Cybersécurité: Faut-il attaquer l'attaquant ? (LIO lutte informatique offensive)

 

Cybersécurité et Sécurité offensive (LIO): vers l'affrontement numérique ? 

 

55265bad35704bb01ba8dea0

                    Quelle cyber-cible "stratégique" après TV5 en avril dernier ? 

 

Ce qu'en pensent les experts:

 

Cédric Pernet, chercheur Cyber Safety Solutions, Trend Micro :

« Le basculement dans l’offensif se fait lorsque les mêmes méthodes que celles déployées par les attaquants sont utilisées. Elles ne sont d’ailleurs pas forcément différentes de celles déployées lors de tests d’intrusion, mais ces derniers sont cadrés et dans le respect de la loi. Je pense en particulier à des nouvelles méthodes de tests d’intrusion que sont les simulations d’attaques APT. »

 

 

Thomas Girard, CS,  directeur du département Conseil et SSI, de la BUDéfense,Sécurité ATM :

 

 

  - « on constate que les tabous sont en train de tomber de-ci de là sur le sujet de la LIO »

 

- « Aujourd'hui on sait qu'on peut quasiment laisser les traces que l'on souhaitelors d'une attaque bien préparée »

- « De mon point de vue, la vente d'exploit ne pourra jamais être complètement transparente. Il y a trop d'enjeux de souveraineté et de compétitivité nationale en jeu »

(Lire en fin d'article un extrait de l'entretien de Thomas Girard)

 

 

 

Cédric Pernet est un ancien officier de Police Judiciaire à l'OCLCTIC. Il a été membre du Cert LEXI et consultant CERT SG avant d'intégrer Cassidian / EADS Airbus Group et rejoindre en février 2015 Trend Micro comme chercheur. Il est l'auteur d'un excellent livre chez Eyrolles : « APT : Sécurité et espionnage informatique ». APT, 0Day, offensif...  trois mots pour une même problématique: la cyber-riposte. En cyber-défense, c'est acquis (LIO lutte informatique offensive) via la dernière version du Livre Blanc mais en cybersécurité par exemple jusqu où "pousser" les missions de Forensic ? 

Faut-il attaquer l'attaquant ? La question se pose aujourd'hui même si certains la réfute... du moins officiellement (cf la section BONUS en fin d'interview)  Elle sera au coeur des prochaines Assises de la Sécurité en octobre prochain comme elle est déjà "franchement" abordée dans de nombreuses conférences IT depuis des années. Alors parlons-en avec Cédric Pernet.... et quelques autres personnalités scientifiques moins "frileuses" que d'autres obligées de respecter les règles "confidential corporate" sur ce sujet. 

 

  

1 - Cyberisques NEWS: Cédric, pour connaître ton attaquant attaque-le. Nouvelle cyber-doctrine ou démagogie ? Cyber-riposter c'est accepter de se mettre au niveau des cyber-délinquants en ignorant morale et législation. Est ce envisageable en cyber-sécurité ?

Cédric Pernet: Je ne pense pas qu'il faille attaquer l'attaquant, cela reviendrait à se mettre à son niveau, celui d’un cybercriminel. D’autant plus qu’il peut y avoir une investigation judiciaire en cours n’importe où dans le monde sur tel ou tel groupe d’attaquants, et il n’est pas forcément facile d’être au courant de cette investigation. En revanche, il est possible de collaborer avec d'autres chercheurs et des structures de type CSIRT/CERT, services judiciaires et autres partenaires du secteur privé. Il est ainsi possible d’obtenir des données sans passer par l'offensif et souvent de mettre à mal des structures d’attaquants*.

Le basculement dans l’offensif se fait lorsque les mêmes méthodes que celles déployées par les attaquants sont utilisées. Elles ne sont d’ailleurs pas forcément différentes de celles déployées lors de tests d’intrusion, mais ces derniers sont cadrés et dans le respect de la loi. Je pense en particulier à des nouvelles méthodes de tests d’intrusion que sont les simulations d’attaques APT.

 

2 - Si une cyber-riposte est décidée, quelles sont les limites à ne pas franchir ? Par exemple, riposter c'est prendre le risque de détruire des preuves sur un serveur d'attaquants et de les informer qu'ils sont surveillés.

Je me pose la question de la plus-value d’une telle opération. Si les secrets de l’entreprise ont déjà fuité, c’est trop tard de toute façon pour les récupérer. Quel serait le but de cette cyber riposte ? Mieux connaître l’attaquant ? Cela ne semble pas être la priorité d’un décideur qui se fait compromettre et dérober ses secrets. Sa priorité consiste a écarter l’attaquant et ne plus lui donner la possibilité de revenir. Remonter à la source d’une attaque n’est pas dans ses priorités immédiates. La question de cyber ripostes organisées par certaines entités étatiques se pose, mais je ne pense pas être à même d’y répondre.

 

3 En pratique, quels outils voire cyber-armes utilisés pour cyber-riposter ? Comment avec quelles vulnérabilités a exploiter ?

La riposte peut prendre divers aspects. Tout est possible. Tout dépend de la cible. En APT la phase de reconnaissance permet de comprendre le niveau de maturité informatique de la cible et ainsi savoir quelle technicité déployer pour attaquer. Les mêmes outils sont toujours utilisés : des RAT, Backdoors et des outils pour rebondir dans le système compromis. Il faut laisser de côté les idées reçues qui disent qu'il faut des exploits « 0day » pour s'introduire sur un réseau. En pratique, c'est assez facile de pénétrer la plupart des entreprises. Les décideurs sont parfois influencés par des discours marketing de fournisseurs qui font croire que certains produits sont « magiques » et vont tout faire tous seuls, mais derrière ces équipements de sécurité il faut des analystes et des gens compétents pour analyser les détections en fonction de leur importance. Hiérarchiser les informations reçues est capital. Un SOC qui se contente de lever des alertes sans les faire qualifier finement par un analyste en Threat Intelligence ne sert à rien.

