La Liberté de l'esprit La liberté de l'esprit
Association créée en 1989
Contribuer au débat citoyen sur les questions de société
Conférences et débats en Cornouaille
  Qui sommes-nous ?  |  Prochaines conférences  |  Saisons précédentes  |  Les conférenciers·cières  |  Contact

Accueil > Technologies > Hélène Le Bouder

Hélène Le Bouder

amphithéâtre de l’hôtel Mercure, avenue de la gare à Quimper

Cybercriminalité, tous concernés ?
Comprendre la cybercriminalité pour mieux s’en préserver.

vendredi 19 janvier 2018 19h00

Entrée : 8 € - 6€ adhérents - 3 € étudiants et chômeurs

la Banque de France (2008), l’industrie nucléaire en Iran (2010), Yahoo (2014), Orange (2014), des centrales électriques en Ukraine (2015), une élection aux USA (2016), Uber (2016)... tous ont déjà été piratés ! Partout, la cybercriminalité est entrée dans nos vies. Pourtant, nous ne connaissons pas vraiment ceux qui organisent ces actions. La prise de conscience est lente. Rares sont ceux qui pensent que leurs données pourraient être piratées ou leur identité usurpée.

Demain, vous ne regarderez plus votre carte à puces et votre smartphone de la même façon !


Hélène Le Bouder, docteur en sécurité informatique, maître de Conférence à l’IMT Atlantique, chercheuse en Informatique à l’INRIA à Rennes, est spécialisée en cryptologie et en sécurité informatique (matérielle et logicielle). Ses champs de recherche couvrent la sécurité informatique, comme la vulnérabilité des cartes de paiement (code PIN), et l’étude des mesures pour contrer les logiciels malveillants. (NB La Bretagne figure parmi les régions les plus dynamiques en matière de recherche en cybercriminalité).

Pour mieux comprendre les enjeux économiques, sociétaux et militaires, Hélène Le Bouder nous expliquera ce qu’est la cybercriminalité, les problèmes objets connectés attaqués à distance par des « pirates », les logiciels malveillants bloquant l’accès à nos données sur notre ordinateur (avec paiement d’une rançon). Les pièges comme les risques financiers et stratégiques sont multiples et les solutions difficiles à mettre en place.

Ensemble, nous essaierons de comprendre et répondre à ces questions 

  • Les objets connectés devraient être fortement se développer : Quels sont les objets à risque (paiement sans contact, système Bluetooth, wifi…) ? comment limiter les risques ? Les usurpations d’identité se développent elles ?
  • 85 % des entreprises (TPE et PME) estiment ne pas être vraiment concernées par la cybercriminalité ? Y a-t-il un niveau à risque ou tout le monde peut-il être touché ?
  • Qui sont les responsables de cette cybercriminalité ? Comment lutter ? Quelle coordination entre Etats tout en préservant la défense nationale ?
  • Demain, vous ne regarderez plus votre carte à puces et votre smartphone de la même façon !



Voir en ligne : Des attaques informatiques utilisant la physique par Hélène Le Bouder




Messages

  • Microsoft corrige en urgence une faille dans Windows Defender
    Next Inpact 8 déc. 2017

    Toutes les plateformes actuellement supportées par Microsoft peuvent récupérer dans Windows Update un important correctif pour Defender, plus particulièrement son Malware Protection Engine. Le bulletin CVE-2017-11937 évoque une faille critique, exploitable à distance et permettant d’exécuter arbitrairement du code, ce qui est le pire des scénarios.

    L’exploitation peut se faire via un fichier spécifiquement conçu, analysé par Defender. L’éditeur avertit lui-même que faire lire un fichier à un utilisateur n’a rien de particulièrement difficile, soulignant ainsi la dangerosité de la brèche. Selon Microsoft, aucune exploitation active de la faille n’a été remarquée, mais elle est suffisamment grave pour que la société n’attende pas le prochain Patch Tuesday, qui arrive pourtant dans quelques jours.

    Point « amusant », les détails de la faille ont été communiqués confidentiellement à Microsoft par le GCHQ, l’équivalent anglais de la NSA. Le correctif se télécharge dès maintenant depuis Windows Update.

  • La pratique de NaviStone n’est-elle pas à ranger dans la cybercriminalité ? Pister c’est déjà pirater !

    Aux États-Unis, un site marchand accusé d’enregistrer toutes les frappes au clavier

    Next Inpact Par Vincent Hermann mercredi 06 décembre 2017

    Le fabricant de matelas Casper fait l’objet d’une plainte : il violerait le Wireless Act en espionnant allégrement les visiteurs de son site. L’entreprise se défend, mais l’affaire éclaire une nouvelle fois les pratiques invasives d’une partie des sites.

    Vous ne connaissez pas Casper ? C’est presque normal. Jusqu’à maintenant il s’agissait surtout d’une marque de matelas connue pour sa communication à coups de billets sponsorisés et d’achat d’influenceurs en tous genres.

    L’un de ces fabricants de matelas comme on en trouve désormais depuis quelques années. Dans la veine d’un Tediber (français) ou d’un Eve (anglais), il propose un site web présentant un modèle unique, simplement décliné en plusieurs tailles. Une formule qui a beaucoup de succès.

    Seulement voilà, le site du fabricant embarquerait également des scripts douteux capables de suivre à la trace toutes les actions d’un internaute. La société fait depuis peu l’objet d’une plainte.

    Ce que reproche le plaignant à Casper

    Brady Cohen, habitant New York, a déposé plainte contre Casper au niveau fédéral. Il reproche à l’entreprise d’avoir sciemment espionné ses faits et gestes lors de ses sessions de navigation sur le site marchand, comme le rapporte CBS News.

    Plus précisément, il accuse Casper d’avoir récupéré de nombreuses informations comme son adresse IP, d’avoir enregistré toutes ses frappes au clavier et d’être allé jusqu’à garder une empreinte de tous ses mouvements de souris. En bref, un tableau complet de ses faits et gestes sur le site, sans qu’il ait commandé quoi que ce soit. Des sessions de navigation qui se sont étalées sur environ six mois, pendant qu’il réfléchissait à un achat de matelas.

    Ces données auraient été récoltées par un code masqué appartenant à la société NaviStone, qui fournirait ce type de solution. Il reproche également à Casper de procéder à cette récupération sans jamais avertir l’internaute, aboutissant à ce qu’il nomme une « écoute illégale ». De fait, le cœur de la plainte est une violation du Wireless Act américain.

    Le plaignant (et/ou son avocat) cherche actuellement à transformer sa démarche en action collective.

    Le fabricant nie tout comportement illégal de son site]]

    Casper est bien cliente des produits de NaviStone, mais l’entreprise nie faire quoi que ce soit d’illégal. Dans une réplique cinglante, elle indique simplement que Brady Cohen cherche à « extorquer » de l’argent à une société dont le succès commercial ferait des envieux. Mieux, ses activités publicitaires respectent les « standards de l’industrie » et sont décrites dans sa politique de vie privée.

    De son côté, NaviStone ne décrit pas précisément les techniques utilisées, mais son site officiel affirme que ses clients auront la capacité « d’atteindre des visiteurs précédemment non identifiables ». Comme si la technologie fournie pouvait dépasser les capacités offertes en temps normal à travers un navigateur. Elle se vante même de pouvoir faire parvenir une carte postale aux domiciles des visiteurs anonymes en un jour ou deux.

    La société a d’ailleurs réagi, affirmant qu’elle avait été « surprise » de la plainte lorsqu’elle « en a entendu parler pour la première fois ». Elle regrette : « Nous n’avons pas eu l’opportunité de parler au plaignant ou à ses avocats au sujet de leurs inquiétudes. Nous espérons qu’une fois le dialogue entamé, nous pourrons dissiper tout malentendu qu’ils pourraient avoir sur ce que fait NaviStone, ou ne fait pas ».

    NaviStone : une réputation sulfureuse

    En dépit des protestations de NaviStone et du ton conciliant de la réponse à CBS News, l’entreprise a déjà été évoquée plusieurs fois par le passé pour des comportements troublants de ses technologies.

    En juin dernier, Gizmodo montrait ainsi la capacité de NaviStone à enregistrer toute donnée présente dans un formulaire, même si l’utilisateur ne le validait pas. Ce qui se rapproche en effet des fonctions d’un keylogger, puisque aucune action n’est requise pour envoyer les informations vers un serveur.

    Nos confrères se sont lancés dans une petite enquête et ont découvert sur plusieurs sites de sociétés clientes de NaviStone (Acurian, Quicken Loans et autres) du code JavaScript bien particulier : les données entrées dans les formulaires, soit manuellement soit remplies automatiquement par une extension ou un navigateur, étaient captées puis transmises.

    Peu importe que l’internaute ait expédié ou non le formulaire, NaviStone récupérait les informations, avec de bonnes chances qu’elles soient parfaitement personnelles et donc identifiantes. Il avait collé accidentellement du texte ? Dommage, les informations du presse-papier étaient expédiées.

    Gizmodo indiquait dans son article qu’il existait au moins une centaine de sites utilisant les solutions de NaviStone. Sur la douzaine testée, un seul – Gardeners.com – précisait dans sa politique de vie privée que les données des formulaires étaient systématiquement collectées dès leur entrée dans les champs.

    Un peu plus tard, NaviStone avait finalement indiqué que l’adresse email ne serait plus collectée de cette manière, et plusieurs sites qu’ils ne se servaient plus des solutions de cet éditeur.

    Les petites habitudes des sites web

    Difficile pour l’instant de savoir si la plainte de Brady Cohen va aboutir, mais l’affaire redonne un coup d’éclairage à un phénomène loin d’être nouveau : la collecte des données personnelles et le manque de contrôle sur les activités liées. Nul besoin d’aller jusqu’aux enceintes connectées pour se poser des questions, un bon vieux navigateur est suffisant pour trouver des pratiques bien peu éthiques.

    L’une des expériences de Gizmodo permettait d’ailleurs de mieux cerner la problématique. Nos confrères se sont rendus sur plusieurs sites utilisant la technologie de NaviStone, remplissant un panier mais ne validant finalement pas l’achat. Après quoi trois sites (Rockler.com, CollectionsEtc.com et BostonProper.com) leur ont envoyé des emails pour leur rappeler que des articles dans leur panier restaient à acheter. Des courriers envoyés sur des adresses qui, à aucun moment, n’avaient été envoyées via un formulaire. Elles avaient simplement été saisies.

    Plus récemment, une étude de l’université américaine de Princeton indiquait que près de 500 sites parmi les plus visités au monde contenaient au moins une fonction de type keylogger. Les symptômes décrits étaient toujours du même acabit : des données saisies dans une zone – le plus souvent des formulaires – mais non validées étaient quand même envoyées.

    Dans l’étude, les chercheurs évoquaient les scripts « session replay », normalement utilisées pour agréger toute sorte de statistiques d’utilisation de leurs sites, pour en améliorer par exemple l’ergonomie. Mais ces mêmes scripts peuvent être utilisés d’autres manières, notamment pour enregistrer la totalité des actions d’un utilisateur.

    La publication de l’étude avait fait réagir de nombreuses entreprises, qui avaient indiqué notamment à Motherboard et Wired qu’elles ne se serviraient plus de tels scripts. Le cas, tout comme celui de Casper, rappelle toutefois le peu de considération fait de l’internaute dans la plupart des cas.

    Le besoin d’une meilleure protection des internautes

    L’utilisateur devient un simple lot de données personnelles à faire traiter pour l’exploiter ad nauseam, le pourchassant dans ses sessions de navigation pour lui proposer l’achat de produits déjà consultés, l’inscrivant à des newsletters qu’il n’a jamais demandées, et autres formes de tracking. De quoi rendre vital le renforcement des protections en la matière, ce qui doit arriver en Europe à travers le RGPD et ePrivacy dès le mois de mai prochain.

    Même si une prise de conscience collective se fait progressivement jour, il s’écoulera encore du temps pour que ces pratiques se calment, sans parler de s’arrêter. Le pistage est encore au cœur de l’activité publicitaire, en dépit d’un prodigieux agacement des internautes, qui réagissent souvent de la même façon : l’installation d’extensions bloquantes.

    Une protection à laquelle certains sites réagissent à leur tour par des techniques plus invasives. Pas étonnant, donc, que des navigateurs comme Chrome, Firefox ou Safari se penchent de plus en plus sur la question, à des degrés très divers.

  • AI.type : une base de données exposée sans mots de passe

    ZDNet Par Louis Adam

    Sécurité : L’éditeur de l’application de clavier virtuel pour smartphone AI.type a été victime d’une brèche de sécurité et les données personnelles de 31 millions d’utilisateurs ont été publiées en ligne. Pour les cybercriminels, rien de très compliqué : AI.type avait oublié de protéger sa base de données à l’aide d’un mot de passe.

    Une base de données contenant les données d’au moins 31 millions d’utilisateurs de l’application AI.type a été exposée sur le réseau. Cette application disponible pour Android et iOS proposait gratuitement un clavier alternatif pour les utilisateurs qui souhaitaient changer leurs habitudes de frappe.

    L’application était dans une version gratuite aux côtés de la version payante et se finançait notamment via la collecte de données, dont les modalités étaient détaillées dans la politique de confidentialité publiée sur le site. Mais l’application a fait les frais d’une négligence grave en matière de sécurité.

    La base de données qui contenait l’ensemble des données collectées par Ai.type n’était en effet pas protégée par un mot de passe. Celle-ci, hébergée sur un serveur déployé par l’un des fondateurs de la société, était librement accessible sur le réseau et pouvait donc être facilement découverte et pillée par des cybercriminels qui auraient voulu piller les données personnelles.

    La faille de sécurité a été découverte par les chercheurs du Security Research Center de MacKeeper. Dans un communiqué publié sur leur site, ils expliquent avoir ainsi découvert que AI.type exposait malencontreusement plus de 577Go de données personnelles appartenant à leurs utilisateurs sur cette base de données non sécurisée.

    Les données exposées contenaient les informations « classiques » collectées par des applications lorsqu’elles sont installées sur le téléphone : numéro de l’utilisateur, nom, numéro IMEI d’appareil et autres données de géolocalisation. Mais la base de données contenait d’autres types de données collectées par l’application, notamment les données de contact du répertoire de l’ensemble des utilisateurs. Celles-ci contenaient notamment les numéros de téléphone et emails contenus dans le répertoire. ZDNet.com, qui a pu accéder à une partie des données exposées, explique avoir constaté la présence d’un peu plus de 10,7 millions d’adresses email et plus de 364 millions de numéros de téléphone.

    ZDNet.com précise également avoir constaté que l’application collectait une partie des textes tapés à l’aide du clavier, rassemblé dans une archive contenant plus de 8,6 millions d’entrées. Au sein de cette base de données, on retrouve ainsi des mots de passe et des adresses email qui leur sont liés.

    La faille de sécurité n’affecte apparemment que les utilisateurs de la version Android de l’application. Le serveur de AI.type a depuis été sécurisé, mais la société n’a pas encore communiqué sur la brèche de sécurité à l’intention de ses utilisateurs.

  • Enceintes et assistants vocaux « connectés à votre vie privée » : les recommandations de la CNIL

    NextInpact / Par David Legrand / le mardi 05 décembre 2017

    La montée en puissance des enceintes connectées et des assistants vocaux pousse la CNIL a publier de premières recommandations : vigilance concernant les services utilisés, l’utilisation par les enfants, ou lorsque vous recevez des invités. Reste à définir les obligations pour rendre cela plus simple au quotidien.

    Alors que nous nous interrogions hier sur la pertinence des enceintes connectées comme cadeau de Noël de l’année, la CNIL a décidé de publier ses recommandations sur ces produits.

    Comme nous l’avons déjà évoqué, toute leur intelligence est située dans les serveurs des géants du Net, qui ont donc besoin de recueillir vos propos afin de pouvoir les traiter et apporter une réponse. Dans le cas de Google Home, la société vous oblige ainsi à activer votre historique de recherche de manière globale afin de profiter de ses services.

    Rien n’est donc géré au niveau local, ces appareils connectés étant plutôt basiques dans leur conception. Une liste de vos différentes requêtes pourra donc être conservée, ces appareils étant désormais capables d’assurer une reconnaissance vocale afin d’attribuer un propos à une personne en particulier.

    « Bien comprendre les enjeux autour de votre vie privée »

    Après avoir donné la définition des assistants vocaux et détaillé leur fonctionnement, la CNIL prévient : « Chaque utilisateur doit ainsi intégrer que même si « la parole s’envole », ses requêtes vocales sont enregistrées dans le cloud, de la même manière qu’elles le seraient s’il les tapait au clavier dans certains moteurs de recherche ! ». Ces assistants intègrent en effet toujours plus de sphères de nos vies : smartphone, enceintes, casques, véhicules, etc.

    La Commission parle notamment de « monétisation de l’intime » et de besoin de confidentialité des échanges, puisque ces appareils se retrouvent désormais dans nos foyers et sont constamment à l’écoute : « en veille permanente, ces assistants sont susceptibles d’enregistrer vos conversations, y compris celles de tiers lorsqu’ils ont reconnu le mot-clé ». Parfois, ils s’activent même lorsqu’ils pensent avoir reconnu un mot-clé d’activation, même s’il n’a pas été prononcé.

    Face à cette réalité, la CNIL conseille notamment de faire attention aux interactions avec vos enfants : « rester dans la pièce, éteindre le dispositif lorsqu’on n’est pas avec eux ». De manière plus générale, il est conseillé de « couper le micro ou éteindre l’appareil lorsque l’on ne s’en sert pas, ou lorsqu’on ne souhaite pas pouvoir être écouté ». Un bouton est souvent présent pour cette action, qui peut être contraignante, surtout si vous avez plusieurs appareils. Un dispositif global proposé dans les applications de gestion serait donc bienvenu.

    Il en est de même si vous recevez des invités. Comme nous l’évoquions hier, la question du consentement à la récolte des données et des propos peut poser problème. Vous pouvez très bien accepter de voir vos conversations enregistrées par de tels appareils en étant conscients de ce que cela implique. Mais ceux qui vous rendent visite peuvent de leur côté ne pas partager cet avis et doivent au minimum être prévenus.

    Garder la main sur ce qui est partagé

    La CNIL rappelle au passage que « les propos tenus face à l’appareil peuvent enrichir votre profil publicitaire » et invite à ne connecter que des services « qui présentent réellement une utilité pour vous, tout en considérant les risques à partager des données intimes ou des fonctionnalités sensibles (ouverture porte, alarme…) ». Certaines informations peuvent en effet être exploitées par des personnes mal intentionnées et la possibilité d’un piratage de votre compte n’est jamais à exclure.

    « Sans écran, difficile d’avoir un aperçu des traces enregistrées, ni de juger de la pertinence des suggestions, d’en savoir plus ou d’avoir accès à des réponses provenant d’autres sources » constate la Commission. Elle conseille de se rendre régulièrement dans l’outil de gestion « pour supprimer l’historique des conversations et des questions posées et personnaliser l’outil selon vos besoins ».

    Là aussi, on apprécierait que les éditeurs systématisent des dispositifs tels que la suppression automatique au bout de quelques jours à quelques mois, selon le choix de l’utilisateur ou même un nettoyage global possible à tout moment.

    La CNIL veille, mais les règles restent à définir

    Quoi qu’il en soit, la CNIL se dit en contact avec les constructeurs et « réalise des tests sur certains de ces appareils et mène des réflexions sur les moyens à mettre en œuvre afin de garantir que les utilisateurs sont bien informés des données collectées, des usages qui en sont faits et des moyens à leur disposition pour y accéder, les modifier, les supprimer, etc. »

    La mise en place du RGPD et d’ePrivacy en Europe en mai prochain devrait notamment venir renforcer le cadre de la collecte et de l’exploitation des données à travers ces appareils. Néanmoins, il faut espérer que les régulateurs n’hésiteront pas à exiger le respect de règles strictes sur la vie privée, alors que ce marché n’en est qu’à ses débuts.

    Sous peine de voir les mauvaises habitudes s’installer, comme cela a déjà été le cas sur d’autres secteurs, nécessitant ensuite des années avant de revenir à des comportements plus corrects.

  • NSA : échecs et fuite de Red Disk, un cloud dédié au renseignement

    Next Inpact / Par Vincent Hermann / le vendredi 01 décembre 2017

    Alors que la NSA est déjà engluée dans une longue série de fuites d’informations depuis 2013 avec Snowden, d’autres informations sont apparues cette semaine sur Red Disk. Une erreur humaine a conduit à la révélation d’une infrastructure complète de gestion des données de renseignement servant également à l’armée.

    La mauvaise passe de la NSA continue, avec des révélations provenant du même genre d’erreur humaine qui avait déjà permis aux pirates Shadow Brokers de récupérer des outils et failles 0-day parfaitement exploitables. Car c’est en laissant ouverte une instance de stockage Amazon Web Services que l’agence a laissé fuiter Red Disk.

    Ce nom recouvre un concept global de plateforme d’échange d’informations diverses sur tout ce qui touche au renseignement, partagée essentiellement entre l’agence américaine et l’armée. Plus précisément, Red Disk provient de l’INSCOM, pour Intelligence and Security Command, une division appartenant aux deux entités.

    Un cloud dédié au renseignement

    Red Disk a pu être récupéré par un nombre indéterminé de personnes, puisque l’accès était libre à qui savait où chercher. La société de sécurité UpGuard a pu mettre la main dessus et a livré ses observations au sein d’un billet de blog.

    C’est Chris Vickery, directeur de recherche, qui se colle à l’exercice. Il évoque notamment une image disque à décompresser et contenant un très grand nombre de données intéressantes. Certaines parties sont incapables de fonctionner en l’état car elles réclament des systèmes matériels spécifiques et/ou des autorisations du Pentagone. Elles présentent toutefois assez d’informations pour brosser un portrait général, tandis que certains fichiers sont directement exploitables, comme une machine virtuelle basée sur Red Hat Linux.

    Red Disk est donc une infrastructure de gestion de l’information, qui peut revêtir de nombreuses formes : rapports, photos, surveillance satellite, signaux radar, vidéos de caméras de surveillance ou de drones, fichiers audios, etc. Elle permet à la fois l’entrée des informations et leur filtrage en vue d’être ensuite redistribuées vers des analystes s’ils disposent des accréditations suffisantes.

    Elle se présente un peu comme un cloud dédié au renseignement, avec pour objectif de pouvoir être utilisé par tous ceux qui en ont besoin, quelle que soit leur position dans la hiérarchie : espions, analystes, décideurs ou même soldats. Le profil de l’utilisateur débloque ainsi les fonctions associées. Comme l’indique Chris Vickery, Red Disk a été pensé pour permettre au Pentagone d’avoir toujours une vue d’ensemble pour une situation donnée, afin notamment de pouvoir guider les troupes le plus efficacement possible.

    Décrit comme modulaire et personnalisable, Red Disk devait également être en capacité de s’étendre autant que nécessaire, pour suivre les besoins futurs. Le système complet est une énorme entité devant en outre gérer les droits puisqu’il permet de marquer des informations comme classées secret défense. Le tout dans une base de données indexée avec assez de granularité pour faire des recherches à facteurs multiples.

    Toujours selon UpGuard, on trouve également dans l’image des outils de reconnaissance vocale – probablement pour dicter des rapports – et de synthèse vocale, pour se faire lire des informations quand regarder l’écran n’est pas possible.

    Les restes d’un échec ?

    « Red Disk » n’est cependant pas un nom nouveau. On en trouve notamment mention dans un article d’Associated Press datant d’octobre 2014. Il y était évoqué comme un projet particulièrement dispendieux – la somme de 93 millions de dollars est avancée – conçu pour compléter une infrastructure défaillante.

    L’article, peu amène, évoque la manière dont certains acteurs ont « profité d’un échec ». Red Disk était ainsi prévu pour être le composant cloud du DCGS (Distributed Common Ground System), dont l’objectif était déjà de fournir les bonnes informations, au bon moment à la bonne personne. Selon un rapport de test de 2012 toutefois, le système s’était révélé particulièrement instable et très difficile d’utilisation.

    DCGS et Red Disk sont par ailleurs le résultat d’appels d’offres, donc de développements réalisés par des entreprises. Le premier existe d’ailleurs depuis longtemps (plus de 13 ans) et avait eu le temps de produire de nombreux rapports de pannes. Des noms comme Potomac Fusion, Invertix (aujourd’hui Altamira) et General Dynamics sont ainsi pointés, tous participants au développement à un moment de l’histoire du DCGS.

    Red Disk semble dans tous les cas considéré comme un échec, particulièrement au vu des sommes mises sur la table. Associated Press insiste sur la dimension de gâchis et la manière dont certains responsables ont su s’enrichir via les participations et reventes de ces entreprises. Russell Richardson, qui fut à la tête de deux d’entre elles, estimait cependant que les contribuables américains en avaient « eu pour leur argent ».

    Des problèmes multiples pour la NSA

    La publication des informations sur Red Disk est un nouveau coup dur pour la NSA, autant que pour l’armée d’ailleurs. Les révélations faites par Chris Vickery n’ont pas le caractère sulfureux des publications d’Edward Snowden ou des Shadow Brokers. Elles décrivent après tout une infrastructure technique de gestion du renseignement, non des mécanismes d’espionnage ou des failles de sécurité.

    Cependant, ces informations viennent s’ajouter aux autres, avec probablement la désagréable impression pour la NSA que le reste du monde finira bientôt par connaître son organisation et ses projets dans les moindres détails. En outre, les différents articles et analyses montrent une gestion peu glorieuse d’un système conçu pour rendre d’inestimables services mais conçu et réalisé dans l’urgence, avec de très nombreux problèmes à la clé.

    Comme si la coupe n’était déjà pas assez pleine, la récupération de ces informations montre encore une fois un défaut de sécurisation des accès. Les Shadow Brokers avaient déjà dérobé des fichiers sur un serveur laissé plus ou moins en accès libre. L’erreur est ici du même acabit, même si le problème se retrouve un peu partout, les instances Amazon (ou Azure) étant parfois créées puis pratiquement laissées à l’abandon. Ajoutons qu’il y a tout juste quelques jours, UpGuard avait déjà révélé que des espaces S3 de stockage avaient été laissées ouvertes de la même manière par la société TigerSwan, pour le compte du département américain de la Défense.

    Quand Donald Trump pestait contre le niveau général de la sécurité

    Difficile de ne pas repenser aux propos de Donald Trump en janvier dernier, quand il dressait un triste bilan de la sécurité générale aux États-Unis. Il décrivait alors un pays « piraté par tout le monde », des systèmes SCADA et des OIV dont les défenses n’étaient clairement pas au niveau, sans parler de la vaste affaire de l’ingérence russe, qui commençait alors. Difficile de nier que certaines décisions cadrent mal avec une nation maitresse de ses protections quand des instances Amazon aussi sensibles sont laissées ainsi ouvertes.

    Il est probable également que ces informations fassent davantage réagir le public américain, car si de nombreuses révélations visaient l’étranger jusqu’à présent, il est question cette fois de leurs impôts.

    Quant à la NSA et à l’armée américaine, un début de réponse pourrait venir d’une interdiction simple : ne pas se reposer sur des produits publics comme ceux d’Amazon.


  • Faille béante dans macOS High Sierra : Apple fait son mea culpa et diffuse son patch

    ZDNet / Par Olivier Chicheportiche

    Sécurité : "Nous avons failli", reconnaît Apple dans un communiqué suite à la découverte de cette faille qui offre un moyen simple et infaillible de prendre le contrôle de n’importe quel Mac.

    Episode assez rare, Apple a fait publiquement son auto-critique suite à cette affaire de faille béante dans la dernière de macOS (High Sierra). Dans un communiqué, la pomme fait donc acte de contrition et explique :

    "Pour tout produit Apple, la sécurité est une priorité et nous avons y malheureusement failli avec cette version du système d’exploitation macOS. Lorsque nos ingénieurs spécialisés dans le domaine de la sécurité ont constaté le problème ce mardi après-midi (mercredi dans la nuit en France) nous avons immédiatement commencé à travailler sur une mise à jour pour y remédier. Depuis 17h (heure française) la mise à jour est disponible au téléchargement, et plus tard dans la soirée, elle sera automatiquement installée sur tous les ordinateurs équipés de la dernière version de macOS High Sierra (10.13.1)".

    Et de poursuivre : "Nous regrettons profondément cette erreur et nous nous excusons auprès de tous les utilisateurs Mac, à la fois d’avoir fourni une version incluant cette vulnérabilité mais aussi pour l’inquiétude que cela a causé. Nos clients méritent mieux. Nous sommes en train de passer au crible nos processus de développement afin que cela ne se reproduise plus".

    Rappelons que la dite faille offre un moyen simple et infaillible de prendre le contrôle de n’importe quel Mac. Concrètement, sur l’écran de connexion, il suffit de cocher "Autre utilisateur", de saisir root comme nom d’utilisateur et laisser le mot de passe vide. Cliquez plusieurs fois et vous pourriez alors découvrir que vous venez de vous connecter à votre système en tant qu’utilisateur root, c’est-à-dire en mode administrateur. Vous avez désormais tous les pouvoirs.

    Cela signifie que si vous avez volé un Mac, ou si vous avez simplement accès physiquement à un Mac alors que le propriétaire est absent, vous avez accès à toutes les données qui s’y trouvent. C’est un raté historique en matière de sécurité. Un raté qui a fait réagir Edward Snowden, cet ancien de la CIA. "Imaginez une porte fermée, mais il suffit d’essayer de tourner la poignée et oh, la porte s’ouvre."

       Imagine a locked door, but if you just keep trying the handle, it says "oh well" and lets you in without a key. https://t.co/KBW4qntMdA
       — Edward Snowden (@Snowden) 28 novembre 2017

    Le correctif (Security Update 2017-001) ferme cette porte grande ouverte et concerne les utilisateurs de macOS High Sierra 10.13.1 mais pas ceux de 10.12.6.


  • ToS ;DR repart de zéro pour décortiquer les conditions d’utilisation du Net

    NextInpact / Par Guénaël Pépin / mardi 28 novembre 2017

    Cinq ans après la création de ToS ;DR, comprendre les conditions d’utilisation des services en ligne reste encore très compliqué. Des développeurs ont repris de zéro la conception de la plateforme, pour résumer simplement ces textes légaux, au cœur de nos vies numériques.

    Il suffit parfois de dix jours pour relancer un projet tombé en désuétude. ToS ;DR (Terms of Service ;Didn’t Read) héberge désormais Phoenix, une réécriture du service, censée grandement simplifier la contribution des internautes à la base de données.

    Lancé en juin 2012, ToS ;DR est une plateforme qui résume les conditions générales d’utilisation de nombreux services. Plutôt que des dizaines de pages de discours légal, l’outil promet une version concise avec un jugement point par point, puis une note globale. Environ 80 services sont référencés, pour la plupart de manière incomplète.

    L’idée est née au sein du groupe Unhosted au Chaos Communication Camp (CCC) en 2011, puis développé par Hugo Roy lors d’un stage l’année suivante. Une campagne de financement sur Indiegogo a permis de récolter 20 000 euros, quand une association loi 1901 est née en 2013.

    Pour cette nouvelle version, il a passé la main. « Mon niveau d’implication est assez faible ces temps-ci. Mon travail et les Exégètes me prennent déjà beaucoup de temps » nous déclare-t-il. Phoenix a été conçu par trois personnes, dont Christopher Talib, ancien chargé de campagne à la Quadrature du Net. Il revient avec nous sur ce développement et les changements à venir.

    Accéder à la nouvelle version de ToS ;DR

    Simplifier la base, automatiser l’attribution des notes globales

    Christopher Talib a rejoint le projet en décembre 2016, après une rencontre au Capitole du libre de Toulouse. L’idée de départ était de reprendre la conception d’edit.tosdr.org, qui propose depuis 2015 aux internautes de remplir la base de données. Une nouvelle campagne de financement et une mise à jour de la base de données étaient aussi espérées.

    « La base de données commence à dater. Plus personne n’avait vraiment le temps de s’en occuper » se souvient le concepteur de Phoenix. Faute de développeur connaissant MeteorJS, le framework utilisé sur « edit », l’équipe a décidé de repartir de zéro (en Ruby) cet été. Une aubaine pour Christopher Talib, qui veut diversifier ses activités, en passant de la politique aux outils.

    Le but de Phoenix est d’obtenir une base plus propre. Chaque point d’un service est noté sur 10 (contre 100 auparavant) et la « classe » du service analysé (sa note globale) est générée automatiquement en fonction de tous les points inscrits. Elle va de « A » à « F », du très respectueux aux problèmes graves.

    Une ancienne base de données « acrobatique »

    Dans la version précédente du service, elle devait être attribuée manuellement par un modérateur. Or, peu de plateformes analysées ont obtenu une de ces classifications. Cette base contenait un peu moins de 80 services, contre 16 actuellement sur Phoenix. « On n’avait pas de problème à avoir de contribution, mais seuls cinq sites ont une classe. Ça fait un peu mauvais genre » note le développeur.

    Selon lui, la base de données de la version encore en ligne est « un peu acrobatique ». Le projet a connu plusieurs générations de code et la contribution de TOSBack, un projet de l’Electronic Frontier Foundation (EFF), qui récupère régulièrement les conditions générales d’utilisation de centaines de services. L’équipe de ToS ;DR y a contribué, mais l’outil apporte une couche de complexité pour tout nouveau développement. Elle a donc laissé de côté les centaines de services et les 1 700 points d’analyse en base.

    Une API et des fonctions à construire

    La version actuelle de Phoenix devrait être suivie d’une version bêta « avant le printemps ». Les priorités sont d’améliorer le design et l’accessibilité, « malheureusement passée à la trappe en codant ». À terme, la nouvelle version doit à la fois remplacer la page d’accueil actuelle (statique) et edit.tosdr.org.

    Un autre morceau d’importance est l’API, principalement pour connecter les extensions pour Chrome et Firefox. Celles-ci affichent la note globale d’un site lorsque l’internaute le visite, et fournit le détail de ses conditions d’utilisation au clic. L’enjeu est déjà de basculer ces outils sur Phoenix, avant d’ajouter des fonctions allant au-delà de la simple récupération des données.

    Des fonctions comme un historique des conditions d’utilisation ou la possibilité de suggérer des corrections. Pour le moment, les modérateurs sont « tout-puissants ». Ils sont les seuls à pouvoir ajouter un service et valident l’ensemble des modifications apportées à une entrée.

    La comparaison des services selon la qualité de leurs conditions d’utilisation n’est pas encore d’actualité. « Ce n’est pas possible avec notre modèle de base de données, mais c’est quelque chose qu’on pourrait faire. Pour le moment, on veut simplement fournir de l’information. De la transparence sur les conditions générales d’utilisation » répond Christopher Talib. Il imagine, par exemple, une collaboration avec Framasoft sur une sélection de services respectueux.

    De la difficulté du libre et financement

    La conception de ToS ;DR a connu deux ans d’inactivité, jusqu’à début 2017. Si l’équipe continuait de communiquer, notamment sur Twitter et un groupe Google, le développement et le remplissage de la base avaient ralenti. Une version française, CGU : pas lu a aussi été lancée et oubliée.

    Pour Talib, « dans le logiciel libre, on fait beaucoup l’éloge de la contribution. Le problème est qu’il y a beaucoup de projets, on ne sait pas sur lequel participer et c’est très dur pour un débutant. Ce sont des projets abscons, très complexes, sans documentation... ». Sans parler des communautés, qui peuvent être « très compliquées, voire toxiques comme celle qui travaille sur le noyau Linux ».

    Résultat : « Plein de projets libres sont importants, mais personne ne contribue » pense le concepteur de Phoenix. Pour lui, des initiatives comme le récent Contributopia de Framasoft peuvent aider en ce sens.

