas fait long feu. Le concept de « balkanisation du net » (splinternet
en anglais ou cyberbalkanisation), vér itable mar r onnier depuis son invention par un
cer tain Clyde W ayne Crews, semble êtr e passé de mode. Pr enant
outr ageusement la poussièr e, l’idée avait finalement r egagné l’intér êt des exper ts
et des analystes avec le scandale PRISM et les r évélations de Snowden.
Las, Dilma Roussef a beau se démener , la gr ande major ité des acteurs du
numér ique semblent peu intér essées par l’idée d’un Inter net sépar é. Un r etour en
ar r ièr e semble bien impr obable désor mais, tant l’initiative ser ait coûteuse. Le
r étr opédalage de l’Allemagne sur la pr otection des données per sonnelles montre
bien qu’une compar timentation n’est pas pour demain : si balkanisation il y a, elle
se fer a à minima.

Le coup du chapeau
Rien ne va plus au pays du M atin calme. En effet, plusieur s dizaines millions de
car tes de cr édit aur aient été pir atées en Corée du Sud. En cause,
l’ "indiscr étion" de cer tains employés et des actes malveillants de pir atage. La
situation r este difficile à estimer: on par lait de 2 0 millions de données
bancair es pir atées, alor s qu’un r écent chiffr e du W all Str eet Jour nal évalue la
per te à plus de 1 0 0 millions, soit le double de la population sud-cor éenne.

La France révise sa copie en matière de cybercriminalité
La Fr ance a finalement décidé de r epousser la publication de son r appor t
inter ministériel sur la cyber cr iminalité en févr ier . Les ministèr es concer nés
sont, sans sur pr ise, la Justice, l’Intér ieur , l’Economie numér ique et le Budget.
Aucune r aison valable n’a été avancée pour l’instant.

Cloud, Data Centers, Big Data
Big Data vs Cybercrime
L’association des deux ne coule pas
de sour ce : pour tant, le Big Data
pour r ait appor ter énor mément dans
la lutte contr e le cyber cr ime. C’est en
tout cas l’avis du site HackSur fer , qui
r evient sur trois outils qui utilisent le
Big Data afin d’analyser , de compar er
et d’avoir une analyse en temps r éel
des cyber attaques.
L’outil en ligne d’HackSur fer est
disponible ici.

War R@M -Janvier 2014

Bull et Osiatis accompagnent
EDF dans le Cloud
EDF –ERDF s’est lancé dans un
pr ojet dantesque: l’exploitation et la
migr ation de plus de 1 6 0 ,0 0 0
postes sur un cloud pr ivé, utilisant
des technologies M icr osoft.
Le pr ojet, por té par le consortium
Bull-Osiatis, est le plus impor tant
pr ojet mondial de cloud utilisant les
technologies M icr osoft à ce jour .

4

Disposer d’un processus de mise à jour
d’urgence
À par tir du moment où une vulnér abilité est
découver te, on peut supposer qu’elle est déjà
connue et peut êtr e même exploitée par
d’autr es individus. Il faut donc r éagir dans les
plus br efs délais. Une bonne pr atique consiste à
mettre en place une politique de patching. Cette
politique définit différ ents niveaux de cr iticités
pour les patchs, avec pour chaque niveau un
délai de tr aitement maximal. Pour les patchs les
plus cr itiques, on peut assouplir les tests pour
accélér er la mise en pr oduction.
Entretenir la relation avec les experts sécurités
Snapchat (voir l’Affaire SnapChat, p.6 ) est le
par fait exemple de pr ise de contact r atée.
M ettre les exper ts en r elation avec du per sonnel
adéquat en inter ne est la pr emièr e chose à
fair e. Ce genr e d’échange ne peut pas se fair e
avec un r esponsable communication ou un
suppor t client standar d. Il faut une per sonne
compétente en sécur ité infor matique, avec un
pouvoir de décision ou au moins des capacités
d’escalades appr opr iées. Il faut ensuite gar der
contact avec l’exper t et le tenir infor mé de
l’avancement sur la cor r ection des
vulnér abilités. Cer taines entr eprises
comme M icr osoft ou Google vont même jusqu’à
offr ir des r écompenses pour ce genr e de
ser vices, ce qui est selon moi une tr ès bonne
appr oche.
Le "responsible disclosure" est un vér itable
cadeau fait aux entr epr ises. La conscience et
l’éthique ne devr aient pas êtr e les seules
motivations disponibles, la r econnaissance,
financièr e ou publique, devr ait à minima êtr e de
la par tie. Sans cette r econnaissance, et avec
l’impor tance cr oissante des outils de « cyber
guer r e », cet acte de char ité se fer a de plus en
plus r ar e. L’éthique ser a sacr ifiée au pr ofit d’une
vente juteuse du 0 -day en question, ou d’un
débauchage par des pr ofessionnels du milieu.
OUT-OF-THE-BOX
L'adoption de la Loi de programmation
militaire en décembr e 2 0 1 3 a été
l'occasion d'un mouvement de
contestation en r aison des gr ands
pouvoir s qu'elle confèr e aux ser vices de
r enseignement dans la collecte de
métadatas. Ces dispositions existaient
déjà aupar avant, mais uniquement pour
1
lutter contre le ter rorisme . En r éalité,
ces métadatas sont bien plus
per sonnelles que celles habituellement
désignées par ce ter me. Leur collecte
massive per met de r etr acer l'ensemble
de l'activité d'un individu, sauf à ce que
celui-ci s'inter dise totalement l'usage de
tout moyen de communication
électr onique.
L'ar ticle 1 3 devenu l'ar ticle 2 0 pose des
pr oblèmes de compatibilité jur idique avec
les pr incipes de liber té d'expr ession, de
liber té de pensée et de liber té politique.
Le Conseil constitutionnel a en effet
affir mé en juin 2 0 0 9 le pr incipe de la
liber té de communication, "condition de
2
la démocratie" . Cette liber té peut êtr e
limitée par la loi, mais dans une mesur e
str ictement nécessaire à la pr éser vation
de l'intér êt génér al. Or la possibilité
d'êtr e soumis à des inter ceptions de
sécur ité sans aucune gar antie est de
natur e à conduir e le citoyen à
s'autocensurer et donc indir ectement
mais tr ès effectivement, entr ave la
liber té politique.
Tout le pr oblème est donc d'assur er
l'effectivité des liber tés publiques par
l'instaur ation de mécanismes de contr ôle

LA COLLECTE DE METADATA :
VERS LE BUG JURIDIQUE ?

sur l'action des ser vices de
r enseignement. De la même façon que
le dr oit des données per sonnelles
confèr e aux per sonnes visées par une
collecte de données per sonnelles le dr oit
d'en êtr e infor mées, le droit des
interceptions de sécurité devrait assurer
l'information a posteriori des intéressés,
seul moyen d'assur er l'effectivité d'un
contr ôle par la possibilité de saisir un
3
juge des éventuels manquements .
L'impér atif démocr atique du contr ôle des
ser vices de r enseignement et de police a
déjà été souligné par nombr es
d'or ganisations inter nationales et
constitue la condition sine qua non de la
légitimité de leur action.
Quel r esponsable pr endr ait la
r esponsabilité de solliciter une
investigation dans un but indéfendable s'il
sait qu'a poster ior i, l'ensemble de la
pr océdur e fer a l'objet d'un contrôle ?
Ces règles feront également toute la
différence entre les services de l'Etat et
les diverses agences de renseignement
privées agissant en dehor s de toute
légalité et à des fins inavouables.
La LPM aur ait d'ailleur s pu ajouter par mi
les objectifs assignés aux différ ents
ser vices leur ouvr ant le dr oit de r ecourir
à des moyens d'investigation r enforcés,
la lutte contr e ce que d'autr es dr oits
eur opéens qualifient de "service de
4
renseignement prohibé ", qu'il s'agisse
de bar bouzes pr ivés (affair e IKEA) ou de
ser vices étr angers inter venant sur notr e

ter r itoir e (NSA).
De plus, l'infor mation et la vér ification
des données et de leur analyse par les
intér essés et/ ou par le juge per mettr a
d'apur er les STAD (ndlr: Système de
traitement automatisé des données) des
infor mations inexactes. Différ ents cas
ont en effet montr é que la collecte
abusive et massive de données
per sonnelles ne pr ésentait en r éalité
aucun intér êt en r aison de for t taux
d'er r eurs qu'elle impliquait et du tr avail
de vér ification nécessaire pour les
5
exploiter utilement .

Par Eve M atringe,
Docteure en dr oit, titulair e du CAPA
@Evematringe

1 . Ar t. L. 3 4 -1 -1 du code des postes et des
communications électr oniques.
2 . Cons. Constit., DC n°2 0 0 9 -5 8 0 du 1 0 juin 2 0 0 9
et DC n°8 4 -1 8 1 du 1 1 octobre 1 9 8 4 . Lamy dr oit de
l'immatér iel, Code annoté 2 0 1 0 , p. 5 et s.
3 . Le contr ôle assur é par la CNIS est actuellement
par faitement théor ique, tant les moyens employés que
les per sonnes en char ge de sa r éalisation sont faibles
au r egar d du nombr e d'inter ceptions à contr ôler et du
manque d'indépendance vis-à-vis du pouvoir politique.
4 . Ér ic Denécé, L’éthique dans les activités de
renseignement, Revue fr ançaise d'administr ation
publique 2 0 1 1 / 4 (n° 1 4 0 ), pp. 7 0 7 -7 2 2 .
5 . Jean-Paul Br odeur , Le renseignement : distinctions
préliminaires, Canadian Jour nal of Cr iminologie and
Cr iminal Justice, 4 7 (1 ), pp. 1 5 –4 3 , Janvier 2 0 0 5 .

Pour aller plus loin….
Si vous avez loupé le coche et que vous ne savez pas ce qu’est
la LPM , ces quelques liens pour vous r emettre à jour vous
per mettront de vous for ger une idée sur le sujet en
complétant, sans r emplacer, l’excellente analyse de notr e
jur iste :
• La ver sion finale de la Loi de Pr ogr ammation M ilitair e
• Le site officiel du Sénat
• L’ar ticle 1 3 est-il plus danger eux pour Inter net que les lois
existantes?
• Big Br other ou big bazar ? Le pr ojet de loi de
pr ogr ammation militair e fait contr overse
• Tout ce que vous avez toujours voulu savoir sur la # LPM et
que vous avez été nombr eux à me demander

War R@M -Janvier 2014

5

En outr e, ce mois-ci, le livr e « Loi et Internet » de Fabrice M attatia
est sor ti dans la pr esse. Cet ouvr age de r éfér ence vulgar ise pour
tout inter naute le cadr e jur idique de la publication et de l’utilisation
des contenus sur Inter net. Un indispensable!
Loi et Internet
Un petit guide civique et jur idique
Auteur(s) : Fabr ice M attatia
Editeur (s) : Eyr olles
Collection : Connectez-moi !
Nombr e de pages : 2 3 2 pages
Date de par ution : 0 9 / 0 1 / 2 0 1 4
EAN1 3 : 9 7 8 2 2 1 2 1 3 7 1 6 3
PIMP MY OPSEC

L’AFFAIRE SNAPCHAT

Comme toute application de star tup qui
se r especte, le développement de
SnapChat a été fait le plus r apidement
possible et n’a sûr ement pas bénéficié
d’une r evue sécur ité par des
spécialistes.
Un gr oupe d’étudiants passionnés,
r éunis sous le nom GibsonSec, a
décor tiqué l’API de l’application. Ils ont
tr ouvé de nombr euses faiblesses et les
ont gr acieusement four nies en pr ivé à
Snapchat. Ils sont même allés jusqu’à
postuler à une offr e d’emploi de la
Star tup pour les aider à cor r iger leur s
vulnér abilités.

Ça, c’était début juillet. En août,
GibsonSec commence à s’agacer de
l’inaction de Snapchat, qui qualifie
l’attaque de « théorique ». Le gr oupe
four nie alor s un pr emier aver tissement
par le biais d’une communication
publique. Cette communication met en
évidence les vulnér abilités sans four nir
suffisamment d’infor mation pour les
r endr e exploitables.
Quatr e mois plus tar d, toujours aucune
r éaction de la par t de Snapchat.
GibsonSec cr aque et passe au « full
disclosure ». (Voir notre article sur le
"full disclosure" en page 2 )

Le script« find_friends » (retranscrit incomplètement ci-dessus) permet à un cracker d’accéder
entièrement aux données personnelles d’un utilisateur, même en mode privé.

La nouvelle fait un peu de br uit,
Snapchat « noie le poisson » peu de
temps après en sous entendant que le
pr oblème est mitigé.
Les mesur es pr ises sont totalement
insuffisantes, et pour fêter la nouvelle
année un gr oupe d’individus utilise les
infor mations four nies par GibsonSec et
met en ligne sur snapchatdb.info une
base de données de 4 .6 millions de
noms de comptes Snapchat associés au
numér o de téléphone de l’utilisateur .
Les deux der nier s chiffr es du numér o
de téléphones sont r etir és, mais la
ver sion non censur ée est disponible sur
simple demande. De plus à ma
connaissance la faille est toujours
exploitable, par conséquent n’impor te
qui peut obtenir les mêmes r ésultats.
Des per sonnes r evendiquant la
diffusion ont communiqué aupr ès des
médias les r aisons de cette divulgation.
"La motivation de cette release était de
sensibiliser les utilisateurs à la gr avité
de la vulnér abilité, ainsi que de mettr e
la pr ession sur Snapchat pour qu’il la
cor r ige. La sécur ité est aussi
impor tante que l’expér ience utilisateur ."
Snapchat a enfin r éagi, confir mé que ça
leur passait au dessus, et pr omis une
mise à jour qui ne semble pas cor r iger

le cœur du pr oblème. Le tout en ayant
le culot de demander aux exper ts
sécur ité de les contacter à l’avenir .
(Entr e temps, SnapChat a annoncé un
cor r ectif de sécur ité… qui a déjà été
contour né, en moins de 3 0 mn).
Par M organ Hotonnier
Ingénieur spécialisé SSI
@morganhotonnier

Appel à contributeurs
Cette newsletter mensuelle s’adr esse à
une communauté ciblée et est
construite sur un modèle collaboratif,
s’inspir ant d’une démar che open source
et dans le souci d’un par tage de
connaissances.
De fait, elle vit et s’enr ichit de ses
contr ibuteurs, pour la plupar t des
exper ts dans leur s domaines r espectifs,
et de fait nous sommes toujours à la
r echerche d’appor ts.
Si publier par notr e biais vous intér esse,
n’hésitez pas à vous adr esser à nous à
contacter pour en discuter plus en
détails.
Cor dialement,
La Rédaction

W ar R@M vous est pr oposée le der nier vendr edi de chaque mois et
est disponible en ligne. C’est une publication libre, vous pouvez donc
la par tager sans r éserves, à condition de r especter la pr opr iété
Suivez notr e actualité sur notr e compte SlideShar e:
intellectuelle des per sonnes qui y publient .
http:/ / fr .slideshare.net/ W arRam

Contenu connexe

En vedette

Opinionway pour cci grande consultation des entrepreneurs vague 4
 Opinionway pour cci grande consultation des entrepreneurs vague 4 Opinionway pour cci grande consultation des entrepreneurs vague 4
Opinionway pour cci grande consultation des entrepreneurs vague 4
CCI Entreprendre
 
Canal Santé Magazine - Juin 2014
Canal Santé Magazine - Juin 2014Canal Santé Magazine - Juin 2014
Canal Santé Magazine - Juin 2014
Priscilla April
 
BigData Paris 2014 - Enjeux Sociaux
BigData Paris 2014 - Enjeux SociauxBigData Paris 2014 - Enjeux Sociaux
BigData Paris 2014 - Enjeux Sociaux
Elian CARSENAT
 
Plaquette commerciale Recrutop Event
Plaquette commerciale Recrutop EventPlaquette commerciale Recrutop Event
Plaquette commerciale Recrutop Event
RECRUTOPEvent
 
La BU sera ouverte demain samedi 22 février de 9h à 15h (Journée Portes Ouver...
La BU sera ouverte demain samedi 22 février de 9h à 15h (Journée Portes Ouver...La BU sera ouverte demain samedi 22 février de 9h à 15h (Journée Portes Ouver...
La BU sera ouverte demain samedi 22 février de 9h à 15h (Journée Portes Ouver...
Nathalie Rajon
 
Dp b&c summit
Dp b&c summitDp b&c summit
Dp b&c summit
RAC-F
 
Formation SEVESO CLIC ASTROLAB Communication
Formation SEVESO CLIC ASTROLAB CommunicationFormation SEVESO CLIC ASTROLAB Communication
Formation SEVESO CLIC ASTROLAB Communication
Astrolab Consulting
 
Enquête chauffeurs vtc 02-14 - bilan général
Enquête chauffeurs vtc   02-14 - bilan généralEnquête chauffeurs vtc   02-14 - bilan général
Enquête chauffeurs vtc 02-14 - bilan général
Etudiant EGE
 
Univers
UniversUnivers
Univers
remsto0373
 
Rapport d activites_eco_ecolo_2013
Rapport d activites_eco_ecolo_2013Rapport d activites_eco_ecolo_2013
Rapport d activites_eco_ecolo_2013
RAC-F
 
Enquête chauffeurs vtc 02-14 - bilan général
Enquête chauffeurs vtc   02-14 - bilan généralEnquête chauffeurs vtc   02-14 - bilan général
Enquête chauffeurs vtc 02-14 - bilan général
Etudiant EGE
 
Procès verbal assemblée de copropriété
Procès verbal assemblée de copropriétéProcès verbal assemblée de copropriété
Procès verbal assemblée de copropriété
Fishimmo
 
Dossier A - Action éducative et préventive des pathologies lombaires
Dossier A - Action éducative et préventive des pathologies lombaires Dossier A - Action éducative et préventive des pathologies lombaires
Dossier A - Action éducative et préventive des pathologies lombaires
MNH Mutuelle Nationale des Hospitaliers
 
#Askdigidust - m-tourisme - octobre 2013
#Askdigidust - m-tourisme - octobre 2013#Askdigidust - m-tourisme - octobre 2013
#Askdigidust - m-tourisme - octobre 2013
Digidust
 
Afrique de l’ouest:eau douce
Afrique de l’ouest:eau douceAfrique de l’ouest:eau douce
Afrique de l’ouest:eau douce
sylvestm08
 

En vedette (20)

Opinionway pour cci grande consultation des entrepreneurs vague 4
 Opinionway pour cci grande consultation des entrepreneurs vague 4 Opinionway pour cci grande consultation des entrepreneurs vague 4
Opinionway pour cci grande consultation des entrepreneurs vague 4
 
Canal Santé Magazine - Juin 2014
Canal Santé Magazine - Juin 2014Canal Santé Magazine - Juin 2014
Canal Santé Magazine - Juin 2014
 
BigData Paris 2014 - Enjeux Sociaux
BigData Paris 2014 - Enjeux SociauxBigData Paris 2014 - Enjeux Sociaux
BigData Paris 2014 - Enjeux Sociaux
 
Plaquette commerciale Recrutop Event
Plaquette commerciale Recrutop EventPlaquette commerciale Recrutop Event
Plaquette commerciale Recrutop Event
 
La BU sera ouverte demain samedi 22 février de 9h à 15h (Journée Portes Ouver...
La BU sera ouverte demain samedi 22 février de 9h à 15h (Journée Portes Ouver...La BU sera ouverte demain samedi 22 février de 9h à 15h (Journée Portes Ouver...
La BU sera ouverte demain samedi 22 février de 9h à 15h (Journée Portes Ouver...
 
Dp b&c summit
Dp b&c summitDp b&c summit
Dp b&c summit
 
Formation SEVESO CLIC ASTROLAB Communication
Formation SEVESO CLIC ASTROLAB CommunicationFormation SEVESO CLIC ASTROLAB Communication
Formation SEVESO CLIC ASTROLAB Communication
 
Enquête chauffeurs vtc 02-14 - bilan général
Enquête chauffeurs vtc   02-14 - bilan généralEnquête chauffeurs vtc   02-14 - bilan général
Enquête chauffeurs vtc 02-14 - bilan général
 
Univers
UniversUnivers
Univers
 
M6science54
M6science54M6science54
M6science54
 
Rapport d activites_eco_ecolo_2013
Rapport d activites_eco_ecolo_2013Rapport d activites_eco_ecolo_2013
Rapport d activites_eco_ecolo_2013
 
d'iphonographie
d'iphonographied'iphonographie
d'iphonographie
 
Enquête chauffeurs vtc 02-14 - bilan général
Enquête chauffeurs vtc   02-14 - bilan généralEnquête chauffeurs vtc   02-14 - bilan général
Enquête chauffeurs vtc 02-14 - bilan général
 
Portefolio s
Portefolio sPortefolio s
Portefolio s
 
Reperes ue
Reperes ueReperes ue
Reperes ue
 
Procès verbal assemblée de copropriété
Procès verbal assemblée de copropriétéProcès verbal assemblée de copropriété
Procès verbal assemblée de copropriété
 
Dossier A - Action éducative et préventive des pathologies lombaires
Dossier A - Action éducative et préventive des pathologies lombaires Dossier A - Action éducative et préventive des pathologies lombaires
Dossier A - Action éducative et préventive des pathologies lombaires
 