 

4 Combien de vulnérabilités 0day sont achetées en moyenne chaque mois dans le monde ? Par qui**?

C’est difficile à estimer, pour ce qui est de la quantité. Les acheteurs sont généralement des Etats ou des entreprises privées C’est un marché forcément très discret**.

 

5 Industriels / éditeurs : les rôles sont ils bien répartis sur le marché des Zéro day ***?

Certaines entreprises vendent effectivement des outils de type RAT/backdoor, ou des exploits 0day. Pour ce qui est des attaquants APT, ils utilisent des malwares développés en interne ou des malwares tiers modifiés pour ne pas être détectés facilement par les AV.

L’achat de malware/RAT à des tiers est risqué, ils peuvent contenir des backdoors, qui ne sont généralement détectables qu’en procédant par rétro-ingénierie, ce qui prend du temps.

Chez les éditeurs les binaires tournent dans des sandbox d’analyse et cela suffit dans la grande majorité des cas. Quelques-uns nécessitent une analyse manuelle, ce sont en général des malwares plus sophistiqués.

 

6 – Peut-on estimer le « Business de la LIO (lutte informatique offensive) » en 2015 ?

Il existe un marché du zero day dont les prix varient par exploit de quelques centaines d’Euros à plusieurs centaines de milliers d'Euros. Le prix est fixé à partir de plusieurs paramètres, dont notamment l’exploitabilité de la vulnérabilité et sa fréquence en entreprise. Un exploit fonctionnant pour un logiciel présent dans toutes les entreprises vaudra forcément plus cher qu’un exploit ciblant un logiciel moins répandu.

 

7 La confiance dans les équipements demeure une question stratégique : faut-il faire des audits « hard » comme on pratique les audits de codes ?

Effectivement, on en arrive à avoir la nécessité de faire des audits de ces matériels par des tiers de confiance. Si j’étais RSSI chez un OIV je voudrai avoir la certitude que le matériel et son code sont « propres ».

 

8 Cybersabotage ? Quelle réponse en cas de cyber-chantage et d'attaques ciblées ?

Dans l’idéal, il faut déjà avoir des plans de réponse au cyber chantage et ne pas attendre passivement que cette situation catastrophique se présente un jour. Il faut avoir des backups de ses données stockés en dehors de tout système connecté, etc.

En cas d’attaque ciblée, il faut faire intervenir une équipe de réponse à incident qualifiée, rapidement. Cette ressource ne se trouve généralement pas en interne et nécessite souvent une intervention externe. Cela a du sens, parce que des profils internes même orientés sécurité n’auront pas l’expérience d’autres profils habitués à travailler sur des APT. L’expérience est déterminante lors d’une réponse à incident sur APT.

Le nerf de la guerre dans la lutte contre les APT c'est la sensibilisation qui implique le collaborateur. On peut par exemple mettre en place des sensibilisations pour les nouveaux employés qui impliquent de leur faire remplir des questionnaires ludiques de sécurité, ou encore lancer de véritables campagnes de phishing et aller voir individuellement les personnes y ayant répondu.

Propos recueillis par Jean Philippe Bichard pour cyberisques NEWS

 

Pour accéder à l'intégralité de notre contenu: 

 

CYBERISQUES NEWS premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX / CODIR

 

Abonnement individuel par eMail personnalisé

 

Renseignements Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

 

 

BONUS : (extrait)

Sur le site d'un acteur connu en prestations de services de cybersécurité on peut lire : 

Les APT ne sont plus réservées aux intérêts nationaux. Les cybercriminels se sont professionnalisés et rivalisent aujourd’hui en sophistication avec les attaques étatiques les plus abouties. Toute entreprise doit donc aujourd'hui préparer sa défense et concevoir sa riposte..."

Officiellement, cet acteur ne désire pas s'exprimer c'est du moins ce qu'affirme son service de communication externe (Agence PR). Officieusement donc, nous l'avons rencontré pour échanger entres autres sur l'évolution du cadre légal lié à la LIO (Lutte informatique offensive). Article à venir :)    doit donc aujourd’hui préparer sa défense, et concevoir ses ripostes. Toute entreprise doit donc aujourd’hui préparer sa défense, et concevoir ses ripostes. 

 

 

* collaboration Trend Micro/Interpol/Kaspersky/Microsoft/Cyber Defence Institute : http://blog.trendmicro.com/trendlabs-security-intelligence/simda-a-botnet-takedown/

 

** http://www.forbes.com/sites/andygreenberg/2012/03/23/shopping-for-zero-days-an-price-list-for-hackers-secret-software-exploits/ et https://hackerone.com

 

*** http://cyberisques.com/fr/mots-cles-1/446-trendlabs-les-tetes-chercheuses-de-trend-micro-pretes-pour-passer-a-l-offensif

 

 

 

 


Thomas Girard, CS,  directeur du département Conseil et SSI, de la BUDéfense,Sécurité ATM :

 

 

 

- « on constate que les tabous sont en train de tomber de-ci de là sur le sujet de la LIO »

 

- « Aujourd'hui on sait qu'on peut quasiment laisser les traces que l'on souhaitelors d'une attaque bien préparée »

- « De mon point de vue, la vente d'exploit nepourra jamais être complètement transparente. Il y a trop d'enjeux de souveraineté et de compétitivité nationale en jeu »


 

1-  Faut il attaquer l'attaquant ? Pour connaître ton attaquant attaque-le. Nouvelle doctrine ou démagogie ? Autrement dit cyber-riposter c'est aussi se mettre au niveau des cyber-délinquants en ignorant morale et législation ? 

 

 

 

Il faut attendre la doctrine cyber qui sortira en intégrant peut-être l'aspect Cyber à une nouvelle arme, voire une nouvelle armée. La philosophie des règles d'engagements devrait y être précisée. Cyber protection, cyberdéfense, cyberésilience : ces trois thèmes cyber ont des approches différentes mais sont complémentaires. Au Ministère, on se rend compte que sur un théâtre par exemple ce sont les mêmes personnes qui font de la cyberdéfense (partie LID) et de la cybersécurité (partie SSI).

 

Quant à la partie offensive, avec des cyber arsenaux... personne ne l'évoque clairement aujourd'hui. A l'instar du nucléaire, on ne va pas faire défiler ces armes au défilé du 14 juillet. Malgré tout, on constate que les tabous sont en train de tomber de-ci de là sur le sujet de la LIO.

 

Dans le privé, nous sommes à la limite du tolérable concernant la sécurité des patrimoines immatériels de grandes entreprises françaises même si certains grands comptes sont en mesure de se protéger relativement correctement. Le renforcement de la législation devrait permettre un certain renforcement à marche forcée des entreprises.

 

Concernant le chiffre (cryptographie), il a toujours eu une place particulière : est-on sûr que les algorithmes et leur l'implémentation sont invulnérables aux puissances étrangères ? En tout cas il faut l'espérer, même si c'est une question que l'on peut se poser.

 

 

 

2 - Si une cyber-riposte est décidée, quelles sont les limites a ne pas franchir ? Par exemple, riposter c'est prendre le risque de détruire des preuves sur un serveur d'attaquants et de les informer qu'ils sont surveillés

 

L'analogie avec les opérations spéciales semble se dessiner aujourd'hui. De mon point de vue, il faut considérer l'outil informatique offensif comme un effecteur comme les autres.
Concernant l'Etat, les limites à ne pas franchir seront définies par une doctrine militaire. On est dans le pur commandement militaire. Quel est l'effet recherché ? La destruction, le pourrissement, la mise hors service, le renseignement, etc. ? Veut-on laisser des traces oupas ? Aujourd'hui on sait qu'on peut quasiment laisser les traces que l'on souhaitelors d'une attaque bien préparée. 


2bis - Quelles règlesd'engagement dans le domaine cyber ? Quel positionnement de l'arme cyber dans les armées ?

...

(Suite de l'article accessible pour les abonnés à Cyberisques NEWS)

 

 

 

A consulter: (extrait) 

http://legifrance.gouv.fr/affichTexte.do;jsessionid=?cidTexte=JORFTEXT000030405967&dateTexte=&oldAction=dernierJO&categorieLien=id&utm_content=bufferd7b72&utm_medium=social&utm_source=twitter.com&utm_campaign=buffer

- "ShortMag" Magazine des ingénieurs de l'armement, HS Janvier 2014 l'article de Jean-François Pacault "A l'attaque!"

http://www.netragard.com/exploit-acquisition-program-shut-down

http://www.pwc.co.uk/assets/pdf/2015-ISBS-Technical-Report-blue-digital.pdf

 - ...

  

 

 

Voir le profil de Jean Philippe Bichard sur LinkedIn

Julian Assange: "Téléphones et disques durs du monde entier sont sur surveillance, à quoi s'ajoute la coopération d'entreprises comme Google. "

 Julian Assange : "Aucun citoyen européen n'est à l'abri"

ASSANGE-2-MARS-2015-CYBERISQUES-NEWS

 

7h45, lundi 2 mars 2015 : Thomas Sotto (Europe1) recevait Julian Assange, fondateur de Wikileaks -

VIDEO: http://www.europe1.fr/mediacenter/emissions/l-interview-verite-thomas-sotto/videos/assange-la-russie-ne-m-a-pas-accuse-d-espionnage-les-etats-unis-si-2387191 (1)

 

On entend parler de vous depuis des années mais qui est Julien Assange ? Justicier, illuminé, résistant, mégalo ?

"Je ne sais pas ! Si vous lisez la presse, tous ces qualificatifs et bien d'autres ont été utilisés ! Tortionnaire de chats, agent du Mossad et j'en passe..."

 

Comment vous vous définissez ?

"Vous savez que j'ai étudié la physique pendant très longtemps alors, qu'est-ce que je fais ? Je m'efforce de faire en sorte que les êtres humains aient accès à des informations auxquelles ils n'ont pas accès autrement. Habituellement, ce sont des informations qui sont censurées mais elles sont précieuses pour nous permettre de mieux comprendre notre environnement et faire advenir la Justice ! Ce n'est pas systématiquement le cas mais de même que pour comprendre le monde et être civilisé, il est indispensable de savoir lire et écrire, l'accès à ces informations est également essentiel."

 

Wikileaks aura 10 ans l'an prochain. Vous ne craignez pas d'alimenter une grande théorie du complot mondial ?

"Je suis assez agacé par les théoriciens du complotpour une raison très simple !Au quotidien, nous publions des documents sur les agissements effectifs des gouvernements concernés ! Il n'y a rien qui concerne des extra-terrestres ou des aliens, rien de tel, mais bien des manoeuvres géopolitiques secrètes qui vont à l'encontre de l'intérêt du public ! Il me semble que c'est là-dessus que les gens devraient se concentrer !"

 

Le chef de ces manipulateurs s'appelle Barack Obama ?

"J'aimerais le croire ! Ce serait très confortable de croire que le monde est aussi simple que cela et que les responsables que nous élisons, ou non, sont effectivement ceux qui gèrent le monde ! Malheureusement, les choses ne fonctionent pas comme cela ! Nous voyons l'émergence progressive d'un véritable régime de surveillance de masse parfaitement Orwellien, qui est le fait principalement des gouvernements américains et britanniques, mais auxquels s'associent 38 autres pays ! Téléphones et disques durs du monde entier sont sur surveillance, à quoi s'ajoute la coopération d'entreprises comme Google. Je crois que tout cela rend le monde très vulnérable et fait planer une véritable menace sur le monde contemporain."

 

Et la France ?

"Pendant longtemps, la France a également disposé d'un régime de surveillance assez agressif, que ce soit à l'intérieur ou à l'extérieur du territoire mais ce régime est resté insignifiant comparé aux systèmes mis en place par le Royaume-Uni ou les USA. En théorie, la France doit encore avoir la capacité d'assurer son indépendance par rapport au reste du monde occidental. En pratique, le niveau d'investissementaméricain en France, et inversement les investissementsfrançais aux USA, les accords d'échange de renseignements, ont largement affaibli cette position et cette capacité théorique d'indépendance. Il est bien possible qu'il soit trop tard aujourd'hui pour que la France retrouve cete indépendance. On sait que nous avons en France des collaborateurs auxquels nous tenons beaucoup, la France est un pays important pour Wikileaks en tant qu'organisation, mais la France a également un rôle important à jouer pour l'indépendance européenne."

 

Edward Snowden : les USA veulent le juger, il a trouvé refuge en Russie. On se demande si vous n'êtes pas instrumentalisé, marionnette de Poutine ?

(Rires.) "La réponse est facile : c'est non ! Je sais de quoi je parle : les USA ont essayé d'arrêter Edward Snowden à Hong-Kong afin d'organiser son extradiction, cela aurait constitué un symbole extraordinairement négatif pour la liberté d'expression et aurait envoyé un très mauvais signal à tous les lanceurs d'alerte. Voilà pourquoi nous avons envoyé une de nos journalistes et conseiller juridique à Hong-Kong, nous avons facilité sa sortie et bien sûr Snowden a fini en Russie. Cela pour une raison très simple : tandis qu'il était en route vers l'Amérique Latine, les USA ont annulé son passeport ! Il ne pouvait plus quitter le territoire russe ! Son billet d'avion devait l'amener à Cuba. Le gouvernement américain a annulé son passeport. Pourquoi ont-ils fait quelque chose d'aussi imbécile ? Parce que les services américains sont incompétents ! Tous ces services étaient en train de chasser Edward Snowden, et nous l'équipe de Wikileaks les avons pourtant battus ! Ca représente une lueur d'espoir pour les éditeurs indépendants et pour l'Europe."

 

De fait, ne devenez-vous pas une sorte d'allié de Poutine face aux USA ?

"La Russie ne m'a pas accusé d'espionnage, les USA si ! Je ne suis pas seul dans ce cas-là, les USA en veulent à un grand nombre de personnes, ils ont effectué des descentes policières aux domiciles de 80 personnes et plus, les USA ont placé un grand nombre de mes amis derrière les barreaux, ils ont mis en place un système de surveillance de l'ensemble des internautes et je pèse mes mots ! Aucun citoyen européen, où qu'il se trouve, n'est à l'abri de ce programme de surveillance !"

 

Nous sommes à l'ambassade d'Equateur à Londres. Si vous en sortez, vous serez arrêté et extradé vers la Suède où deux femmes ont porté plainte pour agression sexuelle et viol. Vous êtes innocent ?

"Oui !"

 

Pourquoi ne pas aller le prouver en vous présentant à la justice suédoise ?

"Je me suis rendu en Suède, j'y ai passé du temps. Les accusations ont été abandonnées en Suède et ressuscitées juste après la publication de nos documents ! Voilà pourquoi nous sommes aussi méfiants vis à vis de la Suède. Si les enquêteurs suédois souhaitent me poser des questions, ils peuvent parfaitement m'appeler, venir ici au Royaume-Uni, un grand nombre de procédures peuvent être  utilisées en l'espèce."

 

Depuis plus de deux ans, vous êtes dans cette ambassade sombre, sans cour, sans jardin. En août, vous avez dit que vous alliez partir sous peu. Vous allez rester jusqu'à quand ?

"C'est une question très amusante ! Je n'ai jamais déclaré que je quitterais bientôt l'ambassade ! Ce sont des propos attribuables à la presse de Murdoch qui a d'ailleurs déclaré que j'étais prêt à sortir de cette ambassade pour me faire arrêter immédiatement : c'est une pure invention ! En ce qui concerne ma situation présente, je dirais que la surveillance dont je fais l'objet est illégale, le fait que tous mes visiteurs soient passés au crible présente des difficultés pour mon travail, mais je crois que c'est vraiment la menace qui plane sur ma famille, mes enfants, qui me pèse le plus. Eux n'ont rien demandé."

 

Votre avenir, vous le voyez comment ?

"Je crois que mes circonstances présentes resteront inchangées pendant assez longtemps."

 

Vous resterez là des années s'il le faut ?

"Si on compare ma situation actuelle à celle qui serait la mienne aux USA, je crois que mes circonstances présentes sont bien meilleures ! La vie est difficile bien entendu, par certains côtés : contrairement à des détenus de droit commun je n'ai aucune opportunité d'exercice physique, ça c'est un aspect assez difficile. Je sais que si je devais effectivement finir aux USA, je me batterais  très certainement, et il en coûterait, croyez-moi, politiquement, au gouvernement américain, que de me faire tomber."

 

Quelle prochaine bombe sortira Wikileaks ?

"Si je réponds à cette question, ce sera votre bombe et plus la mienne !"

(1) cf  Texte fourni par Europe

 

Cyberespionnage: 3000 victimes dans 50 pays?

 

Desert Falcon: 3000 victimes dans 50 pays ?

,

KL-Cyberespionnage-18-Fev-Cyberisques-NEWS

 

« Les individus qui se cachent derrière cette menace sont extrêmement déterminés, actifs et formés ou informés sur le plan technique, politique et culturel. A l’aide de simples e-mails de phishing, de techniques d’ingénierie sociale et d’outils et de backdoors maison, les Desert Falcons sont parvenus à infecter des centaines de victimes sensibles et importantes au Moyen-Orient, à travers leurs systèmes informatiques ou mobiles, et à leur dérober des données confidentielles. Nous pensons que cette opération va se poursuivre en développant encore d’autres chevaux de Troie et des techniques plus avancées. Moyennant un financement suffisant, ses auteurs pourraient être en mesure d’acquérir ou de développer des outils exploitant des vulnérabilités susceptibles d’accroître l’efficacité de leurs attaques », commente Nicolas Brulez, expert en sécurité au sein de l’équipe GReAT de Kaspersky Lab.