    L’alpha de Phoenix semble avoir piqué l’intérêt d’internautes, avec une première pull request (proposition de code) et l’ouverture de tickets sur GitHub. L’équipe songe à lancer une nouvelle campagne de financement au printemps. Sur les 20 000 euros collectés en 2012, près de 4 300 euros étaient encore en banque au troisième trimestre.

    Les fonds compensent en partie le temps passé à remplir la base par les membres de l’équipe. Le développeur principal de Phoenix ne s’inquiète d’ailleurs pas de l’appétit des internautes.

    « Du contenu, il y en aura toujours tant que les gens seront intéressés par ces problématiques. La couverture presse d’Exodus Privacy prouve que ce genre de compréhension d’informations peu visibles préoccupe beaucoup de monde » estime-t-il. Son outil doit être « un grain de sable » dans la lutte pour des services respectueux des utilisateurs, alors que le besoin d’alternatives aux grandes plateformes est de plus en plus pressant.


  • Rencontre avec Exodus Privacy, qui révèle les trackers des applications Android

    NextInpact / Par Guénaël Pépin / le vendredi 24 novembre 2017

    Quels trackers contiennent vos applications Android habituelles ? C’est à cette question que tente de répondre l’association Exodus Privacy, avec sa plateforme libre Exodus. Via l’analyse des logiciels et de leur trafic, elle révèle les petits secrets de certains grands noms.

    Depuis trois mois, un groupe d’hacktivistes français conçoit la plateforme Exodus. Son but : automatiser l’analyse du contenu et des émissions de données d’applications Android, à partir d’archives d’installation (APK) récupérées sur le Google Play Store. Ce midi, l’outil est publié, avec une première série de 375 rapports, cataloguant 44 trackers. Amazon, Firefox, ProtonMail, Signal, Spotify ou encore VLC sont passés au crible.

    Accéder aux rapports d’Exodus Privacy

    Le Yale Privacy Lab, de l’université du même nom, publie lui un dossier sur le pistage des mobinautes, en approfondissant les travaux du groupe français, avec Le Monde et The Intercept. « Le 18 septembre, j’entrais en contact avec le Yale Privacy Lab avec lequel nous avons pérennisé une collaboration, sans contrat. Ils s’intéressent beaucoup plus à l’analyse légale de ce que réalisent les trackers » nous déclare Esther (alias U+039b ou « Lambda »), qui mène le développement et le projet.

    Un mois après cette prise de contact, le 21 octobre, Exodus Privacy devenait officiellement une association. Elle doit pérenniser le développement des outils et les analyses, destinés à devenir une démarche de long terme.

    L’équipe s’interroge d’ailleurs sur la possibilité de classer ces « pisteurs », même si elle se refuse à tout jugement. « Ce que nous appelons tracker, c’est un élément logiciel en charge de collecter, de stocker, voire d’envoyer des données concernant l’identité d’un utilisateur ou son activité » détaille Esther.

    Avec cette première publication, le projet qu’elle dirige passe une étape importante, après des mois d’un travail initié dans une grande discrétion.

    Des débuts très prudents

    Les travaux ont commencé fin août, après la publication d’un article sur le tracker Teemo chez Numerama. Il a inspiré plusieurs hacktivistes, en quête de pisteurs dans les applications.

    « J’ai tweeté trois commandes simples qui permettaient à n’importe qui de savoir si Teemo est présent dans tel ou tel APK. Rapidement, d’autres personnes qui faisaient la même chose m’ont contactée. C’est comme ça qu’est né l’embryon du groupe » se souvient Esther. Ces trois personnes seront le noyau de l’initiative, qui attirera jusqu’à neuf personnes pendant sa genèse.

    Esther n’en est pas à son coup d’essai. Depuis moins d’un an, elle conçoit des outils centrés sur l’activité des internautes, comme la marmite connectée « HotSpoot » dont la flamme change de couleur en fonction du site visité par les personnes connectées à un hotspot Wi-Fi.

    Exodus Privacy a débuté dans un bunker numérique. Après un premier contact via un réseau social, chaque nouveau membre était redirigé vers des e-mails chiffrés puis un canal de discussion (aussi chiffré) accessible via Tor. Chacun était prévenu des risques et considéré comme responsable de ses actes, pouvant impliquer les autres participants.

    La raison : l’équipe tâtonnait sur les méthodes d’analyse et leur légalité. Publier les résultats d’un décorticage trop profond d’une application pouvait engager légalement le groupe. La discrétion était donc de mise. « Au début, on ne savait pas si ça allait durer ou s’étioler rapidement » note par ailleurs Esther.

    L’initiative a commencé à se structurer le 16 septembre, avec la décision de monter une association. De nouveaux membres sont arrivés. L’un d’eux est Aeris, derrière d’autres projets d’analyse technique, dont le décortiqueur de chiffrement de connexion CryptCheck, et administrateur système chez Cozy Cloud.

    « Quand je suis arrivé, ils se demandaient quoi faire. Comme ils ne savaient pas trop quels étaient les risques qu’ils prenaient, mieux valait prendre ses précautions » se remémore-t-il. « Quand Esther m’a contacté, j’ai sauté sur l’occasion. Avec CryptCheck, je faisais déjà des analyses de données pour fournir des rapports. J’avais aussi envie de le faire pour les mobiles et potentiellement plus tard les sites Internet. »

    Un risque de procès toujours présent, mais une équipe plus sereine


    L’équipe a fait appel à deux juristes, pour étudier le cadre légal à respecter. L’un est devenu l’avocat de l’association. « Assez tôt, un avocat a accepté de nous défendre pro bono. Nous avons beaucoup discuté avec lui de nos méthodes d’analyse, de constitution des rapports. Une autre analyse a été menée par un juriste et les deux audits légaux aboutissent au fait que nos méthodes sont légales » assure Esther.

    La méthode est donc de décompresser l’archive APK de chaque application, et d’y chercher une référence aux trackers (via l’adresse de ses sites). Ensuite, une analyse des données envoyées (en clair ou chiffrées) permet d’avoir une idée des informations transmises, et d’ajouter un nouveau tracker à la plate-forme si besoin.

    En décompressant l’archive, Exodus obtient la liste des fichiers pour y chercher une référence à un tracker. Il ne s’agit pas de manipuler ces fichiers pour reconstituer le code source. « Il n’y a pas de décompilation du code de l’APK. On va directement aller chercher des signatures dans le binaire de l’APK » précise l’équipe.

    Malgré tout, « notre avocat nous a dit qu’il fallait s’attendre à avoir des plaintes. Même si notre activité n’est pas illégale, on montre des choses que les sociétés n’ont pas forcément envie de montrer. On s’y attend ». Les propriétaires d’applications pourraient d’ailleurs découvrir des éléments intégrés par leur prestataire de développement, pour des raisons techniques ou commerciales, sans leur consentement.

    Depuis sa formation en association, l’équipe est bien plus sereine. La responsabilité individuelle devient davantage collective, même si les personnes physiques jugées responsables peuvent toujours être inquiétées pénalement. Désormais, l’activité jusqu’ici cachée s’affiche au grand jour, les discussions se tenant sur un canal IRC public, seuls des éléments réclamant une sécurité spécifique étant toujours transmis confidentiellement.


    Découverte : la « flemme » massive des développeurs

    Parmi les 345 applications décortiquées, l’outil pour développeurs Crashlytics et la régie publicitaire de Google (Doubleclick) sont de très loin les « trackers » les plus utilisés, devant Localytis, Flurry et HockeyApp.

    « On s’attendait déjà plus ou moins à ce qu’on a découvert, malheureusement » avance Aeris. « Aujourd’hui, s’il y a autant de trackers, c’est dû à la flemme des développeurs, qui cherchent des frameworks qui font le café » estime-t-il. Il veut donc « exposer les mauvaises pratiques » de développement, qui mènent à la multiplication de ces appels par les applications. Leurs propriétaires pourraient être prévenus par l’équipe, pour signaler une trop grande gourmandise de ce point de vue.

    Il reste que tous les « pisteurs » n’ont pas la même utilité. « Des trackers comme Crashlytics ne font qu’envoyer des informations d’utilisation. Il n’y a pas de nom, prénom, d’adresse e-mail, etc. » rappelle Esther. D’autres sont bien moins délicats, en transmettant des données sensibles, comme la localisation, sans chiffrement.

    « On n’a malheureusement pas de terme pour les distinguer. Nous pourrons peut-être, plus tard, avoir une réputation du tracker et différencier l’outil de rapport de bug de celui qui va s’introduire dans la vie privée », via des symboles ou avertissements spécifiques, pense Aeris. Rien qui n’arrive dans l’immédiat, donc.

    Des outils conçus par l’équipe

    Les logiciels utilisés pour les analyses ont été conçus par l’équipe. Esther a mené le développement, en recodant la plateforme après une première version initiée pendant l’été. Elle est appuyée par les autres membres de l’association sur l’administratif, l’administration système ou encore le site public.

    « Clairement, Esther s’est occupée de toute la partie développement, pointe Aeris. Quand on a une idée, on la lance et le lendemain au réveil, tout est fait. On a tout de même pu l’aider sur certaines parties. Je suis intervenu sur l’interception de trafic TLS, via du conseil et du support. »

    La plateforme Exodus est conçue via Django (un framework web en Python). Les rapports sont stockés en PostgreSQL, les tâches Celery sont distribuées via RabbitMQ et les fichiers sont stockés via Minio.

    Des analyses réplicables, à automatiser entièrement

    Les outils sont répartis entre Exodus, pour l’analyse statique des applications (ce qu’elles contiennent) et Electra, qui gère l’analyse des données échangées avec l’extérieur.

    Chaque archive APK est récupérée automatiquement sur le Play Store, puis décompressée et passée à la moulinette de « grep », une commande Linux permettant de chercher des caractères dans un fichier. Un rapport est ensuite généré et ajouté à la plate-forme.

    Cette partie, d’apparence anodine, pose déjà son lot de problèmes. « L’API Google limite les demandes, avec des contrôles très poussés, qui nous ennuient assez furieusement. Il faudra qu’on arrive à trouver des systèmes de récupération » s’agace Aeris, qui pense par exemple multiplier les machines téléchargeant les fichiers.

    « On doit parfois repasser manuellement. Par exemple, l’APK d’Adblock est en rouge cramoisi parce qu’il référence tous les trackers. Il faut qu’on passe derrière pour dire qu’il s’agit d’une application qui n’est pas dangereuse » ajoute le spécialiste.

    Electra se charge, pour sa part, de lancer une machine virtuelle avec Android (en version x86), d’exécuter Wireshark et mitmproxy (pour analyser le trafic), puis l’application pendant 80 secondes. Le trafic est enfin transmis à Exodus, qui le référence. Des actions manuelles sont parfois nécessaires, pour accepter les autorisations demandées (sans jamais créer de compte) ou rendre l’application plus loquace via une interaction.

    « Wireshark voit ce qui n’est pas chiffré (requêtes DNS, trafic UDP...) et mitmproxy sert à voir ce qui passe » dans le trafic chiffré. L’utilisation d’Electra est ensuite « assez manuelle », la machine virtuelle tournant sur les ordinateurs de développement. « À terme, il y aura des fermes de vérification pour mener ça en parallèle » espère encore Aeris.

    Une méthode avec ses limites

    Les outils, qui permettent de centraliser et historiser la présence des trackers, ont leurs limites. Tout « pisteur » ajouté l’est manuellement par un membre de l’équipe, après analyse réseau d’une première application le contenant. « On ne peut pas garantir l’exhaustivité de nos rapports. Si par exemple, on dit que dans telle application on a découvert tel ou tel tracker, rien ne garantit qu’il n’y en ait pas un ou plusieurs autres dedans » précise Esther.

    Pour le moment, seuls les membres du bureau de l’association peuvent soumettre des applications à l’analyse. L’équipe compte proposer, par la suite, des soumissions par les internautes, mais le processus doit être entièrement automatisé et les ressources serveur suffisantes.

    « Il faut être extrêmement vigilants là-dessus. Si une personne biaise la détection, on obtient des résultats faux. Vu que c’est un système automatisé fondé sur des données versionnées, enregistrées... Si jamais la signature qu’on recherche ne correspond pas à un tracker, on pourra aisément démontrer qu’il n’y a pas de malveillance humaine » nous déclare encore Esther.

    Quelques applications sont aussi récalcitrantes à l’analyse. Elles peuvent planter en détectant la sandbox en x86, limiter ou simplement interdire leur utilisation, par exemple si le téléphone est vu comme rooté.

    Les applications iOS sont encore hors du champ d’investigation. Le système d’Apple est une toute autre paire de manches qu’Android. L’impossibilité d’exécuter un simulateur iOS sur PC est une des limites évoquées.

    Pas de calendrier, mais des projets

    Par la suite, « le but est d’analyser le plus possible d’applications, de voir les mises à jour » avance Aeris. Après l’officialisation du projet, aujourd’hui, aucun calendrier n’est défini pour les prochaines évolutions. L’automatisation du processus d’analyse est la priorité.

    « On ajoutera petit à petit des fonctionnalités : la possibilité de pousser des APK, de classer, d’avoir une analyse dynamique plus fine quand on intercepte du trafic... » promet Aeris.

    Aujourd’hui, l’admet Esther, « récupérer tous les outils et les installer sur son PC, est assez compliqué ». Deux futures vidéos guideront les internautes dans la lecture des rapports et la reproduction des analyses.

    Côté financement, l’association compte uniquement sur ses (futurs) membres, malgré une adhésion gratuite. La réponse publique au projet sera déterminante, tout comme celle des entreprises concernées, qui se voient mises sous les projecteurs via un angle qu’elles n’avaient sûrement pas envisagé.

  • CNIL 22 novembre 2017

    WEB EDITIONS : sanction pécuniaire pour une atteinte à la sécurité et la confidentialité des données clients

    En décembre 2016, la CNIL a été informée de l’existence d’un incident de sécurité ayant conduit à rendre librement accessibles les données personnelles des utilisateurs de plusieurs sites internet permettant d’effectuer des démarches administratives.

    La Présidente de la CNIL a décidé de diligenter des contrôles en ligne en janvier 2017. Les contrôleurs de la CNIL ont suivi le parcours de démarches administratives proposées par les sites « www.passeport-express.org », « www.porter-plainte.fr », « www.formalite-acte-de-naissance.org » et « www.demande-non-gage.org » édités par la société WEB EDITIONS.

    Ils ont constaté qu’une fois un formulaire de démarches en ligne renseigné, une page récapitulative de la demande s’affichait. En modifiant un numéro dans l’adresse URL de la page récapitulative, ils ont pu accéder aux pages d’autres utilisateurs des différents sites et notamment aux informations qu’elles contenaient :

    - données d’identification,

    - adresse électronique,

    - adresse postale,

    - numéro de téléphone,

    - nom et prénom des parents lorsque la demande portait sur un acte de naissance,

    - descriptifs des faits dans le cadre des dépôts de plainte.

    Alertée par les services de la CNIL, la société a pris, en trois jours, les mesures nécessaires permettant de mettre fin à la violation de données.

    Un contrôle sur place a été réalisé, en février 2017, dans les locaux de la société. Il a permis de constater que le défaut identifié résultait de l’absence de mise en œuvre de mesures élémentaires de sécurité lors de la conception des sites internet concernés.

    En conséquence, la Présidente de la CNIL a désigné un rapporteur afin que soit engagée une procédure de sanction à l’encontre de la société WEB EDITIONS.

    La formation restreinte de la CNIL a prononcé une sanction pécuniaire d’un montant de 25.000 euros, estimant que la société avait manqué à son obligation de préserver la sécurité et la confidentialité des données personnelles des utilisateurs de ses sites, conformément à l’article 34 de la loi Informatique et Libertés.

    Elle a estimé qu’il appartenait à la société d’être particulièrement vigilante sur la sécurité des données collectées, dès lors qu’elle mettait en ligne des sites internet permettant d’effectuer des démarches administratives et notamment, de traiter des données sensibles ou relatives à des infractions au sens des articles 8 et 9 de la loi Informatique et Libertés.

    Cette violation a eu un impact sur les données de plusieurs milliers de personnes, certaines relevant de l’intimité de la vie privée des utilisateurs des sites, ainsi que celle de tierces personnes visées dans les plaintes déposées en ligne et dans les demandes d’actes de naissance.

    La formation restreinte a néanmoins tenu compte de la réactivité de la société dans la résolution de l’incident de sécurité, de sa bonne coopération avec les services de la CNIL ainsi que de la taille de la structure et de son chiffre d’affaires.


  • Attaque DDoS contre EDF : le pourvoi de Triskel rejeté par la Cour de cassation

    NextInpact / Par Marc Rees / le jeudi 23 novembre 2017

    La Cour de cassation a finalement rejeté le pourvoi exercé par Triskel dans le cadre d’une attaque informatique visant des sites Internet d’EDF. L’éditeur d’une solution de « raccourcisseurs » d’URL utilisé par des « Anonymous » est définitivement condamné pour participation à une entente en amont de ce DDoS.

    En 2011, une attaque par déni de service distribué visant des sites internet d’EDF, revendiquée par des « Anonymous », avait conduit à une perquisition musclée de la Direction centrale du renseignement intérieur au domicile de Triskel, de son vrai nom Pierrick Goujon.

    Si les enquêteurs avaient retrouvé son identité, c’est tout simplement parce que la campagne « Greenrights » des Anonymous avait utilisé son service de raccourcisseurs irc.lc dans un tract virtuel.

    L’éditeur de cette solution en ligne a toujours clamé son innocence. Des arguments entendus devant le tribunal correctionnel de Paris, qui avait reconnu que ce service n’avait pour vocation que de « rendre plus accessibles les canaux de discussion IRC », non d’organiser une attaque DDoS. Il prononçait alors sa relaxe.

    D’abord relaxé, puis condamné en appel

    En appel, Triskel a répété n’être qu’un intermédiaire, non responsable de l’utilisation faite par les tiers de Irc.lc. La cour d’appel a eu une autre analyse, reprochant à l’intéressé d’avoir proposé son service de passerelle vers le canal IRC dédié à GreenRights. Elle l’a reconnu coupable du délit de participation à « une entente établie en vue de la préparation d’entrave au bon fonctionnement de systèmes de traitement automatisé de donnée », ici les sites d’EDF.