#Askdigidust - m-tourisme - octobre 2013
#Askdigidust - m-tourisme - octobre 2013#Askdigidust - m-tourisme - octobre 2013
#Askdigidust - m-tourisme - octobre 2013
 
A presentation of AMIES
A presentation of AMIESA presentation of AMIES
A presentation of AMIES
 
Afrique de l’ouest:eau douce
Afrique de l’ouest:eau douceAfrique de l’ouest:eau douce
Afrique de l’ouest:eau douce
 

Similaire à War Ram - Lettre d'information sur le cyberespace et la cybersécurité - Janvier 2014

Ebook fr 2020 hackers - 214 pages pour apprendre le hacking en francais - c...
Ebook fr   2020 hackers - 214 pages pour apprendre le hacking en francais - c...Ebook fr   2020 hackers - 214 pages pour apprendre le hacking en francais - c...
Ebook fr 2020 hackers - 214 pages pour apprendre le hacking en francais - c...
usthbsido
 
Apprendre à Pirater
Apprendre à PiraterApprendre à Pirater
Apprendre à Pirater
Julesis
 
Hacker 2020 cours-de_hacking
Hacker 2020 cours-de_hackingHacker 2020 cours-de_hacking
Hacker 2020 cours-de_hacking
Smocupinc
 
La veille de red guy du 05.06.13 - la nétiquette
La veille de red guy du 05.06.13 - la nétiquetteLa veille de red guy du 05.06.13 - la nétiquette
La veille de red guy du 05.06.13 - la nétiquette
Red Guy
 
Hack apprendre-le-hacking-2020-hackers 3
Hack apprendre-le-hacking-2020-hackers 3Hack apprendre-le-hacking-2020-hackers 3
Hack apprendre-le-hacking-2020-hackers 3
DICKO Yacouba
 
War Ram - Lettre d'information sur le cyberespace et la cybersécurité - Mars ...
War Ram - Lettre d'information sur le cyberespace et la cybersécurité - Mars ...War Ram - Lettre d'information sur le cyberespace et la cybersécurité - Mars ...
War Ram - Lettre d'information sur le cyberespace et la cybersécurité - Mars ...
WarRam
 
Adacis clusira cybercriminalité_2012
Adacis clusira cybercriminalité_2012Adacis clusira cybercriminalité_2012
Adacis clusira cybercriminalité_2012
François Sopin, CISSP
 
War Ram - Juin 2014
War Ram - Juin 2014War Ram - Juin 2014
War Ram - Juin 2014
WarRam
 
20190506 balladoradio sarah_achard
20190506 balladoradio sarah_achard20190506 balladoradio sarah_achard
20190506 balladoradio sarah_achard
Sarah A.
 
20190428 balladoradio sarah_achard
20190428 balladoradio sarah_achard20190428 balladoradio sarah_achard
20190428 balladoradio sarah_achard
Sarah A.
 
La cible humaine derrière la machine @ITrustBlog
La cible humaine derrière la machine @ITrustBlogLa cible humaine derrière la machine @ITrustBlog
La cible humaine derrière la machine @ITrustBlog
ITrust - Cybersecurity as a Service
 
La veille de Red Guy du 12.02.14 - Les erreurs
La veille de Red Guy du 12.02.14 - Les erreursLa veille de Red Guy du 12.02.14 - Les erreurs
La veille de Red Guy du 12.02.14 - Les erreurs
Red Guy
 
Veille economie numerique 060611
Veille economie numerique 060611 Veille economie numerique 060611
Veille economie numerique 060611
Agence Elan
 
Rapport des menaces en 2015 par F-Secure
Rapport des menaces en 2015 par F-SecureRapport des menaces en 2015 par F-Secure
Rapport des menaces en 2015 par F-Secure
NRC
 
Veille economie numerique 190511
Veille economie numerique 190511Veille economie numerique 190511
Veille economie numerique 190511
Agence Elan
 
20190508 balladoradio sarah_achard
20190508 balladoradio sarah_achard20190508 balladoradio sarah_achard
20190508 balladoradio sarah_achard
Sarah A.
 
Le côté obscur de la cybersécurité
Le côté obscur de la cybersécuritéLe côté obscur de la cybersécurité
Le côté obscur de la cybersécurité
ITrust - Cybersecurity as a Service
 
Veille economie numerique 280411
Veille economie numerique 280411Veille economie numerique 280411
Veille economie numerique 280411
Agence Elan
 
20190701 balladoradio sarah_achard
20190701 balladoradio sarah_achard20190701 balladoradio sarah_achard
20190701 balladoradio sarah_achard
Sarah A.
 
Veille economie numérique 060711
Veille economie numérique 060711Veille economie numérique 060711
Veille economie numérique 060711
Agence Elan
 

Similaire à War Ram - Lettre d'information sur le cyberespace et la cybersécurité - Janvier 2014 (20)

Ebook fr 2020 hackers - 214 pages pour apprendre le hacking en francais - c...
Ebook fr   2020 hackers - 214 pages pour apprendre le hacking en francais - c...Ebook fr   2020 hackers - 214 pages pour apprendre le hacking en francais - c...
Ebook fr 2020 hackers - 214 pages pour apprendre le hacking en francais - c...
 
Apprendre à Pirater
Apprendre à PiraterApprendre à Pirater
Apprendre à Pirater
 
Hacker 2020 cours-de_hacking
Hacker 2020 cours-de_hackingHacker 2020 cours-de_hacking
Hacker 2020 cours-de_hacking
 
La veille de red guy du 05.06.13 - la nétiquette
La veille de red guy du 05.06.13 - la nétiquetteLa veille de red guy du 05.06.13 - la nétiquette
La veille de red guy du 05.06.13 - la nétiquette
 
Hack apprendre-le-hacking-2020-hackers 3
Hack apprendre-le-hacking-2020-hackers 3Hack apprendre-le-hacking-2020-hackers 3
Hack apprendre-le-hacking-2020-hackers 3
 
War Ram - Lettre d'information sur le cyberespace et la cybersécurité - Mars ...
War Ram - Lettre d'information sur le cyberespace et la cybersécurité - Mars ...War Ram - Lettre d'information sur le cyberespace et la cybersécurité - Mars ...
War Ram - Lettre d'information sur le cyberespace et la cybersécurité - Mars ...
 
Adacis clusira cybercriminalité_2012
Adacis clusira cybercriminalité_2012Adacis clusira cybercriminalité_2012
Adacis clusira cybercriminalité_2012
 
War Ram - Juin 2014
War Ram - Juin 2014War Ram - Juin 2014
War Ram - Juin 2014
 
20190506 balladoradio sarah_achard
20190506 balladoradio sarah_achard20190506 balladoradio sarah_achard
20190506 balladoradio sarah_achard
 
20190428 balladoradio sarah_achard
20190428 balladoradio sarah_achard20190428 balladoradio sarah_achard
20190428 balladoradio sarah_achard
 
La cible humaine derrière la machine @ITrustBlog
La cible humaine derrière la machine @ITrustBlogLa cible humaine derrière la machine @ITrustBlog
La cible humaine derrière la machine @ITrustBlog
 
La veille de Red Guy du 12.02.14 - Les erreurs
La veille de Red Guy du 12.02.14 - Les erreursLa veille de Red Guy du 12.02.14 - Les erreurs
La veille de Red Guy du 12.02.14 - Les erreurs
 
Veille economie numerique 060611
Veille economie numerique 060611 Veille economie numerique 060611
Veille economie numerique 060611
 
Rapport des menaces en 2015 par F-Secure
Rapport des menaces en 2015 par F-SecureRapport des menaces en 2015 par F-Secure
Rapport des menaces en 2015 par F-Secure
 
Veille economie numerique 190511
Veille economie numerique 190511Veille economie numerique 190511
Veille economie numerique 190511
 
20190508 balladoradio sarah_achard
20190508 balladoradio sarah_achard20190508 balladoradio sarah_achard
20190508 balladoradio sarah_achard
 
Le côté obscur de la cybersécurité
Le côté obscur de la cybersécuritéLe côté obscur de la cybersécurité
Le côté obscur de la cybersécurité
 
Veille economie numerique 280411
Veille economie numerique 280411Veille economie numerique 280411
Veille economie numerique 280411
 
20190701 balladoradio sarah_achard
20190701 balladoradio sarah_achard20190701 balladoradio sarah_achard
20190701 balladoradio sarah_achard
 
Veille economie numérique 060711
Veille economie numérique 060711Veille economie numérique 060711
Veille economie numérique 060711
 

War Ram - Lettre d'information sur le cyberespace et la cybersécurité - Janvier 2014

  • 1. THE WAR R@M FOLLOW THE W HITE RABBIT Janvier 2014 L’E-DITO L’ART DE LA GUERRE W ar Ram. Deux mots. W ar pour guer r e. Dans le cyber espace, nous y ser ions pr esque. Cer tes pas la guer r e tr aditionnelle et déclar ée des États qui s’affr ontent sur un champ de bataille. Celle qui nous intér esse est "multiscalair e", r ime avec bits et s’écr it en lignes de code. Ram pour Random Access M emory. Le ter me ne r envoie pas qu’à l’excellent album des Daft Punk, il évoque sur tout les for ces vives d’un or dinateur , le ner f de la guer r e infor matique. M is ensemble, ces deux ter mes r appellent par homophonie les célèbr es "W ar Rooms" de Chur chill, où l’infor mation str atégique la plus impor tante était agr égée en un lieu. L’ambition de ce pr ojet de Newsletter est de s’inspir er de cette initiative. En une maxime : centr aliser au sein d’une lettr e mensuelle la « substantifique moelle » des sphèr es cyber défense/ cyber sécur ité. Le « champ de bataille » numér ique qui s’ouvr e aujour d’hui est au croisement de la sécurité informatique, de la cyberdéfense, du droit et de la technologie. Cette complexité appelle au plus gr and des discer nements. Car le théâtr e et son pér imètr e sont incertains, ses acteur s nombreux et par fois difficiles à identifier : entr epr ises, hacker s, cr acker s, Etats, univer sitair es… Lever le voile, c’est ce que vous pr oposent les contr ibuteur s de la W ar R@m à tr aver s quatr e catégor ies distinctes :  Les Experts : Contr ibution d’un exper t du cyber espace sur une pr oblématique donnée.  3 6 0 ° : Une veille globale sur la cyber sécur ité/ cyber défense et les infr astr uctur es.  Out-of-the-box : Contr ibution d’un exper t qui sor t du cadr e “classique” de la cyber sécur ité : pr ofesseur s d’univer sité, doctor ants, hacker s…  Pimp my Opsec : Une analyse pointue d’une faille de sécur ité ou de mesur es à pr endr e pour qu’elle ne se r epr oduise pas ! Puisse cette pr emièr e « Ram » d’infos vous appor ter une meilleur e compr éhension de ce qui se passe sous les cir cuits du cyber espace… • • • Sommaire L’Edito Les Experts 360° Out-of-the-Box Pimp my Opsec Les gros titres #SnapChat #LPM #InfoSec #FullDisclosure La vidéo du mois Let’s Enhance, le retour Pour le plaisir des yeux, un inter naute a décidé d’uploader une ver sion HD du fameux « Let’s Enhance ». L’occasion de r ir e un peu et de r appeler que quand « la résolution est mauvaise, agrandir ne servirait à rien »… Les Exper ts ne sont pas for cément ceux que l’on cr oit… Retrouvez aussi nos publications sur notre Slideshare Envie d’en savoir plus? Contactez-nous: redaction.warram@spray.se Les contr ibuteurs associés à ce pr emier numér o, pour leur contribution et leur soutien, visible ou invisible : @morganhotonnier, @evematringe @leroycyber, @ncaproni @M Duqn, @blog_e_sphere, @comptoirsecu
  • 2. TO DISCLOSE OR NOT TO DISCLOSE LES EXPERTS Le full disclosure : une approche critiquée Tr aditionnellement, la communauté sécur ité est tr ès par tagée entr e :   Le "full disclosure", qui consiste à four nir au gr and public l’ensemble des infor mations concer nant une vulnér abilité découver te Le "coordinated disclosure" ou "responsible disclosure", moins r adical, où la vulnér abilité est d’abor d communiquée à l’éditeur pour qu’il la cor r ige. Ce n’est que lor sque celui-ci four nit son autor isation, souvent apr ès cor r ection, que la faille est diffusée au monde entier . Le responsible disclosure peut par aîtr e idéal, car l’infor mation sur la vulnér abilité n’est accessible que lor squ’elle n’est plus exploitable. M ais si l’appr oche peut fonctionner avec des éditeur s r esponsables, la r éalité est génér alement tout autr e. Cet ar ticle est par u pour la 1 èr e fois sur le M edium du Comptoir de la sécur ité Quand l’éditeur maîtrise la communication, il n’est pas pressé par le temps "À quoi bon se presser et débloquer un budget en ur gence ? Le public n’est pas au courant, nous aurons tout le temps d’allouer des r essources au budget de l’année pr ochaine." J’exagèr e le trait, mais l’idée est là. La correction des vulnérabilités est souvent le cadet des pr éoccupations des dir igeants. La pr ior ité est à l’ajout de fonctionnalités demandées par l’utilisateur ou qui optimisent les bénéfices pour faire plaisir aux investisseurs. Sans la pression des médias et des clients, les corr ections tr aînent, par fois elles ne viennent jamais. Une fois l’information publiée, l’image de l’éditeur en pâtit et chaque jour qui passe sans correction augmente la chance de voir son nom dans les journaux associé à une grosse fuite d’information. C’est malheureusement par fois le seul moyen pour que l’entr epr ise se décide à tr aiter la vulnér abilité comme elle le mér ite : une ur gence. M ême Google commence à ser r er la vis et applique le full disclosure si apr ès 7 jour s l’éditeur n’a toujours pas cor r igé une faille qu’ils estiment cr itique ou déjà utilisée. Alors, full ou responsible disclosure ? Je suis per sonnellement pour une ver sion hybr ide, similair e à celle que pr éconise Google. Je tr ouve dommage d’offr ir en pâtur e aux médias une entr epr ise qui ser ait pr ête à jouer le jeu et tr aiter la cor r ection de la vulnér abilité dans les délais qu’elle mér ite. Ainsi une divulgation en pr ivé aupr ès de l’éditeur semble êtr e une bonne appr oche. Si l’entr epr ise s’implique et communique en bonne intelligence,le responsible disclosure peut r ester une solution viable. Le full disclosure r ester ait donc un « plan B », der nièr e ar me à utiliser quand l’éditeur :  Est connu pour son hostilité envers ce genre de requête.  N’offre aucun moyen de contact adéquat  Ne répond pas à nos sollicitations Certains éditeurs prennent le problème à l’envers  Si vous avez écouté notr e épisode 2 du Comptoir Sécu sur les failles 0 -day, vous savez à quel point ce genr e de découver te peut valoir cher sur le mar ché noir … Refuse de traiter la vulnérabilité en accord avec son niveau de criticité Le traitement des "responsible disclosure" par une entreprise M algr é tout, cer tains individus avec encor e un peu d’éthique sont pr êts à offr ir le r ésultat de leur tr avail à l’éditeur , gr atuitement…et se font attaquer en guise de r emer ciement. Vous pensez que j’exagèr e ? Pour tant ce genr e de situation est déjà ar r ivé. Les débats qui entourent le "full disclosure" ne sont ni récents, ni homogène. Ainsi, en 2 0 0 9 , le collectif Anti Sec avait hacké l’hébergeur d’images Image Shack pour protester contre cette pratique. War R@M - Janvier 2014 Il ne faut pas s’étonner apr ès ce genr e ’affair es de voir de plus en plus d’exper ts pr ôner le full disclosur e, souvent sous couver t d’anonymat pour éviter le r etour de flamme. 2 Si j’avais car te blanche dans une entr eprise sur le tr aitement des failles de sécur ité découver tes par un tier s, voilà ce que je pr éconiserai (suite p.4 ) Par M organ Hotonnier Ingénieur spécialisé SSI @morganhotonnier
  • 3. 360° En vrac Et pour quelques Bitcoins de plus… Les cas de br aquage en ligne de banques semblent se bousculer au por tillon. La cible pr ivilégiée ? Les Bitcoins, la devise vir tuelle « so trendy » développée par le mystér ieux Satoshi Nakamoto. Il faut dir e que le "Bt" ne manque pas d’ar guments: son cour s a r écemment explosé, au point de dépasser celui de l’or , fin novembr e. Or , si voler un Bitcoin est « facile », le « blanchir » est une autr e pair e de manches. Contr airement à la monnaie classique, les tr ansactions en Bitcoin sont publiques et consultables par tous. Ainsi, un pir ate s’est r etrouvé bien embêté quand il a dû falloir pr ofiter de cette manne si chèr ement acquise. Il a tr ès vite été inter pellé par le FBI, devenu depuis quelques années docteur ès cyber espace. M ais ce pauvr e pir ate peut se consoler: la Chine a décidé de ser r er la vis sur cette monnaie vir tuelle, et de nombr euses banques centr ales le r emettent en cause. Un krach similair e à celui de la tulipe est-il à pr évoir ? (Pour aller plus loin: voir les auditions du Sénat sur le Bitcoin) Un outil de reverse engineering gratuit! Infor mation pour les détectives du clavier : un outil de reverse engineering a été mis en ligne sur GitHub.com. Pr ofitez-en, il est gr atuit! The Russian Job L’affair e Tar get aur a fait coulé beaucoup d’octets. Le géant amér icain a en effet subi une cyber attaque qui a affecté pr ès de 1 1 0 millions de ses clients lor s des achats de fin d’année. Or , il s’avèr e que le gr oupe a sa par t de r esponsabilité dans ce pir atage massif (selon The W ired, le r éseau Tar get avait déjà été cr acké en 2 0 0 5 , mais celui-ci se ser ait lavé les mains de la faille de sécur ité). Alor s que l’enquête se pour suit, on sait d’or es et déjà deux choses :  Au moins 1 1 Go de données ont été envoyées ver s un ser veur r usse.  