La liste des victimes comprend des agences de défense et des administrations, en particulier des responsables de la lutte contre le blanchiment ou encore dans les domaines de la santé et de l’économie, de grands médias, des établissements de recherche et d’enseignement, des réseaux d’énergie ou autres, des militants et responsables politiques, des entreprises de sécurité physique, ainsi que d’autres cibles en possession d’importantes informations géopolitiques. Au total, les experts de Kaspersky Lab ont pu dénombrer plus de 3 000 victimes dans une cinquantaine de pays et plus d’un million de fichiers volés. Bien que l’activité des Desert Falcons paraisse se concentrer dans des pays tels que l’Egypte, la Palestine, Israël et la Jordanie, de nombreuses victimes ont été également recensées au Qatar, en Arabie saoudite, aux Emirats Arabes Unis, en Algérie, au Liban, en Norvège, en Turquie, en Suède, en France, aux Etats-Unis, en Russie, etc. Diffusion, infection, espionnage La principale méthode utilisée par les Desert Falcons pour diffuser leur code malveillant est le « spear phishing » via des e-mails, des réseaux sociaux et des messages de chat. Ces messages contiennent des fichiers malicieux (ou un lien vers ceux-ci) apparaissant sous forme de documents ou d’applications légitimes. Les Desert Falconemploient plusieurs techniques pour inciter les victimes à ouvrir ces fichiers, notamment celle d’inversion de l’extension de la droite vers la gauche appelée « right-to-left override » Cette méthode exploite un caractère Unicode spécial pour inverser l’ordre des caractères dans le nom du fichier, masquant ainsi l’extension dangereuse au milieu du nom pour la remplacer par un suffixe inoffensif en apparence. En conséquence, les fichiers malveillants (.exe, .scr) se présentent comme un document ou un fichier PDF sans danger, de sorte que même un utilisateur prudent ayant de bonnes connaissances techniques pourrait être leurré et lancer le fichier. Par exemple, le nom d’un fichier se terminant en réalité par .fdp.scr s’affichera .rcs.pdf. Après avoir réussi à infecter une victime, les cyberespions font appel à deux types de backdoors : le cheval de Troie Desert Falcons ou le backdoor DHS, qui semblent tous deux avoir été développés à partir de zéro et être continuellement perfectionnés. Les experts de Kaspersky Lab ont pu identifier au total plus d’une centaine d’échantillons de malware utilisés par le groupe dans ses attaques. Les outils malveillants employés possèdent toutes les fonctionnalités d’un backdoor, à avoir la capacité de prendre des copies d’écran, d’enregistrer des frappes clavier, de télécharger des fichiers, de collecter des informations sur tous les fichiers Word et Excel présents sur le disque dur d’une victime ou sur les périphériques USB connectés à l’ordinateur, de dérober des mots de passe stockés dans la base de registre (Internet Explorer et Live Messenger) ou encore de réaliser des enregistrements audio. Les experts de Kaspersky Lab ont également détecté les traces d’activité d’un malware qui semble être un backdoor Android capable de pirater le journal des appels et des SMS sur un mobile. Au moyen de ces outils, les Desert Falcons ont lancé et mené au moins trois campagnes malveillantes distinctes, ciblant différentes catégories de victimes dans divers pays.

 

Cyberespionnage-KL-2-CyberisquesNEWS-18-fec-2015

 

Pour en savoir plus sur cet article et accéder à votre contenu personnalisé profiter de notre offre

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Abonnement individuel par eMail personnalisé 40 envois / an

offre spéciale anniversaire  887 Euros* au lieu de 1199,00 Euros

offre spéciale anniversaire : http://www.cyberisques.com/fr/subscribe

Chaque semaine l'équipe de CYBERISQUES.COM sélectionne l'essentiel de la veille "Business & Cyber Risks" stratégique pour les dirigeants et membres des COMEX: synthèse rapide de l'essentiel de l'actualité de l'économie numérique mondiale, sélection des chiffres indispensables, financement des cyber-risques, cyber-assurance, protection juridique des dirigeant,protection des actifs immatériels, solutions et investissements Secure IT stratégiques et cyber taskforce, protection et maitrise de données critiques des users VIP, veille cyber risks juridique et réglementaire, interviews stratégiques exclusives, jurisprudences, cyber-agenda... dans la boite mail de votre choix.


Pour suivre la première VEILLE "BUSINESS & CYBER RISKS"

http://www.cyberisques.com/fr/subscribe

Pour retenir les informations stratégiques, prévenir et couvrir financièrement vos actifs immatériels critiques, le service VEILLE "Business & Cyber Risks" de Cyberisques.com vous informe personnellement par une sélection rigoureuse et des analyses rapides et sans concession des meilleurs experts. 

 

BONUS:

 
Dmitry Bestuzhev, security expert at Kaspersky Lab’s Global Research and Analysis Team, said: “The individuals behind this threat actor are highly determined, active and with good technical, political and cultural insight. Using only phishing emails, social engineering and homemade tools and backdoors, the Desert Falcons were able to infect hundreds of sensitive and important victims in the Middle East region through their computer systems or mobile devices, and exfiltrate sensitive data. We expect this operation to carry on developing more Trojans and using more advanced techniques. With enough funding, they might be able to acquire or develop exploits that would increase the efficiency of their attacks.”

http://www.techweekeurope.co.uk/security/virus/desert-falcon-cyber-espionage-group-attacked-3000-victims-50-countries-162311#zRkJY623638xGkZg.99

 

 Cyberespionnage-KL-3

http://securelist.com/blog/research/68817/the-desert-falcons-targeted-attacks/

 

http://www.cyberisques.com/mots-cles-40-financement-cyber-risque/410-nouvelles-cyber-attaques-geostrategiques-selon-trend-micro  

NSA : "Face au chiffrement, oui aux backdoors"

   NSA : "Face au chiffrement, oui aux backdoors" 

 

 

Certains affichent clairement leurs intentions. C'est la cas de la NSA par la voix de son directeur Mike Rogers le 23 février dernier face au directeur de la Sécurité de Yahoo! Nous reproduisons ci-dessous l'échange assez vif (en anglais) entre les deux hommes tel que le publie le site américain justsecurity.org.  