    Il fut alors condamné à 2 mois de prison avec sursis et obligation de stage de citoyenneté.

    Un délit non caractérisé selon son avocat...

    Devant la chambre criminelle de la Cour de cassation, les avocats de Triskel sont repartis au combat : un tel délit suppose avant tout « que soit caractérisée une résolution d’agir concertée et arrêtée entre deux ou plusieurs personnes », ce qui ferait défaut dans l’arrêt de la cour d’appel.

    En outre, l’entente implique un objectif, la commission du délit d’entrave, qui ne serait pas davantage démontré. Enfin, les juges d’appel auraient jaugé à tort l’intention délictueuse du prévenu dans la préparation d’une telle entrave ou sa facilitation.

    ...mais une analyse contestée par la Cour de cassation

    La Cour de cassation ne va pas partager ces reproches. Dans un arrêt du 7 novembre, elle a considéré que les juges du fond avaient bien caractérisé les différents éléments de l’infraction. D’un, l’adresse de son raccourcisseur d’url IRC.lc a été diffusée dans des documents d’"Anonymous", plus d’un an avant l’attaque. De deux, il a « mis à disposition » un webIRC « dont il est locataire et gestionnaire », qui a permis aux utilisateurs, même non férus d’informatique, « d’accéder à des sites de discussion, d’avoir connaissance des modalités concrètes d’opérations du mouvement "Anonymous" ».

    De trois, Triskel a constaté qu’EDF était prise pour cible. De quatre, il n’ignorait pas que les attaques DDoS étaient un levier des Anonymous qui ont pu être réalisées via ces moyens techniques et informations. Autant d’éléments qui ont caractérisé le délit de participation, et ont permis aux juges de « déduire la pleine conscience (…) du caractère irrégulier de telles attaques ».


  • Uber : 57 millions de comptes piratés, 100 000 dollars pour étouffer l’affaire

    NextInpact / Par Sébastien Gavois / le mercredi 22 novembre 2017

    En octobre de l’année dernière, Uber s’est fait dérober des données personnelles de 50 millions de clients et 7 millions de chauffeurs. La société n’a pas signalé cette fuite (concernant notamment des numéros de permis de conduire) et a payé 100 000 dollars aux pirates pour qu’ils suppriment les données.

    Les fuites de données se suivent et ne se ressemblent décidément pas. Cette fois-ci, c’est au tour des clients et chauffeurs d’Uber d’en être victimes, comme le rapportent nos confrères de Bloomberg et le confirme la société de VTC.

    57 millions de comptes concernés, dont 50 millions d’usagers

    L’attaque remonte à octobre de l’année dernière et impacte pas moins de 57 millions de comptes. Il est ainsi question des noms, adresses email et numéros de téléphone pour plus de 50 millions d’utilisateurs. Les informations personnelles d’environ 7 millions de chauffeurs sont également concernées, notamment 600 000 numéros de permis de conduire américain.

    La société affirme par contre qu’aucun numéro de sécurité sociale, de carte bancaire, détails sur les déplacements ou autre information n’a été récupéré par les pirates.

    Pour arriver à leur fin, ces derniers ont pu accéder à un dépôt GitHub privé utilisé par les ingénieurs d’Uber. Ils ont alors récupéré les identifiants de connexion qui leur donnaient accès à un compte Amazon Web Services contenant une archive avec ces informations.

    Ils ont ensuite envoyé une demande de rançon à Uber... une opération courante dans ce genre de situation, mais la réaction de la société l’est déjà bien moins.

    Uber a payé 100 000 dollars aux pirates

    Bloomberg explique en effet que la société a payé 100 000 dollars aux pirates pour qu’ils suppriment les données, et ainsi tenter de faire comme si de rien n’était. « Nous avons obtenu l’assurance que les données téléchargées avaient été détruites » ajoute Uber, à qui nous devons donc faire confiance sur ce point... La société ne dévoile par contre pas l’identité des attaquants, malgré la demande de Bloomberg.

    Quoi qu’il en soit, Dara Khosrowshahi indique n’avoir été mis au courant que « récemment » de cette histoire. Le directeur général ajoute néanmoins qu’au « moment de l’incident, nous avons pris des mesures immédiates pour sécuriser les données et mettre fin à tout accès non autorisé par les individus ». Des mesures supplémentaires de protections ont également été mises en place. Dans tous les cas, les comptes concernés par cette fuite font l’objet d’une surveillance supplémentaire. *

    La justice prend le relai

    « Rien de tout cela n’aurait dû arriver [...] Bien que je ne puisse effacer le passé, je peux m’engager au nom de tous les employés d’Uber à apprendre de nos erreurs » explique Dara Khosrowshahi. Le chef de la sécurité Joe Sullivan et un de ses adjoints ont été licenciés pour leur rôle dans cette histoire selon nos confrères.

    De son côté, le procureur général de New York, Eric Schneiderman, a ouvert une enquête. Un client poursuit également en justice Uber « pour négligence » et cherche à monter un recours collectif, comme l’indique à nouveau Bloomberg.


  • Protection de la carte bancaire : et si le problème n’était pas que dans le monde numérique ?

    NextInpact /par David Legrand / le lundi 20 novembre 2017

    Si certains ont encore parfois peur de se faire pirater leurs informations de paiement lors d’un achat en ligne, il est plus rare de voir des utilisateurs se méfier lorsqu’un commerçant ou un téléconseiller leur demande la transmission d’une telle information. C’est pourtant bien plus risqué.

    Avec la montée en puissance de la vente en ligne à coup de « 1-click » et des services de paiement ou de transfert d’argent nouvelle génération, un élément devient de plus en plus crucial à protéger : les informations relatives à votre carte bancaire.

    Les dispositifs en place sont plutôt bons en la matière, et la fraude à un niveau assez bas. Ainsi, ce ne sont le plus souvent pas les informations de votre carte qui sont stockées par les sites, mais un simple « jeton » (ou token) lié à une autorisation qui peut être révoquée. Et ceux qui utilisent ce genre d’outils sont soumis aux normes PCI-DSS.

    En ligne, des règles claires

    De son côté, la CNIL dispose depuis des années de recommandations claires sur ce qu’il est possible de faire ou non. La semaine dernière, elle a publié un rappel sur le sujet suite à une délibération intervenue cet été. Elle y précise que le numéro de la carte, la date d’expiration et le cryptogramme visuel ne doivent être conservés au-delà de la transaction.

    Il y a bien sûr des exceptions possibles, comme en cas d’abonnement à tacite reconduction, ou la facilitation des achats ultérieurs si le client a exprimé son consentement qui « doit prendre la forme d’un acte de volonté explicite, par exemple au moyen d’une case à cocher et non pré-cochée par défaut ». Dans tous les cas « la conservation du cryptogramme est interdite après la réalisation de la première transaction ».

    La Commission nous a confirmé qu’elle ne reconnaissait pas les données bancaires comme des données dites sensibles. Il s’agit néanmoins d’une donnée à caractère personnelle puisque la loi informatique et libertés dispose dans son article 2 que cela concerne « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres ».

    Un guide datant de fin 2016 est également disponible : Commerce et données personnelles.


    IRL, vos données de carte bancaire en mode YOLO

    Contrairement à ce que l’on pense, c’est dans le monde physique que les choses se gâtent. Si une fuite en ligne peut rapidement être massive, une attaque « In Real Life » (IRL) est plus limitée, mais aussi bien plus simple.

    L’un des dangers identifiés est celui du paiement sans contact, à travers une carte bancaire ou un smartphone. Très bavard au départ, ce dispositif a été largement renforcé ces dernières années. Mais comme l’a encore montré récemment le blogueur Numendil, c’est loin d’être parfait.

    Avec un bon équipement, ou même une simple application Android, on peut encore récolter quelques informations qui peuvent être utiles depuis une carte de paiement qui est constamment accessible, contrairement à une application de paiement sur smartphone qui doit être activée.

    Mais il y a encore bien pire que cela, et l’on rencontre encore couramment des pratiques qui n’ont pas lieu d’être en 2017. Il fût un temps où l’on passait les cartes bancaires dans des « presses » afin d’en effectuer une empreinte carbone. Une période révolue ? Pas tant que cela.

    Hôtels, achat par correspondance, centres d’appel : CB partout, protection nulle part

    Ceux qui vont couramment dans des hôtels en dehors des grandes chaînes savent qu’il est souvent demandé de fournir une carte au moment du « Check-in ». Et là, les informations de la cartes sont parfois stockées directement dans la base de données client ou même simplement écrites sur une fiche papier.

    Ce, alors que les TPE prennent parfaitement en charge l’empreinte bancaire permettant aux commerçants de se couvrir en cas de problème. Et sur le sujet, il est bien plus difficile de trouver la trace de recommandations de la CNIL, ou même de savoir si elle effectue concrètement des vérifications sur les procédures de paiement des commerçants.

    Un conseil, donc, si vous allez souvent d’un hôtel à un autre : pensez à utiliser une carte de paiement secondaire à autorisation systématique, sur laquelle vous laissez assez peu de fonds. En cas de problème, le risque sera ainsi limité.

    Cette pratique se retrouve d’ailleurs dans d’autres secteurs que l’hôtellerie. Pour l’abonnement à la presse papier, ou l’achats de produits par catalogue, on retrouve encore souvent des formulaires proposant au client d’inscrire les informations de sa carte bancaire. Des informations qui seront protégées par une simple enveloppe lors du transport.

    Parfois, c’est au téléphone que l’employé du centre d’appel d’un organisme de crédit ou d’une société vous proposera de lui donner les informations de votre carte bancaire. Qui vous assurera qu’il ne le met pas de côté pour une utilisation ultérieure ? Rien, si ce n’est le risque de se faire prendre par son employeur.

    On se demande alors à quoi cela peut bien servir de mettre en place des solutions de chiffrement comme TLS si c’est pour au final transmettre ce genre de données dans un simple courrier ou au téléphone. Surtout qu’en cas de problème, il sera bien compliqué d’identifier la fuite de manière certaine.

    La protection des données de paiement doit être assurée partout

    Bref, s’il est important de sécuriser le partage des données bancaires en ligne et de renforcer le niveau de sécurité dans le domaine du paiement, notamment à l’heure où le smartphone devient un outil de plus en plus utilisé, il faut aussi ne pas oublier de regarder plus près de nous, dans notre quotidien.

    Car tant que la sécurité de l’utilisateur reposera sur quelques chiffres présents sur une carte plastique, qu’on lui demande de partager parfois sans assurer le moindre niveau de protection, toutes ces mesures deviendront inutiles. C’est toujours sur le maillon le plus faible de la chaîne que les attaquants portent leurs coups.

    Certes, en cas de fuite, l’utilisateur est protégé par la législation et peut de plus en plus facilement faire renouveler sa carte. Des mesures comme 3D Secure sont également parfois mises en place par les commerçants. Mais celle-ci n’est pas systématique et pose encore trop souvent des problèmes. Surtout lors des périodes commerciales intenses comme le Black Friday ou les les soldes.

    Mais il s’agit là d’une autre histoire, que nous aurons sans doute l’occasion d’évoquer dans un prochain édito.


  • par Keren Elazari, spécialiste israélienne de la sécurité, consultante en cybersécurité et chercheuse associée du groupe de travail Science, sécurité et technologie de l’université de Tel Aviv.

    interstices le 4/10/2017

    Chaque appareil connecté est une cible potentielle pour les cybercriminels. Les gouvernements ne pourront sécuriser le cyberespace que si les particuliers sécurisent leurs propres équipements.

    L’ESSENTIEL
    - Les cyberattaques se multiplieront dans les années à venir. Tout utilisateur des technologies modernes est une cible potentielle.
    - Les nouvelles attaques visent certes les données, mais aussi les objets connectés et les infrastructures matérielles.
    - Seuls, les gouvernements et l’industrie technologique ne peuvent sécuriser le cyberespace.
    - Avec l’aide des pirates informatiques et des particuliers, il faut construire un système « immunitaire » distribué.

    En termes de cybersécurité, aiment à dire les spécialistes, il existe deux types d’organisations : celles qui ont été touchées et celles qui ne le savent pas encore. Les récents titres de la presse tendent à leur donner raison. Des cybercriminels ont volé les informations des cartes de crédit et les données personnelles de milliers de clients de sociétés telles que les entreprises américaines Target et Home Depot (grande distribution) ou JPMorgan Chase (société de portefeuille). Les chercheurs en sécurité informatique ont découvert des failles fondamentales dans les constituants d’Internet, telle la vulnérabilité Heartbleed dans la bibliothèque de logiciels de cryptographie OpenSSL. Une destruction massive de données a obligé Sony Pictures Entertainment à revenir au papier et au crayon. Des criminels ont accédé aux données de plus de 80 millions de clients de l’entreprise américaine d’assurance maladie Anthem. Et il ne s’agit que des incidents les plus connus.

    Dans les années à venir, les cyberattaques vont probablement s’intensifier. Le problème nous concerne tous. Nous sommes tous, d’une façon ou d’une autre, connectés au cyberespace — via les téléphones, les ordinateurs portables, les réseaux d’entreprise —, et donc exposés. Le piratage des réseaux, serveurs, ordinateurs personnels et comptes en ligne est devenu une ressource essentielle tant des cybercriminels que des services d’espionnage des États. Votre réseau local d’entreprise, votre PC de jeu deviennent autant d’outils supplémentaires dans l’arsenal des criminels — ou des cyberespions financés par le contribuable. Les ordinateurs compromis servent de tremplin pour l’attaque suivante ou deviennent les maillons d’un « botnet », un réseau malveillant de machines zombies contrôlées et louées à l’heure pour lancer des attaques par déni de service (qui rendent un service indisponible) ou distribuer des spams.

    En réponse à de telles menaces, le réflexe des gouvernements consiste à militariser le cyberespace, à essayer de contrôler le monde numérique en s’appuyant sur des agences secrètes et des administrations centralisées. Mais cette approche ne fonctionnera jamais. Elle risque même d’empirer les choses. La cybersécurité est comme un problème de santé publique : seules, les agences de santé gouvernementales n’ont pas les moyens d’arrêter la propagation des maladies. Elles ne peuvent remplir leur rôle que si les citoyens remplissent le leur.

    Un cyberespace multiforme

    Une difficulté pour protéger le cyberespace est que celui-ci n’est pas une entité unique. Le cyberespace est un vaste ensemble de systèmes interconnectés en perpétuelles mutation et croissance. Pour en prendre la mesure, il faut remonter un demi-siècle plus tôt, aux travaux de Norbert Wiener, professeur de mathématiques à l’Institut de technologie du Massachusetts. En 1948, Wiener a emprunté un terme du grec ancien pour décrire une nouvelle discipline qu’il développait : la cybernétique, ou l’étude du « contrôle et de la communication chez l’animal et la machine ». En grec ancien, κυβερνἠτης désignait le timonier ou le pilote qui dirigeait et contrôlait les navires en Méditerranée. Par analogie, le cyberespace est l’ensemble des technologies électroniques et numériques interconnectées qui permettent le contrôle et la communication de tous les systèmes sur lesquels repose la vie moderne. Le cyberespace est constitué d’un large éventail de technologies de commande à distance et de communication, allant des pompes à insuline pilotées par radiofréquences aux satellites de géolocalisation GPS.

    Le cyberespace n’est pas une eau internationale. Il ne s’agit pas d’un ensemble de territoires que des gouvernements ou des armées pourraient contrôler. La plupart des technologies et réseaux qui constituent le cyberespace sont détenus et entretenus par des multinationales à but lucratif.

    Le nombre et la diversité des technologies incluses dans cet espace croissent rapidement. Le fournisseur de matériel réseau Cisco Systems prédit que d’ici 2020, 50 milliards d’appareils seront connectés à Internet, dont, pour une grande part, des dispositifs et systèmes liés à l’industrie, l’armée et l’aérospatiale. Chaque nouveau dispositif qui se connecte au cyberespace est une cible potentielle et les attaquants décèlent vite les maillons les plus faibles des réseaux. Les pirates qui se sont introduits fin 2013 dans les terminaux de points de vente du distributeur américain Target et ont volé les données de millions de cartes bancaires, par exemple, ont pénétré dans le réseau du détaillant en s’attaquant d’abord à une cible facile : Fazio Mechanical Services, l’entreprise de maintenance frigorifique qui gère les systèmes de chauffage et de réfrigération de Target. Ceux qui, en 2011, ont accédé aux réseaux de l’entreprise américaine de défense Lockheed Martin s’en sont d’abord pris à la compagnie de sécurité RSA, qui fournissait à Lockheed Martin ses jetons d’authentification. RSA elle-même a été compromise parce qu’un employé de sa société mère, EMC, avait ouvert un fichier Excel attaché en pièce jointe à un courriel.

    Les « objets » de l’Internet des objets — smartphones, tablettes, animaux marqués d’une puce… —, tous ces éléments auxquels Internet s’étend aujourd’hui, ne sont pas simplement des fenêtres via lesquelles les attaquants peuvent s’infiltrer. Ils constituent eux-mêmes des cibles potentielles de sabotage. Dès 2008, des chercheurs en sécurité ont prouvé qu’il était possible de pirater à distance des stimulateurs cardiaques. Depuis, des hackers ont montré qu’ils étaient capables de prendre le contrôle de pompes à insuline au moyen de signaux radio et de déclencher l’injection d’insuline dans le système sanguin des patients.

    Les infrastructures physiques sont aussi menacées. Le virus informatique Stuxnet l’a montré en 2010 en causant la destruction des centrifugeuses d’enrichissement de l’uranium au sein d’une installation clandestine à Natanz, en Iran. Fruit supposé d’une collaboration coûteuse entre les États-Unis et Israël, Stuxnet a révélé qu’un code numérique suffit à perturber et détruire des systèmes physiques analogiques. Depuis, d’autres attaques l’ont confirmé. En décembre 2014, l’Office fédéral allemand de la sécurité des technologies de l’information a rapporté que des pirates avaient perturbé certains systèmes d’une aciérie, empêchant le haut-fourneau de s’arrêter et infligeant d’importants dégâts au système. Trois mois plus tôt, des pirates chinois avaient attaqué les sites web de l’Agence américaine d’observation océanique et atmosphérique (NOAA) qui traitent des données satellitaires servant entre autres à l’aviation et à la réaction aux catastrophes.

    En d’autres termes, la cybersécurité ne concerne pas seulement la sécurisation des ordinateurs, des réseaux ou des serveurs web. Il ne s’agit pas juste de sécuriser des « secrets » (comme si nous en avions encore beaucoup pour Google et Facebook !). La bataille du cyberespace concerne la protection des objets, des infrastructures et des processus. Le danger encouru est la subversion et le sabotage des technologies que nous utilisons tous les jours : nos automobiles, distributeurs bancaires et appareils médicaux ; nos réseaux électriques, satellites de communication et réseaux téléphoniques. La cybersécurité vise à protéger notre mode de vie.

    Des vulnérabilités entretenues

    Sécuriser le cyberespace confronte les gouvernements à des conflits profonds. De nombreuses agences fédérales, dont le Département de la sécurité intérieure des États-Unis, ont un réel intérêt à protéger les sociétés nationales et les citoyens des cyberattaques. Mais d’autres entités gouvernementales ont intérêt que le réseau mondial reste criblé de vulnérabilités. Des groupes clandestins tels que la NSA, l’Agence de sécurité américaine, investissent des millions pour trouver et maîtriser des failles techniques qui permettraient à un attaquant de prendre le contrôle d’un système.

    La vulnérabilité de sécurité des uns est l’arme secrète des autres. Prenons le bug Heartbleed. Si vous avez utilisé Internet au cours des cinq dernières années, votre information a probablement été cryptée et décryptée par des ordinateurs équipés du logiciel OpenSSL. SSL est la technologie derrière les icônes en forme de cadenas qui signalent les sites web sécurisés. La vulnérabilité Heartbleed était le résultat d’une erreur élémentaire de développement logiciel dans Heartbeat, une des extensions d’OpenSSL, d’où le nom (voir l’encadré). Exploitée, la faille donnait aux indiscrets un accès facile aux clés de chiffrement, noms d’utilisateurs et mots de passe, rendant illusoire toute sécurité offerte par le chiffrement SSL. OpenSSL a été vulnérable pendant deux ans avant que deux équipes distinctes de chercheurs en sécurité (l’une dirigée par Neel Mehta, expert en sécurité chez Google, et l’autre de Codenomicon, dont le siège est en Finlande) ne découvrent le bug. Quelques jours plus tard, le magazine Bloomberg Businessweek citait des sources anonymes affirmant que la NSA utilisait cette faille depuis des années pour le cyberespionnage.

    Nombre d’États puissants ont affecté leurs meilleurs techniciens et des millions d’euros à la découverte et à l’exploitation de vulnérabilités telles que Heartbleed. Les gouvernements achètent aussi des bugs sur le marché libre, contribuant à soutenir l’industrie des failles de sécurité. Un nombre croissant d’entreprises, telles que Vupen Security, à Montpellier, et Exodus Intelligence, à Austin, se spécialisent dans la découverte et la commercialisation de ces précieux bugs. Certains gouvernements dépensent même plus pour la recherche et le développement de capacités offensives que pour la défense contre les cyberattaques. Le Pentagone emploie nombre de chercheurs en vulnérabilités, et le budget de la NSA pour la cyberrecherche offensive est plus du double de celui consacré à la défense.

    Cela ne signifie pas que les gouvernements ont des intentions malfaisantes ou qu’ils sont des ennemis de la cybersécurité. Les agences telles que la NSA recueillent des renseignements afin d’empêcher des actes abominables et il est logique qu’elles utilisent tout outil à leur disposition pour y parvenir. Toutefois, une étape importante de la sécurisation du cyberespace consistera à soupeser avec honnêteté les coûts et avantages de l’entretien des vulnérabilités par les agences gouvernementales. Une autre clé de la réussite sera de tirer le plein parti du pouvoir des gouvernements, qui peuvent par exemple obliger des entreprises et autres organismes à partager leurs informations sur les cyberattaques.

    Les banques, en particulier, auraient tout intérêt à le faire, car les attaques sur les institutions financières suivent d’ordinaire un schéma prévisible : quand les criminels trouvent un angle d’attaque qui fonctionne avec une banque, ils l’essaient sur une autre, puis une autre… Toutefois, les banques évitent de divulguer des informations sur les attaques subies, car cela soulève des questions sur leur propre sécurité. Elles évitent aussi de communiquer avec leurs concurrentes ; dans certains cas même, les lois antitrust l’interdisent. Les gouvernements, en revanche, peuvent faciliter le partage d’informations entre banques. Ce partage est déjà mis en place aux États-Unis sous la forme du Centre de partage et d’analyse d’informations pour les services financiers (FS-ISAC), qui sert aussi les organismes financiers mondiaux. Et en février, Barack Obama a signé un décret présidentiel qui enjoint d’autres entreprises à partager leurs renseignements entre elles et avec le gouvernement.

    Les pirates à la rescousse

    Tant que les Hommes écriront des programmes, des vulnérabilités existeront. Sous la pression concurrentielle, les entreprises du secteur des technologies introduisent leurs produits sur le marché plus vite que jamais. Ces entreprises seraient bien avisées d’exploiter l’énorme ressource humaine que constitue la communauté mondiale des hackers. Au cours de l’année passée, catalysées par des événements tels que les révélations d’Edward Snowden sur la NSA, l’industrie technologique et la communauté des hackers ont commencé à accepter l’idée de travailler ensemble. À présent, des centaines d’entreprises voient l’intérêt d’embaucher des hackers en les attirant au moyen de programmes qui récompensent la découverte de bugs ou de vulnérabilités — les bug bounty programs ou vulnerability reward programs. Ces programmes offrent des primes aux chercheurs indépendants qui signalent des vulnérabilités ou des problèmes de sécurité. Netscape Communications a créé le premier programme de prime à la découverte de bugs en 1995 afin de repérer les éventuels défauts du navigateur Netscape. Aujourd’hui, vingt ans plus tard, la recherche a montré que cette stratégie est une des mesures les plus rentables que la société et sa successeure, Mozilla, aient prises pour renforcer la sécurité. Les communautés privées et publiques de professionnels de la sécurité partagent leurs informations sur les logiciels malveillants, les menaces et les vulnérabilités. Elles créent ainsi une sorte de système immunitaire distribué.

    À mesure que le cyberespace s’étend, constructeurs automobiles, entreprises de matériel médical, fournisseurs d’installations de cinéma à domicile et autres vont devoir raisonner comme des sociétés de cybersécurité. Cela suppose d’intégrer la sécurité dans la recherche et le développement, d’investir dans la sécurité des produits et des services dès la phase de conception, et non en fin de développement ou en réponse à des injonctions gouvernementales. Là encore, la communauté des hackers peut apporter sa contribution. En 2013, par exemple, les experts américains en sécurité Joshua Corman et Nicholas Percoco ont lancé le mouvement « I Am The Cavalry », pressant les pirates de s’engager dans une recherche responsable des failles de sécurité, notamment dans les domaines critiques tels que les infrastructures publiques, les équipements médicaux ou automobiles et les technologies domestiques connectées. Une autre initiative — BuildItSecure.ly —, à l’instigation des chercheurs en sécurité Mark Stanislav et Zach Lanier, vise à créer une plate-forme pour développer des applications sécurisées de l’Internet des objets.

    La bonne nouvelle est que ce système immunitaire distribué est de plus en plus solide. En janvier 2016, Google a lancé un nouveau programme qui complète son programme de prime à la découverte de bugs, offrant des subventions pour encourager les chercheurs en sécurité à vérifier les produits de la compagnie. Cette décision montre que même des entreprises ayant recruté les meilleurs talents en technologie bénéficient du regard extérieur de pirates bien intentionnés. Certains gouvernements font de même. Ainsi, le Centre national néerlandais de cybersécurité a établi son propre programme de divulgation responsable, qui permet aux pirates de signaler des vulnérabilités sans risque de représailles juridiques.

    Aux États-Unis, la mauvaise nouvelle est que certains éléments de l’approche cybersécuritaire du gouvernement pourraient de facto criminaliser les pratiques et les outils classiques de la recherche de vulnérabilités, ce qui affaiblirait le système immunitaire. Beaucoup d’acteurs de la sécurité craignent que la version actuelle de la loi Computer Fraud and Abuse (Fraude et malveillance informatiques) et les modifications proposées donnent une définition si large du piratage que le simple fait de cliquer sur un lien vers un site web contenant des fuites ou des informations volées soit considéré comme du trafic de biens volés. Cette criminalisation du travail des chercheurs indépendants nous ferait du tort à tous et aurait peu d’effet sur les criminels mus par le profit ou l’idéologie.

    Quelques règles de cyberhygiène

    Les prochaines années pourraient être critiques. Le nombre de violations de données va augmenter et un ardent débat aura certainement lieu pour savoir quel pouvoir sur le monde numérique céder aux gouvernements en échange de sécurité. En fait, on ne pourra sécuriser le cyberespace sans combiner des solutions de diverses natures : techniques, légales, économiques et politiques. Et cela dépend aussi de nous, le grand public. En tant que consommateurs, nous devrions exiger que les entreprises rendent leurs produits plus sûrs. En tant que citoyens, nous devrions tenir nos gouvernements pour responsables quand ils affaiblissent volontairement la sécurité. Et en tant que points individuels de failles potentielles, nous avons la responsabilité de sécuriser nos installations.

    Pour se défendre, il existe des mesures simples, telles que mettre à jour nos logiciels, utiliser des sites web sécurisés et activer l’authentification à deux facteurs sur nos comptes de courriel et de réseaux sociaux. Mais cela suppose aussi d’être conscient que chacun de nos appareils est un nœud d’un vaste système et que les choix que nous faisons à notre petite échelle peuvent avoir des effets bien plus importants. La cybersécurité est comme la santé publique. Lavez-vous les mains, vaccinez-vous, et vous ne transmettrez pas les infections.

  • interstices le 7 dec 2016 / par Valérie Viet Triem Tong, Enseignant-chercheur à CentraleSupélec, membre de l’équipe de recherche CIDRE commune à CentraleSupélec, Inria, Université de Rennes 1, CNRS

    Aujourd’hui, les téléphones portables sont en réalité de tout petits ordinateurs qui peuvent exécuter des applications choisies par l’utilisateur sur des marchés d’applications. Attirés par l’argent facile, certains développeurs peu scrupuleux sont tentés d’ajouter du code malveillant à leur application...

    Aujourd’hui, les trois quarts des habitants de la planète possèdent un téléphone portable. Ce téléphone portable est en réalité un tout petit ordinateur doté de plus de capacités de calcul et de stockage d’information qu’un ordinateur de bureau des années 1990. Ces téléphones rendent plus de services que leurs ancêtres, ils peuvent prendre des photos, se connecter à Internet, tenir un emploi du temps. Mieux encore, ils peuvent exécuter des applications choisies par l’utilisateur sur des marchés d’applications comme GooglePlay ou l’App Store.

    Ces applications sont des programmes informatiques écrits par des développeurs qui peuvent appartenir à des entreprises informatiques mais aussi être de simples particuliers. Bref, tout le monde peut écrire, et mettre à disposition de tous, une application pour téléphone portable. Le développeur gagne de l’argent lorsque cette application est téléchargée, si celle ci est payante. Si par contre l’application est gratuite, le développeur se rémunère par la publicité intégrée dans l’application ou via des achats intégrés. La note est peu élevée pour l’utilisateur (de l’ordre de quelques euros) mais les gains montent vite pour le développeur si l’application est populaire puisqu’elle peut alors avoir des millions d’utilisateurs.

    Attirés par l’argent facile, certains développeurs peu scrupuleux sont tentés d’ajouter du code malveillant à leur application voire même à celles proposées par d’autres. Ces codes ont pour but de faire gagner encore plus d’argent au développeur malveillant. Pour cela, ces codes malveillants peuvent envoyer automatiquement des messages à des numéros surtaxés. Ils peuvent neutraliser le téléphone de l’utilisateur pour l’obliger à obéir aux commandes de l’attaquant. L’ensemble des téléphones et tablettes ainsi neutralisés par l’attaquant forme un réseau de machines qu’il peut utiliser pour réaliser des attaques informatiques. Enfin, ces codes peuvent exiger de l’argent pour rendre à l’utilisateur le contrôle de ses propres données.

    La guerre est déclarée

    La prolifération des codes malveillants occasionne une guérilla informatique entre plusieurs acteurs : les auteurs de ces codes qui souhaitent continuer leurs activités, les éditeurs de produits de sécurité et les responsables des marchés d’applications qui veulent être capables de détecter et contrer le plus rapidement possible ces codes malveillants.

    Les combattants fourbissent leurs armes. L’attaquant écrit son code. Souvent ce code contient plusieurs parties : prise de contrôle du téléphone, réalisation de la malveillance et protection du code malveillant lui-même. Les défenseurs examinent tous les codes qui sont mis sur le marché à la recherche d’éventuels codes malveillants. Ce travail ressemble à celui qui consiste à chercher une aiguille dans une botte de foin : quelques dizaines de lignes de code malveillant cachées dans d’innombrables lignes de code bénin. Le temps joue en faveur de l’attaquant. Plus les défenseurs mettent de temps à détecter un code malveillant, plus celui-ci peut s’exécuter en toute impunité.

    Première ligne de défense : repérer les codes malveillants connus

    Les défenseurs gardent une banque de codes déjà identifiés comme malveillants. Dans ces banques de données, les codes malveillants sont identifiés par certains traits particuliers que l’on appelle des signatures. Ces signatures sont les plus petites possibles pour que la recherche soit envisageable sur une grosse quantité de code. La première ligne de défense est alors de vérifier rapidement que le code étudié n’est pas déjà présent dans ces banques, c’est à dire que le code étudié ne présente pas de signature connue. Cette approche est peu coûteuse car il existe des moyens algorithmiques rapides pour ce travail. Elle nécessite cependant de maintenir des banques de données à jour et bien organisées.

    Contournement de la première ligne de défense : écrire un code inconnu

    Cette première ligne de défense, c’est un peu la ligne Maginot : elle est très efficace mais l’attaquant peut la contourner. Pour cela, il suffit à l’attaquant d’écrire un code qui n’affiche aucun trait particulier lié aux codes malveillants déjà connus. Son nouveau code ne présente alors aucune signature et il n’est alors pas reconnu comme malveillant.

    Deuxième ligne de défense : évaluer la dangerosité du code

    Lorsque le défenseur étudie un code inconnu, il peut vérifier que toutes les exécutions possibles avec ce code offrent des garanties de sécurité. Pour cela, nul n’est besoin d’exécuter le code : le défenseur fait appel à un analyseur statique qui lit et étudie toutes les exécutions possibles. Un analyseur statique peut être un être humain qui va lire et comprendre le code, ou bien un autre programme informatique remplissant cette fonction. Si l’analyseur est humain il va pouvoir faire une étude complète et très fine du code malveillant mais cela lui demandera beaucoup de temps et il ne pourra pas en étudier un grand nombre. Si l’analyseur est un programme, l’analyse sera plus rapide mais moins performante.

    Contournement de la deuxième ligne de défense : écrire un code incompréhensible donc non-évaluable

    Bien sûr, l’attaquant connaît les armes à la disposition du défenseur et sait donc que son code sera étudié par un analyseur statique. Pour contrer l’analyse statique, l’attaquant va donc écrire un code auquel l’analyseur ne pourra accéder ou qu’il ne pourra pas comprendre et qui le fera échouer. Pour cela, il dispose de moyens relativement simples comme cacher le code malveillant dans des ressources de l’application, par exemple des images ou du son, il peut aussi le chiffrer ou encore le rendre disponible uniquement à l’exécution.

    Dernier rempart : exécuter et observer le code

    Les méthodes de défense précédentes se focalisent essentiellement sur la forme et la signification du code malveillant lui-même. Ces méthodes sont déjouées par l’attaquant car il lui est possible de maquiller un code malveillant, autrement dit de cacher sa forme et de le rendre incompréhensible pour l’analyseur. Lorsque ces méthodes ont échoué, il reste au défenseur à essayer d’exécuter le code qu’il considère comme suspect. Son objectif est alors d’observer le comportement du code. Lorsque le défenseur exécute un code malveillant, ou tout du moins suspect, il prend un risque plus important que lorsqu’il se contente de l’analyser statiquement. Le défenseur va exécuter un code qu’il ne maîtrise pas dans sa propre infrastructure. Il va devoir prendre des précautions de sécurité, car cela revient peut-être à faire entrer le loup dans la bergerie. En effet, le code est peut-être plus dangereux que prévu et pourrait attaquer le défenseur lui-même. Le défenseur exécutera donc ce code sur une plateforme isolée et protégée, comme un biologiste utiliserait une salle blanche. Néanmoins, le fait d’exécuter le code est un avantage important pour le défenseur, car cela rend caducs tous les moyens de maquillage de l’attaquant cités jusque là. Ce qui devient important dans cette dernière approche est que l’on étudie ce que fait le code et non plus comment ce code est écrit.

    Dernier atout de l’attaquant : faire que le code malveillant ne se déclenche pas sur demande chez le défenseur

    Le dernier rempart du défenseur est encore contournable par l’attaquant. Ce dernier rempart repose en effet sur le fait que le défenseur va être capable d’exécuter un code malveillant. Pour faire échouer cette dernière approche, les attaquants vont développer des attaques furtives qui sont difficiles à observer. Le but des attaquants est de s’assurer que leur code malveillant ne s’exécute pas dans une salle blanche en laboratoire mais bien sur l’appareil d’un utilisateur. Pour cela, ces codes vérifieront qu’ils ne s’exécutent pas sur un émulateur, ou bien sur un réseau isolé d’Internet. Ils attendront aussi un évènement leur montrant qu’ils sont bien en face d’un utilisateur, comme la réception d’un SMS, la décharge de la batterie. Certains de ces codes malveillants ne s’exécutent qu’à la demande de l’attaquant, rendant ainsi quasi-impossible l’observation de leur comportement par le défenseur.

    Que faire maintenant ?

    Il est difficile de quantifier la partie des codes malveillants qui sont effectivement détectés par les défenseurs puisqu’il existe sans doute des codes malveillants qui ne seront jamais détectés. L’avantage semble être à l’attaquant, mais les efforts que déploient les défenseurs sont tout de même récompensés, puisqu’ils sont capables de détecter une quantité importante de codes malveillants. Pour qu’un code malveillant agisse longtemps dans l’ombre, il faut déployer beaucoup de savoir faire qui n’est pas à la portée de tous les développeurs.


  • Wiko nous confirme l’envoi de données techniques à Tinno et annonce du changement

    NextInpact / Par Sébastien Gavois / le lundi 20 novembre 2017

    Accusé de récupérer des informations personnelles des smartphones de ses clients, Wiko nous affirme qu’il ne s’agit que de « données d’ordre technique ». Une nouvelle application STS moins bavarde est en préparation.

    Dans notre Brief de ce matin, nous évoquions le cas des smartphones Wiko accusés d’envoyer discrètement des données personnelles sur un serveur de Tinno (un fabricant de smartphones chinois, dont Wiko est une filiale). Le chercheur à l’origine de cette découverte n’en est pas à son coup d’essai puisqu’il a également dévoilé l’Engineer Mode et le composant OpenPlusLogKit de OnePlus, tous deux pouvant poser des soucis de sécurité.

    Interrogé par nos soins, Wiko confirme une partie de ces informations, s’explique et annonce qu’une nouvelle application STS développée par Wiko est en route.

    Wiko confirme en partie et annonce qu’une nouvelle application STS est en préparation

    « Les smartphones Wiko sont équipés de l’application STS (Sales Tracking System) dont la finalité est d’établir des statistiques de ventes et de durée de vie des produits » explique Wiko. STS collecte « des données d’ordre technique, notamment le numéro IMEI, le numéro de série, le nom du modèle du téléphone, la version du système d’exploitation Android ».

    Comme l’indique le « notamment », il s’agit d’une liste non exhaustive. Interrogé par nos soins, voici la liste des informations transmises : « IMEI, marque (Wiko Asie, Wiko Europe, ...), référence du modèle, version du software et numéro de série hardware ».

    Quoi qu’il en soit, STS s’active lors du premier allumage du smartphone et envoie ensuite son rapport chaque mois, via Internet uniquement, « jamais par SMS » ajoute Wiko. Ce dernier affirme également qu’« aucune donnée relative à l’utilisateur, à l’utilisation du smartphone ou des applications n’est collectée ».

    Dans tous les cas, le constructeur prévoit « à très court terme » de remplacer le STS de Tinno par une version estampillée Wiko (une filiale de Tinno pour rappel). Les données transmises par STS Wiko seront les suivantes : « IMEI, référence du modèle, version du software, pays (uniquement si l’utilisateur a autorisé les termes & conditions) » nous indique le fabricant.

    De plus, cette nouvelle version « ne vérifiera pas la durée de vie des produits et donc n’exécutera pas de requête mensuellement. Si nous décidons d’ajouter cette fonctionnalité (ce qui n’est pas prévu aujourd’hui), nous permettrons bien entendu à l’utilisateur de la désactiver ».

    Par contre, l’envoi à la première activation ne pourra pas être désactivé indique Wiko. Nous demandons au fabricant si le premier envoi se fera par défaut à l’allumage, sans concertation avec l’utilisateur ? « A priori oui » nous répond-il mais nous attendons tout de même une confirmation ferme et définitive.

    La position de l’antenne supprimée, des données chiffrées affirme Wiko

    Concernant la position de l’antenne cellulaire évoquée par le compte Twitter Elliot Alderson‏, le constructeur nous répond que cette option était bien présente sur « les anciennes versions du STS », mais qu’elle « n’a jamais été activée et a été supprimée ». Sauf surprise, elle ne devrait donc pas être présente dans la nouvelle application STS.

       When the alarm is triggered, it will send the @WikoMobile user IMEI, client number, GSM cell location, serial number, build version in clear text to https://t.co/bGsaCTRKR7...Every month! pic.twitter.com/lZDCzI7Ntj
       — Elliot Alderson (@fs0c131y) 19 novembre 2017

    Enfin, dernier point : les « données envoyées sur le serveur Tinno sont cryptées [sic] via un algorithme RSA » avec la version Tinno de STS, celle actuellement en place sur les smartphones. Pour la nouvelle mouture développée par Wiko, « l’ensemble des données est crypté via SSL. En plus du SSL d’autres systèmes de sécurité sont implémentés ».

    Wiko veut rassurer ses clients et affirme se préparer pour le RGPD

    Afin de rassurer ses utilisateurs, la société explique qu’elle « prend les questions relatives aux données personnelles très au sérieux et a volontairement initié en 2017 un audit [NDLR : par TNP – Cil Consulting] de l’ensemble des traitements de données personnelles dont elle est responsable ».

    La marque affirme enfin qu’elle a « la volonté de traiter les données clients en conformité avec la réglementation, et se prépare depuis plusieurs mois à l’entrée en vigueur du RGPD au mois de mai 2018 ».

    Wiko et OnePlus, même combat ?

    En l’espace d’un mois, c’est la deuxième fois qu’un fabricant de smartphones est pointé du doigt dans ce genre d’affaires. Mi-octobre, OnePlus était ainsi accusé de collecter discrètement des données personnelles de ses clients.

    Une semaine plus tard, le fabricant annonçait finalement du changement sur sa politique de récupération des informations, mais aussi que tous les utilisateurs d’OxygenOS allaient recevoir une notification afin de savoir s’ils voulaient ou non participer à ce programme d’amélioration des services.

    Carl Pei, co-fondateur de OnePlus, expliquait alors que la collecte de données était « une pratique courante dans l’industrie »... Force est de constater qu’il n’avait pas tort.


  • Kaspersky : des fichiers classifiés américains ont été récupérés, puis effacés

    NextInpact / Par Vincent Hermann / le lundi 20 novembre 2017

    Kaspersky avait promis d’enquêter sur les étranges révélations de cet automne : c’est grâce à son antivirus que l’espionnage russe aurait pu récupérer des documents et outils de la NSA. Dans son rapport, l’éditeur s’en défend. D’ailleurs, rien ne prouverait que la machine où sont apparues ces données appartienne à un proche de l’agence.

    Bref rappel de la situation. Le renseignement russe serait en possession d’informations sensibles de la NSA, récupérées sur l’ordinateur d’un sous-traitant qui aurait ramené ces informations chez lui, au mépris des protocoles de sécurité les plus élémentaires. C’était du moins ce qui ressortait des premiers éléments, publiés par le Wall Street Journal.

    Les agents russes auraient réussi à s’en emparer par l’intermédiaire de Kaspersky, dont l’antivirus, présent sur la fameuse machine, aurait généré les signatures menant à leur reconnaissance. Le fondateur de l’éditeur, Eugene Kaspersky avait indiqué que cette vision simpliste n’était pas réaliste – il l’a qualifiée de « bullshit » – promettant au passage une enquête. Les résultats en sont disponibles depuis la fin de semaine dernière.

    Kaspersky insiste : l’antivirus n’a fait que son travail

    Plutôt que de parler de NSA, l’éditeur évoque plutôt Equation Group, dont un article récent du New York Times indiquait qu’il n’était autre que la division TAO (Tailored Access Operations) de l’agence américaine. Un point qui ne peut pas être vérifié en l’état.

    Que sait-on ? Que l’ensemble des fichiers – documents, binaires et code source – ont été récupérées sur une période de deux mois en 2014 (septembre et octobre essentiellement). L’adresse IP utilisée par l’ordinateur où ces données étaient présentes le situait à Baltimore, à environ 32 km de Fort Meade (Maryland), où se trouve le quartier général de la NSA.

    Sur cet ordinateur, Kaspersky a notamment analysé une archive 7zip qui contenait des malwares d’Equation Group. S’agissant de logiciels malveillants, une signature a été générée. L’éditeur précise que l’archive contenait également du code source et quatre documents portant des marques évidentes de classification.

    Eugene Kaspersky, alerté par un employé réalisant la vérification manuelle, aurait alors réclamé la suppression immédiate de ces informations, à l’exception des binaires malveillants, en accord avec la politique de l’entreprise. L’occasion de rappeler que les signatures ne sont générées que pour les fichiers dont le caractère malveillant est établi.

    Kaspersky affirme qu’aucune intrusion de ses systèmes n’a été commise pendant les « quelques jours » où les fichiers ont été présents sur ses serveurs. Il estime qu’aucun vol n’a eu lieu non plus pendant les transmissions, le duo AES/RSA étant utilisé pour la sécurisation des échanges.

       No.
       To be clear: it's not confirmed this was a contractor's home PC. I don't count rumors and anonymous sources
       — Eugene Kaspersky (@e_kaspersky) 16 novembre 2017


    Des éléments incohérents

    Kaspersky évoque également des éléments troublants, tout en cherchant à démontrer que toute cette histoire pourrait être le fruit d’un malheureux concours de circonstances, en plus d’une hygiène informatique déplorable.

    Pour l’éditeur, il est clair qu’à un moment précis, un lecteur amovible – probablement une clé USB – a été introduit dans l’ordinateur, avec à son bord les données d’Equation Group. 22 jours plus tard, l’antivirus était désactivé, a priori pour pouvoir faire fonctionner un « crack » d’Office 2013. Une fois réactivée, la protection a pu vérifier que ledit crack contenait un malware nommé Smoke Loader, possédant notamment des capacités de contrôle à distance.

    En fait, selon Kaspersky, rien ne permet d’indiquer que la machine scannée par l’antivirus soit bien celle d’un sous-traitant de la NSA. Les faits évoquent une clé USB, des fichiers très sensibles, une détection et des signatures de malwares. De là à déduire que l’ordinateur appartenait à un agent bien peu scrupuleux, il n’y a qu’un pas que l’éditeur russe refuse de franchir. Et ce d’autant plus que Kaspersky raconte des évènements ayant eu lieu en 2014, alors que grands médias américains parlaient tous de 2015.

    Dans cette zone d’ombre pourrait se cacher le salut pour Kaspersky, soumis depuis quelques mois à une intense vague de défiance aux États-Unis, aboutissant à l’interdiction pure et simple de ses produits dans les administrations et agences fédérales. Parce que s’il s’agit bien de la même et unique machine, les autorités américaines sont soit passées à côté de l’infection par Smoke Loader, soit n’en ont pas parlé, alors qu’il s’agit d’une information capitale.

    La difficile quête de la transparence

    Tout le rapport de Kaspersky semble tendre vers un objectif manifeste : induire un doute raisonnable. L’éditeur a à cœur de montrer ce qui serait un concours de circonstance peu commun, sur la base d’évènements qu’il sera difficile de vérifier.

    Car il est évident que le renseignement américain gardera sous silence certaines informations manquantes, comme l’identité de la personne à qui appartenait l’ordinateur. À l’inverse, Kaspersky s’époumone à expliquer que jamais aucun gouvernement n’a été aidé pour obtenir des données. Mais si l’entreprise en avait reçu la demande expresse, sa communication ne serait sans doute guère différente.

    Le rapport a-t-il une chance de jouer en faveur de Kaspersky ? Pour les chercheurs en sécurité ou les observateurs hors de toute contrainte géopolitique, peut-être. Les détails précis de l’affaire ne seront probablement jamais connus, mais puisque l’activité commerciale de l’éditeur est en péril, il n’a pas le choix : il doit faire montre de transparence. Pour preuve, la confirmation par Eugene Kaspersky que des fichiers classifiés avaient bien été récupérés avant d’être effacés. Ce que l’entreprise ne pourra jamais vraiment prouver.


  • Quand le ministre de l’Intérieur craint que l’Open Data donne lieu à des « attaques cyber »

    NextInpact / Par Xavier Berne / jeudi 16 novembre 2017

    Gérard Collomb, le ministre de l’Intérieur, a déclaré hier à l’Assemblée nationale qu’il fallait prendre garde à l’Open Data, par crainte d’ « attaques cyber (...) extrêmement importantes ». Une déclaration pour le moins surprenante...

    Dans le cadre du projet de loi de finances pour 2018, la députée Mathilde Panot (LFI) a défendu cette nuit un amendement destiné à ce que le gouvernement rédige « un rapport d’information permettant de chiffrer le coût et les économies permises par la systématisation de la publication en Open Data des données publiques détenues par les collectivités territoriales ».

    Avec la loi Numérique, les villes, départements et régions de plus de 3 500 habitants sont en effet tenus de mettre automatiquement en ligne, « dans un standard ouvert, aisément réutilisable et exploitable par un système de traitement automatisé » :

    - Les documents administratifs qu’ils communiquent suite à des demandes CADA individuelles – depuis le 7 avril 2017.
    - Les documents qui figurent dans leur répertoire d’informations publiques (qui sont censés recenser leurs principaux documents administratifs) – depuis le 7 octobre 2017.
    - Leurs bases de données – à compter du 7 octobre 2018 « au plus tard ».
    - Leurs données « dont la publication présente un intérêt économique, social, sanitaire ou environnemental » – à compter du 7 octobre 2018 « au plus tard ».
    - Les « règles définissant les principaux traitements algorithmiques » servant à prendre des décisions individuelles (de type attribution d’allocation ou calcul d’impôt) – à compter du 7 octobre 2018 « au plus tard ».

    Demande de chiffrage des coûts et économies permis par l’Open Data

    Le rapporteur Jean-René Cazeneuve (LREM) n’a toutefois pas jugé bon d’apporter son soutien à une telle demande de chiffrage, dans la mesure où « un certain nombre d’informations » serait déjà fourni à ce sujet par la Direction générale des collectivités locales.

    Gérard Collomb a également émis un avis défavorable à cet amendement. « Le problème que vous soulignez est un problème intéressant, auquel il conviendra de réfléchir », a néanmoins concédé le ministre de l’Intérieur.

    Avant de se lancer dans cette explication particulièrement surprenante : « Nous nous apercevons que l’Open Data a évidemment des avantages – et nous en avons fait beaucoup dans la métropole de Lyon – mais qu’elle peut aussi permettre d’avoir des attaques cyber qui sont extrêmement importantes. Et donc ce sera un sujet de réflexion globale. »

    Le ministre a-t-il confondu l’Open Data avec autre chose ? Le doute est permis, le mouvement d’ouverture des données publiques ne consistant qu’à mettre en ligne des fichiers (tableurs de statistiques, etc.), dans un effort de transparence.

    La parution de notre article n’a pas manqué de faire réagir, à l’image de ce tweet signé Suzanne Vergnolle, de l’association Regards Citoyens :

       Monsieur @gerardcollomb, vos inquiétudes ne sont pas fondées. L' #OpenData ne permet pas des "attaques cyber". L'Open data est la simple mise en œuvre d'un principe démocratique de la DDHC de 1789https://t.co/0Vy7JBRhWd
       — Suzanne Vergnolle (@SuVergnolle) 16 novembre 2017

    Toujours est-il que l’amendement de Mathilde Panot a finalement été rejeté, sans aucune réaction supplémentaire.


  • Renseignement : la surveillance par boite noire a débuté

    NextInpact / Par Marc Rees / mercredi 15 novembre 2017

    À l’occasion d’une conférence organisée par le Grenoble Alpes Data Institute, le président de la Commission nationale de contrôle des techniques du renseignement a indiqué que le dispositif des boites noires était activé depuis début octobre.

    « Le contrôle du renseignement : comment concilier surveillance et respect des droits de l’homme ? ». C’est lors de cette conférence à l’intitulé alléchant, que Francis Delon, tête de la CNCTR, a révélé qu’une boite noire était activée « depuis plus d’un mois ».

    C’est peu de le dire, l’article 851-3 du Code de la sécurité intérieure est celui qui a suscité le plus de questionnements, et de critiques, en particulier de flirter avec la surveillance de masse. L’expression malheureuse de « boites noires » avait d’ailleurs alimenté elle-même ces reproches. Elle avait pourtant été utilisée en toute bonne foi par un conseiller du premier ministre lors d’un échange avec la presse à laquelle nous participions, et ce peu avant le dépôt du projet de loi Renseignement.

    Un spectre de données très généreux

    Inspiré des systèmes embarqués dans les avions, ce conseiller voulait surtout signaler que les traitements du renseignement seraient inaccessibles aux intermédiaires chez qui elles sont installées. Un faux pas marketing qui a marqué le texte au fer rouge.

    Il faut dire que le législateur s’est montré extrêmement généreux. Ce mécanisme autorise les services du renseignement à aspirer un volume par avance non défini de données de connexion (les « informations et documents ») auprès de n’importe quel intermédiaire en ligne (hébergeurs, FAI, opérateurs, services en ligne…).

    Les métadonnées glanées viennent alors nourrir l’estomac d’algorithmes classés secret-défense avec l’espoir de détecter « des connexions susceptibles de révéler une menace terroriste ». En clair, de l’écrémage à partir d’un océan de big data : on aspire une masse de données personnelles dans le sillage des internautes, pour espérer déceler une menace.

    Si une telle menace est détectée, ce qui ne serait pas encore le cas, la CNCTR doit être saisie toujours pour avis simple par le premier ministre, avant que ne soient relevée l’identité de la ou des personnes concernées et le recueil des données y afférentes. Ces données sont ensuite exploitées sur une période de 60 jours, « sauf en cas d’éléments sérieux confirmant l’existence d’une menace terroriste attachée à une ou plusieurs des personnes concernées », poursuit l’article L851-3 du CSI.

    Le gouvernement a dû revoir sa copie

    De l’aveu de Francis Delon, la CNCTR a été saisie avant l’été par Edouard Philippe, « un "travail de plusieurs mois" qui a nécessité de demander "au gouvernement de revoir sa copie" » relèvent notamment nos confrères de Libération.

    La CNCTR est en effet compétente pour ausculter a priori sur la demande d’autorisation initiale prise par le premier ministre. Elle émet alors un avis (simple) tout en disposant « d’un accès permanent, complet et direct à ces traitements ainsi qu’aux informations et données recueillies », donc a posteriori.

    La boite noire est déployée sur une durée de deux mois, donc jusqu’à la fin du mois. Ensuite ? Elle sera renouvelable autant de fois que nécessaire selon le même processus (autorisation du premier ministre, avis simple de la CNCTR, déploiement et contrôle).

    La sortie de Delon est à rapprocher de la toute récente loi sur la sécurité intérieure et la lutte contre le terrorisme. Selon la loi Renseignement, les boites noires ne devaient être mises en œuvre jusqu’à fin 2018, le gouvernement ayant en outre l’obligation de remettre un rapport d’évaluation au plus tard le 30 juin 2018, et ce, « pour apprécier l’utilité de cet outil et son caractère proportionné au regard de l’atteinte aux libertés publiques ».

    La clause de revoyure repoussée de 2018 à 2020

    Cette clause de revoyure a évidemment permis d’adoucir le versant anxiogène de cet aspirateur à métadonnées et donc facilité son acceptabilité lors du vote. Le 11 septembre 2017, surprise ! Dans le cadre de la toute récente loi sécuritaire d’Emmanuel Macron, l’exécutif a repoussé ces deux dates à 2020. Si quelques jours plus tard, la boite noire allait être activée suite à une demande d’autorisation émise par Édouard Philippe peu avant l’été, pourquoi donc avoir repoussé le terme de 2018 de deux années ?

    On notera pour finir qu’une disposition aurait pu théoriquement réduire la voilure de ces traitements automatisés. Toujours dans sa première loi sécuritaire, le gouvernement avait fait adopter un autre de ses amendements pour obliger les personnes soumises à une mesure de surveillance à déclarer aux autorités ses numéros d’abonnement et l’ensemble de ses « identifiants techniques de tout moyen de communication électronique dont elle dispose ou qu’elle utilise ».

    Ces éléments auraient pu être du caviar, au lieu et place de l’industrialisation de la surveillance via boites noires. On basculait d’une possible surveillance massive à du renseignement beaucoup plus chirurgical. Sur le terrain des droits et libertés fondamentaux, des fragilités constitutionnelles ont néanmoins conduit les parlementaires à abandonner cette obligation de déclaration, laissant la boite noire seule sur scène.


  • Donald Trump Jr et WikiLeaks communiquaient pendant les élections américaines

    NextInpact / Par Vincent Hermann / mardi 14 novembre 2017

    Alors que l’enquête sur l’influence russe pendant les élections américaines se poursuit aux États-Unis, nouveau rebondissement : Donald Trump Jr, fils de l’actuel président, et WikiLeaks ont communiqué pendant presque un an par messages privés sur Twitter. L’organisation y apparaît comme particulièrement active sur ses requêtes.

    Comme on a pu le voir encore hier dans notre article sur le climat morose à la NSA, les relations entre les États-Unis et la Russie sont complexes et tendues. Outre-Atlantique, il ne fait aucun doute que la Russie a usé de son influence pendant les dernières élections, aboutissant à la victoire inattendue de Donald Trump.

    Parmi les éléments troublants, la publication en juillet 2016 par WikiLeaks d’un lot d’emails provenant des serveurs du Democratic National Committee (DNC), comité central du parti démocrate. En pleine campagne électorale, le calendrier avait de quoi engendrer des soupçons. Dans ces correspondances, on pouvait notamment lire des critiques acerbes à l’encontre de Bernie Sanders, alors concurrent de Hillary Clinton, relançant les tensions au sein du parti.

    Communication privée entre WikiLeaks et Donald Trump Jr

    C’est dans un contexte tendu que The Atlantic révèle que des échanges de messages privés (DM) ont eu lieu sur Twitter entre WikiLeaks et Donald Trump Jr, fils ainé de l’actuel président américain. Une communication débutée par l’organisation, qui s’est montrée beaucoup plus loquace que son interlocuteur.

    Ces échanges se sont étalés sur un an. Ils ont été communiqués à différentes commissions, dans le cadre notamment de l’enquête sur l’ingérence russe pendant les élections américaines. Pourquoi ? Parce que beaucoup estiment que la Russie s’est servie des ambitions de WikiLeaks pour frapper au cœur, influençant grandement le résultat de la course à la présidence, avec la surprise qui en a découlé.

    Ces échanges, publiés sur Twitter par Donald Trump Jr – qui les présente comme complets (1, 2, 3) – montre un WikiLeaks ayant de nombreuses requêtes. Le premier message était un avertissement pour un futur site anti-Trump, l’organisation souhaitant mettre Trump Jr sur la piste des auteurs. Ce à quoi l’intéressé répondra qu’il ne connait pas ces personnes.

       Here is the entire chain of messages with @wikileaks (with my whopping 3 responses) which one of the congressional committees has chosen to selectively leak. How ironic! 1/3 pic.twitter.com/SiwTqWtykA
       — Donald Trump Jr. (@DonaldJTrumpJr) 14 novembre 2017

    Avec le temps cependant, les messages de WikiLeaks se sont amplifiés, tant en fréquences que sur les demandes. Exemple flagrant, Trump Jr pouvait faire fuiter des informations fiscales sur son père, qui seraient alors relayées par WikiLeaks. Une communication contre Trump qui diluerait l’étiquette anti-Clinton et renforcerait l’impartialité, tout en apportant dans le même temps plus de crédibilité à certaines publications… comme celles visant Hillary Clinton. Un plan gagnant-gagnant selon WikiLeaks.

    Des requêtes fortes, l’organisation allant jusqu’à suggérer à Trump Jr qu’il devrait pousser l’Australie à engager Julian Assange comme ambassadeur auprès des États-Unis. La logique d’une telle demande n’est pas explicitée.

    Des problèmes aussi bien pour l’un que pour l’autre

    Ces éléments peuvent avoir des conséquences négatives pour Trump Jr comme pour WikiLeaks. Tous deux ont ainsi beaucoup à perdre en termes de réputation.

    Pour le fils du président américain, la situation devient instable. Ayant lui-même publié les échanges sur son compte Twitter, on observe qu’il n’a finalement que très peu répondu aux suggestions et requêtes de WikiLeaks. L’organisation y apparait sous un angle particulier, cherchant à maîtriser au mieux une communication qui arrangerait tout le monde.

    Mais même si Trump Jr n’a que très peu répondu, ces réponses constituent un problème. Il a par exemple réagi au premier message environ 12 heures après, indiquant que les informations transmises avaient été vérifiées. The Atlantic cite plusieurs sources affirmant que le fils du président a envoyé un email aux responsables de la campagne de Donald Trump, Steve Bannon, Kellyanne Conway, Brad Parscale et Jared Kushner, le propre gendre du candidat aux élections.

    Principal souci pour Trump Jr : ne pas avoir clairement opposé une fin de non-recevoir à WikiLeaks. Non seulement la conversation est restée ouverte, mais il a répondu de temps en temps, réagissant aux propos, entrainant parfois même des actions plus concrètes.

    S’ajoute un sérieux problème de calendrier entre père et fils. Le 12 octobre 2016, Trump pestait ainsi contre WikiLeaks, évoquant la malhonnêteté des communications de l’organisation. Deux jours plus tard, Trump Jr tweete de son côté un lien poussé par WikiLeaks par message privé : wlsearch.tk. Un site affichant un message d’outre-tombe d’un dénommé Seth Rich, assassiné le 10 juillet 2016. Un texte pointant Hillary Clinton et John Podesta, son directeur de campagne, comme responsables du meurtre. Ce après quoi Trump Jr ne répondra plus à WikiLeaks, mais sans bloquer l’échange ni supprimer son tweet.

    Ces éléments sont désormais entre les mains des commissions d’enquêtes. Notez qu’il ne s’agit que de quelques éléments dans une longue série de documents accumulés depuis plus d’un an. Difficile de savoir pour l’instant si ces échanges mèneront à autre chose qu’un embarras pour le président américain, car ces messages ne semblent pas, pour l’instant, liés à la Russie.


  • Ercom, de l’interception légale à la protection des données

    NextInpact / Par Guénaël Pépin / lundi 30 octobre 2017

    Vieille PME française, Ercom s’est fixée comme cap de protéger les terminaux et données des entreprises françaises. Après un passé dans l’interception légale, elle revient avec nous sur son rôle de défense, s’associant à Orange pour fournir son chiffrement de bout en bout aux petites entreprises.

    Fondée il y a plus de 30 ans, Ercom « a eu plusieurs vies » nous déclare Yannick Dupuch, son président, dans un entretien aux Assises de la sécurité de Monaco. L’une d’elles a été l’interception légale, dont elle souhaite se détacher autant qu’elle le peut désormais.

    Elle insiste sur son activité de protection, qui représenterait l’essentiel de ses revenus (au montant inconnu) aujourd’hui. Certains services de la PME sont fournis à l’Élysée, au ministère des Affaires étrangères, au ministère de la Défense (pour 20 000 personnes) ou l’Imprimerie nationale.

    Du smartphone au stockage en ligne, en passant par la messagerie instantanée, la société veut remplacer les outils habituels par du chiffrement de bout en bout, géré par l’entreprise. Elle fournit trois solutions : Cryptosmart (protection des terminaux et du réseau), Cryptopass (WhatsApp) et Cryptobox (équivalent chiffré de Dropbox). Cryptosmart est certifié par l’ANSSI, avec un agrément « diffusion restreinte » depuis 2015.

    La sécurité sur mobile est son cheval de bataille. « Nous sommes partis du constat qu’avec le développement du mobile, nous serions amenés à faire davantage de choses sur un terminal et que, mécaniquement la concentration des attaques sur PC allait se reporter sur mobile... avec plus d’informations critiques » conte l’entreprise, qui s’appuie désormais sur des partenariats pour toucher les PME.

    L’interception légale « n’est pas une activité pérenne aujourd’hui »

    « Historiquement, la boite a une activité sur la partie lawful intercept, sur les systèmes classiques » retrace Yannick Dupuch. Fin 2014, L’Expansion affirmait qu’Ercom concevait un cheval de Troie capable d’enregistrer les frappes de clavier, la caméra ou le micro d’un PC, voire le micro d’un smartphone. Fin 2016, IntelligenceOnline relatait qu’une filiale de la société proposait Wifileaks, un outil d’interception Wi-Fi.

    Sur son activité dédiée à l’interception, « il y a une habilitation, mais on n’est plus compétitifs aujourd’hui » lâche Yannick Dupuch. En fait, il est hors de question d’associer les produits actuels d’Ercom à l’interception légale, martèle Raphaël Basset, son directeur marketing. La société protège, sans obligation légale de fournir les données.

    Pour le président de la PME, « avec l’arrivée de toutes ces messageries [type Signal ou WhatsApp], ces systèmes deviennent inopérants aujourd’hui. Après, il faut entrer dans un domaine plus sophistiqué avec du keylogger et ainsi de suite. C’est une usine à gaz, ce n’est pas une activité pérenne aujourd’hui, parce que les modèles économiques sont complètement défaillants ».

    La cause ? Le besoin d’exploiter des vulnérabilités. « Des gens sont très bien placés dans le domaine, avec une approche qui ne nous plaît pas trop. À partir du moment où vous entrez dans le développement de ces failles et que vous les exploitez... Ce n’est pas du business » pointe Dupuch. Pourtant, « l’intrusion non consentie sur un appareil passe nécessairement par des failles », nous fait remarquer un bon connaisseur du domaine.

    La PME change donc officiellement de vie, en misant sur Cryptosmart, une solution clés-en-main pour protéger les smartphones et communications d’une entreprise. « Cette histoire est venue d’un appel d’offres du ministère de la Défense il y a six, sept ans. Nous sommes rentrés dedans par cet appel d’offre puis c’est devenu le core business de l’entreprise » se souvient son président.

    Cryptosmart, pour protéger les terminaux mobiles

    Pour un programme de sécurité, le mobile est « un écosystème compliqué ». Concepteurs de systèmes, fabricants de terminaux, opérateurs, développeurs d’applications... Où la protection des données mobiles doit-elle se situer ?

    « Les premières attaques consistent à récupérer la donnée. Il y a des attaques beaucoup plus sophistiquées qui piègent le matériel du téléphone, avec un keylogger, donnant un accès en temps réel à l’information affichée sur l’écran, au micro et au clavier » fait remarquer l’entreprise. Elle a donc décidé de partir du matériel, du gestionnaire de démarrage (bootloader) lui-même, donc contacter les fabricants.

    Apple n’a pas répondu, Samsung si. Cryptosmart d’Ercom s’intègre à son système Knox, qui crée une zone protégée pour les applications professionnelles. Concrètement, la solution d’Ercom utilise une carte SD comme une enclave sécurisée, « dans laquelle on met nos secrets ». L’outil blinde aussi l’appareil contre les attaques physiques (USB), Bluetooth et les MMS.

    Un VPN permanent route enfin toutes les communications vers une passerelle propre à l’entreprise. « Nous créons un réseau au-dessus des réseaux classiques » déclare Yannick Dupuch. Les appels et SMS sont, eux, chiffrés de bout en bout, l’échange de clé s’effectuant de téléphone à téléphone sans que la passerelle ne consulte le contenu.

    Cryptosmart : gestion des clés et évolution

    Les clés sont générées (en AES-256) à chaque communication et « enfouies » dans la carte mémoire. Si l’interlocuteur ne dispose pas de Cryptosmart, un appel sera chiffré jusqu’à la passerelle, puis renvoyé en clair sur le réseau mobile du correspondant. « Pour les gens qui font des affaires à l’étranger [appelant la France], pour un grand groupe, c’est très important » note Yannick Dupuch.

    Un employé peut donc installer le service de son entreprise sur son smartphone. L’accès est protégé par un code, avec un outil d’effacement à distance en cas de perte. Notez tout de même une limitation : les communications passent via la data, et non par un réseau 2G comme c’est actuellement le cas ; les couvertures entre les deux ne sont pas du tout les mêmes.

    À la fin de l’année, l’outil devrait être disponible pour les smartphones Samsung Galaxy supportant Knox, y compris ceux du commerce, soit les gammes A, J et S. « La solution de fin d’année permettra aussi d’utiliser la carte SIM pour gérer les clés via son secure element » nous promet l’entreprise. Enfin, chaque utilisateur pourra créer un espace personnel sur un smartphone fourni par son employeur.

    Cryptobox, du Dropbox à la sauce chiffrement et blockchain

    Cryptosmart reste un outil lourd, impossible à installer sur de nombreux appareils, iPhone en tête. La société conçoit donc deux applications destinées à combler ce vide : Cryptobox et Cryptopass, clones assumés de Dropbox et WhatsApp. Leur intérêt : du chiffrement de bout en bout et une gestion des permissions par l’entreprise.

    Avec Cryptobox, une société doit garder le contrôle de ses données, en choisissant de l’héberger sur ses serveurs ou sur un service tiers. Tout le contenu et des métadonnées sont déchiffrés localement, l’administrateur ne voyant que l’espace de stockage occupé. Les documents sont stockés dans des espaces de travail, auxquels plusieurs personnes (dont extérieures à l’entreprise) peuvent accéder.

    Les données sont notarisées sur une blockchain (publique ou privée). À chaque modification, une empreinte (hash) est générée à partir du contenu de l’espace de travail et envoyée. Une fonction qui intéresserait certains domaines sensibles, comme la banque. Pour leur part, les fichiers sont versionnés, comme sur la plupart des services du genre.

    Cryptobox : coffres-forts à deux clés et simili-Slack

    Le principal intérêt pour une société est pourtant ailleurs. Ercom mise sur la gestion des communautés par l’administrateur, qui a une vue des accès aux espaces de travail ; ce qu’il n’aurait pas sur un service grand public. La gestion des clés est aussi particulière.

    Elle est séparée en deux : une partie sur le serveur de l’entreprise, l’autre sur le terminal. « C’est le principe du coffre à deux clés, j’ai besoin de ces deux clés qui se reconstituent pour ouvrir mon information, mon coffre-fort numérique ». Selon la société, cela permet de réduire le risque face à un smartphone ou PC perdu, mais cela ne change rien si un utilisateur se fait dérober son terminal alors qu’il est déjà connecté.

    Enfin, un mécanisme de tiers de confiance (passant par une personne connectée à la même plateforme) permet de récupérer un mot de passe oublié.

    Si Cryptobox est disponible sur les principaux systèmes (Android, iOS, Windows...), « nous n’avons pas toutes les fonctionnalités d’un Dropbox », reconnaît Yannick Dupuch. La principale limite est l’indexation, très difficile sur des données chiffrées. Le président d’Ercom évoque l’idée du chiffrement homomorphe, qui n’est pas encore en place.

    En plus de l’hébergement de fichiers, la plateforme intègre des discussions de groupe calquées sur Slack, liées ou non à des espaces de travail. Les utilisateurs sont censés avoir peu de raisons de sortir de cet environnement. Pour la suite, un client de synchronisation est prévu pour macOS, quand les applications Cryptopass et Cryptosmart doivent permettre de sauvegarder les données dans un espace Cryptobox.

    Face à WhatsApp et Telegram, Cryptopass

    Aujourd’hui, la question la plus médiatique est celle des communications. Quand l’Élysée est dopé à Telegram, d’autres administrations communiquent par WhatsApp... Alors que l’État dispose déjà d’outils « sûrs » comme Citadel de Thales ou Prim’x. Cryptopass d’Ercom vient s’ajouter à cette liste, une première certification de l’ANSSI étant en cours (CSPN avant de candidater pour une EAL3+).

    Pour Ercom, l’enjeu est de fournir un outil aussi simple d’utilisation que les solutions grand public, toujours chiffré de bout en bout, mais au périmètre contrôlé par la société. « C’est un problème pour toutes les entreprises. Il y a une problématique de confiance, notamment vis-à-vis des organismes étatiques » qui voudraient accéder aux données d’un acteur mondial, estime Yannick Dupuch.

    « Ils ne maitrisent absolument rien sur WhatsApp et Telegram. Il n’y a pas de DLP [outil de prévention de la perte de données] qui va filtrer les documents, absolument rien. Notre enjeu est de proposer une alternative beaucoup plus professionnalisée, avec les mêmes fonctionnalités » ajoute le président d’Ercom, avec pour principale arme l’ergonomie.

    S’ouvrir aux PME mais éviter le grand public (et les terroristes)

    Fin septembre, la société annonçait tout de même un partenariat avec Orange Cyberdefense, qui propose ses outils aux PME. « Nous sommes confrontés à la problématique générale des gens qui se moquent de la sécurité. C’est un marché à éduquer » résume encore son président.

    Le cœur de sa stratégie est donc de fournir des plateformes abordables, contrôlées par l’entreprise elle-même. Pourquoi passer par Orange ? Venant du monde de la défense, Ercom n’avait simplement pas de contact vers les petites et moyennes entreprises. Pour l’opérateur, l’option peut être proposée pour améliorer l’expérience client ou pour augmenter le revenu moyen par abonné (ARPU), de manière simple.

    Pour le moment, Orange commercialise ces solutions en hébergeant les « secrets » sur une carte SD. Il est bientôt censé l’intégrer directement à ses cartes SIM, via Idemia (ex-Oberthur), qui gère entièrement la logistique.

    Il n’est, par contre, pas question de fournir d’application grand public. « C’est de la cryptographie de très haut niveau. On ne peut pas mettre ça entre les mains de n’importe qui. C’est pour ça qu’on ne veut pas faire d’application gratuite. Les produits certifiés EAL3+, EAL4+... Je n’ai pas envie que cela se retrouve demain matin dans les mains d’un groupuscule terroriste et nous en soyons rendus responsables » nous répond Yannick Dupuch. Contrairement à Telegram (et d’autres) qui mène un contrôle actif des canaux qu’il héberge.


  • Yahoo ! avoue un troisième piratage massif

    Le Figaro / Par Elsa Trujillo / le 2 mars 2017

    L’utilisation de cookies falsifiés pour contourner les mots de passe aurait permis à des pirates de s’introduire dans 32 millions de comptes.

    Yahoo ! a encore été piraté. Dans un document adressé à ses investisseurs, le géant du Web révèle avoir été victime d’une vulnérabilité ayant affecté 32 millions de comptes. Les pirates incriminés auraient fabriqué, entre 2015 et 2016, des cookies falsifiés, leur permettant de se connecter à ces comptes sans mot de passe, grâce à un outil dérobé lors d’un piratage de Yahoo !, fin 2014. Ce même piratage avait affecté plus de 500 millions de comptes de l’entreprise.

    « Nous pensons qu’une partie de cette action est liée à la même entité soutenue par un appui étatique, considérée comme responsable de l’incident de sécurité de 2014 », indique Yahoo ! dans son document.

    Mi-février, Yahoo ! avait averti certains utilisateurs de la compromission de leurs comptes par des pirates ayant contourné les mots de passe en utilisant de faux cookies. Ces fichiers informatiques sont installés par de nombreux sites en ligne sur les ordinateurs de leurs visiteurs, pour les reconnaître en cas de nouvelle visite. Le groupe avait alors assuré que les cookies en question avaient été « invalidés » pour que les pirates ne puissent plus s’en servir, sans préciser le nombre de comptes affectés.

    Marissa Mayer renonce à son bonus

    Les défaillances de sécurité dévoilées ces derniers mois par Yahoo ! ont conduit Marissa Mayer à renoncer à son bonus annuel. Dans un message publié sur Tumblr le 1er mars, elle invoque, pour justifier son geste, le piratage massif de 500 millions de comptes survenu en 2014. « Je suis la présidente de cette entreprise et puisque cet incident s’est produit sous ma responsabilité, j’ai accepté de renoncer à ma prime annuelle de cette année et demandé que celle-ci soit reversée à nos salariés qui travaillent dur », écrit-elle. Le montant de ce bonus n’a pas été officiellement dévoilé. Il s’élèverait à 2 millions de dollars, selon le Wall Street Journal.

    Selon les documents transmis à la Securities and Exchange Commission (SEC), le gendarme boursier américain, Ronald Bell, le conseiller juridique du groupe, a été forcé à démissionner.

    Mi-décembre, Yahoo ! avait annoncé avoir été victime de vols de données pour plus d’un milliard de ses utilisateurs, en août 2013. Le dévoilement de telles failles a des conséquences sur le rachat du groupe annoncé par Verizon pour juillet. En vertu des termes révisés de l’accord, Verizon devrait payer quelque 4,48 milliards de dollars pour acquérir la firme, contre les 4,83 milliards de dollars initialement prévus.


  • Orange : les données personnelles de 800.000 clients piratées

    Europe 1 / 02 février 2014

    PIRATAGE - Une intrusion de grande ampleur a eu lieu dans les bases de données de l’opérateur téléphonique.

    Il s’agit d’un piratage de grande ampleur. Une intrusion a eu lieu dans les bases de données de l’opérateur téléphonique Orange. Résultat : des données personnelles de 800.000 de ses clients Internet ont été dérobées, a annoncé l’opérateur dimanche, confirmant une information du site PCImpact.

    La page de l’espace client piratée. "Orange a été la cible d’une intrusion informatique le 16 janvier 2014 à partir de la page ’Mon Compte’ de l’Espace Client du site orange.fr", ce qui a donné lieu à "la récupération éventuelle d’un nombre limité de données personnelles", a dit l’opérateur dans un courrier adressé à certains de ses clients, selon le site.

    Les mots de passe préservés. Dans un e-mail envoyé à ses abonnés, Orange a expliqué ce piratage : "Cet incident a consisté en la récupération éventuelle d’un nombre limité de données personnelles vous concernant ou concernant votre foyer. Il peut s’agir des noms, prénoms, adresse postale, adresse mail de contact, numéro de téléphone (fixe ou mobile) ou des informations que vous auriez pu déclarer (composition du foyer, nombre d’abonnements Orange ou concurrents, informations concernant vos préférences de contact)". D’après l’opérateur, les mots de passe ont cependant été préservés.

    3% des clients touchés. Selon PCImpact, seuls 3% des clients d’Orange sont touchés, ce qui représente un peu moins de 800.000 clients. Les données piratées sont principalement les noms, prénoms et adresses postales des clients, ce qui peut faciliter les attaques selon le procédé du "phishing". Mais les mots de passe n’ont pas été piratés, a assuré un porte-parole du groupe.

    Orange piraté par des pros du phishing ? Le "phishing" est une technique de piratage qui vise à recueillir des informations confidentielles (codes d’accès ou mots de passe) via l’envoi de courriels censés provenir des banques ou opérateurs. Les victimes trompées par la qualité supposée de l’expéditeur fournissent eux-mêmes leurs propres données personnelles.


  • Attaque informatique, fuite de données : Orange répond à nos questions

    NextInpact / Par Sébastien Gavois / jeudi 30 janvier 2014
    Orange indique que sa page « Mon compte » a été la cible d’une attaque jeudi 16 janvier, mais ajoute que tout est depuis rentré dans l’ordre. Le FAI précise que des données personnelles ont été dérobées, mais que les mots de passe ne sont pas concernés. Moins de 3 % de ses clients sont impactés. Une plainte a été déposée.

    « Orange a été la cible d’une intrusion informatique le 16 janvier 2014 à partir de la page « Mon Compte » de l’Espace Client du site orange.fr ». C’est par cette entame qu’Orange annonce à certains de ses clients que la société a été victime d’une intrusion sur ses serveurs.

    Orange victime d’une attaque, des données personnelles dérobées

    Les pirates ont ainsi pu récupérer de nombreuses informations personnelles comme les noms, prénoms, adresse postale, mails, numéro de téléphone fixe et mobile, ainsi que des informations supplémentaires que vous auriez pu préciser : composition du foyer et nombre d’abonnements Orange ou concurrents par exemple. Le FAI ajoute par contre que les « mots de passe ne sont pas concernés, leur intégrité n’est pas mise en cause ».

    La société indique en outre avoir colmaté la brèche et appelle à la prudence, car les pirates pourraient se servir de ces informations afin de lancer une campagne de phishing. Elle renvoie ainsi ses clients vers cette page.

    Moins de 3 % des clients sont touchés et ils sont tous contactés par mail

    De notre côté, nous avons pu nous entretenir avec Laurent Benatar, directeur technique d’Orange. Il confirme l’intrusion et nous donne quelques détails supplémentaires. Après la découverte de l’attaque, la page « Mon Compte » a été rapidement fermée par précaution, tandis que la faille était colmatée au bout de quelques heures. Au total, moins de 3 % des clients d’Orange sont concernés.

    Ces derniers, et uniquement ceux-là, sont contactés par mail afin d’être informés de la situation (voir capture ci-dessus), si vous ne recevez aucune correspondance de la part du FAI dans les prochaines heures, c’est qu’a priori aucune de vos données personnelles n’est touchée.

    Concernant les informations sensibles comme votre RIB par exemple, notre interlocuteur précise que cela ne concerne qu’une version réduite : certains chiffres sont remplacés par des *** dans la base de données et sont donc inutilisables en l’état. Les versions complètes sont enregistrées sur d’autres serveurs qui n’ont pas été touchés. Du côté des mots de passe, aucune fuite, même pas des versions chiffrées.

    La protection des données chez Orange : une politique en trois étapes

    Notez par contre que tous les clients Orange ont reçu un mail afin de les prévenir sur les tentatives de phishing. Celui-ci a été envoyé les 23 / 24 janvier et ne parlait pas encore d’une intrusion. Pour la société, il s’agissait tout de même d’appeler à la vigilance en attendant de savoir ce qu’il en était exactement de l’intrusion. Notez que les conseils prodigués sont valables en toutes situation, qu’une intrusion ait eu lieu ou non :

    Laurent Benatar ajoute que, bien évidemment, Orange a porté plainte. Nous n’aurons par conséquence pas plus de détails, les éléments techniques étant entre les mains de la Police et de la justice. Le directeur technique tient tout de même à nous préciser le principe de fonctionnement de la sécurité informatique chez Orange, un service en trois étapes.

    Tout d’abord, le groupe emploie des personnes qui sont chargées de simuler des attaques afin de se préparer à divers scénarios. Le site est placé sous haute surveillance, ce qui a d’ailleurs permis de rapidement identifier un comportement anormal, et donc de réagir en conséquence. Enfin une information auprès de ses clients afin de les avertir du danger du phishing, entre autres.

    De manière générale, le phishing s’est affiné au cours des derniers mois / années et les mails deviennent de plus en plus propres, notamment du côté de l’orthographe. Mais forcément, avec des données personnelles, cela devient encore plus facile. Notez que suite au projet de loi sur la consommation, dont nous vous parlerons d’ici peu, la CNIL dispose de nouvelles armes et de nouveaux dispositifs en cas de telles fuites de données. Elle devrait d’ailleurs être amenée bientôt à en parler avec les FAI et opérateurs, le cas d’Orange devrait donc faire école.


  • Nouveau vol massif de données personnelles chez Orange

    Le Monde.fr avec AFP

    Les données personnelles de 1,3 million de clients et de prospects sont concernées. C’est la deuxième fois en trois mois que ce genre d’incident touche l’opérateur téléphonique.

    L’opérateur téléphonique Orange a reconnu, mardi 6 mai, un nouveau vol de données personnelles chez 1,3 million de clients et de prospects, trois mois après une intrusion qui avait touché près de 800 000 d’entre eux.

    « Un nombre limité de données personnelles concernant des clients et des prospects » ont été copiées lors d’une intrusion détectée le 18 avril : noms, prénoms, et, quand ils étaient renseignés, l’adresse mail, les numéros de téléphone mobile et fixe, l’opérateur mobile et Internet et la date de naissance, a annoncé le groupe dans un message.

    « Les données ainsi récupérées pourraient être utilisées pour contacter les personnes concernées par courrier électronique, par SMS ou par téléphone, notamment à des fins de phishing », prévient Orange.

    PHISHING ET « CLICK TO CALL BACK »

    Le « phishing » est une technique de piratage qui vise à recueillir des informations confidentielles (codes d’accès ou mots de passe) par l’envoi de courriels censés provenir de banques ou d’opérateurs. Les victimes trompées par la qualité supposée de l’expéditeur fournissent elles-mêmes leurs données personnelles.

    Des courriels ont été envoyés pour prévenir toutes les personnes concernées, a précisé Orange. Le message qu’elles ont reçu contient un lien « click to call back » (« cliquer pour qu’on vous rappelle »), et l’opérateur s’engage à les rappeler dans les quarante-huit heures pour répondre à leurs questions.

    Le porte-parole du groupe a expliqué le délai entre la découverte de l’intrusion, le 18 avril, et sa divulgation, le 5 mai, par la nécessité de quantifier le vol de données, de « verrouiller le réseau technique » et de « s’assurer que la faille n’existe plus », puis de « dédoublonner les listes », qui contenaient souvent plusieurs fois les mêmes noms.

    Le 2 février, Orange avait reconnu le vol des données personnelles de 800 000 de ses clients Internet. En novembre 2013, lors d’une présentation des innovations de l’opérateur, son PDG, Stéphane Richard, avait tenté de rassurer ses clients en signant solennellement une charte s’engageant à protéger leurs données personnelles.


  • Des milliers de LiveBox Orange piratées par un détournement de DNS

    01Net / 22 juillet 2014

    Un mystérieux pirate a tenté de siphonner les données de milliers de clients de l’opérateur historique en pénétrant l’interface d’administration des Livebox.
    Précisions

    Un porte-parole d'Orange a tenu à donner des précisions à cet article. « Il n'y a pas eu de siphonnage de données bancaires des clients Orange. Mais une tentative de récupération des codes d'accès des box des internautes, par le biais d'un virus sur un site de jeu en ligne. Seuls les clients qui se sont connectés à ce site ont pu être éventuellement victimes. L'accès au site a été bloqué depuis. »

    L’article et le chapô ont été modifiés en conséquence.

    Que s’est-il vraiment passé fin mai, dans plusieurs milliers de LiveBox Orange ? Subitement, de nombreux internautes se sont retrouvés dans l’impossibilité de se connecter à l’administration de leur box (par l’adresse 192.168.1.1). Le mot de passe permettant d’accéder à leur interface de paramétrage, par laquelle on gère la connexion, le Wi-Fi, ou encore de la télévision avait été changé par un inconnu. Plus grave, l’intrus avait modifié les adresses DNS de la LiveBox et dirigé les connexions des internautes vers un serveur malveillant. Sa mission ? Intercepter les données sensibles des personnes piégées. Une attaque dite Man-in-the-middle (L’homme du milieu). « Tous les flux vers des sites marchands, les banques ont été redirigés vers le fraudeur » s’exclame un responsable d’un service de sécurité informatique bancaire contacté par 01net.

    Seule alerte que les clients ont éventuellement pu apercevoir : l’apparition d’un problème de certificat lors de leurs achats en ligne. Autant dire que l’attaque, sournoise, a peut-être fait de gros dégâts, le pirate ayant eu la possibilité de capturer les coordonnées bancaires, les identifiants de connexion, voire leurs coordonnées e-CB sans que les victimes ne puissent s’en rendre compte.

    Comment ce cybercriminel a-t-il fait pour se prendre ainsi aux box de milliers d’internautes ? Il semble avoir réussi son tour de passe-passe par le biais d’un site piégé. L’idée était de faire exécuter un script malveillant spécifiquement aux clients Orange grâce à un lien attirant, formulé à leur égard. Celui-ci lançait alors un script automatisé qui se connectait à l’interface d’administration de la LiveBox.

    Mise à jour salvatrice pour les Livebox

    Le cybercriminel a aussi profité du fait que les clients impactés n’avaient pas changé leurs identifiants de connexion « Usine » de leur LiveBox, le fameux admin/admin. Une attaque facile ? Des codes trainent sur le web permettant, en quelques lignes, de se connecter automatiquement à une LiveBox, de modifier le DNS et de changer le mot de passe. Autant dire un jeu d’enfant pour un pirate.

    Orange semble avoir en tout cas pris cette attaque au sérieux : depuis, l’opérateur a mis à jour ses LiveBox qui, dorénavant, n’autorisent plus les changements de DNS. « Je travaille dans une banque et j’en ai ras le bol de traiter des incidents de ce type » souligne le RSSI joint par 01net. On se fait taper dessus par nos clients en leur renouvelant leur CB par mesures préventives. Il serait bien que chacun prenne ses responsabilités… » Il est vrai qu’Orange est loin d’être le seul à avoir subi ce genre d’attaques, qui sont fréquentes chez tous les FAI. Alors, pour vous éviter toute mésaventures, suivez notre petit guide, ci-dessous.

    Comment vous prémunir de ce genre d’attaques ?

    Pour éviter ce type de piège automatisé, quelques règles d'hygiène numérique simples sont à tenir. D'abord, changer les mots de passe usine de votre LiveBox (mais aussi de votre téléphone, tablette...) Pour Orange, SFR il suffit de taper 192.168.1.1 dans un navigateur.Pour Numéricâble, 192.168.0.1. Pour Freebox V5 https://subscribe.free.fr/login/ et V6 http://mafreebox.freebox.fr/. Il vous suffit de tester le couple admin/admin pour s'identifier. Si vous accédez à l'administration de la box, direction «Changer de mot de passe».

    Dernier détail, ne cliquez jamais sur le moindre lien vous proposant de vous rendre dans votre administration de box. Préférez toujours taper l'adresse dans votre navigateur. Cela pourra vous éviter le passage d'un pirate !


Un message, un commentaire ?

modération a priori

Ce forum est modéré a priori : votre contribution n’apparaîtra qu’après avoir été validée par un administrateur du site.

Qui êtes-vous ?
Votre message

Ce formulaire accepte les raccourcis SPIP [->url] {{gras}} {italique} <quote> <code> et le code HTML <q> <del> <ins>. Pour créer des paragraphes, laissez simplement des lignes vides.

La liberté de l'esprit, c/o Maison des associations, 53, impasse de l'Odet, 29000 QUIMPER
SPIP | | Suivre la vie du site RSS 2.0