Un pir ate r usse de 1 7 ans ser ait à l’or igine du malware, r épondant au doux nom de Trokan.POSRAM . Cette infor mation r este toutefois à confir mer. Seculert, iSight Partners et IntelCrawler sont en char ges de l’enquête. Quant à Tar get, le chiffr e d’affair e est déjà appelé à baisser … de 3 0 %! Facebook et la campagne malveillante d’Adobe Les campagnes malveillantes sont légion sur Facebook. Récemment, Dancho Danchev, un éminent exper t en cyber sécur ité, a découver t une campagne hostile, toujours active à ce jour, enjoignant les utilisateurs à installer un faux logiciel Adobe Flash Player, utilisant les ser vices de r edir ection de Google. Plus d’infos sur le blog de M . Danchev. 123456, sésame, ouvre-toi ! Insolite: un malware transforme un réfrigérateur connecté en "botnet " Alor s que les objets connectés sont appelés à pr endr e une place gr andissante, ces der nier s sont déjà la cible de crackers. Ainsi, l’éditeur de sécur ité Proofpoint a détecté un malwar e visant… un r éfr igér ateur connecté. Ce der nier était au centre d’une lar ge campagne de spams. War R@M - Janvier 2014 Des cher cheur s du SpiderLab de Trustwave’s, une entr epr ise de cyber sécurité or iginellement connue pour ses « penetr ation tests » efficaces, ont fait une découver te intér essante en enquêtant sur un gr oupe de « black hats ». Apr ès avoir pénétr é avec succès un de leur s ser veurs, basé aux Pays-Bas, ils se sont r endus compte que pr ès de 2 millions de mots de passe de comptes Facebook, Google, Twitter et Yahoo avaient été dér obés à l’insu de leur s utilisateurs. Les géants du Net ont vite fait de pr évenir les pauvr es inter nautes lésés… qui conser vent néanmoins une cer taine par t de r esponsabilité dans le pir atage, au vu du peu d’intér êt donné à la sécur ité de leur s données en ligne. En effet, les mots de passe les plus fr équents oscillaient entr e 1 2 3 4 5 6 , password, admin, ou plus sobr ement encor e, 1 2 3 . Tellement évident qu’on pour r ait en fair e un film. 3
  • 4. Faciliter la prise de contact (Suite de "To Disclose or Not to Disclose« , p.2 ) Par fois, même avec toute la bonne volonté du monde, il est tellement difficile d’obtenir un inter locuteur compétent, voir e un inter locuteur tout cour t, que les exper ts jettent l’éponge et s’en r emettent au full disclosur e. Il est donc impor tant: 360° Etats et cyberdéfense  De mettre en place un moyen de contact dédié aux évènements de sécur ité une adr esse email à destination des équipes sécur ité IT en inter ne (ou du r esponsable de la sécur ité de l’entr epr ise) est amplement suffisante  Four nir quelque par t sur le site institutionnel une r éfér ence ver s ce moyen de contact  For mer l’équipe r esponsable du suppor t tr aditionnel à r edir iger les sollicitations sur ce point de contact Israël se lance dans la course au cyber-armement Si, comme le pense Thomas Rid, « la cyber guer re n’aur a pas lieu », cela n’empêche pas cer taines nations de se lancer dans une cour se à l’ar mement effr énée. Depuis août der nier , Elta, une star t-up isr aélienne devenue filiale du géant Israel Aerospace Industries, développe et r enfor ce son offr e dans les capacités offensives et défensives de cyber défense. La balkanisation du Net, c’est pas pour demain ! L’idée n’aur a pas fait long feu. Le concept de « balkanisation du net » (splinternet en anglais ou cyberbalkanisation), vér itable mar r onnier depuis son invention par un cer tain Clyde W ayne Crews, semble êtr e passé de mode. Pr enant outr ageusement la poussièr e, l’idée avait finalement r egagné l’intér êt des exper ts et des analystes avec le scandale PRISM et les r évélations de Snowden. Las, Dilma Roussef a beau se démener , la gr ande major ité des acteurs du numér ique semblent peu intér essées par l’idée d’un Inter net sépar é. Un r etour en ar r ièr e semble bien impr obable désor mais, tant l’initiative ser ait coûteuse. Le r étr opédalage de l’Allemagne sur la pr otection des données per sonnelles montre bien qu’une compar timentation n’est pas pour demain : si balkanisation il y a, elle se fer a à minima. Le coup du chapeau Rien ne va plus au pays du M atin calme. En effet, plusieur s dizaines millions de car tes de cr édit aur aient été pir atées en Corée du Sud. En cause, l’ "indiscr étion" de cer tains employés et des actes malveillants de pir atage. La situation r este difficile à estimer: on par lait de 2 0 millions de données bancair es pir atées, alor s qu’un r écent chiffr e du W all Str eet Jour nal évalue la per te à plus de 1 0 0 millions, soit le double de la population sud-cor éenne. La France révise sa copie en matière de cybercriminalité La Fr ance a finalement décidé de r epousser la publication de son r appor t inter ministériel sur la cyber cr iminalité en févr ier . Les ministèr es concer nés sont, sans sur pr ise, la Justice, l’Intér ieur , l’Economie numér ique et le Budget. Aucune r aison valable n’a été avancée pour l’instant. Cloud, Data Centers, Big Data Big Data vs Cybercrime L’association des deux ne coule pas de sour ce : pour tant, le Big Data pour r ait appor ter énor mément dans la lutte contr e le cyber cr ime. C’est en tout cas l’avis du site HackSur fer , qui r evient sur trois outils qui utilisent le Big Data afin d’analyser , de compar er et d’avoir une analyse en temps r éel des cyber attaques. L’outil en ligne d’HackSur fer est disponible ici. War R@M -Janvier 2014 Bull et Osiatis accompagnent EDF dans le Cloud EDF –ERDF s’est lancé dans un pr ojet dantesque: l’exploitation et la migr ation de plus de 1 6 0 ,0 0 0 postes sur un cloud pr ivé, utilisant des technologies M icr osoft. Le pr ojet, por té par le consortium Bull-Osiatis, est le plus impor tant pr ojet mondial de cloud utilisant les technologies M icr osoft à ce jour . 4 Disposer d’un processus de mise à jour d’urgence À par tir du moment où une vulnér abilité est découver te, on peut supposer qu’elle est déjà connue et peut êtr e même exploitée par d’autr es individus. Il faut donc r éagir dans les plus br efs délais. Une bonne pr atique consiste à mettre en place une politique de patching. Cette politique définit différ ents niveaux de cr iticités pour les patchs, avec pour chaque niveau un délai de tr aitement maximal. Pour les patchs les plus cr itiques, on peut assouplir les tests pour accélér er la mise en pr oduction. Entretenir la relation avec les experts sécurités Snapchat (voir l’Affaire SnapChat, p.6 ) est le par fait exemple de pr ise de contact r atée. M ettre les exper ts en r elation avec du per sonnel adéquat en inter ne est la pr emièr e chose à fair e. Ce genr e d’échange ne peut pas se fair e avec un r esponsable communication ou un suppor t client standar d. Il faut une per sonne compétente en sécur ité infor matique, avec un pouvoir de décision ou au moins des capacités d’escalades appr opr iées. Il faut ensuite gar der contact avec l’exper t et le tenir infor mé de l’avancement sur la cor r ection des vulnér abilités. Cer taines entr eprises comme M icr osoft ou Google vont même jusqu’à offr ir des r écompenses pour ce genr e de ser vices, ce qui est selon moi une tr ès bonne appr oche. Le "responsible disclosure" est un vér itable cadeau fait aux entr epr ises. La conscience et l’éthique ne devr aient pas êtr e les seules motivations disponibles, la r econnaissance, financièr e ou publique, devr ait à minima êtr e de la par tie. Sans cette r econnaissance, et avec l’impor tance cr oissante des outils de « cyber guer r e », cet acte de char ité se fer a de plus en plus r ar e. L’éthique ser a sacr ifiée au pr ofit d’une vente juteuse du 0 -day en question, ou d’un débauchage par des pr ofessionnels du milieu.
  • 5. OUT-OF-THE-BOX L'adoption de la Loi de programmation militaire en décembr e 2 0 1 3 a été l'occasion d'un mouvement de contestation en r aison des gr ands pouvoir s qu'elle confèr e aux ser vices de r enseignement dans la collecte de métadatas. Ces dispositions existaient déjà aupar avant, mais uniquement pour 1 lutter contre le ter rorisme . En r éalité, ces métadatas sont bien plus per sonnelles que celles habituellement désignées par ce ter me. Leur collecte massive per met de r etr acer l'ensemble de l'activité d'un individu, sauf à ce que celui-ci s'inter dise totalement l'usage de tout moyen de communication électr onique. L'ar ticle 1 3 devenu l'ar ticle 2 0 pose des pr oblèmes de compatibilité jur idique avec les pr incipes de liber té d'expr ession, de liber té de pensée et de liber té politique. Le Conseil constitutionnel a en effet affir mé en juin 2 0 0 9 le pr incipe de la liber té de communication, "condition de 2 la démocratie" . Cette liber té peut êtr e limitée par la loi, mais dans une mesur e str ictement nécessaire à la pr éser vation de l'intér êt génér al. Or la possibilité d'êtr e soumis à des inter ceptions de sécur ité sans aucune gar antie est de natur e à conduir e le citoyen à s'autocensurer et donc indir ectement mais tr ès effectivement, entr ave la liber té politique. Tout le pr oblème est donc d'assur er l'effectivité des liber tés publiques par l'instaur ation de mécanismes de contr ôle LA COLLECTE DE METADATA : VERS LE BUG JURIDIQUE ? sur l'action des ser vices de r enseignement. De la même façon que le dr oit des données per sonnelles confèr e aux per sonnes visées par une collecte de données per sonnelles le dr oit d'en êtr e infor mées, le droit des interceptions de sécurité devrait assurer l'information a posteriori des intéressés, seul moyen d'assur er l'effectivité d'un contr ôle par la possibilité de saisir un 3 juge des éventuels manquements . L'impér atif démocr atique du contr ôle des ser vices de r enseignement et de police a déjà été souligné par nombr es d'or ganisations inter nationales et constitue la condition sine qua non de la légitimité de leur action. Quel r esponsable pr endr ait la r esponsabilité de solliciter une investigation dans un but indéfendable s'il sait qu'a poster ior i, l'ensemble de la pr océdur e fer a l'objet d'un contrôle ? Ces règles feront également toute la différence entre les services de l'Etat et les diverses agences de renseignement privées agissant en dehor s de toute légalité et à des fins inavouables. La LPM aur ait d'ailleur s pu ajouter par mi les objectifs assignés aux différ ents ser vices leur ouvr ant le dr oit de r ecourir à des moyens d'investigation r enforcés, la lutte contr e ce que d'autr es dr oits eur opéens qualifient de "service de 4 renseignement prohibé ", qu'il s'agisse de bar bouzes pr ivés (affair e IKEA) ou de ser vices étr angers inter venant sur notr e ter r itoir e (NSA). De plus, l'infor mation et la vér ification des données et de leur analyse par les intér essés et/ ou par le juge per mettr a d'apur er les STAD (ndlr: Système de traitement automatisé des données) des infor mations inexactes. Différ ents cas ont en effet montr é que la collecte abusive et massive de données per sonnelles ne pr ésentait en r éalité aucun intér êt en r aison de for t taux d'er r eurs qu'elle impliquait et du tr avail de vér ification nécessaire pour les 5 exploiter utilement . Par Eve M atringe, Docteure en dr oit, titulair e du CAPA @Evematringe 1 . Ar t. L. 3 4 -1 -1 du code des postes et des communications électr oniques. 2 . Cons. Constit., DC n°2 0 0 9 -5 8 0 du 1 0 juin 2 0 0 9 et DC n°8 4 -1 8 1 du 1 1 octobre 1 9 8 4 . Lamy dr oit de l'immatér iel, Code annoté 2 0 1 0 , p. 5 et s. 3 . Le contr ôle assur é par la CNIS est actuellement par faitement théor ique, tant les moyens employés que les per sonnes en char ge de sa r éalisation sont faibles au r egar d du nombr e d'inter ceptions à contr ôler et du manque d'indépendance vis-à-vis du pouvoir politique. 4 . Ér ic Denécé, L’éthique dans les activités de renseignement, Revue fr ançaise d'administr ation publique 2 0 1 1 / 4 (n° 1 4 0 ), pp. 7 0 7 -7 2 2 . 5 . Jean-Paul Br odeur , Le renseignement : distinctions préliminaires, Canadian Jour nal of Cr iminologie and Cr iminal Justice, 4 7 (1 ), pp. 1 5 –4 3 , Janvier 2 0 0 5 . Pour aller plus loin…. Si vous avez loupé le coche et que vous ne savez pas ce qu’est la LPM , ces quelques liens pour vous r emettre à jour vous per mettront de vous for ger une idée sur le sujet en complétant, sans r emplacer, l’excellente analyse de notr e jur iste : • La ver sion finale de la Loi de Pr ogr ammation M ilitair e • Le site officiel du Sénat • L’ar ticle 1 3 est-il plus danger eux pour Inter net que les lois existantes? • Big Br other ou big bazar ? Le pr ojet de loi de pr ogr ammation militair e fait contr overse • Tout ce que vous avez toujours voulu savoir sur la # LPM et que vous avez été nombr eux à me demander War R@M -Janvier 2014 5 En outr e, ce mois-ci, le livr e « Loi et Internet » de Fabrice M attatia est sor ti dans la pr esse. Cet ouvr age de r éfér ence vulgar ise pour tout inter naute le cadr e jur idique de la publication et de l’utilisation des contenus sur Inter net. Un indispensable! Loi et Internet Un petit guide civique et jur idique Auteur(s) : Fabr ice M attatia Editeur (s) : Eyr olles Collection : Connectez-moi ! Nombr e de pages : 2 3 2 pages Date de par ution : 0 9 / 0 1 / 2 0 1 4 EAN1 3 : 9 7 8 2 2 1 2 1 3 7 1 6 3
  • 6. PIMP MY OPSEC L’AFFAIRE SNAPCHAT Comme toute application de star tup qui se r especte, le développement de SnapChat a été fait le plus r apidement possible et n’a sûr ement pas bénéficié d’une r evue sécur ité par des spécialistes. Un gr oupe d’étudiants passionnés, r éunis sous le nom GibsonSec, a décor tiqué l’API de l’application. Ils ont tr ouvé de nombr euses faiblesses et les ont gr acieusement four nies en pr ivé à Snapchat. Ils sont même allés jusqu’à postuler à une offr e d’emploi de la Star tup pour les aider à cor r iger leur s vulnér abilités. Ça, c’était début juillet. En août, GibsonSec commence à s’agacer de l’inaction de Snapchat, qui qualifie l’attaque de « théorique ». Le gr oupe four nie alor s un pr emier aver tissement par le biais d’une communication publique. Cette communication met en évidence les vulnér abilités sans four nir suffisamment d’infor mation pour les r endr e exploitables. Quatr e mois plus tar d, toujours aucune r éaction de la par t de Snapchat. GibsonSec cr aque et passe au « full disclosure ». (Voir notre article sur le "full disclosure" en page 2 ) Le script« find_friends » (retranscrit incomplètement ci-dessus) permet à un cracker d’accéder entièrement aux données personnelles d’un utilisateur, même en mode privé. La nouvelle fait un peu de br uit, Snapchat « noie le poisson » peu de temps après en sous entendant que le pr oblème est mitigé. Les mesur es pr ises sont totalement insuffisantes, et pour fêter la nouvelle année un gr oupe d’individus utilise les infor mations four nies par GibsonSec et met en ligne sur snapchatdb.info une base de données de 4 .6 millions de noms de comptes Snapchat associés au numér o de téléphone de l’utilisateur . Les deux der nier s chiffr es du numér o de téléphones sont r etir és, mais la ver sion non censur ée est disponible sur simple demande. De plus à ma connaissance la faille est toujours exploitable, par conséquent n’impor te qui peut obtenir les mêmes r ésultats. Des per sonnes r evendiquant la diffusion ont communiqué aupr ès des médias les r aisons de cette divulgation. "La motivation de cette release était de sensibiliser les utilisateurs à la gr avité de la vulnér abilité, ainsi que de mettr e la pr ession sur Snapchat pour qu’il la cor r ige. La sécur ité est aussi impor tante que l’expér ience utilisateur ." Snapchat a enfin r éagi, confir mé que ça leur passait au dessus, et pr omis une mise à jour qui ne semble pas cor r iger le cœur du pr oblème. Le tout en ayant le culot de demander aux exper ts sécur ité de les contacter à l’avenir . (Entr e temps, SnapChat a annoncé un cor r ectif de sécur ité… qui a déjà été contour né, en moins de 3 0 mn). Par M organ Hotonnier Ingénieur spécialisé SSI @morganhotonnier Appel à contributeurs Cette newsletter mensuelle s’adr esse à une communauté ciblée et est construite sur un modèle collaboratif, s’inspir ant d’une démar che open source et dans le souci d’un par tage de connaissances. De fait, elle vit et s’enr ichit de ses contr ibuteurs, pour la plupar t des exper ts dans leur s domaines r espectifs, et de fait nous sommes toujours à la r echerche d’appor ts. Si publier par notr e biais vous intér esse, n’hésitez pas à vous adr esser à nous à contacter pour en discuter plus en détails. Cor dialement, La Rédaction W ar R@M vous est pr oposée le der nier vendr edi de chaque mois et est disponible en ligne. C’est une publication libre, vous pouvez donc la par tager sans r éserves, à condition de r especter la pr opr iété Suivez notr e actualité sur notr e compte SlideShar e: intellectuelle des per sonnes qui y publient . http:/ / fr .slideshare.net/ W arRam