Panorama 2014 du CLUSIF : l'expertise des attaquants progresse

 

Panorama 2014 du CLUSIF* : l'expertise des attaquants progresse

 

Depuis des années, le panorama 2014 du CLUSIF constitue toujours un événement pour les fidèles de la « cyber sécurité ». L'époque ou ce panorama pouvait ressembler à une revue de presse annuelle est révolue. Désormais, le panorama du CLUSIF pointe directement et parfois avec une certaine ironie des faits marquants de l'année cyber-sécurité écoulée. Si les choix sont discutables par le jeu classique des « préférences » il reste que ceux qui sont faits par les excellents experts réunis autour de François Paget (Intel Security ex. Mc Afee), figure historique du CLUSIF sont toujours judicieux. Cette année Gérome Billois a ouvert le feu à la suite du Président du CLUSIF Lazaro Pejsachowicz qui a rendu hommage aux victimes une semaine après les attentats de « Charlie Hebdo » du 7 janvier 2015. Des attentats qui immédiatement ont enflammé la toile avec une cyber-bataille entre supporters de tel ou tel camp. On évoque plus de 20 000 sites concernés par ces cyber-graffitis. L'ANSSI a d'ailleurs rendu public deux notes pour rappeler les entreprises à une plus grande vigilance (cf cyberisques.com).

  

FUD ou le Marketing de la peur

Pour le panorama 2014, le sujet retenu par Gérome Billois, Senior Consultant chez Solucom est original : FUD pour « Fear, uncertainty and doubt ».Ous'arrête la communication, où commence la manipulation?  Il s'agit de la technique utilisée dans la vente, le marketing… Elle aurait été formalisée par Gene Amdhal et dénoncée comme une technique de vente « particulière » d’IBM en 1975. L'idée est de vérifier si un risque « annoncé » est avéré et dans quelles conditions certains acteurs n'ont pas trouver des bénéfices a « monter » un dossier dont les faits sont exagérés. Objectif: vendre. Et dans le cas de la cyber-sécurité, c'est vendre de la peur dont il s'agit. Ce type de dossier est parfois habilement glissé auprès des médias (exemple avec la pseudo-attaque  : BAE System ou TF1 en décembre dernier). Qui a intér^t à faire peur , Le CLUSIF ne répond pas mais il a le mérite de poser la question; Marketing de la peur, pub gratuite pour certains médias, égo surdimensionné de certains ou plus subtilement communication au second degré ? L'idée de FUD en cyber-sécurité n'est pas nouvelle. En 2015 elle reste très tendance si l'on considère l'initiative de l'UTT (Université des technologies de Troyes) avec une exposition voisine du FUD sur les images manipulées (cf Section BONUS).

  

 Cyberisques-CLUSIF-1

 

La violation de nos vies privées existent plus que jamais

Un autre intervenant a retenu un sujet tout aussi « tendance » et toujours dans la mouvance de la « cyber-peur » avec l'absence de niveau de sécurité acceptable sur les objets connectés. Le grand principe du fonctionnement des objets connectés (et pas forcément intelligents n 'insultons pas l'intelligence SVP) : relier entre eux les objets de tous les jours pour faciliter la vie des utilisateur voir prendre des décisions à leur place. Des opérateurs spécialisés en hébergement d'applications gérant les données « persos » des utilisateurs se développent. Ce sont les nouveaux "gestionnaire de nos données personnelles". que vont ils en faire ? Reste un autre apect du problème: la sécurité au sens confidentialité de ces données issues des « objets ». Cette approche suppose une confiance dans ces technologies et ces nouveaux acteurs. Mais problème, 70 % des objets connectés seraient vulnérables. L'impact n'est pas neutre: du piratage d'un babyphone en avril 2014 pour impressionner les parents (sans doute plus que le bébé) à l'espionnage de notre vie biologique (surveillance de nos respirations, rythme cardiaque, température…) les risques qui pèsent sur la violation de nos vies privées existent plus que jamais. Avec le lot de cyber-chantage que cela peut occasionner sans omettre le cyber-business que certains ne manqueront pas d'exploiter. Il y aura toujours des bons apôtres pour les vendre mais la véritable question reste la même avant d'acheter : que perd-t-on quand on croit gagner ? Une certitude: les objets connectés faute de standard, victimes de leur jeunesse ne sont pas "secure" en 2015.

  

Piratage d'objets connectés : une insécurité volontaire ?

Fabien Cozic, enquêteur de droit privé spécialisé en cybercriminalité a l'origine de cette présentation au CLUSIF a insisté sur le développement des « ThingBots », botnets dédiés aux piratages de ces objets via des techniques connues telles que le ransomware physique (exemple : blocage du démarrage de votre voiture « connectée » si vous ne payez pas). D'autres cyber-risques liés aux objets connectés  se multiplient: diffusion de spams, vol de séquences vidéo de votre vie privée et cyber-chantage (découverte de 73000 cameras IP accessibles en novembre 2014). Fabien Cozic insiste sur le fait que certains constructeurs pour ne pas décourager le grand public -cible marketing pour l'achat de ces objets connectés- ne cherchent pas à renforcer la sécurité de leurs produits. La plupart d'entre eux n'offrent qu'un faible mot de passe à 4 caractères. Du coup en 2015, l'enquêteur prévoit une forte augmentation de l’implication de la technologie dans les délits notamment via une facilitation de la recherche d’objets vulnérables et de l’exploitation des failles. Ce qui peut laisser croire que de plus grandes possibilités d’atteindre physiquement des entreprises, des habitations et des personnes s'effectueront. Ces « approches techniques » via les vulnérabilité des objets connectés vendus au grand public vont générer une nouvelle génération de cyber-délinquant cambrioleurs 2.0 avec une préparation 2 .0 d’actes délinquants et criminels, un repérage des lieux via les outils domotiques détournés, une plus grande connaissance des occupants via une surveillance en temps réel. Fabien Cozic conclut sa présentation sur un ton laconique : « Nous assisterons à une complication des enquêtes sachant qu'un déverrouillage à distance ne laisse pas de verre brisé ».

 

 Cyberisques-CLUSIF-2

 

Objets connectés : qui est légalement responsable de l'objet et des données ?

Le CLUSIF a insisté sur ces « nouveaux risques » en demandant au plan juridique les évolutions du cadre réglementaire à l'avocate Garance Mathias du barreau de Paris. Cette juriste expérimentée en IT a souligné plusieurs problématiques dont celles liées aux responsabilités. Les objets connectés interagissent entre eux d’où la définition et l’attribution de responsabilité des ces usages. Le droit des utilisateurs, leur consentement, l’accès aux données personnelles constituent des enjeux pas encore réellement examinés par le législateur. Au plan civil : qui est responsable de l'objet ? Qui assure les préjudices et dommages causés par les objets ?. La future réglementation européenne dont la publication est attendue pour décembre 2015 apportera peut être quelques éclaircissement tout comme un autre texte sur le secret des affaires qui pourrait selon la juriste également concerner les objets connectés.

  

Cyber-rebelle*, Techno rebelle* ...vers un droit à la déconnexion ?

Peut être que les esprits libres et soucieux de s'affranchir des multiples « cyber surveillance » devront faire valoir leur droit à la déconnexion. « Comme les données déjà présentes sur Internet, ces nouvelles techniques poseront la question de la sécurisation de ces outils intelligents [objets connectés] mais aussi de leur contrôle, car l’usurpation de profils Internet susceptibles de favoriser des prises de contrôle à distance a déjà débuté » (Rapport sur la cybercriminalité – Février 2014 Groupe de travail interministériel sur la lutte contre la cybercriminalité).

D'autres intervenants ont souligné les tendances 2014 en cyber securité sous l'aspect impact image, notoriété et financier... pour les entreprises. Gérome Billois l'a fait en revenant sur le cas Sony ( http://www.cyberisques.com/fr/component/content/article/78-mots-cles-promotionnels/382-veille-business-cyber-risks-les-risques-numeriques-prevus-pour-2015 ) et la mise en place de demande de cyber-rançon ciblée à distinguée des rançons « de masse ».

  

Sony : Gomme et crayon

 Pour Sony, les conséquences de la cyber-attaque de la décembre 2014 se traduisent par 8 semaines d'interruption et un retour de 10 ans en arrière dans les « technologies » de back-up : chèque papier pour les salaires des employé, communication crayon / gomme, retour aux listing en temps différé.... Coté dommages toujours, des contrats ont été divulgués et de nombreuses pertes financières directes et indirectes enregistrées estime l'expert de Solucom. A noter que 2014 a vue le « renforcement » de cas de de cyber rançon avec menaces en cas de non versement de révélations publiques d'informations sur les membres des COMEX et CODIR. Il existe aussi une évolution dans les méthodes et leurs menaces avec le passage d'un rançonnage virtuel à un rançonnage physique comme les menaces d'attaques sur des salles de cinéma en cas de diffusion du fil « the interview » produit par Sony. Dans tous les cas il fallait absolument pour la firme attaquée éviter la notion juridique de « faits de guerre » les assurances ne fonctionnant plus si ce principe est « légalement » reconnu.

  

Fraude au Président : 300 millions d'euros en 3 ans

Autre tentative de cyberançonnage, la fraude au président. Selon le consultant de Solucom, la fraude au Président aurait « rapportée » 300 Millions d'euros en 3 ans en France. Près de 700 faits ou tentatives ont été recensés selon l'Office central pour la répression de la grande délinquance. Ces tentatives de demandes de rançons 2.0 sont souvent rendues possible par l'exploitation de vulnérabilités. Herve Schauer autre pilier du CLUSIF, désormais chez le consultant Deloitte, expert en logiciel libre a livré son approche sur deux grandes vulnérabilités de l'année écoulée : Heartbleed (CVE-2014-0160) Shellshock (CVE-2014-6277). Pour lui, ces vulnérabilité sont dues à des failles dans des logiciels libres ce qui signifie qu'il faut appliquer rapidement des correctifs. Dans le cas de Heartbleed découvert le 7 avril 2014  la technique utilisée autorisait un accès à la mémoire des systèmes et exloitait des clés pour réaliser une attaque de type man in the middle. Ces erreurs de conception dans les logiciels libres remontent parfois a plusieur années. Leur vulnérabilité est exploitée plus tard ou avant sans que personne le sache publiquement. La seule réponse explique Hervé Schauer « c'est de faire un contrôle qualité sur un soft libre avant usage ».

  

Des failles exploitées par la NSA

Un réflexe que peu d'entreprises semblent développer a commencer par les plus grandes du secteur. Selon l'expert du CLUSIF « les grands acteurs type GAFA n'ont pas fait l'effort du contrôle qualité. Ils s'en servent sans l'enrichir. ». Pour lui, ces failles sont mêmes exploitées par la NSA pour s'introduire sur certains SI. Pour les entreprises victimes de ces failles la seule solution c'est de disposer d'une cellule de gestion de crise explique t-il.

Christophe Jolivet, directeur associé chez Prosica s'est intéressé dans le cadre de ce Panorama 2014 du CLUSIF aux nouveaux cyber-braqueurs. Comprenez les cyber-bricoleurs des distributeurs automatiques de billets. Différentes pratiques existent pour « cyber-braquer » ces terminaux. Le skimming est un matériel collé sur un ATM. Une version avec du matériel rentré directement dans le lecteur de carte pour installer un « programme espion » qui recopie les données sensibles des cartes existe également. Les cyber-braqueurs visent aussi directement le SI qui administre les distributeurs. Une approche « racine » en quelque sorte pour modifier et accéder directement aux données qui gèrent les automates comme le groupe Anunak en Russie.

En juin 2014 deux enfants de 12 et 14 ans ont modifié le message d’accueil d'un distributeur au Canada. Cyber-braquer un automate, un jeu d'enfant ? Peut-être, bien que certains emploient les grands moyens avec des chevaux de Troie (Tyupkin) qui générent une clé d’authentification, affiche l'état des cassettes à billet. Ce qui rend possible un retrait d'une quarantaine de billets. Une variante a été développée avec Ploutos, autre cheval de Troie introduit par port USB qui se connecte avec un smartphone GSM et communique avec les programmes via des SMS.

 

Cyber-attaques sur Target : poursuites civiles, DG démissionné, CA en baisse de 34 %...

Loic Guezo Directeur & Evangéliste chez Trend évoque d'autres cyber-braquage d'envergure avec les célèbres affaires de dat breach en 2014 : Home Dépot : septembre 2014 56 millions d'enregistrements persos « récupérés », UPS, Michaels (3 millions de CB), Goodwill (900 000 cartes attaquées), eBay (146 millions de comptes clients capturés avec obligation de « reseter » tous les Passwords). Pour le cas Target précise l'expert les dégâts collatéraux s'avèrent importants : plus de 80 poursuites civiles, un DG démissionné, des plaintes collectives et de très nombreux préjudices. Cette nouvelle génération de cyber-attaques souligne Loic Guezo « se base sur une méthodologie connue, la Kill Chain. En gros, la Kill Chain repose sur un enchainement de process pour aboutir a la "russiteas" , premier cas d'attaque ciblée avec « Kill Chain ». Cette chaine sait étudier la faiblesse d'un sous-traitant, détourner un loggin Password d'un sous traitant, rebondir dans le réseau de Target, exfiltrer quelques données, lancer des opération d'attaque, re-exfiltrer sur des serveurs russes parait il dans le cas de Target. 

 Cyberisques-CLUSIF-3

 

A quand un « Stuxnet » chez Areva ?

Philippe Bourgeois chercheur au CERT-IST pense que le risque a évolué en partie en raison des évolutions techniques des cyber-menaces. Les entreprises sont des cibles fréquentes (et pas seulement les Etats). Les plus visées sont celles qui bénéficient d'une notoriété internationale. Les grands groupes internationaux sont souvent atteints via leurs sous-traitants (attaques par la chaine de sous-traitance). Pour ce chercheur, guetteur « pro » de vulnérabilités les cyber-attaques réservées en 2014 aux domaines « stratégiques » risquent de se démocratiser notamment en raison d'un niveau d'expertise en forte augmentation. A quand un Stuxnet dans une banque ou chez Areva ? « Le risque est en augmentation dans la mesure ou des attaques uniquement théoriques hiers se concrétisent aujourd'hui » affirme Philippe Bourgeois qui cite trois cas révélateur de cyber-attaques en 2014. Via la cryptographie et les bugs dans SSL et TLS. En moins de 24H00 via la faille HeartBleed une clé secrtèe d'un serveur a pu être trouvée. Le CERT-IST constate aussi une forte progression de ceyber-attaques basées sur déanonymisation via le réseau TOR. On note au passage que la technologie TrueCrypt est délaissée (en Avril 2014) sans doute en raison d'une forte pression des Etats qui « se doivent de garder le contrôle ». Techniquement une question se pose : faut il penser que la cryptographie est cassée ? Dépassée ? La question mérite d'être posée si l'on considère que Citadel attaque les coffre forts « Keepass » et « Password Safe » (Nov 2014). C'est un réel problème au regard du nombre de systèmes qui ont basé leur sécurité sur la cryptographie.

  

France : officiellement 4 millions de pertes déclarées chaque mois

Pour le Colonel Eric Freyssinet, chef du Centre de lutte Contre les Criminalités Numériques (C3N), à la Gendarmerie nationale, les chiffres parlent: Chiffres : 327 milliards d'euros représentent le coût global de la cybercriminalité soit pour la France, 0,1 % du PIB. Reste les approches. Quelle méthodologie pour estimer les impacts ? Les cyber-préjudices ne sont ils pas sur-évalués ? Officiellement dévoile Eric Freyssinet, à la gendarmerie nationale, ce sont près de 4 millions d'euros de perte chaque mois qui sont en moyenne « déclarés ». « Le problème analyse l'officier réside en partie dans les « offres undergound » de  services criminels. Des cyber-attaques sont vendues « clés en main » entre 3 et 5 dollars de l'heure sur le Net ». Réserve oblige, aucun commentaire ne sera fait du moins cette année sur les 20 000 sites WEB touchés par des cyber-attaques suite à l'attentat de Charlie Hebdo du 7 janvier 2015. Il faut attendre le Panorama 2015. Une question n'a pas encore trouvée de réponse du moiins officielle : sommes nous déjà passé de la sécurité défensive à la sécurité offensive ? (lire cyberisques.com) Les experts du CLUSIF demeurent discrets tout en glissant quelques éléments de réponse. Pour le chef du Centre de lutte Contre les Criminalités Numériques (C3N), des "perquisitions en ligne existeront". D'autre part, il n'est pas inutile de réfléchir à des notions de légitime défense suite à une cyber-attaque. D'autres sujets viendront comme l'a exposé en conclusion François Paget en s'interrogeant avec malice sur le contenu du futur Panorama 2015 : Aura-t-on un sujet sur l’utilisation d’Internet comme soutien au terrorisme ? Aura-t-on un sujet sur de nouvelles évolutions de la législation ? A la rédaction de cyberisques.com, nous suggérons un sujet sur … la sécurité offensive.

Jean Philippe Bichard

@jpbichard

 

BONUS :

* Cyber Techno, Techno rebelle marque déposée  

 

http://www.cyberisques.com/fr/mots-cles-12/387-2015-annee-de-la-securite-scada

https://www.clusif.asso.fr/

 

UTT - Université de technologie de Troyes

La bibliothèque Universitaire de l'UTT vous offre le second volet de son cycle d'expositions "Les images mentent - manipuler les images ou manipuler le public?". A travers cette exposition, axée sur la propagande et ses ressorts, c'est à une réflexion sur les méthodes de manipulation médiatique auxquelles nos sociétés sont exposées. Exposition réalisée par l'Institut des Images, la Ligue de l'Enseignement, et le Musée du Vivant. Elle sera visible jusqu'au 28 février 2015

 

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires