La Liberté de l'esprit La liberté de l'esprit
Association créée en 1989
Contribuer au débat citoyen sur les questions de société
Conférences et débats en Cornouaille
  Qui sommes-nous ?  |  Prochaines conférences  |  Saisons précédentes  |  Les conférenciers·cières  |  Contact

Accueil > Technologies > Hélène Le Bouder

Hélène Le Bouder

docteure en sécurité informatique

Cybercriminalité, tous concernés ?
Comprendre la cybercriminalité pour mieux s’en préserver.

vendredi 19 janvier 2018 19h00


La Banque de France (2008), l’industrie nucléaire en Iran (2010), Yahoo (2014), Orange (2014), des centrales électriques en Ukraine (2015), une élection aux USA (2016), Uber (2016), etc... tous ont déjà été piratés ! Partout, la cybercriminalité est entrée dans nos vies. Pourtant, nous ne connaissons pas vraiment ceux qui organisent ces actions. La prise de conscience est lente. Rares sont ceux qui pensent que leurs données pourraient être piratées ou leur identité usurpée.

Demain, vous ne regarderez plus votre carte à puces et votre smartphone de la même façon !

Hélène Le Bouder, docteure en sécurité informatique, maître de conférence et chercheuse à l’IMT Atlantique de Rennes, est spécialisée en cryptologie et en sécurité informatique (matérielle et logicielle)

Pour mieux comprendre les enjeux économiques, sociétaux et militaires, Hélène Le Bouder nous expliquera ce qu’est la cybercriminalité, les problèmes objets connectés attaqués à distance par des « pirates », les logiciels malveillants bloquant l’accès à nos données sur notre ordinateur (avec paiement d’une rançon). Les pièges comme les risques financiers et stratégiques sont multiples et les solutions difficiles à mettre en place.

Ensemble, nous essaierons de comprendre et répondre à ces questions 

  • Les objets connectés devraient être fortement se développer : Quels sont les objets à risque (paiement sans contact, système Bluetooth, wifi…) ? comment limiter les risques ? Les usurpations d’identité se développent elles ?
  • 85 % des entreprises (TPE et PME) estiment ne pas être vraiment concernées par la cybercriminalité ? Y a-t-il un niveau à risque ou tout le monde peut-il être touché ?
  • Qui sont les responsables de cette cybercriminalité ? Comment lutter ? Quelle coordination entre Etats tout en préservant la défense nationale ?
  • Demain, vous ne regarderez plus votre carte à puces et votre smartphone de la même façon !



Voir en ligne : Des attaques informatiques utilisant la physique par Hélène Le Bouder




Messages

  • Microsoft corrige en urgence une faille dans Windows Defender
    Next Inpact 8 déc. 2017

    Toutes les plateformes actuellement supportées par Microsoft peuvent récupérer dans Windows Update un important correctif pour Defender, plus particulièrement son Malware Protection Engine. Le bulletin CVE-2017-11937 évoque une faille critique, exploitable à distance et permettant d’exécuter arbitrairement du code, ce qui est le pire des scénarios.

    L’exploitation peut se faire via un fichier spécifiquement conçu, analysé par Defender. L’éditeur avertit lui-même que faire lire un fichier à un utilisateur n’a rien de particulièrement difficile, soulignant ainsi la dangerosité de la brèche. Selon Microsoft, aucune exploitation active de la faille n’a été remarquée, mais elle est suffisamment grave pour que la société n’attende pas le prochain Patch Tuesday, qui arrive pourtant dans quelques jours.

    Point « amusant », les détails de la faille ont été communiqués confidentiellement à Microsoft par le GCHQ, l’équivalent anglais de la NSA. Le correctif se télécharge dès maintenant depuis Windows Update.

  • La pratique de NaviStone n’est-elle pas à ranger dans la cybercriminalité ? Pister c’est déjà pirater !

    Aux États-Unis, un site marchand accusé d’enregistrer toutes les frappes au clavier

    Next Inpact Par Vincent Hermann mercredi 06 décembre 2017

    Le fabricant de matelas Casper fait l’objet d’une plainte : il violerait le Wireless Act en espionnant allégrement les visiteurs de son site. L’entreprise se défend, mais l’affaire éclaire une nouvelle fois les pratiques invasives d’une partie des sites.

    Vous ne connaissez pas Casper ? C’est presque normal. Jusqu’à maintenant il s’agissait surtout d’une marque de matelas connue pour sa communication à coups de billets sponsorisés et d’achat d’influenceurs en tous genres.

    L’un de ces fabricants de matelas comme on en trouve désormais depuis quelques années. Dans la veine d’un Tediber (français) ou d’un Eve (anglais), il propose un site web présentant un modèle unique, simplement décliné en plusieurs tailles. Une formule qui a beaucoup de succès.

    Seulement voilà, le site du fabricant embarquerait également des scripts douteux capables de suivre à la trace toutes les actions d’un internaute. La société fait depuis peu l’objet d’une plainte.

    Ce que reproche le plaignant à Casper

    Brady Cohen, habitant New York, a déposé plainte contre Casper au niveau fédéral. Il reproche à l’entreprise d’avoir sciemment espionné ses faits et gestes lors de ses sessions de navigation sur le site marchand, comme le rapporte CBS News.

    Plus précisément, il accuse Casper d’avoir récupéré de nombreuses informations comme son adresse IP, d’avoir enregistré toutes ses frappes au clavier et d’être allé jusqu’à garder une empreinte de tous ses mouvements de souris. En bref, un tableau complet de ses faits et gestes sur le site, sans qu’il ait commandé quoi que ce soit. Des sessions de navigation qui se sont étalées sur environ six mois, pendant qu’il réfléchissait à un achat de matelas.

    Ces données auraient été récoltées par un code masqué appartenant à la société NaviStone, qui fournirait ce type de solution. Il reproche également à Casper de procéder à cette récupération sans jamais avertir l’internaute, aboutissant à ce qu’il nomme une « écoute illégale ». De fait, le cœur de la plainte est une violation du Wireless Act américain.

    Le plaignant (et/ou son avocat) cherche actuellement à transformer sa démarche en action collective.

    Le fabricant nie tout comportement illégal de son site]]

    Casper est bien cliente des produits de NaviStone, mais l’entreprise nie faire quoi que ce soit d’illégal. Dans une réplique cinglante, elle indique simplement que Brady Cohen cherche à « extorquer » de l’argent à une société dont le succès commercial ferait des envieux. Mieux, ses activités publicitaires respectent les « standards de l’industrie » et sont décrites dans sa politique de vie privée.

    De son côté, NaviStone ne décrit pas précisément les techniques utilisées, mais son site officiel affirme que ses clients auront la capacité « d’atteindre des visiteurs précédemment non identifiables ». Comme si la technologie fournie pouvait dépasser les capacités offertes en temps normal à travers un navigateur. Elle se vante même de pouvoir faire parvenir une carte postale aux domiciles des visiteurs anonymes en un jour ou deux.

    La société a d’ailleurs réagi, affirmant qu’elle avait été « surprise » de la plainte lorsqu’elle « en a entendu parler pour la première fois ». Elle regrette : « Nous n’avons pas eu l’opportunité de parler au plaignant ou à ses avocats au sujet de leurs inquiétudes. Nous espérons qu’une fois le dialogue entamé, nous pourrons dissiper tout malentendu qu’ils pourraient avoir sur ce que fait NaviStone, ou ne fait pas ».

    NaviStone : une réputation sulfureuse

    En dépit des protestations de NaviStone et du ton conciliant de la réponse à CBS News, l’entreprise a déjà été évoquée plusieurs fois par le passé pour des comportements troublants de ses technologies.

    En juin dernier, Gizmodo montrait ainsi la capacité de NaviStone à enregistrer toute donnée présente dans un formulaire, même si l’utilisateur ne le validait pas. Ce qui se rapproche en effet des fonctions d’un keylogger, puisque aucune action n’est requise pour envoyer les informations vers un serveur.

    Nos confrères se sont lancés dans une petite enquête et ont découvert sur plusieurs sites de sociétés clientes de NaviStone (Acurian, Quicken Loans et autres) du code JavaScript bien particulier : les données entrées dans les formulaires, soit manuellement soit remplies automatiquement par une extension ou un navigateur, étaient captées puis transmises.

    Peu importe que l’internaute ait expédié ou non le formulaire, NaviStone récupérait les informations, avec de bonnes chances qu’elles soient parfaitement personnelles et donc identifiantes. Il avait collé accidentellement du texte ? Dommage, les informations du presse-papier étaient expédiées.

    Gizmodo indiquait dans son article qu’il existait au moins une centaine de sites utilisant les solutions de NaviStone. Sur la douzaine testée, un seul – Gardeners.com – précisait dans sa politique de vie privée que les données des formulaires étaient systématiquement collectées dès leur entrée dans les champs.

    Un peu plus tard, NaviStone avait finalement indiqué que l’adresse email ne serait plus collectée de cette manière, et plusieurs sites qu’ils ne se servaient plus des solutions de cet éditeur.

    Les petites habitudes des sites web

    Difficile pour l’instant de savoir si la plainte de Brady Cohen va aboutir, mais l’affaire redonne un coup d’éclairage à un phénomène loin d’être nouveau : la collecte des données personnelles et le manque de contrôle sur les activités liées. Nul besoin d’aller jusqu’aux enceintes connectées pour se poser des questions, un bon vieux navigateur est suffisant pour trouver des pratiques bien peu éthiques.

    L’une des expériences de Gizmodo permettait d’ailleurs de mieux cerner la problématique. Nos confrères se sont rendus sur plusieurs sites utilisant la technologie de NaviStone, remplissant un panier mais ne validant finalement pas l’achat. Après quoi trois sites (Rockler.com, CollectionsEtc.com et BostonProper.com) leur ont envoyé des emails pour leur rappeler que des articles dans leur panier restaient à acheter. Des courriers envoyés sur des adresses qui, à aucun moment, n’avaient été envoyées via un formulaire. Elles avaient simplement été saisies.

    Plus récemment, une étude de l’université américaine de Princeton indiquait que près de 500 sites parmi les plus visités au monde contenaient au moins une fonction de type keylogger. Les symptômes décrits étaient toujours du même acabit : des données saisies dans une zone – le plus souvent des formulaires – mais non validées étaient quand même envoyées.

    Dans l’étude, les chercheurs évoquaient les scripts « session replay », normalement utilisées pour agréger toute sorte de statistiques d’utilisation de leurs sites, pour en améliorer par exemple l’ergonomie. Mais ces mêmes scripts peuvent être utilisés d’autres manières, notamment pour enregistrer la totalité des actions d’un utilisateur.

    La publication de l’étude avait fait réagir de nombreuses entreprises, qui avaient indiqué notamment à Motherboard et Wired qu’elles ne se serviraient plus de tels scripts. Le cas, tout comme celui de Casper, rappelle toutefois le peu de considération fait de l’internaute dans la plupart des cas.

    Le besoin d’une meilleure protection des internautes

    L’utilisateur devient un simple lot de données personnelles à faire traiter pour l’exploiter ad nauseam, le pourchassant dans ses sessions de navigation pour lui proposer l’achat de produits déjà consultés, l’inscrivant à des newsletters qu’il n’a jamais demandées, et autres formes de tracking. De quoi rendre vital le renforcement des protections en la matière, ce qui doit arriver en Europe à travers le RGPD et ePrivacy dès le mois de mai prochain.

    Même si une prise de conscience collective se fait progressivement jour, il s’écoulera encore du temps pour que ces pratiques se calment, sans parler de s’arrêter. Le pistage est encore au cœur de l’activité publicitaire, en dépit d’un prodigieux agacement des internautes, qui réagissent souvent de la même façon : l’installation d’extensions bloquantes.

    Une protection à laquelle certains sites réagissent à leur tour par des techniques plus invasives. Pas étonnant, donc, que des navigateurs comme Chrome, Firefox ou Safari se penchent de plus en plus sur la question, à des degrés très divers.

  • AI.type : une base de données exposée sans mots de passe

    ZDNet Par Louis Adam

    Sécurité : L’éditeur de l’application de clavier virtuel pour smartphone AI.type a été victime d’une brèche de sécurité et les données personnelles de 31 millions d’utilisateurs ont été publiées en ligne. Pour les cybercriminels, rien de très compliqué : AI.type avait oublié de protéger sa base de données à l’aide d’un mot de passe.

    Une base de données contenant les données d’au moins 31 millions d’utilisateurs de l’application AI.type a été exposée sur le réseau. Cette application disponible pour Android et iOS proposait gratuitement un clavier alternatif pour les utilisateurs qui souhaitaient changer leurs habitudes de frappe.

    L’application était dans une version gratuite aux côtés de la version payante et se finançait notamment via la collecte de données, dont les modalités étaient détaillées dans la politique de confidentialité publiée sur le site. Mais l’application a fait les frais d’une négligence grave en matière de sécurité.

    La base de données qui contenait l’ensemble des données collectées par Ai.type n’était en effet pas protégée par un mot de passe. Celle-ci, hébergée sur un serveur déployé par l’un des fondateurs de la société, était librement accessible sur le réseau et pouvait donc être facilement découverte et pillée par des cybercriminels qui auraient voulu piller les données personnelles.

    La faille de sécurité a été découverte par les chercheurs du Security Research Center de MacKeeper. Dans un communiqué publié sur leur site, ils expliquent avoir ainsi découvert que AI.type exposait malencontreusement plus de 577Go de données personnelles appartenant à leurs utilisateurs sur cette base de données non sécurisée.

    Les données exposées contenaient les informations « classiques » collectées par des applications lorsqu’elles sont installées sur le téléphone : numéro de l’utilisateur, nom, numéro IMEI d’appareil et autres données de géolocalisation. Mais la base de données contenait d’autres types de données collectées par l’application, notamment les données de contact du répertoire de l’ensemble des utilisateurs. Celles-ci contenaient notamment les numéros de téléphone et emails contenus dans le répertoire. ZDNet.com, qui a pu accéder à une partie des données exposées, explique avoir constaté la présence d’un peu plus de 10,7 millions d’adresses email et plus de 364 millions de numéros de téléphone.

    ZDNet.com précise également avoir constaté que l’application collectait une partie des textes tapés à l’aide du clavier, rassemblé dans une archive contenant plus de 8,6 millions d’entrées. Au sein de cette base de données, on retrouve ainsi des mots de passe et des adresses email qui leur sont liés.

    La faille de sécurité n’affecte apparemment que les utilisateurs de la version Android de l’application. Le serveur de AI.type a depuis été sécurisé, mais la société n’a pas encore communiqué sur la brèche de sécurité à l’intention de ses utilisateurs.

  • Enceintes et assistants vocaux « connectés à votre vie privée » : les recommandations de la CNIL

    NextInpact / Par David Legrand / le mardi 05 décembre 2017

    La montée en puissance des enceintes connectées et des assistants vocaux pousse la CNIL a publier de premières recommandations : vigilance concernant les services utilisés, l’utilisation par les enfants, ou lorsque vous recevez des invités. Reste à définir les obligations pour rendre cela plus simple au quotidien.

    Alors que nous nous interrogions hier sur la pertinence des enceintes connectées comme cadeau de Noël de l’année, la CNIL a décidé de publier ses recommandations sur ces produits.

    Comme nous l’avons déjà évoqué, toute leur intelligence est située dans les serveurs des géants du Net, qui ont donc besoin de recueillir vos propos afin de pouvoir les traiter et apporter une réponse. Dans le cas de Google Home, la société vous oblige ainsi à activer votre historique de recherche de manière globale afin de profiter de ses services.

    Rien n’est donc géré au niveau local, ces appareils connectés étant plutôt basiques dans leur conception. Une liste de vos différentes requêtes pourra donc être conservée, ces appareils étant désormais capables d’assurer une reconnaissance vocale afin d’attribuer un propos à une personne en particulier.

    « Bien comprendre les enjeux autour de votre vie privée »

    Après avoir donné la définition des assistants vocaux et détaillé leur fonctionnement, la CNIL prévient : « Chaque utilisateur doit ainsi intégrer que même si « la parole s’envole », ses requêtes vocales sont enregistrées dans le cloud, de la même manière qu’elles le seraient s’il les tapait au clavier dans certains moteurs de recherche ! ». Ces assistants intègrent en effet toujours plus de sphères de nos vies : smartphone, enceintes, casques, véhicules, etc.

    La Commission parle notamment de « monétisation de l’intime » et de besoin de confidentialité des échanges, puisque ces appareils se retrouvent désormais dans nos foyers et sont constamment à l’écoute : « en veille permanente, ces assistants sont susceptibles d’enregistrer vos conversations, y compris celles de tiers lorsqu’ils ont reconnu le mot-clé ». Parfois, ils s’activent même lorsqu’ils pensent avoir reconnu un mot-clé d’activation, même s’il n’a pas été prononcé.

    Face à cette réalité, la CNIL conseille notamment de faire attention aux interactions avec vos enfants : « rester dans la pièce, éteindre le dispositif lorsqu’on n’est pas avec eux ». De manière plus générale, il est conseillé de « couper le micro ou éteindre l’appareil lorsque l’on ne s’en sert pas, ou lorsqu’on ne souhaite pas pouvoir être écouté ». Un bouton est souvent présent pour cette action, qui peut être contraignante, surtout si vous avez plusieurs appareils. Un dispositif global proposé dans les applications de gestion serait donc bienvenu.

    Il en est de même si vous recevez des invités. Comme nous l’évoquions hier, la question du consentement à la récolte des données et des propos peut poser problème. Vous pouvez très bien accepter de voir vos conversations enregistrées par de tels appareils en étant conscients de ce que cela implique. Mais ceux qui vous rendent visite peuvent de leur côté ne pas partager cet avis et doivent au minimum être prévenus.

    Garder la main sur ce qui est partagé

    La CNIL rappelle au passage que « les propos tenus face à l’appareil peuvent enrichir votre profil publicitaire » et invite à ne connecter que des services « qui présentent réellement une utilité pour vous, tout en considérant les risques à partager des données intimes ou des fonctionnalités sensibles (ouverture porte, alarme…) ». Certaines informations peuvent en effet être exploitées par des personnes mal intentionnées et la possibilité d’un piratage de votre compte n’est jamais à exclure.

    « Sans écran, difficile d’avoir un aperçu des traces enregistrées, ni de juger de la pertinence des suggestions, d’en savoir plus ou d’avoir accès à des réponses provenant d’autres sources » constate la Commission. Elle conseille de se rendre régulièrement dans l’outil de gestion « pour supprimer l’historique des conversations et des questions posées et personnaliser l’outil selon vos besoins ».

    Là aussi, on apprécierait que les éditeurs systématisent des dispositifs tels que la suppression automatique au bout de quelques jours à quelques mois, selon le choix de l’utilisateur ou même un nettoyage global possible à tout moment.

    La CNIL veille, mais les règles restent à définir

    Quoi qu’il en soit, la CNIL se dit en contact avec les constructeurs et « réalise des tests sur certains de ces appareils et mène des réflexions sur les moyens à mettre en œuvre afin de garantir que les utilisateurs sont bien informés des données collectées, des usages qui en sont faits et des moyens à leur disposition pour y accéder, les modifier, les supprimer, etc. »

    La mise en place du RGPD et d’ePrivacy en Europe en mai prochain devrait notamment venir renforcer le cadre de la collecte et de l’exploitation des données à travers ces appareils. Néanmoins, il faut espérer que les régulateurs n’hésiteront pas à exiger le respect de règles strictes sur la vie privée, alors que ce marché n’en est qu’à ses débuts.

    Sous peine de voir les mauvaises habitudes s’installer, comme cela a déjà été le cas sur d’autres secteurs, nécessitant ensuite des années avant de revenir à des comportements plus corrects.

  • NSA : échecs et fuite de Red Disk, un cloud dédié au renseignement

    Next Inpact / Par Vincent Hermann / le vendredi 01 décembre 2017

    Alors que la NSA est déjà engluée dans une longue série de fuites d’informations depuis 2013 avec Snowden, d’autres informations sont apparues cette semaine sur Red Disk. Une erreur humaine a conduit à la révélation d’une infrastructure complète de gestion des données de renseignement servant également à l’armée.

    La mauvaise passe de la NSA continue, avec des révélations provenant du même genre d’erreur humaine qui avait déjà permis aux pirates Shadow Brokers de récupérer des outils et failles 0-day parfaitement exploitables. Car c’est en laissant ouverte une instance de stockage Amazon Web Services que l’agence a laissé fuiter Red Disk.

    Ce nom recouvre un concept global de plateforme d’échange d’informations diverses sur tout ce qui touche au renseignement, partagée essentiellement entre l’agence américaine et l’armée. Plus précisément, Red Disk provient de l’INSCOM, pour Intelligence and Security Command, une division appartenant aux deux entités.

    Un cloud dédié au renseignement

    Red Disk a pu être récupéré par un nombre indéterminé de personnes, puisque l’accès était libre à qui savait où chercher. La société de sécurité UpGuard a pu mettre la main dessus et a livré ses observations au sein d’un billet de blog.

    C’est Chris Vickery, directeur de recherche, qui se colle à l’exercice. Il évoque notamment une image disque à décompresser et contenant un très grand nombre de données intéressantes. Certaines parties sont incapables de fonctionner en l’état car elles réclament des systèmes matériels spécifiques et/ou des autorisations du Pentagone. Elles présentent toutefois assez d’informations pour brosser un portrait général, tandis que certains fichiers sont directement exploitables, comme une machine virtuelle basée sur Red Hat Linux.

    Red Disk est donc une infrastructure de gestion de l’information, qui peut revêtir de nombreuses formes : rapports, photos, surveillance satellite, signaux radar, vidéos de caméras de surveillance ou de drones, fichiers audios, etc. Elle permet à la fois l’entrée des informations et leur filtrage en vue d’être ensuite redistribuées vers des analystes s’ils disposent des accréditations suffisantes.

    Elle se présente un peu comme un cloud dédié au renseignement, avec pour objectif de pouvoir être utilisé par tous ceux qui en ont besoin, quelle que soit leur position dans la hiérarchie : espions, analystes, décideurs ou même soldats. Le profil de l’utilisateur débloque ainsi les fonctions associées. Comme l’indique Chris Vickery, Red Disk a été pensé pour permettre au Pentagone d’avoir toujours une vue d’ensemble pour une situation donnée, afin notamment de pouvoir guider les troupes le plus efficacement possible.

    Décrit comme modulaire et personnalisable, Red Disk devait également être en capacité de s’étendre autant que nécessaire, pour suivre les besoins futurs. Le système complet est une énorme entité devant en outre gérer les droits puisqu’il permet de marquer des informations comme classées secret défense. Le tout dans une base de données indexée avec assez de granularité pour faire des recherches à facteurs multiples.

    Toujours selon UpGuard, on trouve également dans l’image des outils de reconnaissance vocale – probablement pour dicter des rapports – et de synthèse vocale, pour se faire lire des informations quand regarder l’écran n’est pas possible.

    Les restes d’un échec ?

    « Red Disk » n’est cependant pas un nom nouveau. On en trouve notamment mention dans un article d’Associated Press datant d’octobre 2014. Il y était évoqué comme un projet particulièrement dispendieux – la somme de 93 millions de dollars est avancée – conçu pour compléter une infrastructure défaillante.

    L’article, peu amène, évoque la manière dont certains acteurs ont « profité d’un échec ». Red Disk était ainsi prévu pour être le composant cloud du DCGS (Distributed Common Ground System), dont l’objectif était déjà de fournir les bonnes informations, au bon moment à la bonne personne. Selon un rapport de test de 2012 toutefois, le système s’était révélé particulièrement instable et très difficile d’utilisation.

    DCGS et Red Disk sont par ailleurs le résultat d’appels d’offres, donc de développements réalisés par des entreprises. Le premier existe d’ailleurs depuis longtemps (plus de 13 ans) et avait eu le temps de produire de nombreux rapports de pannes. Des noms comme Potomac Fusion, Invertix (aujourd’hui Altamira) et General Dynamics sont ainsi pointés, tous participants au développement à un moment de l’histoire du DCGS.

    Red Disk semble dans tous les cas considéré comme un échec, particulièrement au vu des sommes mises sur la table. Associated Press insiste sur la dimension de gâchis et la manière dont certains responsables ont su s’enrichir via les participations et reventes de ces entreprises. Russell Richardson, qui fut à la tête de deux d’entre elles, estimait cependant que les contribuables américains en avaient « eu pour leur argent ».

    Des problèmes multiples pour la NSA

    La publication des informations sur Red Disk est un nouveau coup dur pour la NSA, autant que pour l’armée d’ailleurs. Les révélations faites par Chris Vickery n’ont pas le caractère sulfureux des publications d’Edward Snowden ou des Shadow Brokers. Elles décrivent après tout une infrastructure technique de gestion du renseignement, non des mécanismes d’espionnage ou des failles de sécurité.

    Cependant, ces informations viennent s’ajouter aux autres, avec probablement la désagréable impression pour la NSA que le reste du monde finira bientôt par connaître son organisation et ses projets dans les moindres détails. En outre, les différents articles et analyses montrent une gestion peu glorieuse d’un système conçu pour rendre d’inestimables services mais conçu et réalisé dans l’urgence, avec de très nombreux problèmes à la clé.

    Comme si la coupe n’était déjà pas assez pleine, la récupération de ces informations montre encore une fois un défaut de sécurisation des accès. Les Shadow Brokers avaient déjà dérobé des fichiers sur un serveur laissé plus ou moins en accès libre. L’erreur est ici du même acabit, même si le problème se retrouve un peu partout, les instances Amazon (ou Azure) étant parfois créées puis pratiquement laissées à l’abandon. Ajoutons qu’il y a tout juste quelques jours, UpGuard avait déjà révélé que des espaces S3 de stockage avaient été laissées ouvertes de la même manière par la société TigerSwan, pour le compte du département américain de la Défense.

    Quand Donald Trump pestait contre le niveau général de la sécurité

    Difficile de ne pas repenser aux propos de Donald Trump en janvier dernier, quand il dressait un triste bilan de la sécurité générale aux États-Unis. Il décrivait alors un pays « piraté par tout le monde », des systèmes SCADA et des OIV dont les défenses n’étaient clairement pas au niveau, sans parler de la vaste affaire de l’ingérence russe, qui commençait alors. Difficile de nier que certaines décisions cadrent mal avec une nation maitresse de ses protections quand des instances Amazon aussi sensibles sont laissées ainsi ouvertes.

    Il est probable également que ces informations fassent davantage réagir le public américain, car si de nombreuses révélations visaient l’étranger jusqu’à présent, il est question cette fois de leurs impôts.

    Quant à la NSA et à l’armée américaine, un début de réponse pourrait venir d’une interdiction simple : ne pas se reposer sur des produits publics comme ceux d’Amazon.


  • Faille béante dans macOS High Sierra : Apple fait son mea culpa et diffuse son patch

    ZDNet / Par Olivier Chicheportiche

    Sécurité : "Nous avons failli", reconnaît Apple dans un communiqué suite à la découverte de cette faille qui offre un moyen simple et infaillible de prendre le contrôle de n’importe quel Mac.

    Episode assez rare, Apple a fait publiquement son auto-critique suite à cette affaire de faille béante dans la dernière de macOS (High Sierra). Dans un communiqué, la pomme fait donc acte de contrition et explique :

    "Pour tout produit Apple, la sécurité est une priorité et nous avons y malheureusement failli avec cette version du système d’exploitation macOS. Lorsque nos ingénieurs spécialisés dans le domaine de la sécurité ont constaté le problème ce mardi après-midi (mercredi dans la nuit en France) nous avons immédiatement commencé à travailler sur une mise à jour pour y remédier. Depuis 17h (heure française) la mise à jour est disponible au téléchargement, et plus tard dans la soirée, elle sera automatiquement installée sur tous les ordinateurs équipés de la dernière version de macOS High Sierra (10.13.1)".

    Et de poursuivre : "Nous regrettons profondément cette erreur et nous nous excusons auprès de tous les utilisateurs Mac, à la fois d’avoir fourni une version incluant cette vulnérabilité mais aussi pour l’inquiétude que cela a causé. Nos clients méritent mieux. Nous sommes en train de passer au crible nos processus de développement afin que cela ne se reproduise plus".

    Rappelons que la dite faille offre un moyen simple et infaillible de prendre le contrôle de n’importe quel Mac. Concrètement, sur l’écran de connexion, il suffit de cocher "Autre utilisateur", de saisir root comme nom d’utilisateur et laisser le mot de passe vide. Cliquez plusieurs fois et vous pourriez alors découvrir que vous venez de vous connecter à votre système en tant qu’utilisateur root, c’est-à-dire en mode administrateur. Vous avez désormais tous les pouvoirs.

    Cela signifie que si vous avez volé un Mac, ou si vous avez simplement accès physiquement à un Mac alors que le propriétaire est absent, vous avez accès à toutes les données qui s’y trouvent. C’est un raté historique en matière de sécurité. Un raté qui a fait réagir Edward Snowden, cet ancien de la CIA. "Imaginez une porte fermée, mais il suffit d’essayer de tourner la poignée et oh, la porte s’ouvre."

       Imagine a locked door, but if you just keep trying the handle, it says "oh well" and lets you in without a key. https://t.co/KBW4qntMdA
       — Edward Snowden (@Snowden) 28 novembre 2017

    Le correctif (Security Update 2017-001) ferme cette porte grande ouverte et concerne les utilisateurs de macOS High Sierra 10.13.1 mais pas ceux de 10.12.6.


  • ToS ;DR repart de zéro pour décortiquer les conditions d’utilisation du Net

    NextInpact / Par Guénaël Pépin / mardi 28 novembre 2017

    Cinq ans après la création de ToS ;DR, comprendre les conditions d’utilisation des services en ligne reste encore très compliqué. Des développeurs ont repris de zéro la conception de la plateforme, pour résumer simplement ces textes légaux, au cœur de nos vies numériques.

    Il suffit parfois de dix jours pour relancer un projet tombé en désuétude. ToS ;DR (Terms of Service ;Didn’t Read) héberge désormais Phoenix, une réécriture du service, censée grandement simplifier la contribution des internautes à la base de données.

    Lancé en juin 2012, ToS ;DR est une plateforme qui résume les conditions générales d’utilisation de nombreux services. Plutôt que des dizaines de pages de discours légal, l’outil promet une version concise avec un jugement point par point, puis une note globale. Environ 80 services sont référencés, pour la plupart de manière incomplète.

    L’idée est née au sein du groupe Unhosted au Chaos Communication Camp (CCC) en 2011, puis développé par Hugo Roy lors d’un stage l’année suivante. Une campagne de financement sur Indiegogo a permis de récolter 20 000 euros, quand une association loi 1901 est née en 2013.

    Pour cette nouvelle version, il a passé la main. « Mon niveau d’implication est assez faible ces temps-ci. Mon travail et les Exégètes me prennent déjà beaucoup de temps » nous déclare-t-il. Phoenix a été conçu par trois personnes, dont Christopher Talib, ancien chargé de campagne à la Quadrature du Net. Il revient avec nous sur ce développement et les changements à venir.

    Accéder à la nouvelle version de ToS ;DR

    Simplifier la base, automatiser l’attribution des notes globales

    Christopher Talib a rejoint le projet en décembre 2016, après une rencontre au Capitole du libre de Toulouse. L’idée de départ était de reprendre la conception d’edit.tosdr.org, qui propose depuis 2015 aux internautes de remplir la base de données. Une nouvelle campagne de financement et une mise à jour de la base de données étaient aussi espérées.

    « La base de données commence à dater. Plus personne n’avait vraiment le temps de s’en occuper » se souvient le concepteur de Phoenix. Faute de développeur connaissant MeteorJS, le framework utilisé sur « edit », l’équipe a décidé de repartir de zéro (en Ruby) cet été. Une aubaine pour Christopher Talib, qui veut diversifier ses activités, en passant de la politique aux outils.

    Le but de Phoenix est d’obtenir une base plus propre. Chaque point d’un service est noté sur 10 (contre 100 auparavant) et la « classe » du service analysé (sa note globale) est générée automatiquement en fonction de tous les points inscrits. Elle va de « A » à « F », du très respectueux aux problèmes graves.

    Une ancienne base de données « acrobatique »

    Dans la version précédente du service, elle devait être attribuée manuellement par un modérateur. Or, peu de plateformes analysées ont obtenu une de ces classifications. Cette base contenait un peu moins de 80 services, contre 16 actuellement sur Phoenix. « On n’avait pas de problème à avoir de contribution, mais seuls cinq sites ont une classe. Ça fait un peu mauvais genre » note le développeur.

    Selon lui, la base de données de la version encore en ligne est « un peu acrobatique ». Le projet a connu plusieurs générations de code et la contribution de TOSBack, un projet de l’Electronic Frontier Foundation (EFF), qui récupère régulièrement les conditions générales d’utilisation de centaines de services. L’équipe de ToS ;DR y a contribué, mais l’outil apporte une couche de complexité pour tout nouveau développement. Elle a donc laissé de côté les centaines de services et les 1 700 points d’analyse en base.

    Une API et des fonctions à construire

    La version actuelle de Phoenix devrait être suivie d’une version bêta « avant le printemps ». Les priorités sont d’améliorer le design et l’accessibilité, « malheureusement passée à la trappe en codant ». À terme, la nouvelle version doit à la fois remplacer la page d’accueil actuelle (statique) et edit.tosdr.org.

    Un autre morceau d’importance est l’API, principalement pour connecter les extensions pour Chrome et Firefox. Celles-ci affichent la note globale d’un site lorsque l’internaute le visite, et fournit le détail de ses conditions d’utilisation au clic. L’enjeu est déjà de basculer ces outils sur Phoenix, avant d’ajouter des fonctions allant au-delà de la simple récupération des données.

    Des fonctions comme un historique des conditions d’utilisation ou la possibilité de suggérer des corrections. Pour le moment, les modérateurs sont « tout-puissants ». Ils sont les seuls à pouvoir ajouter un service et valident l’ensemble des modifications apportées à une entrée.

    La comparaison des services selon la qualité de leurs conditions d’utilisation n’est pas encore d’actualité. « Ce n’est pas possible avec notre modèle de base de données, mais c’est quelque chose qu’on pourrait faire. Pour le moment, on veut simplement fournir de l’information. De la transparence sur les conditions générales d’utilisation » répond Christopher Talib. Il imagine, par exemple, une collaboration avec Framasoft sur une sélection de services respectueux.

    De la difficulté du libre et financement

    La conception de ToS ;DR a connu deux ans d’inactivité, jusqu’à début 2017. Si l’équipe continuait de communiquer, notamment sur Twitter et un groupe Google, le développement et le remplissage de la base avaient ralenti. Une version française, CGU : pas lu a aussi été lancée et oubliée.

    Pour Talib, « dans le logiciel libre, on fait beaucoup l’éloge de la contribution. Le problème est qu’il y a beaucoup de projets, on ne sait pas sur lequel participer et c’est très dur pour un débutant. Ce sont des projets abscons, très complexes, sans documentation... ». Sans parler des communautés, qui peuvent être « très compliquées, voire toxiques comme celle qui travaille sur le noyau Linux ».

    Résultat : « Plein de projets libres sont importants, mais personne ne contribue » pense le concepteur de Phoenix. Pour lui, des initiatives comme le récent Contributopia de Framasoft peuvent aider en ce sens.

    L’alpha de Phoenix semble avoir piqué l’intérêt d’internautes, avec une première pull request (proposition de code) et l’ouverture de tickets sur GitHub. L’équipe songe à lancer une nouvelle campagne de financement au printemps. Sur les 20 000 euros collectés en 2012, près de 4 300 euros étaient encore en banque au troisième trimestre.

    Les fonds compensent en partie le temps passé à remplir la base par les membres de l’équipe. Le développeur principal de Phoenix ne s’inquiète d’ailleurs pas de l’appétit des internautes.

    « Du contenu, il y en aura toujours tant que les gens seront intéressés par ces problématiques. La couverture presse d’Exodus Privacy prouve que ce genre de compréhension d’informations peu visibles préoccupe beaucoup de monde » estime-t-il. Son outil doit être « un grain de sable » dans la lutte pour des services respectueux des utilisateurs, alors que le besoin d’alternatives aux grandes plateformes est de plus en plus pressant.


  • Rencontre avec Exodus Privacy, qui révèle les trackers des applications Android

    NextInpact / Par Guénaël Pépin / le vendredi 24 novembre 2017

    Quels trackers contiennent vos applications Android habituelles ? C’est à cette question que tente de répondre l’association Exodus Privacy, avec sa plateforme libre Exodus. Via l’analyse des logiciels et de leur trafic, elle révèle les petits secrets de certains grands noms.

    Depuis trois mois, un groupe d’hacktivistes français conçoit la plateforme Exodus. Son but : automatiser l’analyse du contenu et des émissions de données d’applications Android, à partir d’archives d’installation (APK) récupérées sur le Google Play Store. Ce midi, l’outil est publié, avec une première série de 375 rapports, cataloguant 44 trackers. Amazon, Firefox, ProtonMail, Signal, Spotify ou encore VLC sont passés au crible.

    Accéder aux rapports d’Exodus Privacy

    Le Yale Privacy Lab, de l’université du même nom, publie lui un dossier sur le pistage des mobinautes, en approfondissant les travaux du groupe français, avec Le Monde et The Intercept. « Le 18 septembre, j’entrais en contact avec le Yale Privacy Lab avec lequel nous avons pérennisé une collaboration, sans contrat. Ils s’intéressent beaucoup plus à l’analyse légale de ce que réalisent les trackers » nous déclare Esther (alias U+039b ou « Lambda »), qui mène le développement et le projet.

    Un mois après cette prise de contact, le 21 octobre, Exodus Privacy devenait officiellement une association. Elle doit pérenniser le développement des outils et les analyses, destinés à devenir une démarche de long terme.

    L’équipe s’interroge d’ailleurs sur la possibilité de classer ces « pisteurs », même si elle se refuse à tout jugement. « Ce que nous appelons tracker, c’est un élément logiciel en charge de collecter, de stocker, voire d’envoyer des données concernant l’identité d’un utilisateur ou son activité » détaille Esther.

    Avec cette première publication, le projet qu’elle dirige passe une étape importante, après des mois d’un travail initié dans une grande discrétion.

    Des débuts très prudents

    Les travaux ont commencé fin août, après la publication d’un article sur le tracker Teemo chez Numerama. Il a inspiré plusieurs hacktivistes, en quête de pisteurs dans les applications.

    « J’ai tweeté trois commandes simples qui permettaient à n’importe qui de savoir si Teemo est présent dans tel ou tel APK. Rapidement, d’autres personnes qui faisaient la même chose m’ont contactée. C’est comme ça qu’est né l’embryon du groupe » se souvient Esther. Ces trois personnes seront le noyau de l’initiative, qui attirera jusqu’à neuf personnes pendant sa genèse.

    Esther n’en est pas à son coup d’essai. Depuis moins d’un an, elle conçoit des outils centrés sur l’activité des internautes, comme la marmite connectée « HotSpoot » dont la flamme change de couleur en fonction du site visité par les personnes connectées à un hotspot Wi-Fi.

    Exodus Privacy a débuté dans un bunker numérique. Après un premier contact via un réseau social, chaque nouveau membre était redirigé vers des e-mails chiffrés puis un canal de discussion (aussi chiffré) accessible via Tor. Chacun était prévenu des risques et considéré comme responsable de ses actes, pouvant impliquer les autres participants.

    La raison : l’équipe tâtonnait sur les méthodes d’analyse et leur légalité. Publier les résultats d’un décorticage trop profond d’une application pouvait engager légalement le groupe. La discrétion était donc de mise. « Au début, on ne savait pas si ça allait durer ou s’étioler rapidement » note par ailleurs Esther.

    L’initiative a commencé à se structurer le 16 septembre, avec la décision de monter une association. De nouveaux membres sont arrivés. L’un d’eux est Aeris, derrière d’autres projets d’analyse technique, dont le décortiqueur de chiffrement de connexion CryptCheck, et administrateur système chez Cozy Cloud.

    « Quand je suis arrivé, ils se demandaient quoi faire. Comme ils ne savaient pas trop quels étaient les risques qu’ils prenaient, mieux valait prendre ses précautions » se remémore-t-il. « Quand Esther m’a contacté, j’ai sauté sur l’occasion. Avec CryptCheck, je faisais déjà des analyses de données pour fournir des rapports. J’avais aussi envie de le faire pour les mobiles et potentiellement plus tard les sites Internet. »

    Un risque de procès toujours présent, mais une équipe plus sereine


    L’équipe a fait appel à deux juristes, pour étudier le cadre légal à respecter. L’un est devenu l’avocat de l’association. « Assez tôt, un avocat a accepté de nous défendre pro bono. Nous avons beaucoup discuté avec lui de nos méthodes d’analyse, de constitution des rapports. Une autre analyse a été menée par un juriste et les deux audits légaux aboutissent au fait que nos méthodes sont légales » assure Esther.

    La méthode est donc de décompresser l’archive APK de chaque application, et d’y chercher une référence aux trackers (via l’adresse de ses sites). Ensuite, une analyse des données envoyées (en clair ou chiffrées) permet d’avoir une idée des informations transmises, et d’ajouter un nouveau tracker à la plate-forme si besoin.

    En décompressant l’archive, Exodus obtient la liste des fichiers pour y chercher une référence à un tracker. Il ne s’agit pas de manipuler ces fichiers pour reconstituer le code source. « Il n’y a pas de décompilation du code de l’APK. On va directement aller chercher des signatures dans le binaire de l’APK » précise l’équipe.

    Malgré tout, « notre avocat nous a dit qu’il fallait s’attendre à avoir des plaintes. Même si notre activité n’est pas illégale, on montre des choses que les sociétés n’ont pas forcément envie de montrer. On s’y attend ». Les propriétaires d’applications pourraient d’ailleurs découvrir des éléments intégrés par leur prestataire de développement, pour des raisons techniques ou commerciales, sans leur consentement.

    Depuis sa formation en association, l’équipe est bien plus sereine. La responsabilité individuelle devient davantage collective, même si les personnes physiques jugées responsables peuvent toujours être inquiétées pénalement. Désormais, l’activité jusqu’ici cachée s’affiche au grand jour, les discussions se tenant sur un canal IRC public, seuls des éléments réclamant une sécurité spécifique étant toujours transmis confidentiellement.


    Découverte : la « flemme » massive des développeurs

    Parmi les 345 applications décortiquées, l’outil pour développeurs Crashlytics et la régie publicitaire de Google (Doubleclick) sont de très loin les « trackers » les plus utilisés, devant Localytis, Flurry et HockeyApp.

    « On s’attendait déjà plus ou moins à ce qu’on a découvert, malheureusement » avance Aeris. « Aujourd’hui, s’il y a autant de trackers, c’est dû à la flemme des développeurs, qui cherchent des frameworks qui font le café » estime-t-il. Il veut donc « exposer les mauvaises pratiques » de développement, qui mènent à la multiplication de ces appels par les applications. Leurs propriétaires pourraient être prévenus par l’équipe, pour signaler une trop grande gourmandise de ce point de vue.

    Il reste que tous les « pisteurs » n’ont pas la même utilité. « Des trackers comme Crashlytics ne font qu’envoyer des informations d’utilisation. Il n’y a pas de nom, prénom, d’adresse e-mail, etc. » rappelle Esther. D’autres sont bien moins délicats, en transmettant des données sensibles, comme la localisation, sans chiffrement.

    « On n’a malheureusement pas de terme pour les distinguer. Nous pourrons peut-être, plus tard, avoir une réputation du tracker et différencier l’outil de rapport de bug de celui qui va s’introduire dans la vie privée », via des symboles ou avertissements spécifiques, pense Aeris. Rien qui n’arrive dans l’immédiat, donc.

    Des outils conçus par l’équipe

    Les logiciels utilisés pour les analyses ont été conçus par l’équipe. Esther a mené le développement, en recodant la plateforme après une première version initiée pendant l’été. Elle est appuyée par les autres membres de l’association sur l’administratif, l’administration système ou encore le site public.

    « Clairement, Esther s’est occupée de toute la partie développement, pointe Aeris. Quand on a une idée, on la lance et le lendemain au réveil, tout est fait. On a tout de même pu l’aider sur certaines parties. Je suis intervenu sur l’interception de trafic TLS, via du conseil et du support. »

    La plateforme Exodus est conçue via Django (un framework web en Python). Les rapports sont stockés en PostgreSQL, les tâches Celery sont distribuées via RabbitMQ et les fichiers sont stockés via Minio.

    Des analyses réplicables, à automatiser entièrement

    Les outils sont répartis entre Exodus, pour l’analyse statique des applications (ce qu’elles contiennent) et Electra, qui gère l’analyse des données échangées avec l’extérieur.

    Chaque archive APK est récupérée automatiquement sur le Play Store, puis décompressée et passée à la moulinette de « grep », une commande Linux permettant de chercher des caractères dans un fichier. Un rapport est ensuite généré et ajouté à la plate-forme.

    Cette partie, d’apparence anodine, pose déjà son lot de problèmes. « L’API Google limite les demandes, avec des contrôles très poussés, qui nous ennuient assez furieusement. Il faudra qu’on arrive à trouver des systèmes de récupération » s’agace Aeris, qui pense par exemple multiplier les machines téléchargeant les fichiers.

    « On doit parfois repasser manuellement. Par exemple, l’APK d’Adblock est en rouge cramoisi parce qu’il référence tous les trackers. Il faut qu’on passe derrière pour dire qu’il s’agit d’une application qui n’est pas dangereuse » ajoute le spécialiste.

    Electra se charge, pour sa part, de lancer une machine virtuelle avec Android (en version x86), d’exécuter Wireshark et mitmproxy (pour analyser le trafic), puis l’application pendant 80 secondes. Le trafic est enfin transmis à Exodus, qui le référence. Des actions manuelles sont parfois nécessaires, pour accepter les autorisations demandées (sans jamais créer de compte) ou rendre l’application plus loquace via une interaction.

    « Wireshark voit ce qui n’est pas chiffré (requêtes DNS, trafic UDP...) et mitmproxy sert à voir ce qui passe » dans le trafic chiffré. L’utilisation d’Electra est ensuite « assez manuelle », la machine virtuelle tournant sur les ordinateurs de développement. « À terme, il y aura des fermes de vérification pour mener ça en parallèle » espère encore Aeris.

    Une méthode avec ses limites

    Les outils, qui permettent de centraliser et historiser la présence des trackers, ont leurs limites. Tout « pisteur » ajouté l’est manuellement par un membre de l’équipe, après analyse réseau d’une première application le contenant. « On ne peut pas garantir l’exhaustivité de nos rapports. Si par exemple, on dit que dans telle application on a découvert tel ou tel tracker, rien ne garantit qu’il n’y en ait pas un ou plusieurs autres dedans » précise Esther.

    Pour le moment, seuls les membres du bureau de l’association peuvent soumettre des applications à l’analyse. L’équipe compte proposer, par la suite, des soumissions par les internautes, mais le processus doit être entièrement automatisé et les ressources serveur suffisantes.

    « Il faut être extrêmement vigilants là-dessus. Si une personne biaise la détection, on obtient des résultats faux. Vu que c’est un système automatisé fondé sur des données versionnées, enregistrées... Si jamais la signature qu’on recherche ne correspond pas à un tracker, on pourra aisément démontrer qu’il n’y a pas de malveillance humaine » nous déclare encore Esther.

    Quelques applications sont aussi récalcitrantes à l’analyse. Elles peuvent planter en détectant la sandbox en x86, limiter ou simplement interdire leur utilisation, par exemple si le téléphone est vu comme rooté.

    Les applications iOS sont encore hors du champ d’investigation. Le système d’Apple est une toute autre paire de manches qu’Android. L’impossibilité d’exécuter un simulateur iOS sur PC est une des limites évoquées.

    Pas de calendrier, mais des projets

    Par la suite, « le but est d’analyser le plus possible d’applications, de voir les mises à jour » avance Aeris. Après l’officialisation du projet, aujourd’hui, aucun calendrier n’est défini pour les prochaines évolutions. L’automatisation du processus d’analyse est la priorité.

    « On ajoutera petit à petit des fonctionnalités : la possibilité de pousser des APK, de classer, d’avoir une analyse dynamique plus fine quand on intercepte du trafic... » promet Aeris.

    Aujourd’hui, l’admet Esther, « récupérer tous les outils et les installer sur son PC, est assez compliqué ». Deux futures vidéos guideront les internautes dans la lecture des rapports et la reproduction des analyses.

    Côté financement, l’association compte uniquement sur ses (futurs) membres, malgré une adhésion gratuite. La réponse publique au projet sera déterminante, tout comme celle des entreprises concernées, qui se voient mises sous les projecteurs via un angle qu’elles n’avaient sûrement pas envisagé.

  • CNIL 22 novembre 2017

    WEB EDITIONS : sanction pécuniaire pour une atteinte à la sécurité et la confidentialité des données clients

    En décembre 2016, la CNIL a été informée de l’existence d’un incident de sécurité ayant conduit à rendre librement accessibles les données personnelles des utilisateurs de plusieurs sites internet permettant d’effectuer des démarches administratives.

    La Présidente de la CNIL a décidé de diligenter des contrôles en ligne en janvier 2017. Les contrôleurs de la CNIL ont suivi le parcours de démarches administratives proposées par les sites « www.passeport-express.org », « www.porter-plainte.fr », « www.formalite-acte-de-naissance.org » et « www.demande-non-gage.org » édités par la société WEB EDITIONS.

    Ils ont constaté qu’une fois un formulaire de démarches en ligne renseigné, une page récapitulative de la demande s’affichait. En modifiant un numéro dans l’adresse URL de la page récapitulative, ils ont pu accéder aux pages d’autres utilisateurs des différents sites et notamment aux informations qu’elles contenaient :

    - données d’identification,

    - adresse électronique,

    - adresse postale,

    - numéro de téléphone,

    - nom et prénom des parents lorsque la demande portait sur un acte de naissance,

    - descriptifs des faits dans le cadre des dépôts de plainte.

    Alertée par les services de la CNIL, la société a pris, en trois jours, les mesures nécessaires permettant de mettre fin à la violation de données.

    Un contrôle sur place a été réalisé, en février 2017, dans les locaux de la société. Il a permis de constater que le défaut identifié résultait de l’absence de mise en œuvre de mesures élémentaires de sécurité lors de la conception des sites internet concernés.

    En conséquence, la Présidente de la CNIL a désigné un rapporteur afin que soit engagée une procédure de sanction à l’encontre de la société WEB EDITIONS.

    La formation restreinte de la CNIL a prononcé une sanction pécuniaire d’un montant de 25.000 euros, estimant que la société avait manqué à son obligation de préserver la sécurité et la confidentialité des données personnelles des utilisateurs de ses sites, conformément à l’article 34 de la loi Informatique et Libertés.

    Elle a estimé qu’il appartenait à la société d’être particulièrement vigilante sur la sécurité des données collectées, dès lors qu’elle mettait en ligne des sites internet permettant d’effectuer des démarches administratives et notamment, de traiter des données sensibles ou relatives à des infractions au sens des articles 8 et 9 de la loi Informatique et Libertés.

    Cette violation a eu un impact sur les données de plusieurs milliers de personnes, certaines relevant de l’intimité de la vie privée des utilisateurs des sites, ainsi que celle de tierces personnes visées dans les plaintes déposées en ligne et dans les demandes d’actes de naissance.

    La formation restreinte a néanmoins tenu compte de la réactivité de la société dans la résolution de l’incident de sécurité, de sa bonne coopération avec les services de la CNIL ainsi que de la taille de la structure et de son chiffre d’affaires.


  • Attaque DDoS contre EDF : le pourvoi de Triskel rejeté par la Cour de cassation

    NextInpact / Par Marc Rees / le jeudi 23 novembre 2017

    La Cour de cassation a finalement rejeté le pourvoi exercé par Triskel dans le cadre d’une attaque informatique visant des sites Internet d’EDF. L’éditeur d’une solution de « raccourcisseurs » d’URL utilisé par des « Anonymous » est définitivement condamné pour participation à une entente en amont de ce DDoS.

    En 2011, une attaque par déni de service distribué visant des sites internet d’EDF, revendiquée par des « Anonymous », avait conduit à une perquisition musclée de la Direction centrale du renseignement intérieur au domicile de Triskel, de son vrai nom Pierrick Goujon.

    Si les enquêteurs avaient retrouvé son identité, c’est tout simplement parce que la campagne « Greenrights » des Anonymous avait utilisé son service de raccourcisseurs irc.lc dans un tract virtuel.

    L’éditeur de cette solution en ligne a toujours clamé son innocence. Des arguments entendus devant le tribunal correctionnel de Paris, qui avait reconnu que ce service n’avait pour vocation que de « rendre plus accessibles les canaux de discussion IRC », non d’organiser une attaque DDoS. Il prononçait alors sa relaxe.

    D’abord relaxé, puis condamné en appel

    En appel, Triskel a répété n’être qu’un intermédiaire, non responsable de l’utilisation faite par les tiers de Irc.lc. La cour d’appel a eu une autre analyse, reprochant à l’intéressé d’avoir proposé son service de passerelle vers le canal IRC dédié à GreenRights. Elle l’a reconnu coupable du délit de participation à « une entente établie en vue de la préparation d’entrave au bon fonctionnement de systèmes de traitement automatisé de donnée », ici les sites d’EDF.

    Il fut alors condamné à 2 mois de prison avec sursis et obligation de stage de citoyenneté.

    Un délit non caractérisé selon son avocat...

    Devant la chambre criminelle de la Cour de cassation, les avocats de Triskel sont repartis au combat : un tel délit suppose avant tout « que soit caractérisée une résolution d’agir concertée et arrêtée entre deux ou plusieurs personnes », ce qui ferait défaut dans l’arrêt de la cour d’appel.

    En outre, l’entente implique un objectif, la commission du délit d’entrave, qui ne serait pas davantage démontré. Enfin, les juges d’appel auraient jaugé à tort l’intention délictueuse du prévenu dans la préparation d’une telle entrave ou sa facilitation.

    ...mais une analyse contestée par la Cour de cassation

    La Cour de cassation ne va pas partager ces reproches. Dans un arrêt du 7 novembre, elle a considéré que les juges du fond avaient bien caractérisé les différents éléments de l’infraction. D’un, l’adresse de son raccourcisseur d’url IRC.lc a été diffusée dans des documents d’"Anonymous", plus d’un an avant l’attaque. De deux, il a « mis à disposition » un webIRC « dont il est locataire et gestionnaire », qui a permis aux utilisateurs, même non férus d’informatique, « d’accéder à des sites de discussion, d’avoir connaissance des modalités concrètes d’opérations du mouvement "Anonymous" ».

    De trois, Triskel a constaté qu’EDF était prise pour cible. De quatre, il n’ignorait pas que les attaques DDoS étaient un levier des Anonymous qui ont pu être réalisées via ces moyens techniques et informations. Autant d’éléments qui ont caractérisé le délit de participation, et ont permis aux juges de « déduire la pleine conscience (…) du caractère irrégulier de telles attaques ».


  • Uber : 57 millions de comptes piratés, 100 000 dollars pour étouffer l’affaire

    NextInpact / Par Sébastien Gavois / le mercredi 22 novembre 2017

    En octobre de l’année dernière, Uber s’est fait dérober des données personnelles de 50 millions de clients et 7 millions de chauffeurs. La société n’a pas signalé cette fuite (concernant notamment des numéros de permis de conduire) et a payé 100 000 dollars aux pirates pour qu’ils suppriment les données.

    Les fuites de données se suivent et ne se ressemblent décidément pas. Cette fois-ci, c’est au tour des clients et chauffeurs d’Uber d’en être victimes, comme le rapportent nos confrères de Bloomberg et le confirme la société de VTC.

    57 millions de comptes concernés, dont 50 millions d’usagers

    L’attaque remonte à octobre de l’année dernière et impacte pas moins de 57 millions de comptes. Il est ainsi question des noms, adresses email et numéros de téléphone pour plus de 50 millions d’utilisateurs. Les informations personnelles d’environ 7 millions de chauffeurs sont également concernées, notamment 600 000 numéros de permis de conduire américain.

    La société affirme par contre qu’aucun numéro de sécurité sociale, de carte bancaire, détails sur les déplacements ou autre information n’a été récupéré par les pirates.

    Pour arriver à leur fin, ces derniers ont pu accéder à un dépôt GitHub privé utilisé par les ingénieurs d’Uber. Ils ont alors récupéré les identifiants de connexion qui leur donnaient accès à un compte Amazon Web Services contenant une archive avec ces informations.

    Ils ont ensuite envoyé une demande de rançon à Uber... une opération courante dans ce genre de situation, mais la réaction de la société l’est déjà bien moins.

    Uber a payé 100 000 dollars aux pirates

    Bloomberg explique en effet que la société a payé 100 000 dollars aux pirates pour qu’ils suppriment les données, et ainsi tenter de faire comme si de rien n’était. « Nous avons obtenu l’assurance que les données téléchargées avaient été détruites » ajoute Uber, à qui nous devons donc faire confiance sur ce point... La société ne dévoile par contre pas l’identité des attaquants, malgré la demande de Bloomberg.

    Quoi qu’il en soit, Dara Khosrowshahi indique n’avoir été mis au courant que « récemment » de cette histoire. Le directeur général ajoute néanmoins qu’au « moment de l’incident, nous avons pris des mesures immédiates pour sécuriser les données et mettre fin à tout accès non autorisé par les individus ». Des mesures supplémentaires de protections ont également été mises en place. Dans tous les cas, les comptes concernés par cette fuite font l’objet d’une surveillance supplémentaire. *

    La justice prend le relai

    « Rien de tout cela n’aurait dû arriver [...] Bien que je ne puisse effacer le passé, je peux m’engager au nom de tous les employés d’Uber à apprendre de nos erreurs » explique Dara Khosrowshahi. Le chef de la sécurité Joe Sullivan et un de ses adjoints ont été licenciés pour leur rôle dans cette histoire selon nos confrères.

    De son côté, le procureur général de New York, Eric Schneiderman, a ouvert une enquête. Un client poursuit également en justice Uber « pour négligence » et cherche à monter un recours collectif, comme l’indique à nouveau Bloomberg.


  • Protection de la carte bancaire : et si le problème n’était pas que dans le monde numérique ?

    NextInpact /par David Legrand / le lundi 20 novembre 2017

    Si certains ont encore parfois peur de se faire pirater leurs informations de paiement lors d’un achat en ligne, il est plus rare de voir des utilisateurs se méfier lorsqu’un commerçant ou un téléconseiller leur demande la transmission d’une telle information. C’est pourtant bien plus risqué.

    Avec la montée en puissance de la vente en ligne à coup de « 1-click » et des services de paiement ou de transfert d’argent nouvelle génération, un élément devient de plus en plus crucial à protéger : les informations relatives à votre carte bancaire.

    Les dispositifs en place sont plutôt bons en la matière, et la fraude à un niveau assez bas. Ainsi, ce ne sont le plus souvent pas les informations de votre carte qui sont stockées par les sites, mais un simple « jeton » (ou token) lié à une autorisation qui peut être révoquée. Et ceux qui utilisent ce genre d’outils sont soumis aux normes PCI-DSS.

    En ligne, des règles claires

    De son côté, la CNIL dispose depuis des années de recommandations claires sur ce qu’il est possible de faire ou non. La semaine dernière, elle a publié un rappel sur le sujet suite à une délibération intervenue cet été. Elle y précise que le numéro de la carte, la date d’expiration et le cryptogramme visuel ne doivent être conservés au-delà de la transaction.

    Il y a bien sûr des exceptions possibles, comme en cas d’abonnement à tacite reconduction, ou la facilitation des achats ultérieurs si le client a exprimé son consentement qui « doit prendre la forme d’un acte de volonté explicite, par exemple au moyen d’une case à cocher et non pré-cochée par défaut ». Dans tous les cas « la conservation du cryptogramme est interdite après la réalisation de la première transaction ».

    La Commission nous a confirmé qu’elle ne reconnaissait pas les données bancaires comme des données dites sensibles. Il s’agit néanmoins d’une donnée à caractère personnelle puisque la loi informatique et libertés dispose dans son article 2 que cela concerne « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres ».

    Un guide datant de fin 2016 est également disponible : Commerce et données personnelles.


    IRL, vos données de carte bancaire en mode YOLO

    Contrairement à ce que l’on pense, c’est dans le monde physique que les choses se gâtent. Si une fuite en ligne peut rapidement être massive, une attaque « In Real Life » (IRL) est plus limitée, mais aussi bien plus simple.

    L’un des dangers identifiés est celui du paiement sans contact, à travers une carte bancaire ou un smartphone. Très bavard au départ, ce dispositif a été largement renforcé ces dernières années. Mais comme l’a encore montré récemment le blogueur Numendil, c’est loin d’être parfait.

    Avec un bon équipement, ou même une simple application Android, on peut encore récolter quelques informations qui peuvent être utiles depuis une carte de paiement qui est constamment accessible, contrairement à une application de paiement sur smartphone qui doit être activée.

    Mais il y a encore bien pire que cela, et l’on rencontre encore couramment des pratiques qui n’ont pas lieu d’être en 2017. Il fût un temps où l’on passait les cartes bancaires dans des « presses » afin d’en effectuer une empreinte carbone. Une période révolue ? Pas tant que cela.

    Hôtels, achat par correspondance, centres d’appel : CB partout, protection nulle part

    Ceux qui vont couramment dans des hôtels en dehors des grandes chaînes savent qu’il est souvent demandé de fournir une carte au moment du « Check-in ». Et là, les informations de la cartes sont parfois stockées directement dans la base de données client ou même simplement écrites sur une fiche papier.

    Ce, alors que les TPE prennent parfaitement en charge l’empreinte bancaire permettant aux commerçants de se couvrir en cas de problème. Et sur le sujet, il est bien plus difficile de trouver la trace de recommandations de la CNIL, ou même de savoir si elle effectue concrètement des vérifications sur les procédures de paiement des commerçants.

    Un conseil, donc, si vous allez souvent d’un hôtel à un autre : pensez à utiliser une carte de paiement secondaire à autorisation systématique, sur laquelle vous laissez assez peu de fonds. En cas de problème, le risque sera ainsi limité.

    Cette pratique se retrouve d’ailleurs dans d’autres secteurs que l’hôtellerie. Pour l’abonnement à la presse papier, ou l’achats de produits par catalogue, on retrouve encore souvent des formulaires proposant au client d’inscrire les informations de sa carte bancaire. Des informations qui seront protégées par une simple enveloppe lors du transport.

    Parfois, c’est au téléphone que l’employé du centre d’appel d’un organisme de crédit ou d’une société vous proposera de lui donner les informations de votre carte bancaire. Qui vous assurera qu’il ne le met pas de côté pour une utilisation ultérieure ? Rien, si ce n’est le risque de se faire prendre par son employeur.

    On se demande alors à quoi cela peut bien servir de mettre en place des solutions de chiffrement comme TLS si c’est pour au final transmettre ce genre de données dans un simple courrier ou au téléphone. Surtout qu’en cas de problème, il sera bien compliqué d’identifier la fuite de manière certaine.

    La protection des données de paiement doit être assurée partout

    Bref, s’il est important de sécuriser le partage des données bancaires en ligne et de renforcer le niveau de sécurité dans le domaine du paiement, notamment à l’heure où le smartphone devient un outil de plus en plus utilisé, il faut aussi ne pas oublier de regarder plus près de nous, dans notre quotidien.

    Car tant que la sécurité de l’utilisateur reposera sur quelques chiffres présents sur une carte plastique, qu’on lui demande de partager parfois sans assurer le moindre niveau de protection, toutes ces mesures deviendront inutiles. C’est toujours sur le maillon le plus faible de la chaîne que les attaquants portent leurs coups.

    Certes, en cas de fuite, l’utilisateur est protégé par la législation et peut de plus en plus facilement faire renouveler sa carte. Des mesures comme 3D Secure sont également parfois mises en place par les commerçants. Mais celle-ci n’est pas systématique et pose encore trop souvent des problèmes. Surtout lors des périodes commerciales intenses comme le Black Friday ou les les soldes.

    Mais il s’agit là d’une autre histoire, que nous aurons sans doute l’occasion d’évoquer dans un prochain édito.


  • par Keren Elazari, spécialiste israélienne de la sécurité, consultante en cybersécurité et chercheuse associée du groupe de travail Science, sécurité et technologie de l’université de Tel Aviv.

    interstices le 4/10/2017

    Chaque appareil connecté est une cible potentielle pour les cybercriminels. Les gouvernements ne pourront sécuriser le cyberespace que si les particuliers sécurisent leurs propres équipements.

    L’ESSENTIEL
    - Les cyberattaques se multiplieront dans les années à venir. Tout utilisateur des technologies modernes est une cible potentielle.
    - Les nouvelles attaques visent certes les données, mais aussi les objets connectés et les infrastructures matérielles.
    - Seuls, les gouvernements et l’industrie technologique ne peuvent sécuriser le cyberespace.
    - Avec l’aide des pirates informatiques et des particuliers, il faut construire un système « immunitaire » distribué.

    En termes de cybersécurité, aiment à dire les spécialistes, il existe deux types d’organisations : celles qui ont été touchées et celles qui ne le savent pas encore. Les récents titres de la presse tendent à leur donner raison. Des cybercriminels ont volé les informations des cartes de crédit et les données personnelles de milliers de clients de sociétés telles que les entreprises américaines Target et Home Depot (grande distribution) ou JPMorgan Chase (société de portefeuille). Les chercheurs en sécurité informatique ont découvert des failles fondamentales dans les constituants d’Internet, telle la vulnérabilité Heartbleed dans la bibliothèque de logiciels de cryptographie OpenSSL. Une destruction massive de données a obligé Sony Pictures Entertainment à revenir au papier et au crayon. Des criminels ont accédé aux données de plus de 80 millions de clients de l’entreprise américaine d’assurance maladie Anthem. Et il ne s’agit que des incidents les plus connus.

    Dans les années à venir, les cyberattaques vont probablement s’intensifier. Le problème nous concerne tous. Nous sommes tous, d’une façon ou d’une autre, connectés au cyberespace — via les téléphones, les ordinateurs portables, les réseaux d’entreprise —, et donc exposés. Le piratage des réseaux, serveurs, ordinateurs personnels et comptes en ligne est devenu une ressource essentielle tant des cybercriminels que des services d’espionnage des États. Votre réseau local d’entreprise, votre PC de jeu deviennent autant d’outils supplémentaires dans l’arsenal des criminels — ou des cyberespions financés par le contribuable. Les ordinateurs compromis servent de tremplin pour l’attaque suivante ou deviennent les maillons d’un « botnet », un réseau malveillant de machines zombies contrôlées et louées à l’heure pour lancer des attaques par déni de service (qui rendent un service indisponible) ou distribuer des spams.

    En réponse à de telles menaces, le réflexe des gouvernements consiste à militariser le cyberespace, à essayer de contrôler le monde numérique en s’appuyant sur des agences secrètes et des administrations centralisées. Mais cette approche ne fonctionnera jamais. Elle risque même d’empirer les choses. La cybersécurité est comme un problème de santé publique : seules, les agences de santé gouvernementales n’ont pas les moyens d’arrêter la propagation des maladies. Elles ne peuvent remplir leur rôle que si les citoyens remplissent le leur.

    Un cyberespace multiforme

    Une difficulté pour protéger le cyberespace est que celui-ci n’est pas une entité unique. Le cyberespace est un vaste ensemble de systèmes interconnectés en perpétuelles mutation et croissance. Pour en prendre la mesure, il faut remonter un demi-siècle plus tôt, aux travaux de Norbert Wiener, professeur de mathématiques à l’Institut de technologie du Massachusetts. En 1948, Wiener a emprunté un terme du grec ancien pour décrire une nouvelle discipline qu’il développait : la cybernétique, ou l’étude du « contrôle et de la communication chez l’animal et la machine ». En grec ancien, κυβερνἠτης désignait le timonier ou le pilote qui dirigeait et contrôlait les navires en Méditerranée. Par analogie, le cyberespace est l’ensemble des technologies électroniques et numériques interconnectées qui permettent le contrôle et la communication de tous les systèmes sur lesquels repose la vie moderne. Le cyberespace est constitué d’un large éventail de technologies de commande à distance et de communication, allant des pompes à insuline pilotées par radiofréquences aux satellites de géolocalisation GPS.

    Le cyberespace n’est pas une eau internationale. Il ne s’agit pas d’un ensemble de territoires que des gouvernements ou des armées pourraient contrôler. La plupart des technologies et réseaux qui constituent le cyberespace sont détenus et entretenus par des multinationales à but lucratif.

    Le nombre et la diversité des technologies incluses dans cet espace croissent rapidement. Le fournisseur de matériel réseau Cisco Systems prédit que d’ici 2020, 50 milliards d’appareils seront connectés à Internet, dont, pour une grande part, des dispositifs et systèmes liés à l’industrie, l’armée et l’aérospatiale. Chaque nouveau dispositif qui se connecte au cyberespace est une cible potentielle et les attaquants décèlent vite les maillons les plus faibles des réseaux. Les pirates qui se sont introduits fin 2013 dans les terminaux de points de vente du distributeur américain Target et ont volé les données de millions de cartes bancaires, par exemple, ont pénétré dans le réseau du détaillant en s’attaquant d’abord à une cible facile : Fazio Mechanical Services, l’entreprise de maintenance frigorifique qui gère les systèmes de chauffage et de réfrigération de Target. Ceux qui, en 2011, ont accédé aux réseaux de l’entreprise américaine de défense Lockheed Martin s’en sont d’abord pris à la compagnie de sécurité RSA, qui fournissait à Lockheed Martin ses jetons d’authentification. RSA elle-même a été compromise parce qu’un employé de sa société mère, EMC, avait ouvert un fichier Excel attaché en pièce jointe à un courriel.

    Les « objets » de l’Internet des objets — smartphones, tablettes, animaux marqués d’une puce… —, tous ces éléments auxquels Internet s’étend aujourd’hui, ne sont pas simplement des fenêtres via lesquelles les attaquants peuvent s’infiltrer. Ils constituent eux-mêmes des cibles potentielles de sabotage. Dès 2008, des chercheurs en sécurité ont prouvé qu’il était possible de pirater à distance des stimulateurs cardiaques. Depuis, des hackers ont montré qu’ils étaient capables de prendre le contrôle de pompes à insuline au moyen de signaux radio et de déclencher l’injection d’insuline dans le système sanguin des patients.

    Les infrastructures physiques sont aussi menacées. Le virus informatique Stuxnet l’a montré en 2010 en causant la destruction des centrifugeuses d’enrichissement de l’uranium au sein d’une installation clandestine à Natanz, en Iran. Fruit supposé d’une collaboration coûteuse entre les États-Unis et Israël, Stuxnet a révélé qu’un code numérique suffit à perturber et détruire des systèmes physiques analogiques. Depuis, d’autres attaques l’ont confirmé. En décembre 2014, l’Office fédéral allemand de la sécurité des technologies de l’information a rapporté que des pirates avaient perturbé certains systèmes d’une aciérie, empêchant le haut-fourneau de s’arrêter et infligeant d’importants dégâts au système. Trois mois plus tôt, des pirates chinois avaient attaqué les sites web de l’Agence américaine d’observation océanique et atmosphérique (NOAA) qui traitent des données satellitaires servant entre autres à l’aviation et à la réaction aux catastrophes.

    En d’autres termes, la cybersécurité ne concerne pas seulement la sécurisation des ordinateurs, des réseaux ou des serveurs web. Il ne s’agit pas juste de sécuriser des « secrets » (comme si nous en avions encore beaucoup pour Google et Facebook !). La bataille du cyberespace concerne la protection des objets, des infrastructures et des processus. Le danger encouru est la subversion et le sabotage des technologies que nous utilisons tous les jours : nos automobiles, distributeurs bancaires et appareils médicaux ; nos réseaux électriques, satellites de communication et réseaux téléphoniques. La cybersécurité vise à protéger notre mode de vie.

    Des vulnérabilités entretenues

    Sécuriser le cyberespace confronte les gouvernements à des conflits profonds. De nombreuses agences fédérales, dont le Département de la sécurité intérieure des États-Unis, ont un réel intérêt à protéger les sociétés nationales et les citoyens des cyberattaques. Mais d’autres entités gouvernementales ont intérêt que le réseau mondial reste criblé de vulnérabilités. Des groupes clandestins tels que la NSA, l’Agence de sécurité américaine, investissent des millions pour trouver et maîtriser des failles techniques qui permettraient à un attaquant de prendre le contrôle d’un système.

    La vulnérabilité de sécurité des uns est l’arme secrète des autres. Prenons le bug Heartbleed. Si vous avez utilisé Internet au cours des cinq dernières années, votre information a probablement été cryptée et décryptée par des ordinateurs équipés du logiciel OpenSSL. SSL est la technologie derrière les icônes en forme de cadenas qui signalent les sites web sécurisés. La vulnérabilité Heartbleed était le résultat d’une erreur élémentaire de développement logiciel dans Heartbeat, une des extensions d’OpenSSL, d’où le nom (voir l’encadré). Exploitée, la faille donnait aux indiscrets un accès facile aux clés de chiffrement, noms d’utilisateurs et mots de passe, rendant illusoire toute sécurité offerte par le chiffrement SSL. OpenSSL a été vulnérable pendant deux ans avant que deux équipes distinctes de chercheurs en sécurité (l’une dirigée par Neel Mehta, expert en sécurité chez Google, et l’autre de Codenomicon, dont le siège est en Finlande) ne découvrent le bug. Quelques jours plus tard, le magazine Bloomberg Businessweek citait des sources anonymes affirmant que la NSA utilisait cette faille depuis des années pour le cyberespionnage.

    Nombre d’États puissants ont affecté leurs meilleurs techniciens et des millions d’euros à la découverte et à l’exploitation de vulnérabilités telles que Heartbleed. Les gouvernements achètent aussi des bugs sur le marché libre, contribuant à soutenir l’industrie des failles de sécurité. Un nombre croissant d’entreprises, telles que Vupen Security, à Montpellier, et Exodus Intelligence, à Austin, se spécialisent dans la découverte et la commercialisation de ces précieux bugs. Certains gouvernements dépensent même plus pour la recherche et le développement de capacités offensives que pour la défense contre les cyberattaques. Le Pentagone emploie nombre de chercheurs en vulnérabilités, et le budget de la NSA pour la cyberrecherche offensive est plus du double de celui consacré à la défense.

    Cela ne signifie pas que les gouvernements ont des intentions malfaisantes ou qu’ils sont des ennemis de la cybersécurité. Les agences telles que la NSA recueillent des renseignements afin d’empêcher des actes abominables et il est logique qu’elles utilisent tout outil à leur disposition pour y parvenir. Toutefois, une étape importante de la sécurisation du cyberespace consistera à soupeser avec honnêteté les coûts et avantages de l’entretien des vulnérabilités par les agences gouvernementales. Une autre clé de la réussite sera de tirer le plein parti du pouvoir des gouvernements, qui peuvent par exemple obliger des entreprises et autres organismes à partager leurs informations sur les cyberattaques.

    Les banques, en particulier, auraient tout intérêt à le faire, car les attaques sur les institutions financières suivent d’ordinaire un schéma prévisible : quand les criminels trouvent un angle d’attaque qui fonctionne avec une banque, ils l’essaient sur une autre, puis une autre… Toutefois, les banques évitent de divulguer des informations sur les attaques subies, car cela soulève des questions sur leur propre sécurité. Elles évitent aussi de communiquer avec leurs concurrentes ; dans certains cas même, les lois antitrust l’interdisent. Les gouvernements, en revanche, peuvent faciliter le partage d’informations entre banques. Ce partage est déjà mis en place aux États-Unis sous la forme du Centre de partage et d’analyse d’informations pour les services financiers (FS-ISAC), qui sert aussi les organismes financiers mondiaux. Et en février, Barack Obama a signé un décret présidentiel qui enjoint d’autres entreprises à partager leurs renseignements entre elles et avec le gouvernement.

    Les pirates à la rescousse

    Tant que les Hommes écriront des programmes, des vulnérabilités existeront. Sous la pression concurrentielle, les entreprises du secteur des technologies introduisent leurs produits sur le marché plus vite que jamais. Ces entreprises seraient bien avisées d’exploiter l’énorme ressource humaine que constitue la communauté mondiale des hackers. Au cours de l’année passée, catalysées par des événements tels que les révélations d’Edward Snowden sur la NSA, l’industrie technologique et la communauté des hackers ont commencé à accepter l’idée de travailler ensemble. À présent, des centaines d’entreprises voient l’intérêt d’embaucher des hackers en les attirant au moyen de programmes qui récompensent la découverte de bugs ou de vulnérabilités — les bug bounty programs ou vulnerability reward programs. Ces programmes offrent des primes aux chercheurs indépendants qui signalent des vulnérabilités ou des problèmes de sécurité. Netscape Communications a créé le premier programme de prime à la découverte de bugs en 1995 afin de repérer les éventuels défauts du navigateur Netscape. Aujourd’hui, vingt ans plus tard, la recherche a montré que cette stratégie est une des mesures les plus rentables que la société et sa successeure, Mozilla, aient prises pour renforcer la sécurité. Les communautés privées et publiques de professionnels de la sécurité partagent leurs informations sur les logiciels malveillants, les menaces et les vulnérabilités. Elles créent ainsi une sorte de système immunitaire distribué.

    À mesure que le cyberespace s’étend, constructeurs automobiles, entreprises de matériel médical, fournisseurs d’installations de cinéma à domicile et autres vont devoir raisonner comme des sociétés de cybersécurité. Cela suppose d’intégrer la sécurité dans la recherche et le développement, d’investir dans la sécurité des produits et des services dès la phase de conception, et non en fin de développement ou en réponse à des injonctions gouvernementales. Là encore, la communauté des hackers peut apporter sa contribution. En 2013, par exemple, les experts américains en sécurité Joshua Corman et Nicholas Percoco ont lancé le mouvement « I Am The Cavalry », pressant les pirates de s’engager dans une recherche responsable des failles de sécurité, notamment dans les domaines critiques tels que les infrastructures publiques, les équipements médicaux ou automobiles et les technologies domestiques connectées. Une autre initiative — BuildItSecure.ly —, à l’instigation des chercheurs en sécurité Mark Stanislav et Zach Lanier, vise à créer une plate-forme pour développer des applications sécurisées de l’Internet des objets.

    La bonne nouvelle est que ce système immunitaire distribué est de plus en plus solide. En janvier 2016, Google a lancé un nouveau programme qui complète son programme de prime à la découverte de bugs, offrant des subventions pour encourager les chercheurs en sécurité à vérifier les produits de la compagnie. Cette décision montre que même des entreprises ayant recruté les meilleurs talents en technologie bénéficient du regard extérieur de pirates bien intentionnés. Certains gouvernements font de même. Ainsi, le Centre national néerlandais de cybersécurité a établi son propre programme de divulgation responsable, qui permet aux pirates de signaler des vulnérabilités sans risque de représailles juridiques.

    Aux États-Unis, la mauvaise nouvelle est que certains éléments de l’approche cybersécuritaire du gouvernement pourraient de facto criminaliser les pratiques et les outils classiques de la recherche de vulnérabilités, ce qui affaiblirait le système immunitaire. Beaucoup d’acteurs de la sécurité craignent que la version actuelle de la loi Computer Fraud and Abuse (Fraude et malveillance informatiques) et les modifications proposées donnent une définition si large du piratage que le simple fait de cliquer sur un lien vers un site web contenant des fuites ou des informations volées soit considéré comme du trafic de biens volés. Cette criminalisation du travail des chercheurs indépendants nous ferait du tort à tous et aurait peu d’effet sur les criminels mus par le profit ou l’idéologie.

    Quelques règles de cyberhygiène

    Les prochaines années pourraient être critiques. Le nombre de violations de données va augmenter et un ardent débat aura certainement lieu pour savoir quel pouvoir sur le monde numérique céder aux gouvernements en échange de sécurité. En fait, on ne pourra sécuriser le cyberespace sans combiner des solutions de diverses natures : techniques, légales, économiques et politiques. Et cela dépend aussi de nous, le grand public. En tant que consommateurs, nous devrions exiger que les entreprises rendent leurs produits plus sûrs. En tant que citoyens, nous devrions tenir nos gouvernements pour responsables quand ils affaiblissent volontairement la sécurité. Et en tant que points individuels de failles potentielles, nous avons la responsabilité de sécuriser nos installations.

    Pour se défendre, il existe des mesures simples, telles que mettre à jour nos logiciels, utiliser des sites web sécurisés et activer l’authentification à deux facteurs sur nos comptes de courriel et de réseaux sociaux. Mais cela suppose aussi d’être conscient que chacun de nos appareils est un nœud d’un vaste système et que les choix que nous faisons à notre petite échelle peuvent avoir des effets bien plus importants. La cybersécurité est comme la santé publique. Lavez-vous les mains, vaccinez-vous, et vous ne transmettrez pas les infections.

  • interstices le 7 dec 2016 / par Valérie Viet Triem Tong, Enseignant-chercheur à CentraleSupélec, membre de l’équipe de recherche CIDRE commune à CentraleSupélec, Inria, Université de Rennes 1, CNRS

    Aujourd’hui, les téléphones portables sont en réalité de tout petits ordinateurs qui peuvent exécuter des applications choisies par l’utilisateur sur des marchés d’applications. Attirés par l’argent facile, certains développeurs peu scrupuleux sont tentés d’ajouter du code malveillant à leur application...

    Aujourd’hui, les trois quarts des habitants de la planète possèdent un téléphone portable. Ce téléphone portable est en réalité un tout petit ordinateur doté de plus de capacités de calcul et de stockage d’information qu’un ordinateur de bureau des années 1990. Ces téléphones rendent plus de services que leurs ancêtres, ils peuvent prendre des photos, se connecter à Internet, tenir un emploi du temps. Mieux encore, ils peuvent exécuter des applications choisies par l’utilisateur sur des marchés d’applications comme GooglePlay ou l’App Store.

    Ces applications sont des programmes informatiques écrits par des développeurs qui peuvent appartenir à des entreprises informatiques mais aussi être de simples particuliers. Bref, tout le monde peut écrire, et mettre à disposition de tous, une application pour téléphone portable. Le développeur gagne de l’argent lorsque cette application est téléchargée, si celle ci est payante. Si par contre l’application est gratuite, le développeur se rémunère par la publicité intégrée dans l’application ou via des achats intégrés. La note est peu élevée pour l’utilisateur (de l’ordre de quelques euros) mais les gains montent vite pour le développeur si l’application est populaire puisqu’elle peut alors avoir des millions d’utilisateurs.

    Attirés par l’argent facile, certains développeurs peu scrupuleux sont tentés d’ajouter du code malveillant à leur application voire même à celles proposées par d’autres. Ces codes ont pour but de faire gagner encore plus d’argent au développeur malveillant. Pour cela, ces codes malveillants peuvent envoyer automatiquement des messages à des numéros surtaxés. Ils peuvent neutraliser le téléphone de l’utilisateur pour l’obliger à obéir aux commandes de l’attaquant. L’ensemble des téléphones et tablettes ainsi neutralisés par l’attaquant forme un réseau de machines qu’il peut utiliser pour réaliser des attaques informatiques. Enfin, ces codes peuvent exiger de l’argent pour rendre à l’utilisateur le contrôle de ses propres données.

    La guerre est déclarée

    La prolifération des codes malveillants occasionne une guérilla informatique entre plusieurs acteurs : les auteurs de ces codes qui souhaitent continuer leurs activités, les éditeurs de produits de sécurité et les responsables des marchés d’applications qui veulent être capables de détecter et contrer le plus rapidement possible ces codes malveillants.

    Les combattants fourbissent leurs armes. L’attaquant écrit son code. Souvent ce code contient plusieurs parties : prise de contrôle du téléphone, réalisation de la malveillance et protection du code malveillant lui-même. Les défenseurs examinent tous les codes qui sont mis sur le marché à la recherche d’éventuels codes malveillants. Ce travail ressemble à celui qui consiste à chercher une aiguille dans une botte de foin : quelques dizaines de lignes de code malveillant cachées dans d’innombrables lignes de code bénin. Le temps joue en faveur de l’attaquant. Plus les défenseurs mettent de temps à détecter un code malveillant, plus celui-ci peut s’exécuter en toute impunité.

    Première ligne de défense : repérer les codes malveillants connus

    Les défenseurs gardent une banque de codes déjà identifiés comme malveillants. Dans ces banques de données, les codes malveillants sont identifiés par certains traits particuliers que l’on appelle des signatures. Ces signatures sont les plus petites possibles pour que la recherche soit envisageable sur une grosse quantité de code. La première ligne de défense est alors de vérifier rapidement que le code étudié n’est pas déjà présent dans ces banques, c’est à dire que le code étudié ne présente pas de signature connue. Cette approche est peu coûteuse car il existe des moyens algorithmiques rapides pour ce travail. Elle nécessite cependant de maintenir des banques de données à jour et bien organisées.

    Contournement de la première ligne de défense : écrire un code inconnu

    Cette première ligne de défense, c’est un peu la ligne Maginot : elle est très efficace mais l’attaquant peut la contourner. Pour cela, il suffit à l’attaquant d’écrire un code qui n’affiche aucun trait particulier lié aux codes malveillants déjà connus. Son nouveau code ne présente alors aucune signature et il n’est alors pas reconnu comme malveillant.

    Deuxième ligne de défense : évaluer la dangerosité du code

    Lorsque le défenseur étudie un code inconnu, il peut vérifier que toutes les exécutions possibles avec ce code offrent des garanties de sécurité. Pour cela, nul n’est besoin d’exécuter le code : le défenseur fait appel à un analyseur statique qui lit et étudie toutes les exécutions possibles. Un analyseur statique peut être un être humain qui va lire et comprendre le code, ou bien un autre programme informatique remplissant cette fonction. Si l’analyseur est humain il va pouvoir faire une étude complète et très fine du code malveillant mais cela lui demandera beaucoup de temps et il ne pourra pas en étudier un grand nombre. Si l’analyseur est un programme, l’analyse sera plus rapide mais moins performante.

    Contournement de la deuxième ligne de défense : écrire un code incompréhensible donc non-évaluable

    Bien sûr, l’attaquant connaît les armes à la disposition du défenseur et sait donc que son code sera étudié par un analyseur statique. Pour contrer l’analyse statique, l’attaquant va donc écrire un code auquel l’analyseur ne pourra accéder ou qu’il ne pourra pas comprendre et qui le fera échouer. Pour cela, il dispose de moyens relativement simples comme cacher le code malveillant dans des ressources de l’application, par exemple des images ou du son, il peut aussi le chiffrer ou encore le rendre disponible uniquement à l’exécution.

    Dernier rempart : exécuter et observer le code

    Les méthodes de défense précédentes se focalisent essentiellement sur la forme et la signification du code malveillant lui-même. Ces méthodes sont déjouées par l’attaquant car il lui est possible de maquiller un code malveillant, autrement dit de cacher sa forme et de le rendre incompréhensible pour l’analyseur. Lorsque ces méthodes ont échoué, il reste au défenseur à essayer d’exécuter le code qu’il considère comme suspect. Son objectif est alors d’observer le comportement du code. Lorsque le défenseur exécute un code malveillant, ou tout du moins suspect, il prend un risque plus important que lorsqu’il se contente de l’analyser statiquement. Le défenseur va exécuter un code qu’il ne maîtrise pas dans sa propre infrastructure. Il va devoir prendre des précautions de sécurité, car cela revient peut-être à faire entrer le loup dans la bergerie. En effet, le code est peut-être plus dangereux que prévu et pourrait attaquer le défenseur lui-même. Le défenseur exécutera donc ce code sur une plateforme isolée et protégée, comme un biologiste utiliserait une salle blanche. Néanmoins, le fait d’exécuter le code est un avantage important pour le défenseur, car cela rend caducs tous les moyens de maquillage de l’attaquant cités jusque là. Ce qui devient important dans cette dernière approche est que l’on étudie ce que fait le code et non plus comment ce code est écrit.

    Dernier atout de l’attaquant : faire que le code malveillant ne se déclenche pas sur demande chez le défenseur

    Le dernier rempart du défenseur est encore contournable par l’attaquant. Ce dernier rempart repose en effet sur le fait que le défenseur va être capable d’exécuter un code malveillant. Pour faire échouer cette dernière approche, les attaquants vont développer des attaques furtives qui sont difficiles à observer. Le but des attaquants est de s’assurer que leur code malveillant ne s’exécute pas dans une salle blanche en laboratoire mais bien sur l’appareil d’un utilisateur. Pour cela, ces codes vérifieront qu’ils ne s’exécutent pas sur un émulateur, ou bien sur un réseau isolé d’Internet. Ils attendront aussi un évènement leur montrant qu’ils sont bien en face d’un utilisateur, comme la réception d’un SMS, la décharge de la batterie. Certains de ces codes malveillants ne s’exécutent qu’à la demande de l’attaquant, rendant ainsi quasi-impossible l’observation de leur comportement par le défenseur.

    Que faire maintenant ?

    Il est difficile de quantifier la partie des codes malveillants qui sont effectivement détectés par les défenseurs puisqu’il existe sans doute des codes malveillants qui ne seront jamais détectés. L’avantage semble être à l’attaquant, mais les efforts que déploient les défenseurs sont tout de même récompensés, puisqu’ils sont capables de détecter une quantité importante de codes malveillants. Pour qu’un code malveillant agisse longtemps dans l’ombre, il faut déployer beaucoup de savoir faire qui n’est pas à la portée de tous les développeurs.


  • Wiko nous confirme l’envoi de données techniques à Tinno et annonce du changement

    NextInpact / Par Sébastien Gavois / le lundi 20 novembre 2017

    Accusé de récupérer des informations personnelles des smartphones de ses clients, Wiko nous affirme qu’il ne s’agit que de « données d’ordre technique ». Une nouvelle application STS moins bavarde est en préparation.

    Dans notre Brief de ce matin, nous évoquions le cas des smartphones Wiko accusés d’envoyer discrètement des données personnelles sur un serveur de Tinno (un fabricant de smartphones chinois, dont Wiko est une filiale). Le chercheur à l’origine de cette découverte n’en est pas à son coup d’essai puisqu’il a également dévoilé l’Engineer Mode et le composant OpenPlusLogKit de OnePlus, tous deux pouvant poser des soucis de sécurité.

    Interrogé par nos soins, Wiko confirme une partie de ces informations, s’explique et annonce qu’une nouvelle application STS développée par Wiko est en route.

    Wiko confirme en partie et annonce qu’une nouvelle application STS est en préparation

    « Les smartphones Wiko sont équipés de l’application STS (Sales Tracking System) dont la finalité est d’établir des statistiques de ventes et de durée de vie des produits » explique Wiko. STS collecte « des données d’ordre technique, notamment le numéro IMEI, le numéro de série, le nom du modèle du téléphone, la version du système d’exploitation Android ».

    Comme l’indique le « notamment », il s’agit d’une liste non exhaustive. Interrogé par nos soins, voici la liste des informations transmises : « IMEI, marque (Wiko Asie, Wiko Europe, ...), référence du modèle, version du software et numéro de série hardware ».

    Quoi qu’il en soit, STS s’active lors du premier allumage du smartphone et envoie ensuite son rapport chaque mois, via Internet uniquement, « jamais par SMS » ajoute Wiko. Ce dernier affirme également qu’« aucune donnée relative à l’utilisateur, à l’utilisation du smartphone ou des applications n’est collectée ».

    Dans tous les cas, le constructeur prévoit « à très court terme » de remplacer le STS de Tinno par une version estampillée Wiko (une filiale de Tinno pour rappel). Les données transmises par STS Wiko seront les suivantes : « IMEI, référence du modèle, version du software, pays (uniquement si l’utilisateur a autorisé les termes & conditions) » nous indique le fabricant.

    De plus, cette nouvelle version « ne vérifiera pas la durée de vie des produits et donc n’exécutera pas de requête mensuellement. Si nous décidons d’ajouter cette fonctionnalité (ce qui n’est pas prévu aujourd’hui), nous permettrons bien entendu à l’utilisateur de la désactiver ».

    Par contre, l’envoi à la première activation ne pourra pas être désactivé indique Wiko. Nous demandons au fabricant si le premier envoi se fera par défaut à l’allumage, sans concertation avec l’utilisateur ? « A priori oui » nous répond-il mais nous attendons tout de même une confirmation ferme et définitive.

    La position de l’antenne supprimée, des données chiffrées affirme Wiko

    Concernant la position de l’antenne cellulaire évoquée par le compte Twitter Elliot Alderson‏, le constructeur nous répond que cette option était bien présente sur « les anciennes versions du STS », mais qu’elle « n’a jamais été activée et a été supprimée ». Sauf surprise, elle ne devrait donc pas être présente dans la nouvelle application STS.

       When the alarm is triggered, it will send the @WikoMobile user IMEI, client number, GSM cell location, serial number, build version in clear text to https://t.co/bGsaCTRKR7...Every month! pic.twitter.com/lZDCzI7Ntj
       — Elliot Alderson (@fs0c131y) 19 novembre 2017

    Enfin, dernier point : les « données envoyées sur le serveur Tinno sont cryptées [sic] via un algorithme RSA » avec la version Tinno de STS, celle actuellement en place sur les smartphones. Pour la nouvelle mouture développée par Wiko, « l’ensemble des données est crypté via SSL. En plus du SSL d’autres systèmes de sécurité sont implémentés ».

    Wiko veut rassurer ses clients et affirme se préparer pour le RGPD

    Afin de rassurer ses utilisateurs, la société explique qu’elle « prend les questions relatives aux données personnelles très au sérieux et a volontairement initié en 2017 un audit [NDLR : par TNP – Cil Consulting] de l’ensemble des traitements de données personnelles dont elle est responsable ».

    La marque affirme enfin qu’elle a « la volonté de traiter les données clients en conformité avec la réglementation, et se prépare depuis plusieurs mois à l’entrée en vigueur du RGPD au mois de mai 2018 ».

    Wiko et OnePlus, même combat ?

    En l’espace d’un mois, c’est la deuxième fois qu’un fabricant de smartphones est pointé du doigt dans ce genre d’affaires. Mi-octobre, OnePlus était ainsi accusé de collecter discrètement des données personnelles de ses clients.

    Une semaine plus tard, le fabricant annonçait finalement du changement sur sa politique de récupération des informations, mais aussi que tous les utilisateurs d’OxygenOS allaient recevoir une notification afin de savoir s’ils voulaient ou non participer à ce programme d’amélioration des services.

    Carl Pei, co-fondateur de OnePlus, expliquait alors que la collecte de données était « une pratique courante dans l’industrie »... Force est de constater qu’il n’avait pas tort.


  • Kaspersky : des fichiers classifiés américains ont été récupérés, puis effacés

    NextInpact / Par Vincent Hermann / le lundi 20 novembre 2017

    Kaspersky avait promis d’enquêter sur les étranges révélations de cet automne : c’est grâce à son antivirus que l’espionnage russe aurait pu récupérer des documents et outils de la NSA. Dans son rapport, l’éditeur s’en défend. D’ailleurs, rien ne prouverait que la machine où sont apparues ces données appartienne à un proche de l’agence.

    Bref rappel de la situation. Le renseignement russe serait en possession d’informations sensibles de la NSA, récupérées sur l’ordinateur d’un sous-traitant qui aurait ramené ces informations chez lui, au mépris des protocoles de sécurité les plus élémentaires. C’était du moins ce qui ressortait des premiers éléments, publiés par le Wall Street Journal.

    Les agents russes auraient réussi à s’en emparer par l’intermédiaire de Kaspersky, dont l’antivirus, présent sur la fameuse machine, aurait généré les signatures menant à leur reconnaissance. Le fondateur de l’éditeur, Eugene Kaspersky avait indiqué que cette vision simpliste n’était pas réaliste – il l’a qualifiée de « bullshit » – promettant au passage une enquête. Les résultats en sont disponibles depuis la fin de semaine dernière.

    Kaspersky insiste : l’antivirus n’a fait que son travail

    Plutôt que de parler de NSA, l’éditeur évoque plutôt Equation Group, dont un article récent du New York Times indiquait qu’il n’était autre que la division TAO (Tailored Access Operations) de l’agence américaine. Un point qui ne peut pas être vérifié en l’état.

    Que sait-on ? Que l’ensemble des fichiers – documents, binaires et code source – ont été récupérées sur une période de deux mois en 2014 (septembre et octobre essentiellement). L’adresse IP utilisée par l’ordinateur où ces données étaient présentes le situait à Baltimore, à environ 32 km de Fort Meade (Maryland), où se trouve le quartier général de la NSA.

    Sur cet ordinateur, Kaspersky a notamment analysé une archive 7zip qui contenait des malwares d’Equation Group. S’agissant de logiciels malveillants, une signature a été générée. L’éditeur précise que l’archive contenait également du code source et quatre documents portant des marques évidentes de classification.

    Eugene Kaspersky, alerté par un employé réalisant la vérification manuelle, aurait alors réclamé la suppression immédiate de ces informations, à l’exception des binaires malveillants, en accord avec la politique de l’entreprise. L’occasion de rappeler que les signatures ne sont générées que pour les fichiers dont le caractère malveillant est établi.

    Kaspersky affirme qu’aucune intrusion de ses systèmes n’a été commise pendant les « quelques jours » où les fichiers ont été présents sur ses serveurs. Il estime qu’aucun vol n’a eu lieu non plus pendant les transmissions, le duo AES/RSA étant utilisé pour la sécurisation des échanges.

       No.
       To be clear: it's not confirmed this was a contractor's home PC. I don't count rumors and anonymous sources
       — Eugene Kaspersky (@e_kaspersky) 16 novembre 2017


    Des éléments incohérents

    Kaspersky évoque également des éléments troublants, tout en cherchant à démontrer que toute cette histoire pourrait être le fruit d’un malheureux concours de circonstances, en plus d’une hygiène informatique déplorable.

    Pour l’éditeur, il est clair qu’à un moment précis, un lecteur amovible – probablement une clé USB – a été introduit dans l’ordinateur, avec à son bord les données d’Equation Group. 22 jours plus tard, l’antivirus était désactivé, a priori pour pouvoir faire fonctionner un « crack » d’Office 2013. Une fois réactivée, la protection a pu vérifier que ledit crack contenait un malware nommé Smoke Loader, possédant notamment des capacités de contrôle à distance.

    En fait, selon Kaspersky, rien ne permet d’indiquer que la machine scannée par l’antivirus soit bien celle d’un sous-traitant de la NSA. Les faits évoquent une clé USB, des fichiers très sensibles, une détection et des signatures de malwares. De là à déduire que l’ordinateur appartenait à un agent bien peu scrupuleux, il n’y a qu’un pas que l’éditeur russe refuse de franchir. Et ce d’autant plus que Kaspersky raconte des évènements ayant eu lieu en 2014, alors que grands médias américains parlaient tous de 2015.

    Dans cette zone d’ombre pourrait se cacher le salut pour Kaspersky, soumis depuis quelques mois à une intense vague de défiance aux États-Unis, aboutissant à l’interdiction pure et simple de ses produits dans les administrations et agences fédérales. Parce que s’il s’agit bien de la même et unique machine, les autorités américaines sont soit passées à côté de l’infection par Smoke Loader, soit n’en ont pas parlé, alors qu’il s’agit d’une information capitale.

    La difficile quête de la transparence

    Tout le rapport de Kaspersky semble tendre vers un objectif manifeste : induire un doute raisonnable. L’éditeur a à cœur de montrer ce qui serait un concours de circonstance peu commun, sur la base d’évènements qu’il sera difficile de vérifier.

    Car il est évident que le renseignement américain gardera sous silence certaines informations manquantes, comme l’identité de la personne à qui appartenait l’ordinateur. À l’inverse, Kaspersky s’époumone à expliquer que jamais aucun gouvernement n’a été aidé pour obtenir des données. Mais si l’entreprise en avait reçu la demande expresse, sa communication ne serait sans doute guère différente.

    Le rapport a-t-il une chance de jouer en faveur de Kaspersky ? Pour les chercheurs en sécurité ou les observateurs hors de toute contrainte géopolitique, peut-être. Les détails précis de l’affaire ne seront probablement jamais connus, mais puisque l’activité commerciale de l’éditeur est en péril, il n’a pas le choix : il doit faire montre de transparence. Pour preuve, la confirmation par Eugene Kaspersky que des fichiers classifiés avaient bien été récupérés avant d’être effacés. Ce que l’entreprise ne pourra jamais vraiment prouver.


  • Quand le ministre de l’Intérieur craint que l’Open Data donne lieu à des « attaques cyber »

    NextInpact / Par Xavier Berne / jeudi 16 novembre 2017

    Gérard Collomb, le ministre de l’Intérieur, a déclaré hier à l’Assemblée nationale qu’il fallait prendre garde à l’Open Data, par crainte d’ « attaques cyber (...) extrêmement importantes ». Une déclaration pour le moins surprenante...

    Dans le cadre du projet de loi de finances pour 2018, la députée Mathilde Panot (LFI) a défendu cette nuit un amendement destiné à ce que le gouvernement rédige « un rapport d’information permettant de chiffrer le coût et les économies permises par la systématisation de la publication en Open Data des données publiques détenues par les collectivités territoriales ».

    Avec la loi Numérique, les villes, départements et régions de plus de 3 500 habitants sont en effet tenus de mettre automatiquement en ligne, « dans un standard ouvert, aisément réutilisable et exploitable par un système de traitement automatisé » :

    - Les documents administratifs qu’ils communiquent suite à des demandes CADA individuelles – depuis le 7 avril 2017.
    - Les documents qui figurent dans leur répertoire d’informations publiques (qui sont censés recenser leurs principaux documents administratifs) – depuis le 7 octobre 2017.
    - Leurs bases de données – à compter du 7 octobre 2018 « au plus tard ».
    - Leurs données « dont la publication présente un intérêt économique, social, sanitaire ou environnemental » – à compter du 7 octobre 2018 « au plus tard ».
    - Les « règles définissant les principaux traitements algorithmiques » servant à prendre des décisions individuelles (de type attribution d’allocation ou calcul d’impôt) – à compter du 7 octobre 2018 « au plus tard ».

    Demande de chiffrage des coûts et économies permis par l’Open Data

    Le rapporteur Jean-René Cazeneuve (LREM) n’a toutefois pas jugé bon d’apporter son soutien à une telle demande de chiffrage, dans la mesure où « un certain nombre d’informations » serait déjà fourni à ce sujet par la Direction générale des collectivités locales.

    Gérard Collomb a également émis un avis défavorable à cet amendement. « Le problème que vous soulignez est un problème intéressant, auquel il conviendra de réfléchir », a néanmoins concédé le ministre de l’Intérieur.

    Avant de se lancer dans cette explication particulièrement surprenante : « Nous nous apercevons que l’Open Data a évidemment des avantages – et nous en avons fait beaucoup dans la métropole de Lyon – mais qu’elle peut aussi permettre d’avoir des attaques cyber qui sont extrêmement importantes. Et donc ce sera un sujet de réflexion globale. »

    Le ministre a-t-il confondu l’Open Data avec autre chose ? Le doute est permis, le mouvement d’ouverture des données publiques ne consistant qu’à mettre en ligne des fichiers (tableurs de statistiques, etc.), dans un effort de transparence.

    La parution de notre article n’a pas manqué de faire réagir, à l’image de ce tweet signé Suzanne Vergnolle, de l’association Regards Citoyens :

       Monsieur @gerardcollomb, vos inquiétudes ne sont pas fondées. L' #OpenData ne permet pas des "attaques cyber". L'Open data est la simple mise en œuvre d'un principe démocratique de la DDHC de 1789https://t.co/0Vy7JBRhWd
       — Suzanne Vergnolle (@SuVergnolle) 16 novembre 2017

    Toujours est-il que l’amendement de Mathilde Panot a finalement été rejeté, sans aucune réaction supplémentaire.


  • Renseignement : la surveillance par boite noire a débuté

    NextInpact / Par Marc Rees / mercredi 15 novembre 2017

    À l’occasion d’une conférence organisée par le Grenoble Alpes Data Institute, le président de la Commission nationale de contrôle des techniques du renseignement a indiqué que le dispositif des boites noires était activé depuis début octobre.

    « Le contrôle du renseignement : comment concilier surveillance et respect des droits de l’homme ? ». C’est lors de cette conférence à l’intitulé alléchant, que Francis Delon, tête de la CNCTR, a révélé qu’une boite noire était activée « depuis plus d’un mois ».

    C’est peu de le dire, l’article 851-3 du Code de la sécurité intérieure est celui qui a suscité le plus de questionnements, et de critiques, en particulier de flirter avec la surveillance de masse. L’expression malheureuse de « boites noires » avait d’ailleurs alimenté elle-même ces reproches. Elle avait pourtant été utilisée en toute bonne foi par un conseiller du premier ministre lors d’un échange avec la presse à laquelle nous participions, et ce peu avant le dépôt du projet de loi Renseignement.

    Un spectre de données très généreux

    Inspiré des systèmes embarqués dans les avions, ce conseiller voulait surtout signaler que les traitements du renseignement seraient inaccessibles aux intermédiaires chez qui elles sont installées. Un faux pas marketing qui a marqué le texte au fer rouge.

    Il faut dire que le législateur s’est montré extrêmement généreux. Ce mécanisme autorise les services du renseignement à aspirer un volume par avance non défini de données de connexion (les « informations et documents ») auprès de n’importe quel intermédiaire en ligne (hébergeurs, FAI, opérateurs, services en ligne…).

    Les métadonnées glanées viennent alors nourrir l’estomac d’algorithmes classés secret-défense avec l’espoir de détecter « des connexions susceptibles de révéler une menace terroriste ». En clair, de l’écrémage à partir d’un océan de big data : on aspire une masse de données personnelles dans le sillage des internautes, pour espérer déceler une menace.

    Si une telle menace est détectée, ce qui ne serait pas encore le cas, la CNCTR doit être saisie toujours pour avis simple par le premier ministre, avant que ne soient relevée l’identité de la ou des personnes concernées et le recueil des données y afférentes. Ces données sont ensuite exploitées sur une période de 60 jours, « sauf en cas d’éléments sérieux confirmant l’existence d’une menace terroriste attachée à une ou plusieurs des personnes concernées », poursuit l’article L851-3 du CSI.

    Le gouvernement a dû revoir sa copie

    De l’aveu de Francis Delon, la CNCTR a été saisie avant l’été par Edouard Philippe, « un "travail de plusieurs mois" qui a nécessité de demander "au gouvernement de revoir sa copie" » relèvent notamment nos confrères de Libération.

    La CNCTR est en effet compétente pour ausculter a priori sur la demande d’autorisation initiale prise par le premier ministre. Elle émet alors un avis (simple) tout en disposant « d’un accès permanent, complet et direct à ces traitements ainsi qu’aux informations et données recueillies », donc a posteriori.

    La boite noire est déployée sur une durée de deux mois, donc jusqu’à la fin du mois. Ensuite ? Elle sera renouvelable autant de fois que nécessaire selon le même processus (autorisation du premier ministre, avis simple de la CNCTR, déploiement et contrôle).

    La sortie de Delon est à rapprocher de la toute récente loi sur la sécurité intérieure et la lutte contre le terrorisme. Selon la loi Renseignement, les boites noires ne devaient être mises en œuvre jusqu’à fin 2018, le gouvernement ayant en outre l’obligation de remettre un rapport d’évaluation au plus tard le 30 juin 2018, et ce, « pour apprécier l’utilité de cet outil et son caractère proportionné au regard de l’atteinte aux libertés publiques ».

    La clause de revoyure repoussée de 2018 à 2020

    Cette clause de revoyure a évidemment permis d’adoucir le versant anxiogène de cet aspirateur à métadonnées et donc facilité son acceptabilité lors du vote. Le 11 septembre 2017, surprise ! Dans le cadre de la toute récente loi sécuritaire d’Emmanuel Macron, l’exécutif a repoussé ces deux dates à 2020. Si quelques jours plus tard, la boite noire allait être activée suite à une demande d’autorisation émise par Édouard Philippe peu avant l’été, pourquoi donc avoir repoussé le terme de 2018 de deux années ?

    On notera pour finir qu’une disposition aurait pu théoriquement réduire la voilure de ces traitements automatisés. Toujours dans sa première loi sécuritaire, le gouvernement avait fait adopter un autre de ses amendements pour obliger les personnes soumises à une mesure de surveillance à déclarer aux autorités ses numéros d’abonnement et l’ensemble de ses « identifiants techniques de tout moyen de communication électronique dont elle dispose ou qu’elle utilise ».

    Ces éléments auraient pu être du caviar, au lieu et place de l’industrialisation de la surveillance via boites noires. On basculait d’une possible surveillance massive à du renseignement beaucoup plus chirurgical. Sur le terrain des droits et libertés fondamentaux, des fragilités constitutionnelles ont néanmoins conduit les parlementaires à abandonner cette obligation de déclaration, laissant la boite noire seule sur scène.


  • Donald Trump Jr et WikiLeaks communiquaient pendant les élections américaines

    NextInpact / Par Vincent Hermann / mardi 14 novembre 2017

    Alors que l’enquête sur l’influence russe pendant les élections américaines se poursuit aux États-Unis, nouveau rebondissement : Donald Trump Jr, fils de l’actuel président, et WikiLeaks ont communiqué pendant presque un an par messages privés sur Twitter. L’organisation y apparaît comme particulièrement active sur ses requêtes.

    Comme on a pu le voir encore hier dans notre article sur le climat morose à la NSA, les relations entre les États-Unis et la Russie sont complexes et tendues. Outre-Atlantique, il ne fait aucun doute que la Russie a usé de son influence pendant les dernières élections, aboutissant à la victoire inattendue de Donald Trump.

    Parmi les éléments troublants, la publication en juillet 2016 par WikiLeaks d’un lot d’emails provenant des serveurs du Democratic National Committee (DNC), comité central du parti démocrate. En pleine campagne électorale, le calendrier avait de quoi engendrer des soupçons. Dans ces correspondances, on pouvait notamment lire des critiques acerbes à l’encontre de Bernie Sanders, alors concurrent de Hillary Clinton, relançant les tensions au sein du parti.

    Communication privée entre WikiLeaks et Donald Trump Jr

    C’est dans un contexte tendu que The Atlantic révèle que des échanges de messages privés (DM) ont eu lieu sur Twitter entre WikiLeaks et Donald Trump Jr, fils ainé de l’actuel président américain. Une communication débutée par l’organisation, qui s’est montrée beaucoup plus loquace que son interlocuteur.

    Ces échanges se sont étalés sur un an. Ils ont été communiqués à différentes commissions, dans le cadre notamment de l’enquête sur l’ingérence russe pendant les élections américaines. Pourquoi ? Parce que beaucoup estiment que la Russie s’est servie des ambitions de WikiLeaks pour frapper au cœur, influençant grandement le résultat de la course à la présidence, avec la surprise qui en a découlé.

    Ces échanges, publiés sur Twitter par Donald Trump Jr – qui les présente comme complets (1, 2, 3) – montre un WikiLeaks ayant de nombreuses requêtes. Le premier message était un avertissement pour un futur site anti-Trump, l’organisation souhaitant mettre Trump Jr sur la piste des auteurs. Ce à quoi l’intéressé répondra qu’il ne connait pas ces personnes.

       Here is the entire chain of messages with @wikileaks (with my whopping 3 responses) which one of the congressional committees has chosen to selectively leak. How ironic! 1/3 pic.twitter.com/SiwTqWtykA
       — Donald Trump Jr. (@DonaldJTrumpJr) 14 novembre 2017

    Avec le temps cependant, les messages de WikiLeaks se sont amplifiés, tant en fréquences que sur les demandes. Exemple flagrant, Trump Jr pouvait faire fuiter des informations fiscales sur son père, qui seraient alors relayées par WikiLeaks. Une communication contre Trump qui diluerait l’étiquette anti-Clinton et renforcerait l’impartialité, tout en apportant dans le même temps plus de crédibilité à certaines publications… comme celles visant Hillary Clinton. Un plan gagnant-gagnant selon WikiLeaks.

    Des requêtes fortes, l’organisation allant jusqu’à suggérer à Trump Jr qu’il devrait pousser l’Australie à engager Julian Assange comme ambassadeur auprès des États-Unis. La logique d’une telle demande n’est pas explicitée.

    Des problèmes aussi bien pour l’un que pour l’autre

    Ces éléments peuvent avoir des conséquences négatives pour Trump Jr comme pour WikiLeaks. Tous deux ont ainsi beaucoup à perdre en termes de réputation.

    Pour le fils du président américain, la situation devient instable. Ayant lui-même publié les échanges sur son compte Twitter, on observe qu’il n’a finalement que très peu répondu aux suggestions et requêtes de WikiLeaks. L’organisation y apparait sous un angle particulier, cherchant à maîtriser au mieux une communication qui arrangerait tout le monde.

    Mais même si Trump Jr n’a que très peu répondu, ces réponses constituent un problème. Il a par exemple réagi au premier message environ 12 heures après, indiquant que les informations transmises avaient été vérifiées. The Atlantic cite plusieurs sources affirmant que le fils du président a envoyé un email aux responsables de la campagne de Donald Trump, Steve Bannon, Kellyanne Conway, Brad Parscale et Jared Kushner, le propre gendre du candidat aux élections.

    Principal souci pour Trump Jr : ne pas avoir clairement opposé une fin de non-recevoir à WikiLeaks. Non seulement la conversation est restée ouverte, mais il a répondu de temps en temps, réagissant aux propos, entrainant parfois même des actions plus concrètes.

    S’ajoute un sérieux problème de calendrier entre père et fils. Le 12 octobre 2016, Trump pestait ainsi contre WikiLeaks, évoquant la malhonnêteté des communications de l’organisation. Deux jours plus tard, Trump Jr tweete de son côté un lien poussé par WikiLeaks par message privé : wlsearch.tk. Un site affichant un message d’outre-tombe d’un dénommé Seth Rich, assassiné le 10 juillet 2016. Un texte pointant Hillary Clinton et John Podesta, son directeur de campagne, comme responsables du meurtre. Ce après quoi Trump Jr ne répondra plus à WikiLeaks, mais sans bloquer l’échange ni supprimer son tweet.

    Ces éléments sont désormais entre les mains des commissions d’enquêtes. Notez qu’il ne s’agit que de quelques éléments dans une longue série de documents accumulés depuis plus d’un an. Difficile de savoir pour l’instant si ces échanges mèneront à autre chose qu’un embarras pour le président américain, car ces messages ne semblent pas, pour l’instant, liés à la Russie.


  • Ercom, de l’interception légale à la protection des données

    NextInpact / Par Guénaël Pépin / lundi 30 octobre 2017

    Vieille PME française, Ercom s’est fixée comme cap de protéger les terminaux et données des entreprises françaises. Après un passé dans l’interception légale, elle revient avec nous sur son rôle de défense, s’associant à Orange pour fournir son chiffrement de bout en bout aux petites entreprises.

    Fondée il y a plus de 30 ans, Ercom « a eu plusieurs vies » nous déclare Yannick Dupuch, son président, dans un entretien aux Assises de la sécurité de Monaco. L’une d’elles a été l’interception légale, dont elle souhaite se détacher autant qu’elle le peut désormais.

    Elle insiste sur son activité de protection, qui représenterait l’essentiel de ses revenus (au montant inconnu) aujourd’hui. Certains services de la PME sont fournis à l’Élysée, au ministère des Affaires étrangères, au ministère de la Défense (pour 20 000 personnes) ou l’Imprimerie nationale.

    Du smartphone au stockage en ligne, en passant par la messagerie instantanée, la société veut remplacer les outils habituels par du chiffrement de bout en bout, géré par l’entreprise. Elle fournit trois solutions : Cryptosmart (protection des terminaux et du réseau), Cryptopass (WhatsApp) et Cryptobox (équivalent chiffré de Dropbox). Cryptosmart est certifié par l’ANSSI, avec un agrément « diffusion restreinte » depuis 2015.

    La sécurité sur mobile est son cheval de bataille. « Nous sommes partis du constat qu’avec le développement du mobile, nous serions amenés à faire davantage de choses sur un terminal et que, mécaniquement la concentration des attaques sur PC allait se reporter sur mobile... avec plus d’informations critiques » conte l’entreprise, qui s’appuie désormais sur des partenariats pour toucher les PME.

    L’interception légale « n’est pas une activité pérenne aujourd’hui »

    « Historiquement, la boite a une activité sur la partie lawful intercept, sur les systèmes classiques » retrace Yannick Dupuch. Fin 2014, L’Expansion affirmait qu’Ercom concevait un cheval de Troie capable d’enregistrer les frappes de clavier, la caméra ou le micro d’un PC, voire le micro d’un smartphone. Fin 2016, IntelligenceOnline relatait qu’une filiale de la société proposait Wifileaks, un outil d’interception Wi-Fi.

    Sur son activité dédiée à l’interception, « il y a une habilitation, mais on n’est plus compétitifs aujourd’hui » lâche Yannick Dupuch. En fait, il est hors de question d’associer les produits actuels d’Ercom à l’interception légale, martèle Raphaël Basset, son directeur marketing. La société protège, sans obligation légale de fournir les données.

    Pour le président de la PME, « avec l’arrivée de toutes ces messageries [type Signal ou WhatsApp], ces systèmes deviennent inopérants aujourd’hui. Après, il faut entrer dans un domaine plus sophistiqué avec du keylogger et ainsi de suite. C’est une usine à gaz, ce n’est pas une activité pérenne aujourd’hui, parce que les modèles économiques sont complètement défaillants ».

    La cause ? Le besoin d’exploiter des vulnérabilités. « Des gens sont très bien placés dans le domaine, avec une approche qui ne nous plaît pas trop. À partir du moment où vous entrez dans le développement de ces failles et que vous les exploitez... Ce n’est pas du business » pointe Dupuch. Pourtant, « l’intrusion non consentie sur un appareil passe nécessairement par des failles », nous fait remarquer un bon connaisseur du domaine.

    La PME change donc officiellement de vie, en misant sur Cryptosmart, une solution clés-en-main pour protéger les smartphones et communications d’une entreprise. « Cette histoire est venue d’un appel d’offres du ministère de la Défense il y a six, sept ans. Nous sommes rentrés dedans par cet appel d’offre puis c’est devenu le core business de l’entreprise » se souvient son président.

    Cryptosmart, pour protéger les terminaux mobiles

    Pour un programme de sécurité, le mobile est « un écosystème compliqué ». Concepteurs de systèmes, fabricants de terminaux, opérateurs, développeurs d’applications... Où la protection des données mobiles doit-elle se situer ?

    « Les premières attaques consistent à récupérer la donnée. Il y a des attaques beaucoup plus sophistiquées qui piègent le matériel du téléphone, avec un keylogger, donnant un accès en temps réel à l’information affichée sur l’écran, au micro et au clavier » fait remarquer l’entreprise. Elle a donc décidé de partir du matériel, du gestionnaire de démarrage (bootloader) lui-même, donc contacter les fabricants.

    Apple n’a pas répondu, Samsung si. Cryptosmart d’Ercom s’intègre à son système Knox, qui crée une zone protégée pour les applications professionnelles. Concrètement, la solution d’Ercom utilise une carte SD comme une enclave sécurisée, « dans laquelle on met nos secrets ». L’outil blinde aussi l’appareil contre les attaques physiques (USB), Bluetooth et les MMS.

    Un VPN permanent route enfin toutes les communications vers une passerelle propre à l’entreprise. « Nous créons un réseau au-dessus des réseaux classiques » déclare Yannick Dupuch. Les appels et SMS sont, eux, chiffrés de bout en bout, l’échange de clé s’effectuant de téléphone à téléphone sans que la passerelle ne consulte le contenu.

    Cryptosmart : gestion des clés et évolution

    Les clés sont générées (en AES-256) à chaque communication et « enfouies » dans la carte mémoire. Si l’interlocuteur ne dispose pas de Cryptosmart, un appel sera chiffré jusqu’à la passerelle, puis renvoyé en clair sur le réseau mobile du correspondant. « Pour les gens qui font des affaires à l’étranger [appelant la France], pour un grand groupe, c’est très important » note Yannick Dupuch.

    Un employé peut donc installer le service de son entreprise sur son smartphone. L’accès est protégé par un code, avec un outil d’effacement à distance en cas de perte. Notez tout de même une limitation : les communications passent via la data, et non par un réseau 2G comme c’est actuellement le cas ; les couvertures entre les deux ne sont pas du tout les mêmes.

    À la fin de l’année, l’outil devrait être disponible pour les smartphones Samsung Galaxy supportant Knox, y compris ceux du commerce, soit les gammes A, J et S. « La solution de fin d’année permettra aussi d’utiliser la carte SIM pour gérer les clés via son secure element » nous promet l’entreprise. Enfin, chaque utilisateur pourra créer un espace personnel sur un smartphone fourni par son employeur.

    Cryptobox, du Dropbox à la sauce chiffrement et blockchain

    Cryptosmart reste un outil lourd, impossible à installer sur de nombreux appareils, iPhone en tête. La société conçoit donc deux applications destinées à combler ce vide : Cryptobox et Cryptopass, clones assumés de Dropbox et WhatsApp. Leur intérêt : du chiffrement de bout en bout et une gestion des permissions par l’entreprise.

    Avec Cryptobox, une société doit garder le contrôle de ses données, en choisissant de l’héberger sur ses serveurs ou sur un service tiers. Tout le contenu et des métadonnées sont déchiffrés localement, l’administrateur ne voyant que l’espace de stockage occupé. Les documents sont stockés dans des espaces de travail, auxquels plusieurs personnes (dont extérieures à l’entreprise) peuvent accéder.

    Les données sont notarisées sur une blockchain (publique ou privée). À chaque modification, une empreinte (hash) est générée à partir du contenu de l’espace de travail et envoyée. Une fonction qui intéresserait certains domaines sensibles, comme la banque. Pour leur part, les fichiers sont versionnés, comme sur la plupart des services du genre.

    Cryptobox : coffres-forts à deux clés et simili-Slack

    Le principal intérêt pour une société est pourtant ailleurs. Ercom mise sur la gestion des communautés par l’administrateur, qui a une vue des accès aux espaces de travail ; ce qu’il n’aurait pas sur un service grand public. La gestion des clés est aussi particulière.

    Elle est séparée en deux : une partie sur le serveur de l’entreprise, l’autre sur le terminal. « C’est le principe du coffre à deux clés, j’ai besoin de ces deux clés qui se reconstituent pour ouvrir mon information, mon coffre-fort numérique ». Selon la société, cela permet de réduire le risque face à un smartphone ou PC perdu, mais cela ne change rien si un utilisateur se fait dérober son terminal alors qu’il est déjà connecté.

    Enfin, un mécanisme de tiers de confiance (passant par une personne connectée à la même plateforme) permet de récupérer un mot de passe oublié.

    Si Cryptobox est disponible sur les principaux systèmes (Android, iOS, Windows...), « nous n’avons pas toutes les fonctionnalités d’un Dropbox », reconnaît Yannick Dupuch. La principale limite est l’indexation, très difficile sur des données chiffrées. Le président d’Ercom évoque l’idée du chiffrement homomorphe, qui n’est pas encore en place.

    En plus de l’hébergement de fichiers, la plateforme intègre des discussions de groupe calquées sur Slack, liées ou non à des espaces de travail. Les utilisateurs sont censés avoir peu de raisons de sortir de cet environnement. Pour la suite, un client de synchronisation est prévu pour macOS, quand les applications Cryptopass et Cryptosmart doivent permettre de sauvegarder les données dans un espace Cryptobox.

    Face à WhatsApp et Telegram, Cryptopass

    Aujourd’hui, la question la plus médiatique est celle des communications. Quand l’Élysée est dopé à Telegram, d’autres administrations communiquent par WhatsApp... Alors que l’État dispose déjà d’outils « sûrs » comme Citadel de Thales ou Prim’x. Cryptopass d’Ercom vient s’ajouter à cette liste, une première certification de l’ANSSI étant en cours (CSPN avant de candidater pour une EAL3+).

    Pour Ercom, l’enjeu est de fournir un outil aussi simple d’utilisation que les solutions grand public, toujours chiffré de bout en bout, mais au périmètre contrôlé par la société. « C’est un problème pour toutes les entreprises. Il y a une problématique de confiance, notamment vis-à-vis des organismes étatiques » qui voudraient accéder aux données d’un acteur mondial, estime Yannick Dupuch.

    « Ils ne maitrisent absolument rien sur WhatsApp et Telegram. Il n’y a pas de DLP [outil de prévention de la perte de données] qui va filtrer les documents, absolument rien. Notre enjeu est de proposer une alternative beaucoup plus professionnalisée, avec les mêmes fonctionnalités » ajoute le président d’Ercom, avec pour principale arme l’ergonomie.

    S’ouvrir aux PME mais éviter le grand public (et les terroristes)

    Fin septembre, la société annonçait tout de même un partenariat avec Orange Cyberdefense, qui propose ses outils aux PME. « Nous sommes confrontés à la problématique générale des gens qui se moquent de la sécurité. C’est un marché à éduquer » résume encore son président.

    Le cœur de sa stratégie est donc de fournir des plateformes abordables, contrôlées par l’entreprise elle-même. Pourquoi passer par Orange ? Venant du monde de la défense, Ercom n’avait simplement pas de contact vers les petites et moyennes entreprises. Pour l’opérateur, l’option peut être proposée pour améliorer l’expérience client ou pour augmenter le revenu moyen par abonné (ARPU), de manière simple.

    Pour le moment, Orange commercialise ces solutions en hébergeant les « secrets » sur une carte SD. Il est bientôt censé l’intégrer directement à ses cartes SIM, via Idemia (ex-Oberthur), qui gère entièrement la logistique.

    Il n’est, par contre, pas question de fournir d’application grand public. « C’est de la cryptographie de très haut niveau. On ne peut pas mettre ça entre les mains de n’importe qui. C’est pour ça qu’on ne veut pas faire d’application gratuite. Les produits certifiés EAL3+, EAL4+... Je n’ai pas envie que cela se retrouve demain matin dans les mains d’un groupuscule terroriste et nous en soyons rendus responsables » nous répond Yannick Dupuch. Contrairement à Telegram (et d’autres) qui mène un contrôle actif des canaux qu’il héberge.


  • Yahoo ! avoue un troisième piratage massif

    Le Figaro / Par Elsa Trujillo / le 2 mars 2017

    L’utilisation de cookies falsifiés pour contourner les mots de passe aurait permis à des pirates de s’introduire dans 32 millions de comptes.

    Yahoo ! a encore été piraté. Dans un document adressé à ses investisseurs, le géant du Web révèle avoir été victime d’une vulnérabilité ayant affecté 32 millions de comptes. Les pirates incriminés auraient fabriqué, entre 2015 et 2016, des cookies falsifiés, leur permettant de se connecter à ces comptes sans mot de passe, grâce à un outil dérobé lors d’un piratage de Yahoo !, fin 2014. Ce même piratage avait affecté plus de 500 millions de comptes de l’entreprise.

    « Nous pensons qu’une partie de cette action est liée à la même entité soutenue par un appui étatique, considérée comme responsable de l’incident de sécurité de 2014 », indique Yahoo ! dans son document.

    Mi-février, Yahoo ! avait averti certains utilisateurs de la compromission de leurs comptes par des pirates ayant contourné les mots de passe en utilisant de faux cookies. Ces fichiers informatiques sont installés par de nombreux sites en ligne sur les ordinateurs de leurs visiteurs, pour les reconnaître en cas de nouvelle visite. Le groupe avait alors assuré que les cookies en question avaient été « invalidés » pour que les pirates ne puissent plus s’en servir, sans préciser le nombre de comptes affectés.

    Marissa Mayer renonce à son bonus

    Les défaillances de sécurité dévoilées ces derniers mois par Yahoo ! ont conduit Marissa Mayer à renoncer à son bonus annuel. Dans un message publié sur Tumblr le 1er mars, elle invoque, pour justifier son geste, le piratage massif de 500 millions de comptes survenu en 2014. « Je suis la présidente de cette entreprise et puisque cet incident s’est produit sous ma responsabilité, j’ai accepté de renoncer à ma prime annuelle de cette année et demandé que celle-ci soit reversée à nos salariés qui travaillent dur », écrit-elle. Le montant de ce bonus n’a pas été officiellement dévoilé. Il s’élèverait à 2 millions de dollars, selon le Wall Street Journal.

    Selon les documents transmis à la Securities and Exchange Commission (SEC), le gendarme boursier américain, Ronald Bell, le conseiller juridique du groupe, a été forcé à démissionner.

    Mi-décembre, Yahoo ! avait annoncé avoir été victime de vols de données pour plus d’un milliard de ses utilisateurs, en août 2013. Le dévoilement de telles failles a des conséquences sur le rachat du groupe annoncé par Verizon pour juillet. En vertu des termes révisés de l’accord, Verizon devrait payer quelque 4,48 milliards de dollars pour acquérir la firme, contre les 4,83 milliards de dollars initialement prévus.


  • Orange : les données personnelles de 800.000 clients piratées

    Europe 1 / 02 février 2014

    PIRATAGE - Une intrusion de grande ampleur a eu lieu dans les bases de données de l’opérateur téléphonique.

    Il s’agit d’un piratage de grande ampleur. Une intrusion a eu lieu dans les bases de données de l’opérateur téléphonique Orange. Résultat : des données personnelles de 800.000 de ses clients Internet ont été dérobées, a annoncé l’opérateur dimanche, confirmant une information du site PCImpact.

    La page de l’espace client piratée. "Orange a été la cible d’une intrusion informatique le 16 janvier 2014 à partir de la page ’Mon Compte’ de l’Espace Client du site orange.fr", ce qui a donné lieu à "la récupération éventuelle d’un nombre limité de données personnelles", a dit l’opérateur dans un courrier adressé à certains de ses clients, selon le site.

    Les mots de passe préservés. Dans un e-mail envoyé à ses abonnés, Orange a expliqué ce piratage : "Cet incident a consisté en la récupération éventuelle d’un nombre limité de données personnelles vous concernant ou concernant votre foyer. Il peut s’agir des noms, prénoms, adresse postale, adresse mail de contact, numéro de téléphone (fixe ou mobile) ou des informations que vous auriez pu déclarer (composition du foyer, nombre d’abonnements Orange ou concurrents, informations concernant vos préférences de contact)". D’après l’opérateur, les mots de passe ont cependant été préservés.

    3% des clients touchés. Selon PCImpact, seuls 3% des clients d’Orange sont touchés, ce qui représente un peu moins de 800.000 clients. Les données piratées sont principalement les noms, prénoms et adresses postales des clients, ce qui peut faciliter les attaques selon le procédé du "phishing". Mais les mots de passe n’ont pas été piratés, a assuré un porte-parole du groupe.

    Orange piraté par des pros du phishing ? Le "phishing" est une technique de piratage qui vise à recueillir des informations confidentielles (codes d’accès ou mots de passe) via l’envoi de courriels censés provenir des banques ou opérateurs. Les victimes trompées par la qualité supposée de l’expéditeur fournissent eux-mêmes leurs propres données personnelles.


  • Attaque informatique, fuite de données : Orange répond à nos questions

    NextInpact / Par Sébastien Gavois / jeudi 30 janvier 2014
    Orange indique que sa page « Mon compte » a été la cible d’une attaque jeudi 16 janvier, mais ajoute que tout est depuis rentré dans l’ordre. Le FAI précise que des données personnelles ont été dérobées, mais que les mots de passe ne sont pas concernés. Moins de 3 % de ses clients sont impactés. Une plainte a été déposée.

    « Orange a été la cible d’une intrusion informatique le 16 janvier 2014 à partir de la page « Mon Compte » de l’Espace Client du site orange.fr ». C’est par cette entame qu’Orange annonce à certains de ses clients que la société a été victime d’une intrusion sur ses serveurs.

    Orange victime d’une attaque, des données personnelles dérobées

    Les pirates ont ainsi pu récupérer de nombreuses informations personnelles comme les noms, prénoms, adresse postale, mails, numéro de téléphone fixe et mobile, ainsi que des informations supplémentaires que vous auriez pu préciser : composition du foyer et nombre d’abonnements Orange ou concurrents par exemple. Le FAI ajoute par contre que les « mots de passe ne sont pas concernés, leur intégrité n’est pas mise en cause ».

    La société indique en outre avoir colmaté la brèche et appelle à la prudence, car les pirates pourraient se servir de ces informations afin de lancer une campagne de phishing. Elle renvoie ainsi ses clients vers cette page.

    Moins de 3 % des clients sont touchés et ils sont tous contactés par mail

    De notre côté, nous avons pu nous entretenir avec Laurent Benatar, directeur technique d’Orange. Il confirme l’intrusion et nous donne quelques détails supplémentaires. Après la découverte de l’attaque, la page « Mon Compte » a été rapidement fermée par précaution, tandis que la faille était colmatée au bout de quelques heures. Au total, moins de 3 % des clients d’Orange sont concernés.

    Ces derniers, et uniquement ceux-là, sont contactés par mail afin d’être informés de la situation (voir capture ci-dessus), si vous ne recevez aucune correspondance de la part du FAI dans les prochaines heures, c’est qu’a priori aucune de vos données personnelles n’est touchée.

    Concernant les informations sensibles comme votre RIB par exemple, notre interlocuteur précise que cela ne concerne qu’une version réduite : certains chiffres sont remplacés par des *** dans la base de données et sont donc inutilisables en l’état. Les versions complètes sont enregistrées sur d’autres serveurs qui n’ont pas été touchés. Du côté des mots de passe, aucune fuite, même pas des versions chiffrées.

    La protection des données chez Orange : une politique en trois étapes

    Notez par contre que tous les clients Orange ont reçu un mail afin de les prévenir sur les tentatives de phishing. Celui-ci a été envoyé les 23 / 24 janvier et ne parlait pas encore d’une intrusion. Pour la société, il s’agissait tout de même d’appeler à la vigilance en attendant de savoir ce qu’il en était exactement de l’intrusion. Notez que les conseils prodigués sont valables en toutes situation, qu’une intrusion ait eu lieu ou non :

    Laurent Benatar ajoute que, bien évidemment, Orange a porté plainte. Nous n’aurons par conséquence pas plus de détails, les éléments techniques étant entre les mains de la Police et de la justice. Le directeur technique tient tout de même à nous préciser le principe de fonctionnement de la sécurité informatique chez Orange, un service en trois étapes.

    Tout d’abord, le groupe emploie des personnes qui sont chargées de simuler des attaques afin de se préparer à divers scénarios. Le site est placé sous haute surveillance, ce qui a d’ailleurs permis de rapidement identifier un comportement anormal, et donc de réagir en conséquence. Enfin une information auprès de ses clients afin de les avertir du danger du phishing, entre autres.

    De manière générale, le phishing s’est affiné au cours des derniers mois / années et les mails deviennent de plus en plus propres, notamment du côté de l’orthographe. Mais forcément, avec des données personnelles, cela devient encore plus facile. Notez que suite au projet de loi sur la consommation, dont nous vous parlerons d’ici peu, la CNIL dispose de nouvelles armes et de nouveaux dispositifs en cas de telles fuites de données. Elle devrait d’ailleurs être amenée bientôt à en parler avec les FAI et opérateurs, le cas d’Orange devrait donc faire école.


  • Nouveau vol massif de données personnelles chez Orange

    Le Monde.fr avec AFP

    Les données personnelles de 1,3 million de clients et de prospects sont concernées. C’est la deuxième fois en trois mois que ce genre d’incident touche l’opérateur téléphonique.

    L’opérateur téléphonique Orange a reconnu, mardi 6 mai, un nouveau vol de données personnelles chez 1,3 million de clients et de prospects, trois mois après une intrusion qui avait touché près de 800 000 d’entre eux.

    « Un nombre limité de données personnelles concernant des clients et des prospects » ont été copiées lors d’une intrusion détectée le 18 avril : noms, prénoms, et, quand ils étaient renseignés, l’adresse mail, les numéros de téléphone mobile et fixe, l’opérateur mobile et Internet et la date de naissance, a annoncé le groupe dans un message.

    « Les données ainsi récupérées pourraient être utilisées pour contacter les personnes concernées par courrier électronique, par SMS ou par téléphone, notamment à des fins de phishing », prévient Orange.

    PHISHING ET « CLICK TO CALL BACK »

    Le « phishing » est une technique de piratage qui vise à recueillir des informations confidentielles (codes d’accès ou mots de passe) par l’envoi de courriels censés provenir de banques ou d’opérateurs. Les victimes trompées par la qualité supposée de l’expéditeur fournissent elles-mêmes leurs données personnelles.

    Des courriels ont été envoyés pour prévenir toutes les personnes concernées, a précisé Orange. Le message qu’elles ont reçu contient un lien « click to call back » (« cliquer pour qu’on vous rappelle »), et l’opérateur s’engage à les rappeler dans les quarante-huit heures pour répondre à leurs questions.

    Le porte-parole du groupe a expliqué le délai entre la découverte de l’intrusion, le 18 avril, et sa divulgation, le 5 mai, par la nécessité de quantifier le vol de données, de « verrouiller le réseau technique » et de « s’assurer que la faille n’existe plus », puis de « dédoublonner les listes », qui contenaient souvent plusieurs fois les mêmes noms.

    Le 2 février, Orange avait reconnu le vol des données personnelles de 800 000 de ses clients Internet. En novembre 2013, lors d’une présentation des innovations de l’opérateur, son PDG, Stéphane Richard, avait tenté de rassurer ses clients en signant solennellement une charte s’engageant à protéger leurs données personnelles.


  • Des milliers de LiveBox Orange piratées par un détournement de DNS

    01Net / 22 juillet 2014

    Un mystérieux pirate a tenté de siphonner les données de milliers de clients de l’opérateur historique en pénétrant l’interface d’administration des Livebox.
    Précisions

    Un porte-parole d'Orange a tenu à donner des précisions à cet article. « Il n'y a pas eu de siphonnage de données bancaires des clients Orange. Mais une tentative de récupération des codes d'accès des box des internautes, par le biais d'un virus sur un site de jeu en ligne. Seuls les clients qui se sont connectés à ce site ont pu être éventuellement victimes. L'accès au site a été bloqué depuis. »

    L’article et le chapô ont été modifiés en conséquence.

    Que s’est-il vraiment passé fin mai, dans plusieurs milliers de LiveBox Orange ? Subitement, de nombreux internautes se sont retrouvés dans l’impossibilité de se connecter à l’administration de leur box (par l’adresse 192.168.1.1). Le mot de passe permettant d’accéder à leur interface de paramétrage, par laquelle on gère la connexion, le Wi-Fi, ou encore de la télévision avait été changé par un inconnu. Plus grave, l’intrus avait modifié les adresses DNS de la LiveBox et dirigé les connexions des internautes vers un serveur malveillant. Sa mission ? Intercepter les données sensibles des personnes piégées. Une attaque dite Man-in-the-middle (L’homme du milieu). « Tous les flux vers des sites marchands, les banques ont été redirigés vers le fraudeur » s’exclame un responsable d’un service de sécurité informatique bancaire contacté par 01net.

    Seule alerte que les clients ont éventuellement pu apercevoir : l’apparition d’un problème de certificat lors de leurs achats en ligne. Autant dire que l’attaque, sournoise, a peut-être fait de gros dégâts, le pirate ayant eu la possibilité de capturer les coordonnées bancaires, les identifiants de connexion, voire leurs coordonnées e-CB sans que les victimes ne puissent s’en rendre compte.

    Comment ce cybercriminel a-t-il fait pour se prendre ainsi aux box de milliers d’internautes ? Il semble avoir réussi son tour de passe-passe par le biais d’un site piégé. L’idée était de faire exécuter un script malveillant spécifiquement aux clients Orange grâce à un lien attirant, formulé à leur égard. Celui-ci lançait alors un script automatisé qui se connectait à l’interface d’administration de la LiveBox.

    Mise à jour salvatrice pour les Livebox

    Le cybercriminel a aussi profité du fait que les clients impactés n’avaient pas changé leurs identifiants de connexion « Usine » de leur LiveBox, le fameux admin/admin. Une attaque facile ? Des codes trainent sur le web permettant, en quelques lignes, de se connecter automatiquement à une LiveBox, de modifier le DNS et de changer le mot de passe. Autant dire un jeu d’enfant pour un pirate.

    Orange semble avoir en tout cas pris cette attaque au sérieux : depuis, l’opérateur a mis à jour ses LiveBox qui, dorénavant, n’autorisent plus les changements de DNS. « Je travaille dans une banque et j’en ai ras le bol de traiter des incidents de ce type » souligne le RSSI joint par 01net. On se fait taper dessus par nos clients en leur renouvelant leur CB par mesures préventives. Il serait bien que chacun prenne ses responsabilités… » Il est vrai qu’Orange est loin d’être le seul à avoir subi ce genre d’attaques, qui sont fréquentes chez tous les FAI. Alors, pour vous éviter toute mésaventures, suivez notre petit guide, ci-dessous.

    Comment vous prémunir de ce genre d’attaques ?

    Pour éviter ce type de piège automatisé, quelques règles d'hygiène numérique simples sont à tenir. D'abord, changer les mots de passe usine de votre LiveBox (mais aussi de votre téléphone, tablette...) Pour Orange, SFR il suffit de taper 192.168.1.1 dans un navigateur.Pour Numéricâble, 192.168.0.1. Pour Freebox V5 https://subscribe.free.fr/login/ et V6 http://mafreebox.freebox.fr/. Il vous suffit de tester le couple admin/admin pour s'identifier. Si vous accédez à l'administration de la box, direction «Changer de mot de passe».

    Dernier détail, ne cliquez jamais sur le moindre lien vous proposant de vous rendre dans votre administration de box. Préférez toujours taper l'adresse dans votre navigateur. Cela pourra vous éviter le passage d'un pirate !

  • Quand le site de la région Île-de-France laissait fuiter CV, passeports, RIB, bilans médicaux...

    NextInpact / Par Sébastien Gavois / mardi 12 décembre 2017

    Sur le site de l’Île-de-France, télécharger des documents personnels ne demandait rien de plus qu’une simple recherche. Bertrand Matge, responsable de la mission numérique pour la région, nous explique les tenants et aboutissants de cette fuite de données, évidemment corrigée depuis.

    Des failles de sécurité, il en existe de tous les genres ou presque. Il faut parfois faire preuve d’ingéniosité pour exploiter des vulnérabilités sur les systèmes, de chance pour tomber sur le bon serveur. Il suffit parfois aussi d’une simple recherche. C’était le cas du site officiel de la région Île-de-France.

    Lancez une recherche sur le moteur, servez-vous

    Un lecteur nous a contactés afin de nous faire part de sa découverte : avec le mot clé « PDF » dans le moteur de recherche du site et un classement des résultats par date (le plus récent en premier), des dizaines de CV étaient librement accessibles sur la première page des résultats.

    Pire, un fouillant un peu plus loin, nous avons pu obtenir des photocopies de passeport, de carte nationale d’identité, des constats, des lettres de doléances, des mises en demeure, des relevés d’identité bancaire et même des bilans médicaux. Bref, des données sensibles qui ne devraient à aucun moment être librement accessibles.

    Contactée par nos soins, la région a rapidement corrigé cette importante brèche de sécurité. « Il y a assez peu de mots, je suis très très embarrassé » lâche Bertrand Matge, chef de la mission numérique pour la région Île-de-France. Il nous donne également de plus amples informations et nous détaille les changements qui vont être mis en place.

    Suite à un changement de serveur, les documents n’étaient plus supprimés

    Le site propose depuis longtemps plusieurs formulaires, notamment pour que les jeunes puissent postuler à des offres de stage, et ils permettent de transmettre des documents (un CV par exemple). « On a eu un souci technique, on a changé d’hébergeur il y a très peu de temps, il y a un mois et demi » nous explique le responsable. Cette migration est semble-t-il l’origine de la fuite dont il est aujourd’hui question.

    Normalement, les fichiers sont « supprimés toutes les 24h dès que les formulaires ont été transmis par email » nous explique notre interlocuteur. Une « mesure "suffisamment raisonnable" » selon le correspondant informatique et liberté de la région, c’est du moins ce que nous indique Bertrand Matge. De plus, les documents devaient en théorie être stockés « dans un espace privatif, qui n’est pas accessible par le site ou le moteur de recherche ».

    Problème, suite au changement d’hébergeur, les deux services n’ont pas fonctionné correctement : les documents restaient sur le serveur et en plus ils étaient indexés par le moteur. « Les formulaires en tant que tels et leur contenu n’ont pas été exposés » par cette fuite de données ajoute le chef de la mission numérique.

    Une fuite rapidement colmatée, un nouveau site en préparation

    La réaction de l’équipe technique aura été rapide. Nous avons contacté par email le service presse de la région mardi soir de la semaine dernière, et relancé d’un appel téléphonique mercredi matin pour éviter que notre courrier ne se perde en route. « Dans la demi-heure, on a sorti tous les documents et tous les PDF de l’index de recherche du moteur du site » affirme Bertrand Matge.

    De notre côté, nous avons effectivement constaté que les fichiers n’étaient plus référencés par le moteur de recherche au moins à partir de mercredi midi de la semaine dernière. Nous avons par contre attendu que les différents caches des moteurs de recherche soient mis à jour avant de publier cette actualité afin d’éviter que la moindre information ne soit encore accessible.

    Dans le même temps, la région prépare un nouveau site pour remplacer l’actuel, jugé « un peu vieillissant » : « on est en train de programmer une refonte technique et architecturale » avec une mise en ligne prévue pour la fin du premier trimestre 2018. Cette nouvelle version intégrera dès le début les engagements pris par la région sur l’open data ainsi que toutes les problématiques RGPD, nous indique notre interlocuteur.

    Les formulaires actuels « ont été conçus il y a maintenant quatre ans, sans forcément ces problématiques en tête, même si elles étaient déjà existantes » reconnait-il. Si des formulaires de candidature seront toujours présents sur le nouveau site, « ils ne seront pas traités avec un applicatif type CMS/Site web » pour éviter qu’une déconvenue du même genre ne se reproduise.

    Les utilisateurs impactés seront contactés individuellement

    En attendant, l’enquête continue afin de cerner exactement l’ampleur du problème. Seuls les documents transmis il y moins d’un mois et demi semblent concernés (après le changement d’hébergeur), mais une analyse plus profonde permettra de le confirmer (logs, sauvegarde des anciennes versions du site, etc.). « Paradoxalement, il est plus rapide d’agir pour supprimer le problème que pour l’identifier » nous explique Bertrand Matge.

    Ce dernier ajoute qu’il va « bien évidemment contacter les personnes dont les données ont pu être exposées » afin de leur donner des explications et leur présenter des excuses, « en espérant l’impact aura été assez réduit ». Selon les premières estimations, entre 100 et 200 personnes seraient concernées, mais cela demande confirmation, là encore avec l’étude approfondie.

    Le site ne dispose pas d’outils de gestion des statistiques sur les accès aux fichiers afin de savoir quel document a été téléchargé, par qui et combien de fois, « mais on devrait pouvoir l’estimer » espère Bertrand Matge. « On sera bien évidemment beaucoup plus vigilant à l’avenir » affirme le responsable en guise de conclusion.


  • Botnet Mirai : trois jeunes universitaires américains ont plaidé coupables

    NextInpact / Par Vincent Hermann / le jeudi 14 décembre 2017

    Les auteurs du botnet Mirai étaient trois jeunes universitaires américaines. Paras Jha, Josiah White et Dalton Norman ont tous trois plaidé coupable vendredi dernier dans un tribunal d’Anchorage, en Alaska. On sait ainsi désormais qu’au départ, le botnet le plus dangereux à ce jour n’était qu’un projet pour s’attaquer… à des serveurs Minecraft.

    On se souvient de Mirai : un malware visant spécifiquement les objets connectés pour les contaminer et les contrôler à distance, créant l’un des plus formidables botnets jamais observés. Après une attaque contre OVH remarquée par son extrême brutalité, Mirai est devenu un phénomène mondial après celle contre Dyn, engendrant des problèmes d’accès pour de nombreux sites.

    Mais en à peine un peu plus d’un an depuis les premières attaques, les trois principaux auteurs du malware et du botnet ont été arrêtés. Ils ont plaidé coupable des charges de cybercrime qui pesaient contre eux, en vertu de la loi américaine Computer Fraud and Abuse Act. Fait peu commun, particulièrement dans ce type d’affaire, le procès avait lieu dans un tribunal d’Alaska.

    Les premiers échos d’un titan

    Quand le monde a découvert Mirai, il sévissait déjà depuis un moment. Le FBI finissait de boucler alors, avec l’aide d’autres pays, une enquête sur vDOS, un service payant d’attaques DDoS, donc criminel. Un vrai petit business : conçu pour attaquer les serveurs de jeu, il permettait aux intéressés de payer de petites sommes en vue de s’en prendre à un concurrent pendant un duel par exemple. vDOS était cependant une variante d’un autre botnet, Qbot, apparu en 2014.

    Les premiers signes de Mirai ont donc marqué la différence. Le malware était manifestement nouveau. Particulièrement efficace pour repérer les nombreuses catégories d’objets connectés qui pouvaient être infectés, en exploitant des listes d’identifiants fournis par les fabricants et non modifiés par les utilisateurs, ou directement des failles de sécurité, dont certaines 0-day.

    Le FBI, en lien avec des entreprises comme Cloudflare, Akamai, Flashpoint, Google et Palo Alto Networks, se rend alors compte que le malware fait bien mieux son « travail » que ses prédécesseurs. Non seulement les différences d’architectures matérielles ne le dérangeaient pas, mais il gérait très bien le cap des 100 000 appareils contaminés. 20 heures après son apparition, selon Wired, 65 000 infections avaient déjà eu lieu, et le nombre doublait toutes les 76 minutes. À son apogée, Mirai contrôlait simultanément 600 000 objets connectés.

    Le premier vrai choc a alors lieu : OVH est frappé par une attaque DDoS d’un flux de 1,1 Tb/s, du jamais vu. Devant un tel assaut, l’hébergeur vacille, mais tient bon. Octave Klaba, son fondateur et PDG, publie alors une série de tweets pour avertir du danger.

    L’évolution par la compétition

    L’attaque contre l’hébergeur français a été le premier signe tangible de l’existence de Mirai pour beaucoup, mais c’est celle contre Dyn qui lui a donné son caractère international. Entre temps, le botnet avait frappé le célèbre blog de Brian Krebs, avec un pic à 623 Gb/s. De quoi pousser Akamai, qui gérait les défenses contre de telles attaques, à abandonner son client, rien ne pouvant stopper une telle déferlante.

    Dans le même temps, les auteurs de Mirai perfectionnaient le code, notamment via une concurrence intense avec vDOS, puisque les botnets se partageaient les mêmes cibles. Ils décident alors, pour brouiller les pistes, de rendre le code de Mirai open source. Une action lourde de conséquences.

    C’est en effet une variante du Mirai original qui va provoquer la panne de Dyn. Le fournisseur de services DNS, maillon essentiel de l’infrastructure même d’Internet, s’écroule devant une attaque d’une force inégalée. Dyn évoque alors 1,2 Tb/s, mais le chiffre n’a jamais vraiment été confirmé. Amazon, Netflix, Paypal, Airbnb, Twitter, GitHub ou encore Reddit deviennent alors inaccessibles, attirant tout à coup le feu des projecteurs sur un phénomène nouveau. Non par son fonctionnement, puisque l’infection d’un objet connecté n’était pas neuve, mais par son ampleur et son organisation.

    Comme le précise à Wired Justin Paine, responsable chez Cloudflare, cette attaque a provoqué une réaction coordonnée de la plupart des gros acteurs d’Internet. Des ingénieurs d’entreprises différentes ont alors commencé à échanger de nombreuses informations, notamment via Slack, dans des canaux dédiés. Le tout pendant que Mirai continuait son œuvre, privant notamment le Libéria tout entier d’Internet et contaminant 900 000 modems Deutsche Telekom en Allemagne.

    Si la situation n’a pas plus dérapé – en dépit des ravages déjà causés – c’est parce deux mouvements étaient à l’œuvre. D’abord les efforts concertés des entreprises avec des conseils et modifications qui portaient doucement leurs fruits. Mais aussi parce que la publication du code de Mirai s’est en quelque sorte retournée contre le malware : les différentes variantes sont devenues ennemies. Elles concourraient ainsi pour les mêmes objets, disposant pour cela de fonctions spécifiques pour déloger les adversaires et prendre leur place.

    Aux origines de Mirai, Minecraft

    Avant que tout ne s’éparpille à cause de la multiplication des variantes, des points communs ont pu être trouvés par les enquêteurs. Grâce notamment à des pots de miel créés par Akamai, l’analyse des attaques a montré que Mirai semblait s’en prendre en priorité aux serveurs de jeu, notamment ceux de Minecraft.

    Le FBI découvre alors cet univers, où les serveurs les plus populaires étaient capables d’engranger 100 000 dollars par mois au plus fort de l’été. Ils ont rapidement pris conscience aussi que ces serveurs se faisaient parfois la guerre, notamment grâce… à des attaques DDoS. De quoi donc provoquer des interruptions de service et s’en prendre directement au portefeuille.

    Un élément qui permet de réinterpréter certaines des attaques. Et si OVH avait été attaqué pour son produit VAC, que des serveurs Minecraft utilisent justement pour se prémunir contre les attaques DDoS ? Même chose pour Dyn, comme on le sait depuis août dernier : les attaques semblaient viser des serveurs de jeu, et non pas l’entreprise elle-même. C’est l’ampleur de l’attaque qui a provoqué un élargissement du problème au reste de l’infrastructure.

    Un trio infernal

    La piste des auteurs de Mirai aura pris quelques mois à remonter. Les agents du FBI ont récupéré un certain nombre d’objets contaminés par le malware. On se souvient cependant que ce dernier ne résidait qu’en mémoire, s’effaçant donc en cas d’extinction de l’appareil. Les agents devaient donc attendre qu’ils soient à nouveau infectés, ce qui n’était pas forcément long, tant le botnet était virulent.

    De là, à force d’analyser le code et les connexions établies, le FBI a pu remonter jusqu’à un lot d’adresses email et numéros de téléphones portables. Le reste est un pistage des informations via des mandats de recherche, ouvrant petit à petit la voie vers les trois auteurs originels de Mirai : Paras Jha, Josiah White et Dalton Norman.

    On sait désormais quels sont leurs rôles respectifs. Paras Jha est l’architecte principal du malware, jouant aussi l’agent de liaison sur les forums de hacking, sous le pseudonyme d’Anna-senpai. Josiah White a conçu de son côté l’architecture du botnet proprement dit, ainsi que le scanner qui permettait de repérer les futures victimes de Mirai, l’un des points forts du malware par son efficacité. Enfin, Dalton Norman était chargé de mettre la main sur des failles à exploiter, augmenter encore la dangerosité du malware. Dans la manœuvre, il a même trouvé quatre failles 0-day.

    Les trois auteurs de Mirai ont tous plaidé coupable vendredi dernier, même si l’information n’est devenue publique qu’hier soir. La condamnation n’a pas encore été prononcée, mais ils risquent une peine de prison allant de 5 à 10 ans.

    Par ailleurs, même si ce chapitre particulier est clos, l’histoire de Mirai se poursuit puisque des variantes continuent d’apparaître. L’héritage du botnet sera certainement multiple, car il aura eu le mérite de braquer des centaines de milliers de doigts sur un manque cruel de sécurité dans les objets connectés, si bien que la situation a dû paraître parfois risible aux trois auteurs.

    Dans ce domaine, les bonnes pratiques évoluent lentement. Mais on peut espérer que les fabricants arrêteront bientôt de considérer la sécurité comme une citoyenne de seconde zone. En contact avec Internet, les objets connectés doivent pouvoir se défendre… ou tout du moins éviter de faciliter la vie des pirates avec des choix déplorables, comme on avait pu le voir avec le cas emblématique des caméras connectés Foscam en juin dernier.


  • "Envoyé spécial" : des cyberattaques de plus en plus complexes à cause des "rançongiciels"

    Par France 2 – France Télévisions - Mis à jour le 13/12/2017

    "Envoyé spécial" se lance le 14 décembre sur la piste des "rançongiciels", ces logiciels qui infectent votre ordinateur ou le réseau d’une entreprise avec un virus. Une fois toutes vos données cryptées, la seule solution pour les récupérer est de verser une rançon. "Envoyé spécial" a rencontré un "collectionneur" de ces cybervirus. Extrait.

    "Envoyé spécial" se lance le 14 décembre sur la piste des "rançongiciels", ces logiciels qui infectent votre ordinateur ou le réseau d’une entreprise avec un virus. Qu’est-ce qu’un virus informatique ? Rien d’autre que des lignes de code qui indiquent à votre ordinateur ce qu’il doit faire. Si certains sont particulièrement sophistiqués, le mode de contamination reste très simple : la plupart du temps, un simple mail.

    Vous ouvrez une pièce jointe… pas de chance, elle contient une charge virale. Votre ordinateur se chiffre, tous vos documents, cryptés, deviennent illisibles. Le virus se propage à tous vos appareils connectés (disque dur ou clé USB) – et, pour les entreprises piratées, jusqu’à leurs fournisseurs ou clients. Seule solution pour récupérer vos données : payer.

    Chaque "rançongiciel" a sa signature

    Ces logiciels de rançon, "ransomwares" ou "rançongiciels", Jean-Yves Marion, au Laboratoire de haute sécurité, les collecte pour les étudier. Chacun a sa propre signature, nous apprend le spécialiste interrogé par "Envoyé spécial" dans cet extrait – de la même façon que nous avons la nôtre, ou nos empreintes digitales. Il s’agit donc de construire des signatures pour pouvoir identifier et ensuite modéliser ces virus en trois dimensions. Les molécules sont sans cesse plus élaborées.

    "C’est comme un plat de cuisine, explique Jean-Luc Marion. Vous pouvez faire des pâtes avec du beurre, c’est facile… Vous pouvez faire aussi des plats plus complexes. Là, c’est pareil. Le niveau a augmenté. Maintenant... c’est pas des grands chefs... mais presque !"

    Extrait du magazine "Envoyé spécial" du 14 décembre 2017.


  • Emails d’Hillary Clinton : un pirate russe emprisonné accuse Poutine et le FSB

    NextInpact / Par Vincent Hermann / le mercredi 13 décembre 2017

    Nouveau rebondissement dans l’affaire des emails du Parti démocrate américain. Un pirate russe affirme depuis sa prison qu’il agissait sous les instructions du FSB, donc de Vladimir Poutine. Des déclarations accueillies par certains avec scepticisme.

    L’affaire ne cesse de revenir à la une, particulièrement aux États-Unis où elle n’en finit plus d’exposer de nouvelles connexions. Récemment, on a pu ainsi voir comment le fils ainé de Donald Trump avait été contacté par WikiLeaks. L’organisation cherchait a priori un échange de bons procédés, mais l’intéressé avait laissé la plupart des requêtes sans réponse.

    Beaucoup estiment, notamment à la CIA, que les emails issus des serveurs du DNC (Democratic National Committee) ont été récupérés par au moins un pirate russe. Sous l’influence de Vladimir Poutine, les informations auraient alors été transmises à Wikileaks qui, sous l’impulsion de son propre « devoir de publication », se serait alors empressée de les diffuser, tout particulièrement ceux d’Hillary Clinton.
    Aboutissant à la polémique que l’on connaît.

    Or, selon un pirate russe, justement, tout aurait été orchestré par le président de la Russie.

    Les contes de la prison

    Comme le rapporte Newsweek, Konstantin Kozlovsky, pirate russe et membre du groupe Lurk, est actuellement en prison. Condamné en Russie pour avoir participé à une série d’attaques contre diverses institutions financières, dont des banques. Plus de 14,5 millions d’euros auraient ainsi été dérobés de cette manière.

    De sa prison Kozlovsky a rédigé une lettre, publiée sur sa page Facebook et par le journal russe The Bell. Il y dénonce des ordres émanant expressément du FSB (le renseignement russe), et donc de Vladimir Poutine. En clair, le président de la Russie serait directement responsable de l’attaque contre le DNC et de la publication des emails par WikiLeaks.

    Des aveux qui trouvent évidemment un écho favorable auprès de nombreux éléments soulignés depuis ce piratage. Par exemple, la société de sécurité CrowdStrike avait analysé l’attaque et en avait conclu qu’au moins deux acteurs russes étaient présents dans le réseau du DNC en mai 2016. Pour la CIA, il ne faisait aucun doute non plus que la publication par WikiLeaks s’était faite sous influence russe.

    Depuis, une vaste enquête a lieu sur cette ingérence russe qui ne cesse de revenir sous les feux de la rampe. Une ingérence qui se serait d’ailleurs manifestée de bien des manières, des entreprises comme Facebook et Twitter dénonçant un trafic d’influence via notamment des publicités orientées, payées par des clients russes.

    Mais devant une déclaration aussi nette, les précautions sont plus que jamais de rigueur.

    Le scepticisme comme première défense

    L’histoire que raconte Konstantin Kozlovsky a le mérite de cadrer avec de nombreuses hypothèses et « preuves » mises en évidence depuis le piratage du DNC. Mais il s’agit d’une affirmation forte, qui pointe Vladimir Poutine avec vigueur, soulevant naturellement la question des intérêts.

    A-t-on demandé à Kozlovsky d’écrire cette lettre ? Cette piste ne peut pas être écartée, à cause de plusieurs éléments troublants. Le principal réside dans les noms fournis : Dmitry Dokuchaev et Ruslan Stoyanov, l’un étant le présumé contact au FSB, l’autre un ancien responsable chez Kaspersky, dont le nom ressort une fois de plus. Or, les deux hommes ont en commun d’être déjà en prison.

    Dokuchaev aurait fait partie d’un groupe de pirates nommé Shaltai Boltai. Accusé par la justice russe d’être un agent double au bénéfice du renseignement américain, il aurait notamment publié des emails confidentiels du Premier ministre Dmitry Medvedev et d’autres membres du Kremlin. Et si le nom vous évoque quelque chose, c’est parce qu’il est également accusé par les États-Unis d’être le responsable de l’un des piratages de Yahoo (celui des 500 millions de comptes en 2014). Stoyanov est de son côté emprisonné pour trahison, car il aurait fourni au gouvernement américain des informations classifiées sur des pirates russes.

    Accuser le FSB et Poutine en pointant l’attention des médias sur des hommes déjà en prison pourrait donc être un simple bluff. Rien n’empêcherait en effet le président russe de signaler que ces condamnés ont été, d’une manière ou d’une autre, déclarés traitres à leur pays.

    En outre, comme le signale Mark Galeotti de l’Institute of International Relations de Prague, comment une lettre de confession aurait pu quitter la prison pour être publiée sur le propre mur Facebook de Konstantin Kozlovsky, à moins qu’une aide n’ait été apportée par une personne suffisamment haut placée ?

    Plus il y a d’éléments, plus la situation est complexe

    Le propre de cette affaire est qu’il sera probablement impossible d’en démêler les fils, tant la pelote est compacte. Les intervenants sont nombreux, les intérêts inextricablement complexes à deviner. Qui a fait quoi, sous l’influence de qui ?

    Au vu de la lettre, dont The Bell atteste de l’authenticité, la question d’une manœuvre de détournement se pose, ajoutant une idée de complot de plus à la pile déjà épaisse. Il existe pourtant la possibilité que Konstantin Kozlovsky dise vrai. Andrei Soldatov, co-auteur de Red Web (traitant notamment des « dictateurs numériques russes »), estime par exemple que la principale motivation de Kozlovsky est le « profit personnel ».

    Il pourrait ainsi s’agir d’une vengeance, car les hommes pointés du doigt seraient responsables de son propre emprisonnement. Stoyanov, du temps où il travaillait chez Kaspersky, aurait été l’un des principaux artisans de sa capture. Soldatov ne croit cependant pas toute l’histoire de Kozlovsky, notamment parce qu’après quatre mois de correspondance, le pirate aurait été incapable de lui fournir des preuves de ses affirmations.

    La lettre et les réactions qui l’entourent apportent de nouveaux éléments dans l’affaire, mais les questions sont toujours les mêmes : qui sont les partis en présence ? Dans quel intérêt agissent-ils ? Car finalement, la situation peut se résumer ainsi : un pirate, condamné pour piratage bancaire, accuse un ancien membre du FSB, en prison pour trahison, d’avoir ordonné l’attaque contre les serveurs du DNC.

    En dépit de cette lettre et tous les éléments déjà versés au dossier, la question centrale n’a toujours pas de réponse : s’agissait-il de pirates indépendants ou d’autres opérant pour le compte du gouvernement russe ? Selon Mark Galeotti, le FSB serait connu pour approcher les pirates capturés pour leur laisser le choix entre la prison et le travail pour le renseignement. De simples pièces détachées que l’on pourrait alors abandonner en cas de problème.


  • CDiscount, victime d’un vol de données clients

    Zdnet]

    Sécurité : La police a arrêté plusieurs individus suspectés d’avoir eu accès à des fichiers internes de CDiscount. Ceux-ci ont pu accéder à des données bancaires et les utiliser pour procéder à plusieurs achats avec les informations de carte bleue des victimes.

    CDiscount avait déjà été épinglé par la CNIL pour défaut de sécurisation des données appartenant à ses clients, mais il semblerait que tous les problèmes de la société de vente en ligne ne soient pas complètement résolus. Le Point rapporte en effet que la police a arrêté 5 personnes, dont deux mineurs, dans la drome, suite à une enquête sur un vol de donnée bancaire sur CDiscount.

    Les individus arrêtés par les autorités expliquent avoir fait partie d’un réseau organisé par un commanditaire dont l’identité est inconnue. Ils étaient chargés de récupérer des produits achetés sur CDiscount et livrés dans la Drome, en l’échange de rétribution financière. Mais ces produits étaient achetés avec des données bancaires volées : comme l’explique le Point, les premières investigations des autorités laissent entendre que les organisateurs du réseau sont parvenus à s’introduire sur les serveurs de CDiscount et à dérober les fichiers contenant les données de cartes bancaires de plus de 500 clients. Ces données ont ensuite été utilisées pour acheter plusieurs produits sur la plateforme CDiscount.

    Le préjudice total a été estimé à 350 000 euros, mais l’enquête se poursuit selon le Point. Les enquêteurs sont toujours à la recherche d’autres membres ayant appartenu au réseau, et estime que d’autres sites de commerces en ligne ont pu être victimes du même groupe.

    CDiscount avait déjà été mis en demeure de revoir ses pratiques de protections des données client en 2016. Cette mise en demeure a été levée par la suite, Cdiscount ayant mis en place les recommandations de la Commission.


  • Antitrust : Microsoft répond à Kaspersky sur le thème délicat des antivirus

    Next Inpact / Par Vincent Hermann / le mercredi 21 juin 2017

    Microsoft rompt le silence sur la situation des antivirus et la manière dont cette tranche particulière de logiciels est gérée au sein de Windows. Si l’éditeur ne vise aucune entreprise en particulier, la communication est une réponse qui ne le dit pas à la plainte récemment déposée par Kaspersky en Europe.

    La plainte de Kaspersky pour abus de position dominante a mis le feu aux poudres. Microsoft, déjà échaudé sur le terrain de la sécurité par le passage de WannaCrypt, se retrouvait accusé de bien des maux, notamment de privilégier largement son Windows Defender face aux solutions tierces, nombreux exemples à l’appui.

    La situation rappelle largement celle des navigateurs, quand l’intégration d’Internet Explorer il y a bien des années a provoqué une chute drastique des parts de marché chez les autres éditeurs, notamment Netscape. Or, comme nous allons le voir, l’intégration d’une fonctionnalité dans Windows renvoie à une thématique plus globale.

    Microsoft s’explique

    Comme indiqué, l’entreprise n’évoque pas directement Kaspersky dans son long billet de blog, rédigé par Rob Lefferts, responsable gestion des logiciels pour les entreprises et la sécurité. Mais puisque la firme a choisi de s’expliquer maintenant sur un certain nombre de points, le timing parle de lui-même.

    L’éditeur insiste particulièrement sur l’écosystème applicatif dans le domaine des antivirus. À travers son programme MVI (Microsoft Virus Initiative), plus de 80 entreprises tierces peuvent tester leurs solutions et se mettre en conformité avec les règles établies dans Windows. Ainsi, toute installation d’un antivirus extérieur désactive Windows Defender et s’intègre dans les centres de sécurité et de notification.

    Microsoft indique travailler en étroite collaboration avec ces entreprises, qui utilisent d’ailleurs le programme Insider pour tester à l’avance leurs solutions sur les mises à jour majeures de Windows en approche. Tant et si bien qu’à l’arrivée de la Creators Update en avril, 95 % des PC disposaient selon Microsoft d’antivirus déjà compatibles. Un point qui contredit quelque peu les déclarations de Kaspersky, qui estimait que le temps laissé aux éditeurs était loin d’être suffisant.

    La firme confirme dans la foulée que dans le cas d’un antivirus incompatible avec la nouvelle mise à jour majeure (il y en a désormais deux par an, en mars et septembre), il est temporairement désactivé jusqu’à ce que l’utilisateur installe la dernière révision. Seulement, Microsoft ajoute que cette étape est parfaitement connue des éditeurs tiers et que ces actions sont menées en partenariat, afin qu’ils sachent notamment comment diriger les utilisateurs vers la bonne version.

    Microsoft ne veut pas d’un Windows sans aucune protection antivirale

    L’éditeur est assez clair sur ce point : pas question de laisser un utilisateur sans aucune protection. Si aucun antivirus n’est installé, Defender est nécessairement actif (à moins d’être manuellement coupé par l’utilisateur). Si l’utilisateur installe un antivirus, Defender se désactive automatiquement.

    Microsoft explique également que des notifications spéciales apparaissent pour prévenir qu’un abonnement à une solution payante va se terminer. Dans les jours qui précèdent, des fenêtres bleues apparaissent, un bouton renvoyant directement vers la page de l’éditeur concerné pour se réabonner. Là encore, Microsoft indique que ces actions sont conçues en partenariat avec les sociétés concernées. Ce n’est seulement qu’en cas d’expiration complète et d’arrêt du fonctionnement de l’antivirus que Defender reprend la main.

    Dans tous les cas, la firme de Redmond insiste sur la nécessité de ne jamais laisser Windows 10 sans antivirus. Ce composant fait partie selon elle des protections qu’un système doit offrir pour maximiser la sécurité des utilisateurs. En cela bien sûr, sa vision s’oppose à celle de Kaspersky.

    L’intégration, éternelle question posée par Windows

    En tant que tel, le billet répond en bonne partie aux thématiques abordées par Kaspersky, même s’il ne se veut pas une réaction directe. Il ne changera d’ailleurs rien à la plainte déposée par la société russe, puisque Microsoft devra dérouler ces arguments devant les tribunaux concernés.

    Mais cette brouille autour de Defender rappelle un sujet évoqué de nombreuses fois autour de Windows : l’intégration des fonctionnalités. Le système d’exploitation ayant une part de marché écrasante sur les postes clients, aussi bien chez les particuliers que les entreprises, tout ajout d’une fonctionnalité ne peut avoir qu’un impact négatif sur les sociétés fournissant déjà des solutions.

    Ici, deux visions s’affrontent. La première voit Windows comme un simple système d’exploitation, qui doit permettre à l’écosystème logiciel de s’ébattre joyeusement. En d’autres termes, une base. La seconde considère au contraire que les fonctionnalités essentielles doivent être intégrées, au risque de provoquer un impact négatif chez les commerçants de solutions concurrentes. Les deux philosophies ne peuvent pas être réconciliées. Microsoft choisit clairement la seconde option, qui se renforce avec le temps. Aujourd’hui, Windows intègre par exemple un lecteur PDF et peut ouvrir les fichiers Zip.

    Le cas des antivirus est également particulier. Il s’agit de programmes jouissant de privilèges très élevés et ayant la capacité d’affecter profondément le fonctionnement du système. Les faux positifs en particulier peuvent entrainer de véritables catastrophes. Beaucoup se désactivent également entre eux lors de l’installation. S’ils ne le font pas, l’utilisateur peut être confronté à de sérieux problèmes, ce type de cas n’étant d’ailleurs pas recommandé.

    Quel avenir pour les antivirus sous Windows ?

    Il est plus que probable que le statut quo sera de mise pendant encore des années. Il ne serait pas forcément intéressant pour Microsoft de faire de son Defender la seule protection dans Windows, et ce pour plusieurs raisons.

    Il existe une différence cruciale entre fournir une protection de base et devenir la seule barrière contre les menaces, dont le nombre et la complexité augmentent. Actuellement, Microsoft peut toujours indiquer qu’il existe des protections spécialisées et payantes contre de tels dangers. Si Defender était seul sur le marché, Microsoft se retrouverait responsable devant toutes les polémiques de sécurité, car le simple colmatage des brèches ne suffirait plus.

    Il est donc plus que probable que la situation restera la même pendant un bon moment. Microsoft va continuer à renforcer son Windows Defender, les éditeurs tiers à blinder encore leurs propres solutions, qui continueront à s’installer sur Windows. Si la société de Redmond apprend un tant soit peu de ses erreurs, elle fera d’ailleurs attention à maintenir le cadre qui permet aux antivirus de s’installer et de remplacer Windows Defender.

    Microsoft devra quoi qu’il en soit passer par un combat contre Kaspersky. L’éditeur russe invitait d’ailleurs les autres sociétés à le rejoindre dans la bataille, et il n’est pas impossible que le père de Windows doive faire face à un recours collectif.

    Réponse dans les mois qui viennent.


  • Sécurité : l’ANSSI voit une prise de conscience politique et défend le modèle français

    Next Inpact / Par Guénaël Pépin / le jeudi 08 juin 2017

    Pour l’agence de cybersécurité française, l’année 2016 a été celle de la « prise de conscience », notamment du monde politique, et du renforcement de la coopération européenne. L’institution profite de son rapport pour marteler le besoin d’une agence dédiée à la défense informatique, une exception française défendue par Guillaume Poupard.

    2016 a été une année chargée pour l’ANSSI, et 2017 suivrait la même voie. L’Agence nationale de la sécurité des systèmes d’information a présenté son rapport annuel, marqué par la prise de conscience de l’État sur la sécurité numérique, désormais perçue comme « un enjeu fondamental ». Créée en 2009, elle compte désormais 500 agents, avec un positionnement d’expert technique, loin des turpitudes politiques.

    L’ANSSI insiste d’ailleurs sur la jeunesse de ses effectifs : plus des deux tiers ont moins de 40 ans et plus d’un quart moins de 30 ans. De quoi répondre aux « nouvelles menaces », dont certaines seraient à même de porter atteinte à « la stabilité de nos démocraties ».

    Non, l’agence ne parle pas des lois sécuritaires ou de l’état d’urgence permanent. Elle semble plutôt faire référence aux fuites de documents qui ont émaillé les dernières élections américaine et française ; les fameux #MacronLeaks sur lesquels l’agence était mobilisée. Ces actions marqueraient ainsi le resserrement des liens entre réseaux sociaux et action politique.

    Au-delà de ça, l’institution a du pain sur la planche : renforcer la confiance dans le numérique, sensibiliser le public aux enjeux et contribuer au rayonnement mondial du pays. Concrètement, des chantiers comme les contributions aux lois, l’accompagnement des organismes critiques dans leur sécurisation et la réponse constante aux incidents informatiques occupent ses équipes.

    La politique du chiffre, pas des détails

    Pour résumer son année, l’ANSSI a mis les petites calculettes dans les grandes, pour multiplier les décomptes flatteurs. Sur la confiance dans le numérique, l’agence dit avoir publié 45 publications scientifiques, mené 500 actions en région, avec 22 prestataires qualifiés. Il a continué à conseiller le législateur sur les sujets numériques, tout en accompagnant les opérateurs. Défense des intérêts français oblige, les détails existent peu. Cela n’empêche pas l’utilisation de grands mots (voire d’hyperboles) pour décrire son action.

    Améliorer la confiance, c’est aussi sensibiliser et former, avant tout le public et les entreprises. « L’ANSSI a qualifié 16 nouveaux produits et accordé 13 agréments pour la protection d’informations sensibles ou classifiées. Le centre de certification de l’agence a quant à lui certifié 95 produits » écrit-elle. Elle a aussi contribué à la création de la plateforme d’assistance aux victimes de cybermalveillance (Acyma), ouverte fin mai.

    Plus récemment, elle a ouvert son cours en ligne SecNumAcadémie. L’agence nous affirmait compter 10 000 inscrits en trois jours. Désormais, elle déclare ici 20 000 utilisateurs en deux semaines.

    En parallèle, le sujet de la souveraineté n’en finit plus d’agiter les lobbies et politiques français, que ce soit en matière de fiscalité, de culture ou maintenant de défense informatique. En 2016, l’institution a mené 20 opérations « majeures » de cyberdéfense. Où, quand, pourquoi sont des questions sans réponse.

    Elle a répondu à 3 235 signalements d’événements, dont 79 « importants » signalés immédiatement à la hotline du CERT-FR. La surveillance des sondes entre les ministères et Internet a été suivie de « 12 signalements ayant conduit à 159 traitements d’incidents, dont trois qualifiés de critiques ». Concernant les opérateurs d’importance vitale (OIV), dont la défaillance causerait de lourds dégâts au pays, neuf arrêts sectoriels ont été pris, pour 60 réunions.

    Rayonnement international et directive NIS

    L’ANSSI doit aussi contribuer au rayonnement international de la France sur la sécurité informatique. Elle a noué des liens avec 40 pays et mené 80 missions internationales pour défendre ses positions. Surtout, elle doit aider les acteurs français à se conformer à la directive NIS, adoptée par l’UE en juillet 2016. Celle-ci renforce grandement les pouvoirs de l’État en matière de cybersécurité et les obligations des OIV.

    L’agence se targue d’avoir l’expérience de la loi de programmation militaire (LPM) de 2013, dont les mesures ont dû être appliquées dans un délai de trois mois à trois ans, selon leur complexité. « NIS va s’appliquer comme la LPM, avec des délais. On prend le temps de réfléchir, d’identifier les acteurs concernés, on met en place un écosystème industriel capable d’appliquer les règles » nous affirme Guillaume Poupard, le directeur de l’agence.

    « C’est urgent, à cause des attaques et non à cause de la réglementation. Donc nous voulons les aider, dans une démarche volontariste, tient-il à préciser. Ce type d’opportunité ne passe pas dix fois. Il faut quelque chose d’efficace, peut-être contraignant (mais à juste titre) et bien accepté par les acteurs. »

    Les liens se sont aussi beaucoup renforcés avec l’Allemagne, via le BSI, l’homologue de l’ANSSI. En décembre, cette dernière lançait son label pour prestataires cloud SecNumCloud. Le lendemain était présenté l’équivalent franco-allemand ESCloud. Une initiative qui marque la collaboration entre les deux agences et le besoin de porter ces problèmes à l’échelle européenne. Comme nous le confiait Poupard, ESCloud a vocation à être remis aux mains de la Commission européenne.

    Défendre des principes techniques

    Pour la suite, l’agence française insiste sur son « ADN technique », notamment face aux politiques qui s’intéressent de plus en plus au sujet. L’ANSSI devrait donc être amenée à donner son avis sur les prochains textes, comme le projet de loi sur le terrorisme, annoncé par Emmanuel Macron.

    Sur ce sujet, le message de Guillaume Poupard est d’ailleurs clair : « Nous sommes tous marqués par les attentats, la question n’est pas là. Mais la réaction sous le coup de l’émotion en se disant qu’il n’y a qu’à interdire le chiffrement... On sait très bien que ça ne marche pas, donc notre rôle est de l’expliquer en permanence ».

    En matière de cyberdéfense, l’agence estime qu’il « s’agit maintenant pour les États de se réunir autour de ces questions et de créer les conditions d’un dialogue nécessairement international ». Exit, donc, les volontés de solutions franco-françaises.

    Un rôle qui se veut sans ambiguïté

    À l’étranger, l’ANSSI et Poupard se veulent d’ailleurs les VRP d’un modèle français assez unique, fleurant presque l’exception culturelle. Le pays dispose d’une agence dédiée à la défense informatique de l’État, contrairement à d’autres où les agences de renseignement ont à la fois la charge de l’attaque et de la défense.

    « C’est en effet sur la scène européenne que l’on mesure toute la portée du modèle français. En séparant la défense, la protection et la prévention de l’offensif, la France a opéré un choix distinctif qui aspire à faire référence à l’échelle européenne » écrit sans détour l’institution dans son rapport.

    Les intérêts seraient multiples, mais le plus évident est que l’ANSSI peut tenir des positions fortes sur des sujets techniques, comme le chiffrement. N’ayant pas à attaquer, mais devant défendre l’État et les infrastructures vitales, elle peut clamer tout son amour pour le chiffrement fort. Une position moins évidente pour d’autres agences.

    Surtout, des agences anglo-saxonnes subissent le feu des critiques pour l’ambiguïté de leur rôle, que ce soit la CIA, la NSA ou le GCHQ britannique. Celles-ci sont habituées à conserver des vulnérabilités pour leur propre usage, plutôt que de les signaler aux éditeurs, avec le risque de les voir récupérées et publiées.

    C’est ce qui est arrivé à des outils de la CIA, sortis par WikiLeaks ces dernières semaines, sous le nom Vault 7. La NSA, elle, alimente le fonds de commerce des pirates de Shadow Brokers qui ont mis la main sur ses créations, dont une a servi de base technique au ransomware WannaCrypt. Microsoft aurait été prévenu de certaines failles par la NSA, une fois que celle-ci a compris que ses outils étaient dans la nature. Un vrai jeu d’équilibriste.

    « Elles ont ce double rôle, mais quand on regarde les budgets, on voit bien de quel côté elles penchent » tranche tout de même un connaisseur de ces agences. La distinction française doit donc éliminer ce genre de soucis, spectaculaires, alimentant facilement la communication hexagonale.

  • Note d’information du CERT-FR


    1 – Les rançongiciels

    Les rançongiciels (ransomware en anglais) constituent une catégorie de programmes malveillants visant à obtenir le paiement d’une rançon. Pour ce faire, le programme malveillant essaie le plus souvent d’empêcher l’utilisateur d’accéder à ses fichiers, par exemple en les chiffrant, et lui affiche des instructions afin que celui-ci paie une rançon.

    Lorsqu’un ordinateur est infecté, les fichiers de cet ordinateur peuvent être bloqués, mais les conséquences peuvent aussi s’étendre au reste du système d’information. Ainsi, un partage de fichiers monté sur une seule machine infectée se retrouvera probablement concerné et risque ainsi d’impacter un plus grand nombre d’utilisateurs. De même, si l’infection initiale arrive souvent (mais pas nécessairement) par un courrier électronique piégé, le programme peut aussi chercher à se propager de manière autonome sur le reste du système d’information et au travers de ses interconnexions en exploitant des vulnérabilités à distance. Si certains de ces programmes comportent des défauts de fabrication permettant de retrouver partiellement ou totalement les données concernées, d’autres utilisent des méthodes proches de l’état de l’art et peuvent condamner l’accès aux fichiers si la clé de déchiffrement n’est pas obtenue. Il s’agit donc effectivement d’une menace à prendre très au sérieux et dont il vaut mieux chercher à se prémunir avant qu’il ne soit trop tard.

    2 – Prévention


    Assurer un bon niveau de sécurité global du système d’information

    Pour infecter de manière automatisée une machine, un rançongiciel doit utiliser une vulnérabilité (ex : macro malveillante dans un document piégé, vulnérabilité logicielle d’un service réseau, mot de passe par défaut, etc.). Ainsi, afin de réduire les possibilités offertes à un rançongiciel de s’introduire, il convient d’assurer un bon niveau de sécurité global du système d’information.
    Si l’objectif de ce document n’est pas de constituer un guide de sécurisation d’un système d’information, quelques bonnes pratiques sont par exemple référencées dans le guide d’hygiène de l’ANSSI. Parmi les mesures s’appliquant particulièrement dans le cadre de ce document, on peut citer :
    - appliquer les correctifs de sécurité fournis par les éditeurs ;
    - restreindre les programmes autorisés à être exécutés : application de stratégies de restriction logicielle ou de Applocker pour les systèmes Windows, options de montage en lecture seule des répertoires temporaires et de l’utilisateur pour les systèmes UNIX ;
    - durcir la configuration des logiciels bureautiques ou manipulant des données provenant d’Internet : restreindre l’autorisation des macros dans les suites bureautiques, désactiver le moteur Javascript des lecteurs PDF, activer les bacs à sable (sandbox) des logiciels le permettant, installer des extensions dédiées aux navigateurs Internet pour restreindre par défaut l’interprétation de code Javascript, etc. ;
    - configurer le pare-feu des postes de travail pour empêcher les flux de poste à poste ;
    - lorsque des anti-virus sont employés sur les postes ou sur les passerelles de messagerie, veiller à la mise à jour fréquente des signatures et du moteur du logiciel ;
    - minimiser les droits sur les partages réseau : s’assurer que le droit en écriture n’est accordé qu’aux utilisateurs en ayant réellement le besoin et contrôler régulièrement les droits d’accès ;
    - effectuer des sauvegardes et des tests de restauration. Procéder à la mise hors ligne des sauvegardes des éléments les plus sensibles. Ces points sont développés par la suite ;
    - effectuer des audits et des tests d’intrusion réguliers et mettre en place un plan d’action pour corriger les défauts mis en évidence.

    Sensibiliser les utilisateurs

    Si le rançongiciel n’affecte pas de manière automatisée une machine, le vecteur d’infection sera l’utilisateur, que ce soit à son insu en ouvrant une pièce jointe piégée ou par inadvertance en désactivant une protection (technique d’ingénierie sociale incitant l’utilisateur à effectuer une action).

    La sensibilisation des utilisateurs est ainsi primordiale :

    - ne pas ouvrir les pièces jointes des messages électroniques suspects (fautes d’orthographes, pièces jointes au nom trop succinct ou trop générique, etc.). Il faut toutefois noter que la caractéristique d’un courriel de type « hameçonnage ciblé » (spear phishing) est de personnaliser le contenu par rapport à l’environnement de l’utilisateur afin de duper sa vigilance ;
    - ne pas suivre les liens des messages électroniques suspects et vérifier la cohérence entre l’adresse affichée dans le contenu et le lien effectif. Il faut toutefois noter que les attaques de type XSS (cross-site scripting) ou par point d’eau (watering hole) rendent inefficace cette pratique ;
    - ne pas réactiver des fonctionnalités désactivées dans la configuration des logiciels, même si le fichier ouvert y incite par un message particulier.

    Effectuer des sauvegardes

    La charge malveillante des rançongiciels étant de chiffrer des fichiers, la principale mesure permettant d’éviter les pires conséquences consiste à réaliser des sauvegardes, en priorité des serveurs de fichiers et des applications métier critiques. Il convient de garder à l’esprit que ces sauvegardes peuvent aussi, intentionnellement ou non, être victimes d’un rançongiciel. Il convient donc de les protéger de manière adéquate. Le moyen, souvent le plus sûr, mais aussi le plus simple, consiste à stocker une copie de ces sauvegardes sur un support déconnecté. Dans de nombreux cas, de simples disques durs amovibles peuvent suffire. Sur un périmètre large, cette méthode peut être privilégiée pour les données les plus sensibles. Des tests de restauration des sauvegardes doivent être régulièrement effectués afin de s’assurer que la procédure soit connue et que les sauvegardes soient complètes et intègres. Par ailleurs, pour des besoins particuliers, notamment en environnement industriel, s’assurer de la disponibilité d’équipements de secours dont les configurations sont sauvegardées hors ligne est primordial. De même, la possibilité de remplacer immédiatement un poste de commande doit être établie (image disque, équipements de spare à froid, poste ou chaine dupliquée hors ligne, etc.).

    3 – En cas d’infection


    Débrancher la machine du réseau informatique

    Afin d’arrêter la propagation de l’infection hors de la machine victime, il convient de l’isoler du réseau en débranchant le câble réseau. Il est également nécessaire de vérifier si une éventuelle connexion sans fil (Wi-Fi) est présente et, le cas échéant, de la désactiver, de préférence avec l’interrupteur matériel.

    Ne pas éteindre la machine concernée

    Il est parfois possible de retrouver en mémoire des éléments permettant de recouvrer les fichiers victimes. Cependant, l’extinction d’une machine ou l’ancienneté d’une infection peuvent réduire les chances de fonctionnement d’une éventuelle méthode de recouvrement. Si la machine le permet, il est recommandé d’activer la mise en veille prolongée, afin d’arrêter l’activité du programme malveillant tout en préservant la mémoire pour une analyse ultérieure. Parallèlement, au cas où le processus de chiffrement n’aurait pas été terminé, les fichiers peuvent être copiés sur un support amovible vierge. Ceux-ci pourront éventuellement être traités plus tard à des fins de récupération en gardant à l’esprit que leur intégrité et leur innocuité ne peuvent être assurées.

    Bloquer les nouvelles infections sur la base des éléments connus

    Lorsque le programme malveillant qui a réalisé l’infection est identifié, il est possible de rechercher sur Internet ou dans les journaux du système d’information des éventuelles caractéristiques de celui-ci (URL utilisées, nom de fichier, sujet du courrier électronique, etc.). Ces éléments peuvent être utilisés pour éviter d’autres infections. Des actions peuvent notamment être entreprises sur les passerelles de messagerie, les passerelles de navigation sur Internet ou les serveurs de boîte aux lettres.

    Restaurer le système depuis des sources saines

    La machine ayant été infectée par un programme malveillant, l’intégrité du système peut d’autant plus être mise en doute. Plutôt que d’espérer qu’un éventuel utilitaire de désinfection ramène le système dans un état sain, il est préférable de réinstaller le système depuis un support connu et de restaurer les données depuis les sauvegardes ayant préalablement été effectuées. L’efficacité ou l’innocuité de méthodes de nettoyage alternatives sont difficiles à qualifier. Le vecteur initial de propagation doit par ailleurs être corrigé après réinstallation des systèmes, afin d’éviter une nouvelle infection : application des correctifs de sécurité, changement des mots de passe, modification du pare-feu local, etc.

    En l’absence de sauvegarde, rechercher la disponibilité de méthodes de recouvrement des données

    Comme cela a été mentionné, des défauts de conception des rançongiciels sont parfois découverts et peuvent permettre un recouvrement total ou partiel des données. Si les données victimes n’ont pas été préalablement sauvegardées et que leur niveau d’importance le justifie, un dernier recours peut être de rechercher d’éventuels utilitaires de recouvrement, proposés notamment par les éditeurs d’antivirus. Cependant, il faut faire preuve de vigilance et qualifier la provenance de ces utilitaires, car ceux-ci pourraient se révéler malveillants et provoquer une surinfection.

    Ne pas payer la rançon

    Outre le fait que payer la rançon entretient le système frauduleux, le paiement ne garantit nullement l’obtention d’une quelconque clé de déchiffrement ni la sécurité des moyens de paiement utilisés.


  • WhatsApp mis en demeure par la CNIL pour ses transmissions de données à Facebook

    Next Inpact / Par Marc Rees / le mardi 19 décembre 2017


    Hier, en fin de journée, la CNIL a mis en demeure la société WhatsApp de procéder à une mise en conformité s’agissant de la transmission des données personnelles de ses utilisateurs dans les bras de Facebook. Un bras de fer qui en dit long sur le niveau de considération de ces géants des services en ligne pour les lois nationales.

    Tout est parti d’un contrôle par les agents de la Commission à l’automne 2016. Classiquement, l’entreprise a contesté l’application de la loi française et européenne, s’estimant concernée par le seul droit américain. Seulement, la CNIL lui a rappelé que dès lors qu’un acteur est situé hors de l’Union européenne tout en y disposant de « moyens », le droit européen s’applique dans toute sa plénitude.

    Le « moyen » ici en cause est tout simplement la célèbre application de messagerie « à installer sur des terminaux mobiles situés notamment sur le territoire français, qui permet de collecter les données des utilisateurs telles que leurs nom, prénom, numéro de téléphone ou photographie ». En outre, ce service est « disponible en langue française et ses options de paramétrage permettent son utilisation par des personnes situées sur le territoire français ».

    Quel est le problème soulevé par la Commission ? La société rachetée par Facebook en 2014 avait mis à jour ses conditions générales d’utilisation deux ans plus tard. Selon les nouvelles CGU, les données des utilisateurs sont désormais partagées avec Facebook, sauf opposition des utilisateurs dans un délai de trente jours.

    Toutefois, « aucune information relative aux traitements de données à caractère personnel mis en place par la société n’est présente sur le formulaire permettant de créer un compte sur l’application » a relevé la CNIL dans sa délibération.

    La puce à l’oreille, celle-ci a donc poussé les investigations, en s’intéressant tout particulièrement aux données effectivement transmises de WhatsApp à Facebook. Et c’est en soulevant cette couverture qu’une multitude de contrariétés à la loi CNIL a jailli.

    Des contrariétés dans les CGU et la politique de confidentialité

    Déjà, les conditions générales et la politique de confidentialité ne disent pas vraiment la même chose. D’un côté, il est affirmé en substance que Facebook ne traite pas les données transmises, de l’autre que le même réseau peut les utiliser.

    Par ces quelques lignes, confirmées par des pièces transmises à l’autorité, Facebook a reconnu finalement passer du statut de sous-traitant à celui de responsable de traitement. Or, la CNIL a eu beau lire et relire les éléments présentés aux utilisateurs, jamais ceux-ci n’ont eu la possibilité d’accorder un consentement « spécifique » à ce traitement.

    Pire, explique la commission, l’analyse a révélé que « les données à caractère personnel de l’ensemble des utilisateurs de l’application WhatsApp sont transmises à Facebook inc., même dans le cas où une personne utilisant WhatsApp ne posséderait pas de compte sur le site Facebook inc. ou sur les autres plateformes gérées par les sociétés de la famille Facebook inc. ».

    S’ajoute à cela que la seule façon pour l’utilisateur de s’opposer à la majorité de ces traitements est la suppression définitive du compte. Une forme de chantage qui ne permet vraiment pas d’assurer une juste proportion entre les intérêts de l’internaute et celles de la société. La CNIL a sur ce point conclu à l’absence de droit d’opposition.

    « Business intelligence », ou le profilage de 10 millions de Français

    La problématique gagne en intensité lorsqu’on s’approche des finalités des traitements entre WhatsApp et Facebook. L’une d’elles vise le « business intelligence », anglicisme derrière lequel Facebook s’offre la possibilité de profiler très précisément chacun des 10 millions d’utilisateurs de WhatsApp en France.

    Voilà qui fait un peu beaucoup : « ce traitement massif d’informations par un seul acteur et pour des finalités non clairement déterminées, entraine un déséquilibre au détriment de l’utilisateur qui ne peut être corrigé qu’en lui permettant de garder la maitrise de ses données » déplore encore la CNIL.

    Mieux, les formulaires WhatsApp sont bien silencieux sur les finalités pour lesquelles les données sont transmises à Facebook et les droits dont disposent les personnes concernées. Un beau défaut d’information couplé à un manquement à l’obligation de coopérer avec la CNIL.

    Quand WhatsApp fait le mort

    Dans ses multiples échanges, la Commission a demandé à WhatsApp de lui fournir les documents « encadrant les échanges de données entre [elle] et les sociétés destinataires des données ». Mais le 27 février 2017, « la société a indiqué ne pas comprendre la nature de la documentation sollicitée ».

    Même blocage quand la CNIL a réclamé cette fois les données transmises entre les acteurs sur un échantillon de 1 000 personnes. Le 20 juillet 2017, « la société a indiqué que la transmission de l’échantillon demandé par la CNIL se heurtait à des problématiques juridiques, car ses bases de données sont situées aux États-Unis et que seule la loi américaine est applicable ».

    Énième opposition lorsque WhatsApp s’est vue réclamer de transmettre les documents internes montrant que Facebook agit bien en qualité de sous-traitant. « Le 20 juillet 2017, la société a indiqué avoir mis en place des contrats de sous-traitance avec la société Facebook et avec ses prestataires de service, mais que de tels contrats étaient soumis à des obligations de confidentialité ».

    La CNIL s’est ainsi retrouvée dans l’incapacité d’examiner la conformité du traitement au regard de la loi du 6 janvier 1978, alors que son article 21 oblige les sociétés sollicitées à coopérer et surtout à ne pas s’opposer à ces investigations.

    Dans sa délibération, rendue volontairement publique, WhatsApp est mise en demeure de ne plus transmettre sans base légale, dans un délai d’un mois, les données des utilisateurs Facebook pour la finalité de « business intelligence ».

    Elle est contrainte de « procéder à l’information des personnes auprès desquelles des données à caractère personnel sont collectées » et ce, « notamment en faisant figurer sur le formulaire de création de comptes, les mentions d’information prévues à cet article, en particulier les finalités pour lesquelles les données sont transmises à Facebook inc. et les droits dont disposent les personnes concernées ».

    Enfin, elle est tenue de transmettre à la Commission l’ensemble des données communiquées par WhatsApp à Facebook sur l’échantillon sollicité.

    Jusqu’à 3 millions d’euros de sanction, en attendant le RGPD

    À défaut, la CNIL pourra infliger l’une des sanctions prévues par la loi CNIL, une amende de 3 millions d’euros, ou ordonner l’interruption du traitement de certaines des données à caractère personnel pour une durée maximale de trois mois.

    Ces menaces sont ridicules par rapport à la puissance de ces géants, néanmoins la CNIL peut toujours décider de rendre publiques les hypothétiques sanctions, ce qui n’est jamais glorieux pour un service en ligne basé sur la confiance des utilisateurs.

    Ajoutons enfin qu’à partir du 25 mai 2018, le règlement européen sur la protection des données personnelles permettra aux autorités de contrôle d’opter pour des sanctions jusqu’à 20 millions d’euros et même 4 % du chiffre d’affaires annuel mondial en cas de manquement notamment au droit d’opposition des personnes.
    WhatsApp et Facebook déjà condamnées à 110 millions d’euros d’amende

    Ce n’est pas la première fois que le mariage entre ces deux acteurs est épinglé. En mai 2017, la Commission européenne infligeait cette fois 110 millions d’euros d’amende à Facebook pour avoir fourni des informations trompeuses lors du rachat de WhatsApp.

    À cette occasion, la société chère à Mark Zuckerberg avait indiqué à l’institution européenne « qu’elle ne serait pas en mesure d’établir d’une manière fiable la mise en correspondance automatisée entre les comptes d’utilisateurs de Facebook et ceux de WhatsApp ».

    En août 2016, comme déjà souligné, la société avait finalement combiné ces océans de données personnelles. Et l’enquête de la Commission avait révélé que Facebook était dès l’origine en capacité de faire ces correspondances automatisées.


  • WannaCry : les États-Unis accusent la Corée du Nord et appellent au rassemblement

    Next Inpact / Par Vincent Hermann / le mardi 19 décembre 2017

    Pour les États-Unis, il ne fait désormais plus aucun doute : la Corée du Nord est officiellement accusée d’être responsable de l’attaque WannaCry(pt). Le gouvernement lance un appel à la communauté internationale pour réduire le potentiel de nuisance du régime totalitaire.

    WannaCry restera dans les annales comme l’une des plus fortes attaques informatiques de tous les temps. Ce malware, déguisé sous les traits d’un ransomware, a contaminé des centaines de milliers de machines, tout en provoquant des pannes dans des secteurs aussi sensibles que la santé. Parmi ses mécanismes d’action, WannaCry pouvait notamment exploiter l’une des failles révélées par les Shadow Brokers après son vol de données sur un serveur de la NSA (qui contenaient également le code d’exploitation).

    Il y a quelques mois déjà, la NSA (National Security Agency) avait conclu que l’attaque avait de fortes chances de provenir de la Corée du Nord. On se souvient d’ailleurs que dans un communiqué commun avec le FBI et le département de la Sécurité intérieure, l’agence mettait en garde en particulier contre un groupe de pirates nord-coréens nommé Hidden Cobra.

    Mais comme l’a indiqué au Wall Street Journal Thomas Brossert, conseiller de Donald Trump à la sécurité intérieure, il n’y a désormais plus de doute : la Corée du Nord est bien le pays qui a lâché WannaCry sur le monde.

    La Corée du Nord, que personne ne prenait au sérieux

    Pour les États-Unis, la Corée du Nord avait un objectif affiché de créer autant de pagaille que possible, jusqu’à nier le potentiel néfaste sur la vie humaine, puisque le malware pouvait aussi bien toucher les OIV que les structures plus classiques, comme dans le cas des hôpitaux anglais.

    Thomas Bossert, note ainsi que le « le monde est de plus en plus interconnecté avec de nouvelles technologies, appareils, réseaux et systèmes ». Dans le même temps malheureusement, les opportunités pour les acteurs malveillants augmentent, portées par un « espoir d’anonymat ».

    Dans ce contexte, la Corée du Nord s’est montrée « particulièrement nuisible » selon Bossert. Il note que le pays est resté sous les radars depuis plus d’une décennie, alors que « son activité malveillante devenait toujours plus flagrante ». WannaCry n’était-il pas d’ailleurs « d’une dangereuse imprudence » ?

    Un cas qui en rappelle un autre : début 2015, le FBI affichait sa certitude que le petit pays asiatique était responsable de l’attaque contre Sony Pictures. Il en avait résultat une importante fuite de données.

    Les États-Unis appellent à un effort collectif

    Bossert évoque également les conséquences, puisque la Maison Blanche est décidée à embrayer sur une modernisation des administrations, particulièrement centrales, afin d’en augmenter la sécurité. Cela étant, ladite Maison Blanche ne fait que réagir à un constat fait depuis déjà un moment sur l’état délabré de bon nombre des infrastructures du pays, notamment celles utilisant des systèmes SCADA chez les OIV américains.

    Le gouvernement américain appelle dans tous les cas à un rapprochement entre les acteurs privés et publics, ainsi qu’entre les pays. Car sans donner vraiment plus de détails, l’avis des États-Unis sur la Corée du Nord recouperait celui de nombreux alliés, qui seraient arrivés à la même conclusion sur WannaCry.

    On rappellera tout de même que l’intéressé avait démenti formellement être à l’origine de l’attaque en mai dernier. Le gouvernement nord-coréen déclamait alors : « Chaque fois que quelque chose d’étrange se produit, de manière stéréotypée, les États-Unis et les forces hostiles lancent une campagne bruyante contre la Corée du Nord en faisant le lien ».

    Une prise de conscience salvatrice

    On peut voir toutefois dans l’impact global du malware une occasion pour beaucoup de se réveiller sur la sécurité de leurs infrastructures. Une opportunité de faire un bilan strict des défenses réellement en place et d’implémenter les règles de sécurité les plus élémentaires, comme la maintenance à jour d’un parc informatique, où les correctifs sont installés en temps et heure.

    Mais en dépit d’une prise de conscience que d’aucuns jugeront salvatrice, d’autres pointent la prise de décision éminemment politique de Donald Trump sur la Corée du Nord. Comme le signale le Washington Post notamment, des députés démocrates posent la question de la différence de traitement entre la dictature asiatique et la Russie, accusée d’ingérence dans les dernières élections américaines. Elijah E. Cummings, par exemple, ne comprend pas la négation actuelle par le président des sources de renseignement pointant toutes en direction du Kremlin.

    On regrettera, comme trop souvent, que des évènements sécuritaires majeurs soient nécessaires pour que les bonnes questions soient enfin posées. La situation est à ce titre compatible au phénomène Mirai qui, après avoir fait des ravages, a braqué une lumière crue sur les trous béants dans la sécurité d’un grand nombre d’objets connectés.

  • Numerama / Julien Lausson / 20dec. 2017

    CTB-Locker : arrestation de cinq personnes suspectées d’être liées au ransomware

    La police a procédé à l’arrestation de cinq soupçonnées d’avoir infecté des systèmes informatiques en propageant le logiciel malveillant CTB-Locker, un rançongiciel qui bloque des fichiers informatiques et réclame une rançon pour les libérer.


  • Cybersécurité : le Sénat adopte le projet de loi transposant la directive NIS

    Next Inpact / Par Marc Rees / le jeudi 21 décembre 2017

    Le Sénat vient d’adopter, en première lecture, le projet de loi transposant la directive Network and Information Security (NIS). Un texte destiné à renforcer le niveau de cybersécurité s’agissant des « opérateurs de services essentiels » et des fournisseurs de services numériques comme les moteurs de recherche.

    Adoptée le 6 juillet 2016, la directive NIS part du principe que certains incidents peuvent avoir un fort impact dans le marché européen. Le législateur européen s’est ainsi engagé sur un texte destiné à assurer un niveau de protection commun à tous les États membres.

    Comme toutes les directives, celle-ci exige une loi de transposition. C’est l’ambition du projet déposé par le gouvernement et tout juste adopté par le Sénat.

    Comme déjà expliqué, la loi de programmation militaire (LPM) de 2013 a fait naitre des obligations sur les épaules des opérateurs d’importance vitale (OIV), ceux « pour lesquels l’atteinte à la sécurité ou au fonctionnement risquerait de diminuer d’une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation ».

    Les centrales nucléaires, les entreprises de transports, de télécommunication, les hôpitaux, les banques, etc. sont soumis à l’attention de l’Agence nationale de sécurité des systèmes d’information (ANSSI), qui leur impose un niveau de sécurité déterminé par une série de textes sectoriels.

    La directive NIS et le projet de loi s’inscrivent dans cette lignée en instaurant des obligations pour deux nouvelles catégories d’acteurs : d’un côté, les opérateurs, publics ou privés, « offrant des services essentiels au fonctionnement de la société ou de l’économie et dont la continuité pourrait être gravement affectée par des incidents touchant les réseaux et systèmes d’information nécessaires à la fourniture ». De l’autre, les fournisseurs de services numériques.

    Les opérateurs de services essentiels

    S’agissant des premiers, le rapporteur Philippe Bonnecarrère a estimé que les termes de la loi en gestation étaient trop flous : « en ne définissant pas clairement dans la loi les obligations opposables aux opérateurs économiques essentiels (…) le législateur prenait le risque de méconnaître le principe à valeur constitutionnelle de légalité des délits et des peines ».

    Les opérateurs de services essentiels (OSE) risqueront en effet une amende pénale de 100 000 euros s’ils ne se conforment pas aux préconisations de l’ANSSI, et même 125 000 euros s’ils font obstacle aux opérations de contrôle.

    Or, s’agissant d’une sanction relative à des obligations touchant à la liberté d’entreprendre et au droit de propriété, seul le législateur est habilité à définir précisément les éléments constitutifs de l’infraction. Sauf que là, c’est le Premier ministre qui détaillera les règles de sécurité nécessaires.

    Mais quelles règles ? L’ANSSI pourra « notamment » leur prescrire de recourir « à des dispositifs matériels ou logiciels ou à des services informatiques dont la sécurité a été certifiée ».

    Ces acteurs seront astreints en outre à lui signaler « sans délai » tous les incidents de sécurité qui ont ou sont « susceptibles » d’avoir « un impact significatif sur la continuité de ces services ». On parle d’incidents d’une certaine importance. Un écran bleu sur le PC Windows du service chargé de la machine à café sera hors des clous…

    Le texte français va en tout cas plus loin que la directive, qui se contente des incidents consommés, en évinçant ceux seulement susceptibles d’avoir un impact sur la fourniture des services.

    Face à un incident plus important, l’ANSSI, qui disposera d’un pouvoir de contrôle sur pièce et sur place aux frais des OSE (évalué à 1 200 euros/jour/homme), pourra en informer le public si « cette information est nécessaire pour prévenir ou traiter » le problème.

    Assurance, tourisme, automobile...

    Quelles sont les entreprises concernées ? L’État devra dresser d’ici le 9 novembre 2018 la liste des opérateurs de services essentiels, et la publier par décret. Selon les informations communiquées à la commission des lois, « pourraient être inclus dans le champ des services économiques essentiels les secteurs du tourisme, de l’agroalimentaire, des assurances, des affaires sociales et de la construction automobile ». Bref des pans entiers de l’économie.

    Souci : « La directive ne fixe pas de critères ou de seuils quantitatifs à prendre en compte pour identifier ces opérateurs » explique l’étude d’impact. Celle-ci donne néanmoins un premier chiffre, à la louche : « quelques centaines », mais dans un premier temps seulement, sachant que le coût supporté par chaque entreprise identifiée devrait être « nettement plus faible » que celui supporté par les OIV (1 à 2 millions d’euros par an).

    Dans le rapport de la commission des lois, l’analyse est beaucoup moins mesurée : « en raison de l’interdépendance de notre tissu économique, les dispositions du projet de loi devraient impacter un champ beaucoup plus large d’entreprises, et notamment des petites et moyennes entreprises par le biais de conventions de sous-traitance. L’effet sera systémique ».

    En séance, le gouvernement a fait adopter un amendement visant à intégrer dans le champ des opérateurs de services essentiels, les opérateurs d’importance vitale, du moins s’agissant des systèmes d’information non encadrés par le régime de la LPM.

    Les fournisseurs de services numériques

    L’autre grand chapitre de la transposition de la directive NIS concerne les « fournisseurs de service numérique » (FSN), à savoir les moteurs de recherche, les places de marchés (ou marketplaces) et les services dans le nuage.

    Par « service numérique », le projet de loi entend « tout service fourni normalement contre rémunération, à distance, par voie électronique et à la demande individuelle d’un destinataire de services ».

    Comme déjà exposé, la définition même est ouverte à interprétation, avec un flou nourri par l’adverbe « notamment ». Faut-il entendre l’ensemble des services en ligne, même gratuits, car fournis en contrepartie des données personnelles des internautes ?

    De même, l’expression de « service d’informatique en nuage » n’est pas bien limpide, puisque le projet de loi évoque « un service numérique qui permet l’accès à un ensemble modulable et variable de ressources informatiques pouvant être partagées. »

    Sont concernés par ces futures règles, tous les services offerts dans l’Union européenne par un fournisseur qui a son siège social ou son établissement principal en France ou qui y a désigné un représentant.

    Les entreprises qui emploient moins de cinquante salariés et dont le chiffre d’affaires annuel n’excède pas 10 millions d’euros sont exclues. Le texte ne dit pas si ce C.A. doit être calculé mondialement ou au niveau de l’UE ou de la France seulement.

    Des règles mêmes pressantes, mais toujours des déclarations d’incident

    Les obligations sont moins fortes que pour les OSE : ces acteurs seront tenus de garantir « en l’état des connaissances, un niveau de sécurité des réseaux et des systèmes d’information nécessaires à la fourniture de leurs services dans l’Union européenne adapté aux risques existants ».

    Ils devront identifier les risques et prendre « des mesures techniques et organisationnelles nécessaires et proportionnées (…) pour éviter les incidents de nature à porter atteinte à ces réseaux et systèmes d’information ainsi que pour en réduire au minimum l’impact, de manière à garantir la continuité de leurs services ».

    En somme, contrairement aux OSE, les FSN seront libres de définir les mesures de sécurité adaptées. L’obligation de déclaration d’incident existe, mais elle est aussi plus en retrait. Elle ne concerne que les incidents qui « ont un impact significatif (…) compte tenu notamment du nombre d’utilisateurs touchés par l’incident, de sa durée, de sa portée géographique, de la gravité de la perturbation du fonctionnement du service et de l’ampleur de son impact sur le fonctionnement de la société ou de l’économie ».

    L’ANSSI pourra informer le public ou imposer au fournisseur de le faire « lorsque cette information est nécessaire pour prévenir ou traiter un incident ou est justifiée par un motif d’intérêt général ». Si le Premier ministre est informé qu’un fournisseur ne respecte pas ces obligations, il pourra cette fois organiser des contrôles, via l’ANSSI, aux frais du fournisseur. Remarquons que le contrôle ne sera mis en œuvre qu’a posteriori.

    Les sanctions pénales seront de 75 000 euros si la structure ne se conforme pas à ces nouvelles obligations de sécurité, 50 000 euros si elle ne déclare pas un incident ou n’informe pas le public, 100 000 euros si elle fait obstacle aux opérations de contrôle.

    Ce projet de loi doit maintenant être voté à l’Assemblée nationale. Il entrera en vigueur au plus tard le 9 mai 2018.


  • Sécurité : Les chercheurs de la société Qihoo 360 Netlab alertaient au début du mois sur l’apparition d’un nouveau botnet IoT, baptisé Satori et fort de 260.000 machines infectées. Comme Mirai, celui-ci semble être l’œuvre d’un amateur.

    zdnetfr / Par Louis Adam / Vendredi 22 Décembre 2017

    Les auteurs de la première version de Mirai ont récemment été traduits devant un tribunal, face auquel ils ont reconnu leurs responsabilités pour le développement de ce botnet qui s’appuyait sur des objets connectés pour mener des attaques ddos d’une ampleur inégalée. Mais si les auteurs ont été appréhendés, l’exemple de Mirai et la publication de son code source ont inspiré toute une génération de cybercriminels, parfois semi-amateurs, qui reprennent les grands principes de fonctionnement de Mirai pour constituer leurs propres botnets.

    À ce petit jeu, le botnet repéré par les chercheurs de la société chinoise Qihoo 360 Netlab s’en tire plutôt bien. Baptisé Satori, celui-ci fonctionne sur un principe similaire à Mirai, en scannant le réseau pour repérer des objets connectés type routeurs ou cameras de surveillance, afin de les infecter et d’en prendre le contrôle. Contrairement à Mirai, dont les premières versions s’appuyaient essentiellement sur l’utilisation d’identifiants par défauts introduits par les constructeurs, Satori préfère de son côté avoir recours à différents exploits. Ainsi le malware utilisé pour propager le botnet scanne les ports 52869 afin de tenter d’exploiter une faille UPnP connue au sein de plusieurs appareils. Il tente également d’exploiter une faille 0day affectant les routeurs Huawei, corrigée depuis la découverte de ce malware. Cette faille 0day a néanmoins été essentielle dans le développement de ce botnet.


    Des similitudes avec Mirai

    La méthode utilisée par Satori lui a permis de se constituer un botnet de taille conséquente : au début du mois de décembre, date des premières publications sur ce botnet, Satori comptait 280.000 machines affectées. Récemment, ce chiffre s’est élevé à 500.000, avant que des chercheurs en sécurité ne parviennent à identifier le serveur de contrôle de ce botnet et le mettent temporairement hors d’usage.

    Dans un rapport publié hier, la société Check Point s’est de son côté penchée sur l’identité de l’opérateur de Satori. Selon les conclusions de celui-ci, il semblerait que Satori ne soit pas l’œuvre d’un groupe de cybercriminel expérimenté, mais plutôt d’un amateur éclairé, non sans rappeler l’auteur du malware Mirai. Les chercheurs de Check point sont ainsi parvenus à identifier une adresse email utilisée en lien avec l’infrastructure de Satori, également utilisée pour enregistrer un compte au nom de Nexus Zeta sur HackForums. Celui-ci pourrait donc être l’opérateur du botnet Satori. Nexus Zeta poste assez peu, mais plusieurs messages montrent qu’il s’était intéressé aux botnets IoT de type Mirai, bien que ses connaissances en la matière n’aient pas l’air très poussées.

    Comme l’indique Bleeping Computer, l’effort conjugué de plusieurs fournisseurs d’accès et société de sécurité a permis d’identifier et de mettre hors de contrôle le serveur de contrôle utilisé par Satori, ce qui rend le botnet inutilisable pour le moment. Mais en l’absence d’arrestation, il est tout à fait possible pour l’opérateur de ce botnet de mettre en place un nouveau serveur de contrôle et de relancer les scans et infections de machines pour reconstituer un nouveau botnet. L’utilité de celui-ci n’est pas connue, mais les chercheurs précisent que les machines infectées par Satori n’ont pas été détectées dans les récentes attaques Ddos. Mais comme l’ont prouvé les dernières révélations de l’affaire Mirai, la fraude au clic publicitaire se révèle une alternative bien plus intéressante pour les administrateurs de botnets, qui présente l’avantage d’être bien plus lucrative et discrète que les attaques ddos.

  • Mercenaires de la surveillance : le marché trouble des logiciels espions

    C’est un marché qui peut se révéler très lucratif, mais qui goûte peu la transparence. Depuis moins d’une dizaine d’années, des chercheurs et des ONG révèlent l’existence de logiciels espions perfectionnés, développés par des entreprises privées et vendus dans le monde entier à des services de renseignement étatiques et à des forces de police. A l’heure où les outils de communication numériques prennent de plus en plus d’importance dans les enquêtes criminelles et antiterroristes, ces sociétés leur fournissent des sésames censés ouvrir les portes de n’importe quel ordinateur ou téléphone.

    Un marché qui fait, aussi, des victimes collatérales. Des activistes, des chercheurs et des journalistes sont régulièrement la cible de ces logiciels indiscrets sous certains régimes autoritaires.

    Qui sont ces fabricants de « mouchards » ? Qui sont leurs clients ? Que font ces « armes » numériques ? Plongée dans l’univers opaque des logiciels espions.
    Elles se nomment Hacking Team, FinFisher ou encore NSO Group. Elles sont quatre ou cinq, nées il y a à peine une quinzaine d’années, à avoir fait l’actualité ces dernières années. Mais, en réalité, le marché de la surveillance est si opaque « qu’il est possible qu’on n’en connaisse même pas les plus gros acteurs », explique Bill Marczak, un des principaux experts dans ce domaine.

    M. Marczak est chercheur associé au laboratoire canadien Citizen Lab, un groupe d’experts en sécurité informatique qui s’est imposé, en quelques années, comme la plus importante source d’information sur les vendeurs de logiciels espions :

    « Des entreprises comme FinFisher et Hacking Team ont commencé à apparaître à partir du milieu ou de la fin des années 2000. Avant elles, il n’y avait pas vraiment d’entreprises vendant les mêmes produits. »

    Sans surprise, ces entreprises fuient la lumière et opèrent en toute discrétion. Ni Hacking Team, ni Gamma International (filiale de FinFisher) n’ont répondu aux sollicitations du Monde.

    Mais depuis plusieurs années, des experts et hackers ont réussi à en savoir davantage sur certaines d’entre elles. Ces entreprises, tout comme les groupes de hackers cybercriminels ou liés à des services de renseignement, laissent souvent des traces derrière elles : contraints de réutiliser des outils, des serveurs, du code informatique, ces logiciels deviennent plus facilement identifiables par les experts qui suivent leur piste.
    Vidéo promotionnelle de l’entreprise Hacking Team pour son logiciel espion Galileo
    Entreprise italienne, Hacking Team est devenue, contre son gré, la principale source d’information sur le marché des logiciels espions au cours de l’été 2015. Une importante quantité de données confidentielles de l’entreprise a été volée et diffusée en ligne. Ce piratage a été revendiqué par un ou plusieurs hackers, qui se surnomment Phineas Fisher.
    Les e-mails et documents volés, publiés par la suite par WikiLeaks et le groupe d’experts Transparency Toolkit, donnent notamment un aperçu du produit phare de Hacking Team, l’outil de surveillance Remote Control System, et de sa dernière version logicielle connue, nommée Galileo.

    Cette entreprise, qui s’est constituée un impressionnant carnet de clients (dont l’Italie, l’Arabie saoudite et les Etats-Unis), fonctionne comme n’importe quelle société commerciale, avec plusieurs dizaines de salariés identifiés, des responsables de la communication, qui établissent des éléments de langage pour répondre à chaque polémique, et un PDG, David Vincenzetti, qui a donné plusieurs interviews à la presse, et notamment au New York Times. Homme marié de 48 ans, M. Vincenzetti est présenté dans les rares portraits qui lui sont consacrés comme un jeune hackeur autodidacte, devenu businessman.
    L’entreprise israélienne NSO Group, présidée par Eran Gorev, a été rachetée en 2014 par le fonds d’investissement américain Francisco Partner. La société a produit ce qui a été décrit par plusieurs experts comme le plus sophistiqué de tous les logiciels espions ciblant les téléphones mobiles : Pegasus.

    Cet outil, vendu à des gouvernements et utilisé par des services de renseignement et des polices, utilisait notamment trois failles de sécurité extrêmement rares sur iOS, le système d’exploitation qui équipe les iPhone d’Apple. Un lien était envoyé par SMS à la cible : si celle-ci l’ouvrait dans son navigateur Safari, son téléphone était infecté de façon complètement invisible. L’attaquant avait alors accès à tous les messages de sa cible, à ses conversations téléphoniques et à la géolocalisation de l’appareil, et pouvait même activer à l’envi la caméra ou le micro du téléphone.

    Très peu d’informations circulent sur les clients de NSO Group, mais ses malwares – ciblant aussi bien Android, le système d’exploitation pour smartphone de Google, et iOS – ont été repérés aux Emirats arabes unis et au Mexique par les chercheurs du Citizen Lab. Selon le site spécialisé Intelligence Online et l’agence de presse Reuters, Francisco Partners s’appuie en Europe sur plusieurs sociétés luxembourgeoises : OSY Technologies, Triangle Holdings et Square 2. NSO s’apprête par ailleurs à changer de nom, celui-ci étant sali par des scandales, pour se baptiser Q Cyber Technologies.
    C’est grâce au travail méticuleux d’experts en sécurité que, depuis plusieurs années, des « échantillons » de logiciels espions professionnels ont pu être récupérés et analysés, alors qu’ils ont pour objectif de ne pas être découverts. Qu’il s’agisse de l’italien Galileo, de l’israélien Pegasus ou de l’allemand FinFisher, tous ces outils ont le même mot d’ordre : tout est bon à prendre, des SMS reçus et envoyés à la géolocalisation, en passant par les e-mails, le micro et l’appareil photo d’un téléphone. A l’autre bout de la lorgnette, les utilisateurs du logiciel disposent généralement d’un tableau de bord, qui leur permet d’extraire les données nécessaires à une enquête judiciaire, par exemple.
    Le flou qui entoure la vente de logiciels espions à des Etats commence dès l’entrée en contact d’une entreprise avec un gouvernement. La plupart des cas documentés montrent que ces rencontres se font rarement de but en blanc.

    Il existe des endroits où toutes ces entreprises sont rassemblées. Des conventions, salons et rassemblements annuels bien connus comme la Milipol, ou l’ISS World, dédiés aux technologies militaires et policières, où se rencontrent gouvernements et acteurs privés.

    Seth Hardy, chercheur pour l’entreprise de cybersécurité Lookout :
    « Les participants à ces événements sont contrôlés de près afin de s’assurer qu’ils sont bien des professionnels du secteur et pas des journalistes mettant leur nez là où il ne le faut pas. »

    Des acteurs intermédiaires entrent aussi en jeu. C’est ainsi qu’en 2013 un équipementier français est entré en contact avec Hacking Team, précisant qu’un de ses « partenaires » lui avait recommandé les logiciels espions italiens, et qu’il envisageait de les proposer à un de ses clients gouvernementaux. De même, aux Etats-Unis, l’agence fédérale antidrogues, la DEA, achetait des services à Hacking Team à travers une entreprise qui agissait comme revendeur du fabricant italien aux Etats-Unis.
    Quand ces entreprises s’expriment en public, elles déclarent, pour la plupart, ne vendre leurs logiciels qu’à des acteurs étatiques, afin qu’ils soient utilisés par des services de renseignement ou de police dans leur lutte contre le terrorisme, ou encore contre le trafic de drogue. C’est par exemple ce qu’assurait au New York Times le porte-parole de NSO Group, Zamir Dahbash, en septembre 2016.
    Selon un des documents internes dérobés lors du piratage de Hacking Team, l’entreprise comptait une cinquantaine de « clients actifs » en 2015. Une enquête du Citizen Lab estimait en 2014 qu’au moins 21 gouvernements étaient suspectés d’avoir acheté et utilisé les outils de l’italien Hacking Team.

    Les mêmes chercheurs ont suivi la trace de la société allemande FinFisher. Selon un rapport publié en octobre 2015, une trentaine de pays pourraient avoir utilisé un outil de surveillance de l’entreprise. Ces entreprises « vendront à tous ceux qui seront prêts à payer », estime Bill Marczak. « Dans le cas de certains pays au Moyen-Orient et au Proche-Orient, des gouvernements riches sont prêts à payer pour surveiller les activistes et prévenir de possibles soulèvements », poursuit le chercheur, qui souligne notamment l’effet incitatif des révoltes du Printemps arabe dans les années 2010.

    Le prix de vente de ces outils n’est jamais communiqué directement. Les gouvernements qui s’offrent les services de Hacking Team, par exemple, paient à la fois pour l’installation, une brève formation aux outils, un service client et l’achat des licences d’utilisation. Au total, pour chaque client étatique, la facture annuelle peut s’élever à plusieurs centaines de milliers d’euros, selon un document interne de Hacking Team que Le Monde a pu consulter.
    Les autorités françaises n’ont jamais confirmé l’achat de logiciels espions à des entreprises privées. Après le piratage de Hacking Team, des documents ayant fuité ont montré des contacts entre les autorités françaises et l’entreprise italienne, notamment en 2013, 2014 et 2015, mais le ministère de l’intérieur avait assuré au Monde, à l’époque de la fuite, que ces contacts n’avaient pas abouti à une transaction.
    Les logiciels espions sont considérés par des textes de droit international comme des biens à double usage (“dual use goods”), ce qui signifie que leur exportation et leur commerce doivent être contrôlés et régulés au même titre que pour les armes. Le texte essentiel en la matière est l’”Arrangement de Wassenaar”, un accord non contraignant liant une quarantaine de pays, dont la France et les Etats-Unis, mais dont l’application est laissée à la discrétion des pays membres. Si ce texte a été amendé en 2013 pour prendre en compte la menace de certains outils numériques, ces changements n’ont par exemple pas encore été répercutés au niveau national aux Etats-Unis, où des débats ont opposé humanitaires, législateurs et entreprises de la tech.

    Pour Sarah McKune, experte juridique au Citizen Lab, “l’intégration de ces textes dans les droits nationaux et la rigueur des contrôles effectués” sont les maillons faibles de cette tentative d’enrayer les ventes de mouchards à des régimes autoritaires.

    Toutes les entreprises incriminées ces dernières années assurent se conformer au droit international et aux règles d’exportation, mais Mme McKune, comme d’autres experts, s’inquiète d’un laxisme des autorités nationales pour favoriser la croissance de leurs entreprises.

    Eurodéputée Verte engagée sur le sujet, Marietje Schaake appelle l’Union européenne à prendre des mesures pour empêcher la vente de cyberarmes à des régimes autoritaires. Elle estime que les réglementations actuelles sont insuffisantes, et trop mal appliquées pour lutter contre les dérives de ces logiciels espions.
    Tous ces logiciels sont en principe vendus afin d’être utilisés dans le cadre légal de chaque pays, afin de lutter aussi bien contre le terrorisme que le trafic de drogue : la DEA, par exemple, l’agence fédérale anti-drogue américaine, faisait partie des clients de Hacking Team.

    Vendus à certains pays, ces logiciels espions peuvent toutefois devenir des outils de répression contre des opposants politiques. C’est le cas, par exemple, en Egypte.
    This browser does not support HTML5 video

    Des écouteurs vissés dans les oreilles, coiffé d’un keffieh typique de la péninsule arabique, Ahmed Mansoor communique prudemment. Depuis qu’il a commencé à critiquer publiquement le gouvernement des Emirats arabes unis, il n’a pas seulement fait de la prison et été agressé par un inconnu, mais son ordinateur et son téléphone portable sont aussi régulièrement la cible d’attaques informatiques.

    Ce militant décoré du prix Martin Ennals – sorte de Prix Nobel des droits de l’homme – est emprisonné depuis plusieurs semaines, accusé de diffamation et d’attaques contre le gouvernement émirati, et sa détention a suscité l’indignation de plusieurs ONG, dont Amnesty International. Quelques mois plus tôt, il a accordé une interview au Monde, pour parler de son militantisme et des attaques, physiques et informatiques, dont il a été la cible en raison de son engagement politique.
    En quelques années, le militant émirati a été ciblé par des logiciels espions commercialisés par au moins trois entreprises privées différentes, dont deux sises en Europe. Mais, comme dans tous les cas étudiés par le Citizen Lab, il fut impossible d’établir le commanditaire exact de l’attaque, et de le relier aux autorités des Emirats arabes unis. Cependant, des documents internes de Hacking Team ont par la suite montré que le ministère de l’intérieur et l’Air Force émiratie avaient bien fait partie des clients du fabricant italien.

    Ahmed Mansoor a commencé il y a plus d’une décennie à militer pour la liberté d’expression aux Emirats arabes unis. Il a d’abord suivi et étudié plusieurs cas de violation de ces droits par les autorités, y compris des arrestations, la fermeture de forums de discussion, etc. “Après le Printemps arabe, raconte l’ingénieur, les choses se sont accélérées. Nous sommes passés de violations de la liberté d’expression (...) à des disparitions, de la torture, des procès politiques… En matière de droits de l’homme, nous traversons la pire période de l’histoire des Emirats arabes unis”, lâche le militant.

    Lui-même a fait huit mois de prison en 2011 pour des propos tenus contre le président cheikh Khalifa ben Zayed Al Nahyane, s’est retrouvé sans passeport, ni autorisation de travailler. Avant d’être à nouveau arrêté au début de l’année 2017.

    Ces dernières années, l’activiste émirati a été la cible de plusieurs attaques informatiques, et sa boite mail a été piratée à au moins deux reprises. “J’ai rencontré Ahmed Mansoor en ligne en 2012, après avoir publié un premier rapport sur FinFisher et des activistes ciblés au Bahrein”, se remémore Bill Marczak. L’activiste a alors communiqué, quelques jours plus tard, des emails qui lui semblaient suspect. En les analysant, le Citizen Lab a réussi à remonter la trace d’un logiciel espion d’Hacking Team.

    En août 2016, Ahmed Mansoor a transmis au Citizen Lab un SMS qui lui semblait également suspect. En l’analysant, en collaboration avec l’entreprise spécialisée Lookout, les chercheurs ont alors découvert Pegasus. Le logiciel espion extrêmement sophistiqué de l’entreprise israélienne NSO Group aurait été en mesure de casser la sécurité de l’iPhone de M. Mansoor avec un simple lien, en s’appuyant sur des failles de sécurité extrêmement rares.

    Le cas d’Ahmed Mansoor est particulier : la sophistication des outils utilisés pour l’espionner laisse à penser qu’au moins un gouvernement a dépensé une fortune en l’espace de quelques années en logiciels espions, notamment pour s’en prendre à des dissidents politiques, mais l’expérience et la vigilance de ce militant lui ont permis de déjouer de nombreuses attaques.
    Le travail des chercheurs du Citizen Lab a permis de découvrir des dizaines de militants, journalistes et opposants politiques victimes de logiciels espions. Au Maroc, les journalistes citoyens du site Mamfakinch.com, dont le rédacteur en chef, Hisham Almiraat, très critique du gouvernement, ont été en 2012 la cible de la célèbre suite Remote Control Software, conçue par l’italien Hacking Team.

    “La découverte [de cette attaque] était significative, et l’un des premiers cas documentés d’attaques informatiques contre des activistes et des journalistes utilisant des logiciels conçus en Europe”, écrivait Claudio Guarnieri en décembre 2016.

    En février 2017, le Citizen Lab a révélé des attaques informatiques contre des chercheurs et citoyens mexicains travaillant dans le domaine de la santé publique. S’appuyant sur le logiciel Pegasus de l’israélien NSO Group, la campagne d’espionnage pourrait avoir servi les intérêts commerciaux d’entreprises vendant des sodas.

    Certains cas, comme l’espionnage de militants tibétains, ont montré que cette "artillerie lourde" cyber n’était pas toujours nécessaire, et que certains gouvernements ont recours à des outils moins chers, moins sophistiqués, mais très efficace contre des individus peu sensibilisés.


  • Alphonso, un ami un peu trop à l’écoute

    zdnet / par Louis Adam


    Selon le New York Times, un peu plus de 1000 applications disponibles sur le Google Play Store auraient recours au micro du téléphone pour espionner l’environnement de l’utilisateur. Une technique rendue possible par l’intégration Alphonso, un module dédié à l’analyse de ces données volées grâce au micro.

    Présent sur plus de 250 applications Android d’apparence inoffensive, le mouchard Alphonso a aujourd’hui les honneurs d’un article du New York Times consacré à son activité. Le journal américain explique ainsi avoir retrouvé le module dans environ 250 applications proposées sur le Google Play Store, parfois dans des applications et jeux explicitement destinés aux enfants.

    Alphonso est un module destiné à collecter des données à destination des annonceurs TV. Celui-ci fonctionne en demandant l’autorisation d’accéder au micro du smartphone, puis en enregistrant les sons ambiants qui lui permettent ensuite d’identifier l’empreinte sonore correspondant à une publicité.

    Cet outil de mesure de l’audience permet ainsi de connaître les publicités auxquelles l’utilisateur du téléphone est exposé, que ce soit chez lui ou chez des amis ou dans la rue. Alphonso compare également ces informations avec des données de géolocalisations récupérées par l’appareil, afin d’affiner ses estimations et ces données sont ensuite revendues à des annonceurs souhaitant faire de la publicité ciblée.

    Alphonso est donc intégré dans plusieurs applications parmi lesquelles on retrouve notamment des jeux directement destinés aux enfants. Ce sont les applications qui demandent l’accès au micro, sans explicitement informer l’utilisateur que celui-ci sera par la suite utilisé pour récupérer des données audio captées à des fins publicitaires.

    Interrogés par le New York Times, les dirigeants responsables de la distribution d’Alphonso se défendent en rappelant que l’application respecte scrupuleusement les règles mises en place par Google sur son Google Play Store, et que l’utilisateur peut décider à tout moment de désactiver la collecte des données par le micro. Encore faudrait-il pour cela qu’il ait conscience que son micro est utilisé à cet effet.

    Cette affaire illustre une fois encore la problématique des autorisations d’accès exigées lors du téléchargement d’apps, autorisations (géolocalisation, journal des appels...) qui n’ont parfois rien à voir avec l’objet de ces apps et qui permettent de collecter en douce de la bonne data...


  • Un accès piraté à la base de données biométrique du milliard d’Indiens coûte 7 euros

    Un journaliste indien a pu, moyennant 7 euros, acheter à un groupe anonyme l’intégralité de la base de données nationale contenant les informations privées d’un milliard de citoyens. Un fiasco de plus pour ce projet gouvernemental controversé.

    C’est la plus grande base de données biométrique au monde. L’ambition d’Aadhaar (« la base », dans la plupart des langues indiennes) est en effet sans précédent : assigner à chacun du 1,3 milliard de citoyens indiens un numéro à douze chiffres auquel tout serait lié. Carte d’identité, compte en banque, numéro de téléphone, factures, logement, réservations de train, et même paiement par empreinte digitale — Aadhaar serait au monde physique en Inde ce que l’e-mail est au monde numérique. Un identifiant omniprésent, indispensable, et qu’il ne faut absolument pas se faire pirater.

    Or, depuis son lancement en 2009, ce gigantesque projet du gouvernement indien multiplie les ratés : mal implémenté, faisant craindre des dérives à la Big Brother ou encore victime de fuites. Cette fois-ci, c’est un journaliste du quotidien The Tribune qui a pu, en s’adressant à un membre d’un groupe Whatsapp, obtenir un accès aux entrailles d’Aadhaar et aux informations personnelles de tout un pays.

    L’article complet dans Numerama par Victoria Castro - 05 janvier 2018


  • La Cnil sanctionne Darty pour ne pas avoir assez protégé les données de ses clients

    numerama / par Julien Lausson / mercredi 10 janvier 2017


    La Cnil a décidé d’infliger une amende de 100 000 euros à Darty pour ne pas avoir suffisamment sécurisé les données de ses clients. En l’espèce, l’enseigne paie pour les erreurs de son sous-traitant, qu’elle aurait dû mieux contrôler en sa qualité de responsable du traitement.

    Le début de l’année commence mal pour Darty. En effet, l’enseigne spécialisée dans l’électroménager et l’informatique grand public vient de recevoir une sanction de la Commission nationale de l’informatique et des libertés pour des « manquements à la sécurité et à la confidentialité ». Montant de l’amende que l’entreprise va devoir régler ? 100 000 euros.

    La décision de sévir contre Darty a été prise « en raison de la multitude de catégories de données traitées qui révèlent des informations sur les personnes et leur vie privée, au travers notamment des commandes passées », commente la formation restreinte, qui qualifie la situation de « grave ». Cependant, Darty conserve la possibilité de faire appel cette décision devant le Conseil d’État.

    C’est d’ailleurs la perspective que l’entreprise suggère dans une réaction : « nous nous étonnons de cette décision et nous réservons nos droits au titre d’un éventuel recours », car la Cnil « n’a constaté aucune fuite de données » et que le prestataire a mis en oeuvre, « à l’insu de Darty, une fonctionnalité de l’application que Darty n’avait pas sollicitée et n’a donc pas utilisée ».


    Darty a fait preuve de négligence dans le suivi des actions de son sous-traitant

    Publiée au Journal officiel, la sanction rappelle en particulier que Darty endosse le rôle de responsable de traitement et qu’à ce titre, il lui appartient « de s’assurer et de vérifier que toutes les composantes et options de l’outil de gestion des demandes de service après-vente développées par [son sous-traitant] répondaient à l’obligation de confidentialité énoncée à l’article 34 de la loi précitée ».

    Il aurait donc fallu, poursuit la délibération de la Cnil, que Darty fasse « désactiver tous les modules inutilement mis en œuvre par son prestataire », car il s’agit d’une « bonne pratique en matière de sécurité des systèmes informatiques » que de mettre à l’arrêt les modules ou les fonctionnalités d’un outil qui ne sont pas requis ou employés, afin de réduire l’exposition aux risques, quels qu’ils soient.

    Or, continue l’autorité, ses enquêteurs « ont pu accéder aux demandes de service après-vente formulées par les clients de la société, confirmant ainsi le défaut de sécurisation signalé par un tiers ». Or dans la loi, « une violation de données est réalisée dès lors que des données à caractère personnel ont été rendues accessibles, volontairement ou non, à des tiers non autorisés », rappelle-t-elle.

    La formation restreinte tient toutefois à faire remarquer que si des données à caractère personnel ont pu être vues, celles-ci ont degré de criticité relativement modéré.

    Il ne s’agit en effet ni de données bancaires ni de données au sens de l’article 8 de la loi du 6 janvier 1978 modifiée, c’est-à-dire les données relatives aux origines ethniques, aux opinions politiques, philosophiques et religieuses, à l’appartenance syndicale, à la santé et à la sexualité. En l’espèce, la collecte ou le traitement de ces données sont strictement interdits.


  • OnePlus : des données bancaires dans la nature, 40 000 clients potentiellement touchés

    Next Inpact / Par Sébastien Gavois le vendredi 19 janvier 2018 à 17:20

    OnePlus confirme avoir été victime d’un piratage sur son site. Un script malveillant a été installé afin de récupérer les données bancaires lorsqu’elles étaient saisies (et donc en clair). 40 000 clients sont potentiellement touchés.

    Depuis plusieurs jours, des clients OnePlus affirment avoir été victimes de transactions frauduleuses sur la carte utilisée pour commander sur le site du fabricant. Ce dernier avait réagi officiellement : le paiement par carte bancaire a été désactivé et une enquête ouverte.


    Les données bancaires récupérées directement lors de la saisie

    Dans une mise à jour du billet de blog, il donne de plus amples informations... et elles ne sont pas bonnes : « Nous sommes profondément désolés d’annoncer que nous avons effectivement été attaqués, et que jusqu’à 40 000 utilisateurs pourraient être affectés par cet incident ».

    OnePlus explique qu’un « script malveillant a été injecté dans le code de la page de paiement afin de récupérer les informations liées à la carte de crédit durant la saisie ». Il est question du numéro de carte bancaire, de la date d’expiration et du code de sécurité, bref de quoi passer des commandes sur d’autres sites.

    Le script fonctionnait « par intermittence », envoyant aux pirates les données récoltées directement depuis le navigateur du client. Le script a bien évidemment été effacé et le serveur infecté mis en quarantaine affirme la société.
    Un script en place pendant près de deux mois...

    Les clients ayant saisi leurs informations bancaires entre mi-novembre et le 11 janvier sont potentiellement touchés (ils sont 40 000), et sont tous contactés par email. Par contre ceux ayant enregistré leur carte avant cette date ou ayant payé via PayPal ne sont pas concernés.

    La société se confond en excuse, ajoutant qu’elle va renforcer sa sécurité. Elle ne communique pas pour le moment sur un éventuel dédommagement. Dans tous les cas, il est évidemment recommandé aux personnes concernées de vérifier attentivement leurs relevés de comptes afin de détecter rapidement d’éventuelles transactions frauduleuses et de contacter leur banque le cas échéant.

    Petit bonus avec l’achat de mon #oneplus 5t (cc @nextinpact ) pic.twitter.com/MBnJIqQcwf
    — Joël Chastagnier (@j_chas) 19 janvier 2018

  • Le Télégramme / Publié le 21 janvier 2018


    Conférence de la Liberté de l’esprit. « Internet et ses menaces »

    On a parfois tendance à l’ignorer : internet est un espace public. Bref, il n’est pas inutile de prendre des précautions sur le web. C’est du moins le discours qu’a tenu en substance, vendredi soir, dans le cadre de la Liberté de l’esprit Hélène Le Bouder, docteure en sécurité informatique à l’IMT Atlantique de Rennes. Pour la chercheuse, les menaces sur la toile sont multiples, mais proportionnelles aux enjeux. En d’autres termes, un utilisateur lambda du net est moins vulnérable qu’une (grande) entreprise soumise à un marché très concurrentiel. Contrairement à une idée répandue, le pirate de l’internet n’a pas uniquement le visage anonyme du hacker californien recroquevillé dans son garage. Les menaces d’ailleurs viennent surtout des mafias, des entreprises, des États ou tout simplement d’individus aux motivations diverses (goût pour la provocation, volonté de surmonter un défi). Sans basculer dans le discours paranoïaque, Hélène Le Bouder a rappelé qu’un internaute doit impérativement s’équiper d’un antivirus, « y compris sur Mac », précise-t-elle. « À mettre à jour régulièrement, sécuriser ses mots de passe. Il faut éviter les objets connectés », qu’elle assimile, avec une certaine bonhomie, à des « cochonneries connectées ». « Le reste, dit-elle, est question de bon sens. Et d’éducation. Les enfants de CM2 passent désormais un permis internet, c’est une bonne nouvelle ».

    Gilles Carrière



Un message, un commentaire ?

modération a priori

Ce forum est modéré a priori : votre contribution n’apparaîtra qu’après avoir été validée par un administrateur du site.

Qui êtes-vous ?
Votre message

Ce formulaire accepte les raccourcis SPIP [->url] {{gras}} {italique} <quote> <code> et le code HTML <q> <del> <ins>. Pour créer des paragraphes, laissez simplement des lignes vides.

La liberté de l'esprit, c/o Maison des associations, 53, impasse de l'Odet, 29000 QUIMPER
SPIP | | Suivre la vie du site RSS 2.0