 

A l'occasion des rencontres Cybersécurité en Amérique qui viennent de se tenir à Washington (http://www.newamerica.org/new-america/cybersecurity-for-a-new-america) le responsable de la sécurité de Yahoo, Alex Stamos a posé à une question à  Mike Rogers, directeur de la NSA suite a une suggestion des autorités gouvernementales US face au chiffrement systématique des données."Face au chiffrement oui 

 

 Les autorités administratives US considèrent comme un obstacle le chiffrement des données des entreprises et des particuliers pour mener certaines enquêtes. Pour l'administration nord américaine, les éditeurs de solution de sécurité devraient permettre la mise en place de backdoors afin de leur autoriser l'accès. Au delà des aspects illégaux de cette demande en Europe, cette approche fait dire à de nombreux experts en cryptographie que ces ces accès peuvent être exploités par "n'importe qui".

 

Dès lors  le directeur de la sécurité de Yahoo! a posé la question suivante au directeur de la NSA: « Si nous mettons en place des accès spécifiques pour le gouvernement américain, pensez vous que, sachant que nous avons 1,3 milliard d’utilisateurs à travers le monde, nous devrions également mettre en place des moyens identiques pour le gouvernement chinois ? Pour la Russie ? L’Arabie Saoudite ? Ou la France ? A quel pays devons nous donner l’accès ? ».

 

Comme le prouve l'extrait ci-dessous, le directeur de la NSA a semblé gêné et n'a pas livré une véritable réponse. 

 

Alex Stamos (AS): “Thank you, Admiral. My name is Alex Stamos, I’m the CISO for Yahoo!. … So it sounds like you agree with Director Comey that we should be building defects into the encryption in our products so that the US government can decrypt…

 

Mike Rogers (MR): That would be your characterization. [laughing]

 

AS: No, I think Bruce Schneier and Ed Felton and all of the best public cryptographers in the world would agree that you can’t really build backdoors in crypto. That it’s like drilling a hole in the windshield.

 

MR: I’ve got a lot of world-class cryptographers at the National Security Agency.

 

AS: I’ve talked to some of those folks and some of them agree too, but…

 

MR: Oh, we agree that we don’t accept each others’ premise. [laughing]

 

AS: We’ll agree to disagree on that. So, if we’re going to build defects/backdoors or golden master keys for the US government, do you believe we should do so — we have about 1.3 billion users around the world — should we do for the Chinese government, the Russian government, the Saudi Arabian government, the Israeli government, the French government? Which of those countries should we give backdoors to?

 

MR: So, I’m not gonna… I mean, the way you framed the question isn’t designed to elicit a response.

 

AS: Well, do you believe we should build backdoors for other countries?

 

MR: My position is — hey look, I think that we’re lying that this isn’t technically feasible. Now, it needs to be done within a framework. I’m the first to acknowledge that. You don’t want the FBI and you don’t want the NSA unilaterally deciding, so, what are we going to access and what are we not going to access? That shouldn’t be for us. I just believe that this is achievable. We’ll have to work our way through it. And I’m the first to acknowledge there are international implications. I think we can work our way through this.

 

AS: So you do believe then, that we should build those for other countries if they pass laws?

 

MR: I think we can work our way through this.

 

AS: I’m sure the Chinese and Russians are going to have the same opinion.

 

MR: I said I think we can work through this.

 

AS: Okay, nice to meet you. Thanks.

 

[laughter]

 

MR: Thank you for asking the question. I mean, there are going to be some areas where we’re going to have different perspectives. That doesn’t bother me at all. One of the reasons why, quite frankly, I believe in doing things like this is that when I do that, I say, “Look, there are no restrictions on questions. You can ask me anything.” Because we have got to be willing as a nation to have a dialogue. This simplistic characterization of one-side-is-good and one-side-is-bad is a terrible place for us to be as a nation. We have got to come to grips with some really hard, fundamental questions. I’m watching risk and threat do this, while trust has done that. No matter what your view on the issue is, or issues, my only counter would be that that’s a terrible place for us to be as a country. We’ve got to figure out how we’re going to change that.

 

[Moderator Jim Sciutto]: For the less technologically knowledgeable, which would describe only me in this room today, just so we’re clear: You’re saying it’s your position that in encryption programs, there should be a backdoor to allow, within a legal framework approved by the Congress or some civilian body, the ability to go in a backdoor?

 

MR: So “backdoor” is not the context I would use. When I hear the phrase “backdoor,” I think, “well, this is kind of shady. Why would you want to go in the backdoor? It would be very public.” Again, my view is: We can create a legal framework for how we do this. It isn’t something we have to hide, per se. You don’t want us unilaterally making that decision, but I think we can do this.

 

 

Pour en savoir plus sur cet article et accéder à votre contenu personnalisé profiter de notre offre

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Abonnement individuel par eMail personnalisé 40 envois / an

offre spéciale anniversaire  887 Euros* au lieu de 1199,00 Euros

offre spéciale anniversaire : http://www.cyberisques.com/fr/subscribe

 

  

NSA : « Yes we scan »

NSA : « Yes we scan »

On le savait depuis Echelon. Le lanceur d'alertes Snowden l'a confirmé avec des révélations qui ne font que commencer (plus de 95% des documents restent a étudier). Bref, la NSA collecte massivement des informations à des fins politiques, économiques et de sureté nationale. Comment pratique t-elle concrètement ? Explications et questions avec deux analystes. 

A l'occasion de la conférence tenue hier (2 juillet 2014)  « Snowden et la NSA un an plus tard », le cabinet LEXSI, spécialisé en cybersécurité a livré par la voix de deux experts des informations révélatrices de l'influence croissante de l'agence américaine. Thibault Gadiolet et Vincent Hinderer ont expliqué concrètement comment la NSA « travaillait » en fonction de différents environnements : usine de fabrication d'équipements de sécurité, transport et livraison de ces équipements, utilisateurs (privé ou professionnel), opérateurs Internet (ISP), infrastructure Internet (satellite, câble sous-marins..) logiciels et applications. 

 

Activité de la NSA et usine de fabrication :

Des backdoors sont installés directement dans les équipements jugés « stratégiques » routeurs, firewalls, serveurs de clés.... Des firmes telles que Cisco (lire article : http://www.cyberisques.com/fr/mots-cles-34-buisness-risk/283-cisco-s-inquiete-des-pratiques-de-la-nsa ) Actel, Huawei, Barracuda... en ont fait les frais. A noter que l'implantation de ces codes malicieux (malwares, chevaux de Troie) peut se faire au niveau BIOS (sous couche des systèmes d'exploitation des machines) ou directement sur les logiciels.

Questions : Combien d'équipement sont touchés par ces backdoors NSA ? Quelles entreprises en font les frais ? Les équipements concernant les systèmes industriels SCADA sont ils impliqués également ?(lire :http://www.cyberisques.com/fr/component/content/article/92-categorie-2/sous-categorie-2-3/301-scada-nouvel-enjeu-pour-les-acteurs-de-la-cyber-securite )

 

Activité de la NSA et transport :

Là encore l'agence américaine s’intéresserait selon les deux experts de LEXSI à des opérations d'interceptions (avec des équipes en charge du piratage nommées TAO) via des services de transport et livraison souvent d'origine US : UPS, FEDEX, TNT, DHL... Il est intéressant de noter que ces interceptions sur ces équipements sont réalisées en connaissant les destinataires puisque les équipements se trouvent en phase de livraison. Il s'agit d'opérations "ciblées".  

Questions : Combien et quels types d'équipements sensibles livrés à des entreprises soucieuses de leur sécurité ont été « piratés » avant leur livraison ? On pense notamment à des serveurs de clés ce qui permettrait à la NSA de compromettre la sécurité de documents chiffrés en utilisant ces clés ?

 

Activité de la NSA et utilisateurs « cible » :

La NSA recense dans un catalogue ANT l'ensemble des pièces utiles à l'espionnage des utilisateurs de PC, smartphones, tablettes, objets connectés... Les « cyber-gadgets » sont parfois intéressants. Ils vont du câble VGA capteur d'images écrans qu'il peut transmettre jusqu'à 8 miles (12 km) jusqu'à différents logiciels espions très efficaces (Cyclone, Hx9, Cottonmouth. ..)

Questions : Qui est réellement ciblé via ces « spy gadgets » ? Uniquement des terroristes voire cyber-terroristes ? Si ce n'est pas le cas, qui ? Particuliers ? Professionnels ? Managers ? Leaders d'opinions ? Qui les installe ? Comment ? Avec quel niveau d'autorisations accordées par qui ? 

 

Activité de la NSA et ISP (Internet services providers) :

Ce serait selon Thibault Gadiolet et Vincent Hinderer près de 4 milliards de métadonnées par jour qui seraient « écoutées » en interceptant le trafic de différents ISP et Telco (Opérateurs Télécom). Rien qu'en France, en 2012, la volumétrie des données sur écoute était estimée à 70 millions de données par mois. Là encore, ce sont des écoutes ciblées comme celles qui ont visé le trafic de Belgacom, opérateur belge situé à Bruxelles. Une capitale choisie aussi en raison de son rôle stratégique. Des décideurs européens y prennent chaque jour des décisions importantes pour l'avenir des européens et de milliers d'entreprises (avec les aménagements réglementaires propres à leurs marchés).

Questions : "Naivement", les deux analystes s'interrogent: est-ce que AT&T et Sprint, deux opérateurs nord américains qui exploitent les ¾ du trafic international d’Internet dans le monde « collaborent » avec la NSA ? Leur trafic ne peut laisser la NSA et d'autres agences spécialisées dans les écoutes indifférentes. Certes la volumétrie est colossale, mais les moyens aussi. La NSA, par exemple, s'est offert des "mainframes" parmi les plus puissants du monde et dotés des dernières technologies (déchiffrement à la volée et fonctionnement quantique notamment). Bref l'escalade technologique constitue le nerf de la guerre pour les "cyber-activités" des agences de renseignement partout dans le monde. Et celles qui ne seront pas "cyber-performantes" achèteront à d'autres des renseignements. A l'échelle des Etats, s'achemine t-on vers une forme de cyber-dépendance ? 

 

Activité de la NSA et infrastructure Internet :

Satellites et câbles sous-marins, nœuds Internet IXP et stations d'écoute, routeurs et stations relais... ces infrastructures comme à l'époque d'Echelon servent à « écouter » les trafic voix et données tout comme les infrastructures GSM et les antennes placées sur les toits des ambassades. Selon plusieurs sources, plus de 20 câbles sous-marins (soit un 1/10 eme du parc) sont susceptibles d'êtres « écoutés » par l'agence nord américaine (cas du câble SEA-ME-WE4).

Questions : Au delà des notions de vie privée et données personnelles, avec plus de la moitie de la population mondiale connectée sur le Net, ce ne sont plus seulement les entreprises qui sont écoutées mais l'ensemble de la planète via les réseaux sociaux. Dans ce contexte, "Big Brother" est il toujours une utopie de romancier ? La NSA et d'autres agences s'autorisent par leurs écoutes "sauvages" a écouter illégalement mais aussi a « casser » la eConfiance de milliards de personnes ? A terme, n'est ce pas Internet qui va se morceler en donnant naissance a une société numérique anxiogène ? Même avec Echelon, les écoutes téléphoniqes des années 60-90 touchaient peu de personnes comparées aux milliards d'écoutes et interceptions de données sur Internet pratiquées au niveau industriel par des "Cyber-Etats".  

 

Activité de la NSA et applications chiffrées :

Dotés de technologies d'avant-garde, la NSA dispose aussi d'un catalogue très complet de logiciels de chiffrement / déchiffrement. Il existe un projet "Bullrun" de 250 millions de dollars par an. Objectif : chercher a recenser des solutions techniques de déchiffrement partout dans le monde. Afin d'éviter des développements "non controlés", la NSA joue aussi la carte de l'influence auprès d'organisations internationales en charge de la normalisation de standards en matière de cryptographie. Les experts de LEXSI notent par exemple l'influence de la NSA auprès de l'organisme de normalisation NIST ( National Institute of Standards and Technology). La firme RSA aurait reçue 10 millions de dollars pour implémenter un produit « recommandé » par l'agence (Certaines sociétés telles que le finlandais F-Secure ont préféré renoncer a leur participation à la RSA conférence de 2014). Thibault Gadiolet et Vincent Hinderer relèvent que certaines sociétés ont été "enquêtées". La Justice leur a par exemple demandé de livrer des clés nécessaires pour déchiffrer des données "écoutées". Ces entreprises ont préféré se « saborder » plutôt que de répondre positivement à la Justice (Lavabit ? Truecrypt ?).

Questions : Quel est le niveau de connaissance en matière de cryptographie des experts de la NSA ? Sont-ils en mesure de "Tout" déchiffrer et sur quelles bases (volumétrie, temps) ? Le chiffrement constitue t-il une réelle réponse afin d'éviter les écoutes ? Où peuvent conduire les "tensions" entre fournisseurs de technologies d'origine nord américaines, chinoises, indiennes, israéliennes... avec d'autres fournisseurs "nationaux" ? Quels rôles vont jouer les régulateurs ? 

L'exploitation des données collectées et déchiffrées par la NSA concerne t-elle uniquement la lutte anti-terroriste ou anti narcotrafiquants ? Quel est le niveau d'étanchéité entre mission "officielles" et d'autres plus "officieuses" ? Le projet MYSTIC autorisé par la Justice américaine se basait lors de son lancement sur l'autorisation d'effectuer des écoutes aux Bahamas via des backdoors afin de « coincer » des narcotrafiquants. Il s'agissait d'une opération « classique » basée sur un profilage de cible. Aujourd'hui l'on sait que ce projet autorise légalement la NSA a écouter tout un pays, entreprises et particuliers, organisations et administrations. Un pays et bientôt plusieurs pourraient faire l'objet d'écoutes massives. C'est donc tout Internet et ses milliards d'adresses IP qui risque de se trouver sous le contrôle de la NSA et d'autres agences de "cyber-renseignement" . Face à cette situation, des projets alternatifs à Internet cherchent à se concrétiser. La Russie évoque le développement de son « propre » Internet tout comme la Chine. En Europe, le projet « Clean Pipe » de Deutsche Telekom annoncé en 2013 se met en place essentiellement en Allemagne. La stratégie européenne en matière de cyber-sécurité reste floue.

Au plan technologique, quelle entreprise dans le monde peut soutenir que les technologies numériques utilisées pour gérer son patrimoine numérique (en interne et chez ses fournisseurs)  sont "clean" ?

La cyber-sécurité serait-elle devenue un problème complexe pour les entreprises en raison du rôle joué par les agences de sécurité ? Paradoxe intéressant. Et les entreprises ne sont plus les seules concernées. Un jour viendra ou données personnelles et données professionnelles seront volontairement confondues. On pourra alors vous interdire de prendre un avion pour New-York si vos smartphones, tablettes et autres objets numériques ne sont pas chargés...  

 (lire notre sélection de liens dans la section BONUS ci-dessous)

Jean Philippe Bichard 

E. Snowden n'écarte pas un retour aux US: The Most Wanted Man in the World Edward Snowden in His Own Words http://t.co/Vj429Jfw5H

— @jpbichard (@JPBICHARD) 14 Août 2014 id=8539490&snapshotID=&authType=name&authToken=6DkY&ref=NUS&trk=NUS-body-member-name" target="_blank">Linked   @cyberisques

 

http://www.cyberisques.com/images/Bulletin-abonnement.png

 

 

 BONUS :

 http://projects.propublica.org/nsa-grid/

 http://www.computerweekly.com/feature/Interview-the-original-NSA-whistleblower?asrc=EM_MDN_31102713&utm_medium=EM&utm_source=MDN&utm_campaign=20140702_Microsoft%20under%20fire%20over%20disruptive%20anti-crime%20operation_

 http://www.cyberisques.com/fr/component/content/article/92-categorie-2/sous-categorie-2-3/301-scada-nouvel-enjeu-pour-les-acteurs-de-la-cyber-securite

http://mashable.com/2014/01/31/nsa-director-michael-rogers/

http://www.spiegel.de/international/world/catalog-reveals-nsa-has-back-doors-for-numerous-devices-a-940994.html

http://fr.ria.ru/world/20131103/199706757.html

http://www.01net.com/editorial/625470/icreach-le-moteur-de-recherche-secret-a-la-google-de-la-nsa/

http://tinyurl.com/nw8sp3r

ILLUSTRA-NSA-1

 http://www.zdnet.fr/actualites/accord-nsa-f-secure-boycotte-la-rsa-conference-usa-2014-39796597.htm

 http://www.01net.com/editorial/623000/la-nsa-avait-193-pays-sur-sa-liste-despionnage-plus-le-fmi-et-lunion-europeenne/

 http://www.lepoint.fr/high-tech-internet/espionnage-avec-mystic-la-nsa-a-mis-sur-ecoute-tout-un-pays-18-03-2014-1802807_47.php

 

https://firstlook.org/theintercept/article/2014/08/25/icreach-nsa-cia-secret-google-crisscross-proton/ 

 

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires