Les zones d’accès sans fil gratuites sont omniprésentes et fournissent des points de connexion pratiques pour les personnes en déplacement. Malheureusement, elles ne fournissent pas la sécurité nécessaire pour une connexion sans danger. Les pirates informatiques peuvent facilement accéder aux données personnelles des utilisateurs connectés à ces réseaux non protégés et les dérober. AVAST a résolu ce problème avec le VPN avast! SecureLine pour les smartphones et les tablettes Android. La version de SecureLine pour iPhone et iPad a également été mise à jour. En chiffrant les données utilisateur, SecureLine se comporte comme un tunnel, formant ainsi un bouclier virtuel qui rend les activités de l’utilisateur invisibles au monde extérieur. Les utilisateurs du VPN avast! SecureLine peuvent naviguer sur le web de façon complètement anonyme, se protégeant ainsi des pirates informatiques et des espions.
Selon une étude effectuée auprès de plus de 340,000 répondants, près de la moitié des possesseurs de smartphones du monde entier se connectent à un Wi-Fi ouvert chaque mois, 52 % d’entre eux le faisant tous les jours ou toutes les semaines. Que ce soit dans un aéroport, un café ou un parc local, le Wi-Fi non sécurisé permet aux utilisateurs d’accéder à Internet sans entrer de mot de passe. Environ un tiers de ces utilisateurs effectuent des transactions sensibles sur un Wi-Fi public, comme des achats en lignes, des transactions bancaires et d’autres activités qui nécessitent la saisie de mots de passe et de données personnelles. « Les pirates informatiques ciblent les zones d’accès sans fil publiques, où il est facile de suivre chaque mouvement des utilisateurs de connexion Wi-Fi. Les pirates ont ainsi accès aux e-mails, mots de passe, documents et comportement de navigation. » a déclaré Vincent Steckler, président-directeur général d’AVAST Software. « Le Wi-Fi ouvert ne va pas disparaître, nous devons simplement faire en sorte qu’il y ait une façon plus sécurisée de s’y connecter. C’est pourquoi nous proposons le VPN SecureLine pour PC, iPad, iPhone et les appareils Android. »
En plus de protéger les utilisateurs lorsqu’ils utilisent un Wi-Fi non sécurisé, le VPN avast! SecureLine donne aux utilisateurs la possibilité de changer de lieu lorsqu’ils surfent. Cette fonctionnalité est particulièrement utile pour les voyageurs fréquents, qui doivent contourner les restrictions régionales pour accéder aux contenus : le VPN avast! SecureLine permet aux voyageurs de se connecter avec des serveurs de leur pays d’origine pour accéder aux services auxquels ils sont abonnés.
Fonctionnement du VPN
Une fois le VPN avast! SecureLine installé sur un smartphone ou une tablette, il avertit automatiquement les utilisateurs des dangers d’un Wi-Fi non sécurisé. L’utilisateur a alors la possibilité de se connecter au VPN sécurisé d’AVAST. Le VPN peut être activé volontairement par l’utilisateur, ou être configuré pour établir une connexion chiffrée sécurisée à chaque connexion de l’appareil mobile à un Wi-Fi ouvert. Par défaut, l’application sélectionnera automatiquement le serveur le plus proche pour fournir un niveau de performance optimal. L’utilisateur peut également choisir de changer le lieu virtuel à partir duquel il souhaite accéder à Internet, par exemple New York, Seattle, Singapour ou Londres. Lorsque le VPN est activé, toutes les activités de l’utilisateur effectuées sur Internet sont rendues anonymes et protégées des pirates informatiques.
« Malheureusement, le piratage n’est pas un processus compliqué : il y a des outils disponibles en ligne que n’importe qui peut utiliser facilement pour voler des données personnelles. », déclare Ondrej Vlcek, directeur technique d’AVAST. « Nous avons créé le VPN avast! SecureLine pour permettre aux utilisateurs de naviguer de façon anonyme et en toute sécurité sur le web, particulièrement lorsqu’ils utilisent un Wi-Fi ouvert. » Petit bémol cependant, l’application consomme énormément de batterie et se permet d’utiliser votre compte Google Play (l’email qui est utilisé pour se connecter, ndr) pour vous envoyer un courriel commercial.
Ce VPN est disponible sous la forme d’un abonnement mensuel pour 2,59 € par mois ou d’un abonnement annuel de 19,99 € par mois pour Android sur Google Play ; de 2,69 € par mois ou 17,99 € par an pour iOS dans l’Apple App Store. A noter qu’il existe d’autres solutions, comme VyprVPN. Si Avast propose 11 VPN (6 américains, 1 britannique, 1 allemand, 1 Pays-bas, 1 à singapoure et un à Prague), VyprVPn propose des VPN dans plus d’une quarantaine de pays.
La chaîne de magasins Michaels alerte ses clients sur une potentielle fuite de données à la suite d’un piratage. Les américains, il y a déjà plusieurs années, ont réfléchit à une loi obligeant les entreprises à alerter leurs clients d’une perte ou d’un piratage informatique ayant donné lieu à une fuite de données. Après Target, ZATAZ.COM vous en révélait le piratage début décembre de 70 millions de comptes clients, ou encore le spécialiste du luxe Neiman Marcus, voici le tour de la chaîne de magasins Michaels. Cette marque propose des produits pour les loisirs créatifs.
La direction vient d’annoncer qu’elle avait très certainement été visitée par un vilain pirate informatique. C’est, ici aussi, le système de paiement par carte bancaire qui a été visé. Les services secrets enquêtent. « Nous craignons que le système de protection des données de Michaels ait été attaqué, de telle manière que cela pourrait concerner les informations relatives aux cartes bancaires de nos clients, et nous avons entrepris une action énergique pour déterminer la nature et l’ampleur du problème« , déclare le directeur général de la chaîne, Chuck Rubin, dans un communiqué de presse.
Voici la quatrième partie (Troisième sur zataz.com) des réponses concernant les épreuves du challenge Forensic proposé par les étudiants de la licence CDAISI lors du Forum International de la Cybersécurité 2014. Les 21 et 22 janvier derniers, la ville de Lille a reçu le 6ème Forum de la CyberSécurité. Pour la première fois, un Challenge « forensic » a été proposé. Le mardi 21, les étudiants de la licence CDAISI (Collaborateur pour la Défense et l’Anti-intrusion des Systèmes Informatiques) de l’Université de Valencienne (Antenne de Maubeuge) ont proposé une vingtaine d’épreuves. Étant l’animateur de ce rendez-vous, et que vous avez été très nombreux (et le mot est un doux euphémisme, Ndr) à demander les réponses aux épreuves, voici la seconde partie du Challenge Forensic FIC 2014.
Le challenge FIC a eu pour objectifs, en distinguant quelques profils prometteurs, d’encourager et de valoriser chaque année, les métiers liés au forensic et à la lutte informatique défensive. Vous allez comprendre pourquoi des étudiants, mais aussi des professionnels de chez Google, Thalès, … sont venus tâter du bit à la sauce ethical hacking [Voir]. Les nouvelles épreuves que nous vous présentons ici sont signées par Kévin B., Tony S. et Saïd M. Ils étaient encadrés par Thibaut Salut. Retrouvez la première partie des réponses au challenge forensic FIC 2014 de la CDAISI ici et là. Pour rappel, ces épreuves consistaient à la recherche d’un mot de passe dans un ou plusieurs fichiers, dans des programmes compilé, ou encore en déchiffrant des messages codés. Le but était de valider le maximum d’épreuves et ainsi engranger un maximum de points. Les épreuves étaient classées par niveau. Chaque épreuve, selon sa difficulté, pouvait rapporter plus ou moins de points.
Cette épreuve avait pour but de reconnaître des Hash MD5. En effet le fichier avait chaque lettre d’un mot hashé en MD5. Chaque hash placés les uns à la suite des autres. Nous avions donc ici 13 hash MD5. Les participants devaient découper cette chaîne de caractères, toutes les 32 caractères (longueur d’un hash MD5, Ndr) et à l’aide d’un dictionnaire de reverse MD5 trouver la lettre qui correspondait à chaque hash.
o = d95679752134a2d9eb61dbd7b91c4bcc
r = 4b43b0aee35624cd95b910189b3dc231
n = 7b8b965ad4bca0e41ab51de7b31363a1
i = 865c0c0b4ab0e063e5caa3387c1a8741
t = e358efa489f58062f10dd7316b65649e
h = 2510c39011c5be704182423e3a695e91
o = d95679752134a2d9eb61dbd7b91c4bcc
r = 4b43b0aee35624cd95b910189b3dc231
y = 415290769594460e2e485922904f345d
n = 7b8b965ad4bca0e41ab51de7b31363a1
q = 7694f4a66316e53c8cdd9d9954bd611d
u = 7b774effe4a349c6dd82ad4f4f21d34c
e = e1671797c52e15f763380b45e841ec32
La réponse finale était : ornithorynque.
Épreuve : Decode Me
Inspirée par Gilbert Vernam, le but de cette épreuve était de déchiffrer le masque ayant servit à chiffrer le message codé. Le principe de Gilbert Vernam est le suivant :
– Le masque doit être de la même taille que le message à chiffrer.
– Le masque ne doit jamais être ré-utilisé.
– Le masque doit être réellement aléatoire.
Cependant, pour cette épreuve, les organisateurs ont créé le masque, d’où le fait que cette épreuve est uniquement “inspirée “ de Vernam. Le message Codé était : HWYKSLK UEGWJSGU ZYMREE 3 TXEAA 1890 – 7 NVFVXEXG 1960 HBW RG VX&K OEXD PLPF WBTXEMRT EWS TR 1917 UNNUHXHR IG EWUMWMGE BSXCTLXSLFUNMN WFVWSM MROMW FEH WEFEJ SI MAZHBBXM AZ ACLSFRXVH IGM-EQEI AEP CAFBIU JMKRTD TISTZDIP E GXLPTRBBBVV RWJYGV BG ALXTL U KVRJCGHGFQ XEWEIISQ CHC CEBX HU DDTHV VHXJ NJ GAQOBRXF GATVCNXJE FQ VWAJANXEK KQKL ELQ DEDMCTWPX PIUWCNE EZ TEUHYUX ZPP DMGAZV KRXF. Le challenger devait utiliser les chiffres qui n’étaient pas “chiffrés“ pour pouvoir en déduire la page originelle se trouvant sur internet. La première difficulté était d’essayer ces dates, avec mois, en anglais.
Message d’origine : Gilbert Sandford Vernam 3 April 1890 – 7 February 1960 was an AT&T Bell Labs engineer who in 1917 invented an additive polyalphabetic stream cipher and later co invented an automated onetime pad cipher Vernam proposed a teleprinter cipher in which a previously prepared key kept on paper tape is combined character by character with the plaintext message to produce the cipher text. La seconde étape était d’en déduire le masque. Il était possible de le faire à la main, en comparant les caractères codés et d’origines. Une méthode longue. Il était donc possible d’utiliser des utilitaires disponible sur internet comme Dcode pour en déduire le masque.
Le masque reconstitué donnait : bonjour cette epreuve est inspiree de gilbert vernam selon son principe le masque doit etre de la meme taille que le message chiffre le masque ne doit jamais etre reutilise le masque doit etre reellement aleatoire pour cette epreuve nous nous inspirons de sa methode de chiffrement et cette clef n est pas aleatoire le mot de passe de ce challenge est gilbert vernam.
Épreuve : HaveFun
Cette épreuve était un fichier exécutable. Le programme, une compilation d’un code écrit en C, compilé à l’aide de GCC. Les participants devaient donc désassembler l’exécutable, à l’aide de GDB par exemple, pour retrouver le pass caché à l’intérieur. Code C : Une variable déclarée initialisée à 0x41. Elle correspond au code hexadécimal de l’ascii ‘A’. Il fallait déclarer un tableau de caractères. Puis incrémenter ou décrémenter la variable, puis assigner la valeur résultante dans l’une des cases du tableau. Le mot de passe final de cette épreuve était ‘OMGWTFBBQ‘.
Épreuve : Le rendez-vous du musée
Voici une épreuve se constituant d’un mail banal en apparence mais contenant un indice caché en WhiteSpace. Il suffisait de regarder dans le coin, en haut à gauche, et utiliser une image en pièce jointe. Le but était d’en déduire un lieu et une date de rencontre. Dans cette épreuve de stéganographie, il fallait apercevoir un QrCode, celui-ci, tel-quel, ne pouvait pas être scanné. Il devait être reconstitué. Il fallait donc recréer les carrés ; inverser horizontalement le QrCode ; inverser les couleurs. Une étape inutile avec certains scanners de QrCode. Cette reconstitution permettait de lire le flash code. Il dirigeait le joueur au pied de la Tour Eiffel.
L’étape suivante était de retrouver la date et l’heure du rendez-vous, pour cela, le challenger devait découvrir l’indice se situant dans le mail, sinon il devait analyser l’image de fond en comble. La date et l’heure étaient fondus dans la peinture de la pièce. Difficile à déchiffrer. Une excellente vue ou bonne maitrise d’un logiciel de retouche d’image était nécessaire. Le mot de passe était : TourEiffel10juin201416h15
Épreuve : cœur
Cette épreuve combinait de la stéganographie, de la recherche ainsi que la reconstruction d’un fichier corrompu. Les participants avaient à leur disposition un fichier PDF d’une nouvelle de Edgar Allan Poe. Ils devaient ouvrir ce fichier PDF en hexadécimal, à l’aide du logiciel hexeditor par exemple. Le concurrent devait se rendre compte que des données étaient cachées à la fin du fichier. En effet, un fichier PDF normal se termine par un EOF (End Of File). De ce fait, si on rajoutait des données à la suite de ce EOF, le fichier PDF restait lisible et sans perturbation. Il fallait constater après ce EOF, une suite de chiffre, 6, 22, 5, puis des données. Ces données correspondaient à une image compressée en RAR, rar corrompu. L’indicateur de fichier ‘Rar !’ était remplacé par des 0x00. Les données extraites du PDF, et les quatre premiers octets remplaçaient par 0x52, 0x61, 0x72 et 0x21, réclamaient un mot de passe. C’était ici que la suite de chiffre rentrait en compte.
En effet, 6, 22 et 5 correspondaient respectivement à un numéro de page, un numéro de la ligne et un numéro du mot. Si on ouvrait le PDF avec ces indications. La page 6, ligne 22, 5e mot correspondait à EPECTASE. Le plus « bourrin » auront utiliser un brute force sur le mot de passe qui donnait accès à l’image orgasme.jpg, et au mot de passe EPECTASE.
Épreuve : Wait Whaat
Cette épreuve se composait de 6 fichiers. Ces fichiers étaient en fait composés de données aléatoires dans le seul but de brouiller les pistes. Les participants devaient se concentrer sur les droits des différents fichiers, chaque fichier ayant des droits bien spécifiques et « non normaux ». Prenons par exemple le fichier 1, qui avait les droits : – – – x – – x r w x. On admettra que : ‘-‘ = 0 ; lettre = 1. On obtennait donc : – – – x – – x r w x, soit 000 1 001 1 1 1. Informations qui donnait le chiffre hexadécimal 0x4F. Dans la table ascii correspondante, cela donnait la lettre ‘O’. La procédure était la même avec les autres fichiers.
—x–xrwx = 0 001 001 111 = 0x4F = ‘O’
—xr—wx = 0 001 100 011 = 0x63 = ‘c’
—xrw-r– = 0 001 110 100 = 0x74 = ‘t’
—xr—-x = 0 001 100 001 = 0x61 = ‘a’
—xrw-rw- = 0 001 110 110 = 0x76 = ‘v’
—xr–r-x = 0 001 100 101 = 0x65 = ‘e’
Voici la première partie des réponses concernant les épreuves du challenge Forensic proposé par les étudiants de la licence CDAISI lors du Forum International de la Cybersécurité 2014. Les 21 et 22 janvier derniers, la ville de Lille a reçu le 6ème Forum de la CyberSécurité. Pour la première fois, un Challenge Forensic (recherche de trace, Ndr) a été proposé. Le mardi 21, les étudiants de la licence CDAISI (Collaborateur pour la Défense et l’Anti-intrusion des Systèmes Informatiques) de l’Université de Valencienne (Antenne de Maubeuge) ont proposé une vingtaine d’épreuves. Étant l’animateur de ce rendez-vous, et que vous avez été très nombreux (et le mot est un doux euphémisme, Ndr) à demander les réponses aux épreuves, voici la première partie du Challenge Forensic FIC 2014. Le challenge FIC a eu pour objectifs, en distinguant quelques profils prometteurs, d’encourager et de valoriser chaque année, les métiers liés au Forensic et à la lutte informatique défensive. Vous allez comprendre pourquoi des étudiants, mais aussi des professionnels de chez Google, Thalès, … sont venus tâter du bit à la sauce ethical hacking [Voir]. Les premières épreuves que nous vous présentons ici sont signées par Lucas R., Florian E., Julien G.. Ils étaient encadrés par Thibaut Salut. Retrouvez les réponses de la première partie de ce challenge sur zataz.com. La suite sera diffusée lundi prochain, le 27 janvier.
L’épreuve du Morse
Un exécutable, codé en python, reposait sur l’exécution de print et de sleep. Chaque participant récupérait un exécutable qui, une fois lancé, affichait des lignes en hexadécimal. Ils devaient découvrir deux intervalles différents lors de l’affichage des lignes. Un court intervalle court qui correspondait à un point et un intervalle long qui correspondait à un tiret. En faisant la correspondance avec un tableau morse, on obtenait alors les coordonnées géographiques d’un toit dans un parc d’attraction, en Australie, sur lequel est écrit Big Brother. Big Brother était la clé qui permettait de passer à l’épreuve suivante.
Epreuve Scapy
L’idée de cette épreuve, dissimuler la clé dans les paquets ICMP. Pour cela, il a été utilisé un framework python spécialisé réseau nommé Scapy. Un petit script a envoyé les paquets ICMP modifiés à l’adresse voulue. Il suffisait d’exécuter le script et faire une capture Wireshark. Les participants recevaient une capture Wireshark contenant plusieurs milliers de trames. Parmi toutes ces trames, se trouvaient des trames ICMP dont le champ ID avait été modifié. Les candidats devaient alors, soit écrire un script permettant de récupérer le champ ID, soit le faire à la main en regardant le détail de chaque trame avec Wireshark.
Epreuve Windows
Pour créer l’épreuve, il a été utilisé une machine virtuelle Windows sous Virtual box. Pour modifier les shellbags, juste brancher une clé USB avec le dossier voulu, et attendre un peu que les shellbags soient modifiés. Chaque participant avait à sa disposition une machine virtuelle Windows. Son but était de retrouver le nom d’un dossier stocké sur une clé USB qui auparavant avait été branchée sur la fameuse machine virtuelle. Il suffisait d’utiliser des logiciels comme Windows ShellBag Parser (sbag) afin de remonter aux traces.
Epreuve de l’icône
Dans cette première étape, 2 fichiers : un fichier texte et un fichier ReadMe dans lequel se trouvait le sujet de l’épreuve. La partie 1 consistait à retrouver le mot de passe de l’épreuve 1. Il était dissimulé dans le fichier epreuve1.txt. Ce dernier est en réalité non pas dans le contenu du fichier texte mais dans l’icône de celui-ci. Le mot de passe était : funnyh4ck.
Epreuve archive
Les participants recevaient une archive contenant un dossier contenant lui-même un certain nombre d’images, un fichier ReadMe.txt (dans lequel se trouvait le sujet de l’épreuve) et un fichier chiffré comportant l’extension .axx. Il fallait donc, dans un premier temps, savoir ce qu’était un fichier .axx. Après une brève recherche, on s’apercevait que ce fichier était chiffré à l’aide de l’outil AxCrypt. Les challengers devaient ensuite déduire qu’il fallait un mot de passe, ou un fichier clé, pour lire le .axx. Etant donné qu’un dossier rempli d’images était donné aux candidats, ils devaient en déduire qu’un fichier avait été caché parmi elles. Cacher un fichier dans un autre est le principe même de la stéganographie. Ils devaient alors récupérer à l’aide de l’outil de leur choix (steghide par exemple), un éventuel fichier dans l’une des images fournies. Pour retrouver la passphrase, il suffisait de regarder les commentaires de l’archive : cdaisi. Une fois le fichier clé retrouvé, il suffisait de lancer AxCrypt, préciser le fichier clé et lancer le déchiffrement.
Epreuve Blowfish
Il fallait que le candidat déduise que le fichier proposé était crypté en blowfish-cbc. Dans le fichier ReadMe qui lui avait été proposé, il y avait des informations importantes. Il suffisait de regarder quel genre de chiffrement prenait deux paramètres. Blowfish prends 2 paramètres en hexadécimal, cependant les éléments donnés sont en ASCII et en base64. Il fallait donc les convertir. La commande pour le déchiffrer était la même que pour chiffrer sauf qu’il suffisait d’ajouter -d à la commande pour préciser l’action de déchiffrement. Une fois le fichier déchiffré, on obtenait un fichier texte contenant une suite de chiffre qui, à première vue, n’a rien de spécial. Sauf qu’il y avait un message caché : « Le Losc ira en champions league l’année prochaine. Félicitation : Vous avez réussi l’épreuve =) » Il ne restait plus qu’à tester cette phrase avec le fichier testEXE.!
Première journée chargée pour le Forum International de la Cybersécurité qui se déroule, jusqu’au 22 janvier, au Zénith Arena de Lille. Conférences, ateliers et challenge Forensic au menu de deux jours dédiés aux problématiques de la sécurité informatique. L’occasion pour la gendarmerie nationale de présenter son « Permis Internet », une opération de sensibilisation des jeunes élèves en classe de primaire. Emmanuel Valls, Ministre de l’Intérieur, en a profité pour saluer des élèves de CME2 venus recevoir ce document scolaire qui fait de ces enfants des internautes dorénavant avertis. « Nous en avons parlé à nos parents, soulignaient les élèves. Nous avons pu leur apprendre à mieux comprendre ce qu’est l’identité numérique sur Internet et comment bien la sécuriser« .
Ethical Hacking
Durant ces deux jours, deux challenges « Forensic » sont proposés. Le premier, celui du mardi, mis en place par les enseignants et les universitaires de la licence CDAISI de l’Université de Valencienne, antenne de Maubeuge. Sténographie, recherche d’informations cachées dans des images, analyses de son, gestion du … morse, analyse de trame, jouer avec un son stéréo et analyser ses… silences. Trente équipes (France, Belge, Bénin, …) ont participé à cette première pour le FIC. Un challenge qui permet, aussi, aux étudiants, chercheurs ou professionnels travaillant pour Thalès, Google de croiser la souris et les techniques de hack. « Appréhender, évaluer les épreuves, explique Octave, étudiant en 3ème année CDAISI, Nous nous sommes concentrés sur la question – Comment cacher un mot de passe – Nous avons auto testé nos épreuves en cours, avec nos professeurs. » Des créations d’épreuves qui sont intégrées dans le cursus des futurs diplômés, sous forme de projets. Lors du challenge ACISSI, les recruteurs, venus scruter, poser des tonnes de questions. Bref, les challenges se démocratisent, les langues se délient et les « décideurs » peuvent enfin de pencher sur ces têtes biens faîtes. Dommage, cependant, que le Ministre de l’Intérieur n’a pas pris 30 secondes pour venir saluer, voir s’intéresser (alors qu’il a frolé l’espace du challenge ACISSI), aux participants. Il aurait pu croiser des « hackers ethiques » français, des vrais, étudiants ou salariés dans de très importantes entreprises hexagonales ou… tout juste débauché par l’Américain Google. Il est vrai que le nid de lobbyiste qui l’entourait lui donner plutôt envie d’accélerer le pas, que de rester devant ce qui est véritablement la sécurité informatique de demain… des hommes et des femmes qui réfléchissent plus loin qu’une norme ISO et un bouton à pousser proposés par un logiciel d’audit !
A noter que Data Security Breach et zataz.com diffuseront dans quelques heures les réponses aux épreuves du Challenge FIC 2014 ACISSI.
CECyF
Pas de doute, l’argent va couler à flot dans le petit monde de la sécurité informatique. Le milliard d’euro annoncé par le Ministre de la Défense, dans le cadre de la sécurisation des infrastructures informatiques du pays, fait briller les petits yeux des commerciaux. Il suffit de voir le nombre de CERT privés sortir du terre pour s’en convaincre… tous avec LA solution miracle de prévention, sécurisation, …
Mardi après-midi, à l’occasion du Forum international sur la Cybersécurité ont été signés les statuts du CECyF, le Centre Expert contre la Cybercriminalité Français. Le CECyF est une association qui rassemble les acteurs de la lutte contre la cybercriminalité : services d’investigation, établissements d’enseignement et de recherche, entreprises impliquées dans la cybersécurité ou impactées par la cybercriminalité. L’association sera aussi ouverte à des adhérents individuels qui souhaiteraient participer aux projets du CECyF (notamment des chercheurs ou des étudiants). Le CECyF se veut un espace de rencontre et de créativité en matière de lutte contre la cybercriminalité. Il a pour vocation de favoriser les projets collaboratifs en la matière en aidant à la recherche de financements et en proposant un soutien juridique et opérationnel (communication, conférences, hébergement de plateformes collaboratives de développement, etc.).
Les premiers projets proposés aux membres au cours de l’année 2014 concerne les thématiques suivantes :
– développement d’outils opensource d’investigation numérique ;
– contribution à la création de supports de sensibilisation aux cybermenaces ;
– développement de formations à distance pour les services d’investigation, mais aussi les acteurs du secteur privé ou des collectivités locales ;
– partage d’informations et nouvelles études sur les besoins en formation et cartographie des formations disponibles ;
– participation des membres à des conférences existantes pour dynamiser les échanges entre les différentes communautés sur les différents aspects de la prévention et de la lutte contre la cybercriminalité : Journées francophones de l’investigation numérique de l’AFSIN, Botconf, SSTIC, conférences du CSFRS, de Cyberlex, etc.
Le CECyF s’inscrit dans le projet 2CENTRE (Cybercrime Centres of Excellence Network for Training, Research and Education), un réseau de centres d’excellence européens visant le développement et la mise en œuvre de projets de recherche et de formation coordonnés, associant des services enquêteurs, des établissements d’enseignement et de recherche, ainsi que des spécialistes des industries des technologies numériques. Le premier d’entre eux, dénommé 2CENTRE, a reposé sur les relations préexistant en Irlande et en France. D’autres pays travaillent à l’établissement d’un centre d’excellence national, en particulier la Belgique avec BCCENTRE, mais aussi l’Allemagne, la Bulgarie, l’Estonie, l’Espagne, la Grèce, le Royaume-Uni, la Roumanie et la République Tchèque. Pour le moment, au sein du CECyF, la gendarmerie, la police nationales, les douanes, des écoles d’ingénieurs et universités (EPITA, enseigné privé), l’Université de Technologie de Troyes, Orange, Thalès, Microsoft France et CEIS (Organisateur du FIC).
Allocution de Manuel Valls, ministre de l’Intérieur
Vous n’y étiez pas, pas d’inquiétude. Data Security Breach vous propose l’allocution de Ministre de l’Intérieur effectuée mardi, lors du lancement du Forum Internet de la Cybersécurité.
A la même époque, l’année dernière, j’avais le plaisir de clore les travaux de la 5ème édition du Forum International de la Cybersécurité. C’est avec un plaisir renouvelé que je viens, aujourd’hui, ouvrir cette 6ème édition. Je tiens, tout d’abord, à féliciter et à remercier le conseil régional du Nord Pas-de-Calais, et son premier vice-président Pierre de SAINTIGNON, pour l’organisation de cette manifestation, conduite en partenariat avec la gendarmerie nationale et CEIS. La qualité des invités, la présence de membres de gouvernements étrangers, que je salue chaleureusement, témoignent de la réputation désormais établie de cet espace de réflexion et d’échanges, lancé en 2007. Le caractère précurseur de cette initiative montre combien la gendarmerie, au même titre que la police nationale, sont des institutions en phase avec leur temps.
Nous tous sommes – et chaque jour davantage – immergés dans un monde de données. Nous les créons, les exploitons, les transmettons, faisons en sorte de les protéger. Ces données sont intellectuelles, commerciales, juridiques, ou encore financières et fiscales. Elles sont, aussi et surtout, des données d’indentification, constitutives de notre identité numérique. Elles disent ce que nous sommes, ce que nous faisons. Et même ce que nous pensons.
Cette identité est, par définition, précieuse. Elle peut cependant être attaquée, détournée, usurpée. Ces atteintes nuisent alors profondément à la confiance, pourtant indispensable pour l’essor du cyberespace. Face à cela, chaque acteur a une responsabilité et un rôle à jouer. L’État joue pleinement le sien. Il doit assurer dans la sphère virtuelle – autant que dans la sphère réelle – la sécurité de nos concitoyens, mais aussi celle de nos entreprises et plus largement des intérêts de la Nation. Cette action intervient dans un cadre indépassable, celui du respect des libertés fondamentales : respect de la vie privée et de la liberté d’expression. Le débat autour de la géolocalisation illustre bien ma volonté de concilier liberté et sécurité.
La géolocalisation permet en effet de connaitre en temps réel ou en différé les déplacements d’une personne. Cette technique d’enquête est utilisée dans le domaine judiciaire mais aussi dans le domaine administratif et préventif. En matière judiciaire, nous avons immédiatement réagi aux arrêts de la cour de cassation. Avec la Garde des Sceaux, nous avons rédigé un texte qui répond désormais aux exigences de la CEDH et de la Cour de Cassation. Il est actuellement soumis au Sénat, dans le cadre de la procédure accélérée. En matière administrative, l’article 20 de la LPM est venu combler un cadre juridique lacunaire. Il donne désormais un fondement clair à l’ensemble des demandes de données de connexion, qui peuvent être effectuées par tous les services de renseignement ainsi que par tous les services de police et unités de gendarmerie, dans le cadre strict des finalités de la loi de 1991.
Nous aurons donc d’ici quelques semaines un arsenal juridique complet et solide, confortant l’action des services de renseignement et de la police judiciaire. A la lumière de l’actualité récente [enrôlement de mineurs dans le Jihad], je m’en félicite. Lutter contre les cybermenaces demande d’intégrer une triple exigence :
tout d’abord, en avoir une bonne connaissance, sans se limiter à la cybercriminalité ;
ensuite, adapter les réponses opérationnelles, en portant, notamment, une attention particulière à la politique de prévention ;
enfin, mieux piloter et coordonner les moyens engagés et les différents services impliqués.
Ce sont ces trois exigences que je veux détailler devant vous.
1. Face à une sphère virtuelle en mutation permanente, une connaissance des usages et des menaces potentielles est indispensable. Nous sommes, en effet, devant un phénomène en pleine expansion ; un phénomène complexe et global, mal appréhendé par un droit qui est soit peu adapté, soit en construction, et en tout cas sans réelle cohérence.La cybercriminalité nous renseigne de façon parcellaire sur l’état réel de la menace : que sont les 1 100 faits d’atteintes aux systèmes d’information dénoncés aux services de police et aux unités de gendarmerie, en 2011, par rapport à la réalité vécue par les entreprises et les administrations ? Un simple aperçu !
La plateforme PHAROS de signalement de contenus illicites de l’Internet, opérée par l’OCLCTIC, donne un éclairage complémentaire. Avec près de 124 000 signalements en 2013, elle atteint un nouveau record, signe de la vigilance des internautes. Nous devons être en mesure d’appréhender des menaces toujours plus diverses : risques de déstabilisation de l’activité économique, atteintes à l’e-réputation, menaces pesant sur l’ordre public et la sécurité du territoire mais aussi radicalisation, embrigadement, recrutement par des filières terroristes et diffusion de messages de haine (racistes, antisémites, antireligieux, homophobes…).
Je veux insister devant vous sur la lutte contre les messages antisémites et racistes sur internet qui passe bien entendu, par la fermeté et le refus de la banalisation de la haine. Mais elle passe aussi par une responsabilisation du public. Ainsi, la décision du Conseil d’Etat relative au spectacle de Dieudonné M’bala M’bala aura permis une prise de conscience.
Elle passe enfin par un travail avec les acteurs du net et notamment les réseaux sociaux comme nous l’avons fait avec Twitter. Ainsi, grâce à la concertation conduite avec cet opérateur, des engagements de sa part
ont pu être obtenus concernant :
– la suppression des contenus illicites : Twitter a mis en place des techniques permettant de restreindre l’affichage des contenus prohibés dans les seuls pays où ils sont illicites [exemple des contenus xénophobes et discriminatoires illicites en France mais pas aux USA] ;
– le gel de données : Twitter s’engage à procéder au gel de données d’enquête sur simple courriel sans aviser ses utilisateurs si les enquêteurs demandent expressément à ce que ces mesures restent confidentielles ;
– l’obtention de données d’enquêtes : Twitter communique des données sur simple réquisition pour des affaires non urgentes mais d’une particulière gravité, qualifiées de serious crimes. Des travaux sont encore à cours sur ce sujet ;
– le déréférencement des hashtags : Twitter déréférence les hashtags à succès mais illicites quand ils apparaissent dans les « tendances » de sa page d’accueil, pour limiter leur résonnance. De telles mesures ont déjà été prises à la demande des autorités ou d’associations françaises telles que SOS Homophobie ;
– un référent pour la France concernant le respect des obligations légales.
D’autres travaux se poursuivent pour : – rendre plus accessible le formulaire de signalement public, – développer les partenariats avec les acteurs français d’internet : SAFER Internet (protection des mineurs), SOS Homophobie, SOS Racisme, etc. ; – développer un formulaire en ligne destiné à faciliter les démarches officielles des enquêteurs internationaux. Le réseau mondial est aussi celui où se rencontrent, se fédèrent, se préparent, souvent dans l’obscurité, les pires intentions. Internet est un lieu de liberté certes, mais cela ne doit pas être une zone de non droit où l’on pourrait tout se permettre. Les menaces de l’Internet concernent tout le monde, ne serait-ce que du fait de la progression de la fraude sur les moyens de paiement à distance. Mais elles ciblent, en particulier, les plus jeunes. Une étude récente a ainsi souligné que 40% des élèves disent avoir été victimes d’une agression en ligne. Nous devons donc mettre en œuvre des politiques publiques à la hauteur de ces enjeux.
Des enjeux qui sont éclairés par un travail qui va au-delà de nos frontières. Le monde virtuel n’en connaît pas. A ce titre, je veux saluer la contribution du centre de lutte contre la cybercriminalité EC3 d’Europol. En un an, il contribué à la résolution de plusieurs dossiers d’enquête complexes et permis de compléter la vision des risques cyber auxquels nous, pays européens, sommes confrontés. Seule une démarche globale peut nous permettre de prendre la mesure d’une menace elle-même globale.
Ceci passe par une approche décloisonnée ; décloisonnée entre services, entre matières. Travaux de recherches, observatoires thématiques, veille des réseaux numériques, surveillance des activités des groupes criminels et terroristes, alertes sur la sécurité des systèmes d’information : c’est l’ensemble de ces démarches qui permettent d’appréhender les risques et de piloter au mieux la réponse opérationnelle.
2. De nombreuses actions sont mises en oeuvre, chaque jour, pour contrer ces nouvelles formes de menaces qui ont chacune leur spécificité3 Je connais la mobilisation des acteurs européens, étatiques, industriels. Je vais visiter, dans quelques instants, les stands des partenaires institutionnels, des industriels, des PME-PMI, des écoles et des universités. Je sais que leur objectif commun est d’améliorer la confiance dans l’espace numérique, de proposer un cyberespace plus sûr et protecteur de nos libertés fondamentales.
Je sais que les attentes les plus grandes à l’égard de l’action de l’État viennent des entreprises, qui demandent une protection efficace contre les atteintes aux systèmes d’information, les fraudes, l’espionnage industriel.
Et il y a urgence ! Par exemple, en décembre, dans deux régions françaises, deux PME ont été victimes d’escroqueries aux faux ordres de virement pour des montants respectifs de 480 000 € et 450 000€. Pour l’une d’entre elle, les escrocs ont pris la main sur le système d’information de la société pour finaliser la transaction. Depuis 2011, ce type d’escroquerie représente un préjudice estimé à plus de 200 millions d’euros pour les entreprises françaises. Ce chiffre prend un relief tout particulier alors que les entreprises françaises doivent s’adapter à une concurrence internationale de plus en plus forte.
La loi de programmation militaire, récemment adoptée, renforce le dispositif de protection des entreprises les plus sensibles. Elle conforte et amplifie le rôle de l’Agence nationale de la sécurité des systèmes d’information – dont je salue le directeur présent aujourd’hui – dans le contrôle de nos opérateurs d’importance vitale. Cette mesure était prioritaire. Au-delà, les entreprises qui forment notre tissu économique, bénéficient au quotidien de l’action des services de la police et des unités de la gendarmerie qui les sensibilisent aux cyber-risques dans le cadre de leurs missions d’intelligence économique. Cette action territoriale, s’adressant tant aux grandes entreprises qu’aux PME-PMI participe de la réponse globale de l’État.
Une réponse qui doit concerner l’ensemble de nos concitoyens. J’ai d’ailleurs la conviction que le niveau de sensibilisation à la cybersécurité est encore insuffisant et que nous avons, dans ce domaine, de grandes marges de progression. Aussi, je me félicite des initiatives de la police et de la gendarmerie à destination des plus jeunes, à l’image de l’opération « Permis Internet » mise en place par la gendarmerie nationale, en partenariat avec AXA Prévention. Je viens d’ailleurs de remettre des « Permis Internet » aux élèves de CM2 de l’école Roger Salengro
d’Hallennes-lez-Haubourdin. Au sein de leur établissement scolaire, depuis quelques semaines, ils apprennent à utiliser en sécurité l’Internet, à mieux identifier les dangers auxquels ils peuvent être confrontés. Ils deviennent donc des Internautes avertis.
L’année dernière, je m’exprimais devant vous à l’issue de longs débats sur la loi antiterroriste. Je vous avais alors fait part de ma volonté et de celle du gouvernement de lutter plus efficacement encore contre le cyber terrorisme. Plus largement, renforcer notre efficacité en matière de cybercriminalité nécessite de prendre un certain nombre de mesures : adapter notre arsenal juridique, coordonner l’action de tous les services de l’État, sécuriser les titres d’identité et leur exploitation ou encore améliorer la formation des personnels de tous les ministères concernés. C’est pourquoi, j’ai souhaité la constitution d’un groupe de travail interministériel, réunissant, sous la présidence d’un haut magistrat, des représentants des ministères de l’Economie et des Finances, de la Justice, de l’Intérieur et de l’Economie numérique. Les travaux menés, depuis l’été 2013, sous la présidence du procureur général Marc ROBERT, sont achevés. Les conclusions seront remises aux quatre ministres dans les prochains jours.
J’attends des propositions ambitieuses, notamment en termes de techniques d’enquête ou de recueil et de traitement des plaintes. J’attends, également, des propositions permettant d’améliorer l’organisation de nos services et d’offrir aux citoyens un dispositif plus lisible et plus proche de leurs préoccupations. Il s’agira naturellement, à court terme, et en parallèle des évolutions de l’organisation du ministère de la Justice, de renforcer les capacités d’investigation pour les infractions spécifiques liées au monde cyber en s’appuyant sur les enquêteurs spécialisés en technologies numériques de la gendarmerie et de la police.
3. Je souhaite également qu’au sein du ministère de l’Intérieur soit menée une réflexion de fond pour développer une capacité fine de pilotage et de coordination dans la lutte contre les cybermenaces. Nous devons fédérer les actions des différents services, faire le lien entre les capacités d’anticipation, la politique de prévention, les efforts de recherche et développement et les dispositifs de répression.
L’attention que je porte aux moyens consacrés, au sein du ministère de l’Intérieur, à la lutte contre les cybermenaces s’étend bien évidemment à ceux dédiés à la sécurité et la défense de ses propres systèmes d’information. Les systèmes d’information mis en oeuvre pour la sécurité intérieure et pour la conduite de l’action territoriale de l’État ne peuvent souffrir d’aucun manquement à leur propre sécurité. Ces outils permettent, au quotidien, l’action de notre administration, de nos forces. Le ministère de l’Intérieur est ainsi engagé au premier chef dans les démarches entreprises par les services du Premier ministre, afin de renforcer et garantir la sécurité de nos systèmes d’information.
J’ai donc demandé aux directeurs de la gendarmerie et de la police nationales de me proposer une stratégie de lutte contre les cybermenaces, sous trois mois, et de définir un véritable plan d’action. Cette réflexion s’appuiera sur les compétences développées au sein du ministère mais devra également, le cas échéant, définir ce qui nous manque. Elle pourra déboucher sur des évolutions structurelles. En outre, dans le cadre de la réforme des statistiques, j’avais demandé que l’on améliore la mesure des phénomènes de cyber-délinquance, et ce dans le cadre rigoureux des principes de la statistique publique. Les travaux de conception sont désormais bien avancés et je demanderai au chef du nouveau service statistique ministériel (SSM), dès sa prise de fonction fin février, de se prononcer sur le nouvel indicateur composite. Celui-ci devra clairement distinguer les atteintes directes aux systèmes d’information, les infractions liées aux contenus, les fraudes et escroqueries réalisées par l’internet, etc. Il est grand temps d’améliorer la qualité, la disponibilité et la régularité des données publiques sur ces enjeux fondamentaux de sécurité.
Enfin, si la sécurité du cyberespace relève en premier lieu de l’État, elle passe, aussi, nécessairement, par une mobilisation autour de partenariats avec le monde académique et les acteurs privés, fournisseurs de services et industriels de la sécurité des systèmes d’information.
Aussi, je salue la création cet après-midi, dans cette même enceinte, du « centre expert contre la cybercriminalité français (CECyF) », qui associera dans un premier temps la gendarmerie et la police nationales, les douanes, des écoles d’ingénieurs et universités – l’EPITA, l’Université de Technologie de Troyes – et des industriels – Orange, Thalès, Microsoft France et CEIS. Ce centre permettra l’émergence d’une communauté d’intérêts autour de la lutte contre la cybercriminalité. Les objectifs sont clairs : contribuer à la réflexion stratégique dans ce domaine, développer des actions de formation et encourager la mise au point d’outils d’investigation numérique et de travaux de recherche.
Mesdames, messieurs, Chaque époque connaît des mutations techniques, technologiques. Elles sont porteuses de progrès pour nos sociétés tout en générant des contraintes, des menaces nouvelles qu’il faut savoir intégrer. Comme vous le voyez, les pouvoirs publics se sont pleinement saisis des enjeux liés au monde cyber. Chaque phénomène, chaque menace doit pourvoir trouver une réponse adaptée. Mais l’essor du réseau mondial nous oblige à agir en réseau, à mobiliser l’ensemble des acteurs pour assurer la cybersécurité, c’est-à-dire simplement la sécurité de tous.
Le 5 janvier dernier, le forum 4chan a servi de support à la 3ème édition d’une immense chasse au trésor sauce chiffrement. Depuis 2012, l’opération cigale est lancée par des inconnus. Impossible, sauf pour les vainqueurs des années passées, de savoir qui se cache derrière Cicada 3301. D’après le ou les auteurs, cette grande course doit permettre de recruter « des individus très intelligents. Pour les trouver, nous avons conçu un test. Un message se cache dans cette image. Trouvez-le, et il vous mènera sur la voie pour nous trouver. Nous sommes impatients de rencontrer les quelques personnes qui réussiront à faire le chemin jusqu’à nous. Bonne chance.«
Prétentieux les « organisateurs » ? Les premières traces ont permis de remonter, d’abord, à un leurre, puis ensuite à décortiquer l’image (il fallait multiplier 3301 à la longue et hauteur de l’image d’origine. 3 nombres premiers qui donnaient l’ip d’un site web, et d’une image de cigale qui, exploitait avec le logiciel de sténographie OutGuess indiquait aux joueurs « Vous avez été suffisamment bons pour arriver jusqu’ici. La patience est une vertu. Revenez à 17:00 lundi 9 janvier 2012, UTC. » 14 points GPS sont apparus alors ce 9 janvier. Chaque point dirige vers une affiche et un QR Code, affiches collées dans les villes de Paris, Séoul, Varsovie, Miami. Chaque QR code dirige vers de nouveaux documents à décortiquer avec le même OutGuess.
En 2012, des commentaires liés aux images pointaient du doigt la NSA. Si en plus ils inventent des jeux sympas, ils vont finir par devenir vraiment sympathiques. En 2013, un PastBin annonçait que derrière cette organisation se cachait des gens dangereux. En attendant, Snowden n’a pas diffusé d’information sur ce concours. La CIA serait aussi dans les rangs des probables GO.
Des informations sont diffusées par des « joueurs » sur un wiki. Un Twitter a aussi été ouvert pour l’occasion.
Le Forum International de la Cybersécurité (FIC) 2014 organisé conjointement par la Gendarmerie Nationale, le cabinet CEIS et le Conseil régional du Nord-Pas de Calais se déroulera les 21 et 22 janvier à Lille Grand Palais. Pour cette 6e édition intitulée « Identité numérique et confiance », le FIC acte une nouvelle étape dans son partenariat avec Epitech, l’école de l’innovation et de l’expertise informatique (membre de IONIS Education Group).
Le partenariat s’est conclu dans le cadre du programme d’Epitech « Ecole citoyenne du numérique ». Ce dispositif permet aux étudiants de s’investir dans des projets concrets d’intérêt général. Au service des acteurs institutionnels et des collectivités, les étudiants de l’école traitent de thématiques liées au numérique. Deux 2 animations autour de l’identité numérique vont être proposées : « Selon où tu es, je sais qui tu es, le sais-tu ? » ; « Selon ce que tu sais, ce que tu as et qui tu es, tu pourras entrer ; ou pas ! ». Les équipes du laboratoire Sécurité d’Epitech, impliquées dans la pédagogie et dans les projets de recherche relatifs à ce sujet, ont créé deux démonstrations interactives et ludiques spécialement pour le FIC.
L’année derniére, les étudiants avaient réussi à piéger des visiteurs via une application distribuée via un flashcode.
Le FIC est devenu le « Salon européen de référence en matière de confiance numérique » réunissant les principaux acteurs institutionnels et experts du domaine dans une démarche de réflexion et d’échanges sous un angle stratégique (géopolitique, sociologique, juridique, managérial, technologique) et opérationnel. Manuel Valls, ministre de l’Intérieur sera présent pour la cérémonie officielle d’ouverture, le mardi 21 janvier 2014 à 9h00. Jean-Yves Le Drian, ministre de la Défense sera présent le mardi 21 janvier à 16h00. A noter que le ministère de la défense français, partenaire du FIC 2014, disposera d’un stand et participera à de nombreux ateliers, en particulier dans le parcours « stratégies de cyberdéfense ». L’intervention de M. Manuel Valls, ministre de l’Intérieur, sera suivie de la séance plénière « La cybersécurité est-elle un échec ? », avec l’intervention de Patrick Pailloux, directeur général de l’ANSSI, David Lacey, directeur de l’Institut des enquêtes criminelles à l’Université de Portsmouth, Jérémie Zimmermann, membre fondateur et porte-parole de La Quadrature de Net, Jean-Pierre Guillon, Président du MEDEF Nord Pas de Calais, Luc-François Salvador, PDG de Sogeti, Jean-Michel Orozco, CEO Cassidian Cybersecurity et Marc Watin-Augouard, Général d’armée (2S).
L’ensemble des conférences, séances plénières, tables rondes, ateliers et débats sont répartis selon 7 parcours thématiques : Lutte anti-cybercriminalité – Dynamiques industrielles – La fonction sécurité en entreprise – Technologies – Stratégies de cyberdéfense – Nouvelles citoyennetés numériques – Géopolitique du cyberespace. A noter que votre serviteur animera, mardi 21 janvier, le challenge Forensic mis en place par l’équipe de la Licence Professionnelle CDAISI. Le challenge consiste en deux séries d’épreuves informatiques de 4 heures dédiées au forensic et à la lutte informatique défensive.
Ces épreuves comportent différents niveaux et sont menées sur un réseau fermé. Le lendemain, mercredi 22 janvier, j’animerai la conférence « Le pouvoir de la perturbation massive sur Internet« . Le piratage du compte Twitter de l’Associated Press et ses conséquences considérables sur le cours de la bourse alertent quant au potentiel des réseaux sociaux. L’horizontalité et la viralité qui caractérisent ces outils en font des armes redoutables de perturbation massive et de soulèvement des populations. Comment anticiper ce risque ? Quel est le réel potentiel des réseaux sociaux et comment l’exploiter ?
Attention, ceci peut vous concerner car il s’agit de routeur « grand public » ou utilisés par certains opérateurs. Sur du matériel personnel, il est conseillé de flasher le firmware avec une solution DD-WRT (http://www.dd-wrt.com/site/index). Pour les routeurs d’opérateurs, vous pouvez demander des explications afin d’être rassurés sur la sécurité de vos informations/connexions. Pour Netgear et LinkSys, les backdoors découvertes dans les boitiers permettent d’interroger le harware à distance. Un accès aux parametres, mot de passe et aux programmes.
Pour Siemens, c’est un chercheur de chez IOActive qui a découvert deux vulnérabilités dans les commutateurs Ethernet Siemens. Des failles qui peuvent permettre à un attaquant distant d’exécuter des opérations administratives sans passer par la case « mot de passe ». Les vulnérabilités ont été découvertes par Eireann Leverett, consultant en sécurité principal pour IOActive. Les failles ont été signalées à Siemens.
La première vulnérabilité (CVE-2013-5944) pourrait permettre à des pirates d’effectuer une opération administrative sur le réseau sans authentification. La deuxième vulnérabilité (CVE-2013-5709) offre la possibilité à un acteur malveillant de détourner des sessions Web sur le réseau sans authentification. Siemens a annoncé fournir un patch de sécurité dans les trois mois. Les clients Siemens doivent appliquer le SCALANCE X-200, une mise à jour du firmware. (Baidu)
Le géant coréen de l’électronique Samsung vient de corriger une fuite de données concernant le smartphone S4 et ses tablettes. Les utilisateurs de tablettes et smartphones Samsung ont très certainement du apercevoir, ces derniers jours, une mise à jour de l’application Samsung Hub. Pourquoi ? La correction d’un bug qui envoyait email, mot de passe et localisation GPS de l’utilisateur sans aucune sécurité, ni chiffrement.
Une brèche de confidentialité qui a été corrigée à quelques jours de Noël. Le constructeur coréen indique à ses clients qu’il est conseillé, sait-on jamais, de changer son mot de passe attenant à son compte Samsung online. Une fuite loin d’être négligeable. Un « espion » aurait pu intercepter les données diffusées, via une connexion wifi.
Faut-il rappeler, cependant, qu’utiliser une connexion wifi non maîtrisé n’est rien d’autre qu’un suicide numérique. Nous vous conseillons d’utiliser un VPN, comme celui proposé par la société VyprVPN qui fournit, en plus une application pour Android et iOS, ainsi que pour Linux, PC et MAC. A noter que la faille permettait aussi de géo-localisé le possesseur du smartphone ou de la tablette via l’application « Find My Mobile« . (MediaTest digital)
Les prochains Jeux olympiques d’hiver, qui se dérouleront à Sotchi en février 2014, verront le déploiement de « l’un des systèmes d’espionnage les plus intrusifs et systématiques de l’histoire des Jeux », a révélé début octobre The Guardian. D’après des documents recueillis par une équipe de journalistes russes, le Service fédéral de sécurité, le FSB, « prévoit de faire en sorte qu’aucune communication, de la part des concurrents comme des spectateurs, n’échappe à la surveillance ».
La surveillance de masse n’est donc pas une discipline réservée à la NSA. Qu’ils soient militants des droits de l’Homme, professionnels des médias, sportifs ou spectateurs, tous ceux qui se rendront à Sotchi communiqueront à ciel ouvert, au risque de mettre en danger leurs données et leurs contacts et, plus grave encore, leurs sources s’ils viennent pour enquêter.
En Russie, comme aux États-Unis ou en France, Reporters sans frontières se bat contre la surveillance et forme journalistes et blogueurs aux moyens de s’en prémunir. Les équipes de Reporters sans frontières savent comment contourner la surveillance. Nous avons, par exemple, mis en place une série de formations dédiée à l’apprentissage technique de différentes méthodes de protection. Votre don protège l’information et les journalistes qui la transmettent. Vous aussi, engagez-vous contre la surveillance. Faites un don à Reporters sans frontières.
Pendant ce temps, le magazine 01net (en ce moment en kiosque, ndr) revient sur des fuites de données visant des demandeurs de Visa pour la Russie. Les Ambassades touchées n’ont toujours pas répondu/corrigé.
Les 48 meilleurs hackers d’Espagne, de France, du Benelux, du Maroc, de Tunisie, de Côte d’Ivoire se sont retrouvés, ce week-end à Jeumont (59), à l’occasion de la grande finale du HackNowLedge Contest. Après un an de compétition, à sillonner l’Europe et l’Afrique, les bénévoles de l’association Maubeugeoise de l’ACISSI, instigatrice de l’idée et des 70 épreuves d’Hacking Ethique, ont invité les gagnants de chaque compétition nationale pour la grande finale qui s’est tenue dans les locaux de la Gare Numérique de Jeumont. But ultime, finir sur la première marche du podium pour remporter un séjour à Las Vegas, au mois d’août prochain, lors de la Def Con XXI. La mission des concurrents, durant 10 heures, est de cracker des clés de chiffrement, taquiner de la biométrie, jongler avec de la sténographie, des digits codes, des téléphones portables, des serrures et des dizaines d’autres « épreuves » numériques. L’idée, mettre en avant ses compétences techniques au service du hacking éthique.
Conférences d’avant match
Avant le lancement de la compétition, plusieurs conférences ont été proposées dans l’espace de la Gare Numérique. Etat des lieux de la sécurité informatique au Maroc, en Belgique ou encore des infrastructures informatiques industrielles, en passant par l’évolution de la loi française face aux amateurs de failles, les « brouteurs » (scammeurs – Arnaque Nigériane – 419) en Côte d’Ivoire ou encore un retour sur l’action des « Anonymous » lors de la révolution de Jasmin, en Tunisie. « Il va être très compliqué de combattre le scam,souligne Serge Didikouko, spécialiste local en sécurité informatique. Les jeunes peuvent gagner jusqu’à un an de salaire d’un fonctionnaire en une seule journée. Dans notre pays, les cyber-cafés s’ouvrent un peu partout. La connexion coute entre 0.50€ et 0.75€. Beaucoup de personnes gagnent de l’argent grâce aux brouteurs. Du gamin de 10 ans qui surfe toute la journée en passant par l’agent de change qui peut toucher jusqu’à 10% sur chaque réception d’argent ». Les arnaques se multiplient : fausses ventes, faux amants, faux fils de président décédé. Le but, soutirer de l’argent aux pigeons piégés sur la toile.
Du côté de l’hexagone, Maître Raphaël Rault, du cabinet d’Avocats BRM est revenu sur comment tester la sécurité en toute légalité ? « Il faut rappeler, indique l’homme de loi, qu’un test d’intrusion ne peut se faire sans l’accord du propriétaire ; lui rappeler que tous ses partenaires sont susceptibles d’être directement ou indirectement impactés par l’audit. Ils doivent être signataires du contrat passé avec le propriétaire de l’espace à auditer ». Des obligations qu’il ne faut pas prendre à la légère. Aucune intervention sur le système d’information visé, sans un accord écrit sous peine de se voir appliquer les dispositions pénales spécifiques « sans parler du risque d’atteinte aux traitements de données à caractère personnel. » Bref, hacker n’est pas jouer.
Un bidouilleur explique comment, en quelques minutes, un pirate pourrait prendre la main sur des drones grand public vendus dans le commerce. Samy Kamkar est un informaticien qui aime mettre son nez dans les bits qui lui passent sous la souris. En 2005, il avait déjà fait parler de lui en dénonçant les informations des GPS des smartphones envoyées, illégalement, aux constructeurs.Il avait aussi joué avec MySpace avec le virus Samy.
Le codeur vient d’expliquer comment, avec un drône vendu dans le commerce, un Raspberry Pi, une petite batterie et deux transmetteurs wifi, il lui est possible de pirater les drones qui lui tournent autour. Pour le moment, se sont les drones de la marque Parrot. Bref, plus de 500.000 engins du leader du drône pour papa geek peuvent se faire pirater. Samy Kamkar a créé une application du nom de SkyJack. Le logiciel déconnecte les autres drones de leur propriétaire. Bilan, les commandes passées normalement par un téléphone portable (iOS ou Android) ne passent plus.
Bref, il a réussi à transformer des drones en zombi. Voilà qui s’annonce… hot dans de mauvaises mains !
Un pirate informatique réussi à infiltrer une agence américaine sensible en se faisant passer pour une blonde torride. Emily Williams, gentille, sexy, pas avare de cartes numériques envoyées de ses vacances. Une amie ? Pas vraiment. Des chercheurs en sécurité informatique Aamir Lakhani et Joseph Muniz ont expliqué lors de la conférence RSA Europe 2013 comment une agence américaine sensible, en charge de question de sécurité avait été infiltrée par un pirate, amateur de phishing particulièrement bien ciblé. De fausses cartes numériques de vacances piégées qui auraient permis de mettre la main sur les accès Facebook, LinkedIn ou encore SalesForce de fonctionnaires. Les deux chercheurs ont expliqué que leur attaque, pour du faux, avait permis de duper un employeur du gouvernement en lui faisant croire qu’elle était une employée gouvernementale. Le clic sur le javascript piégé aura fait le reste ! L’attaque « scientifique » aura durée 90 jours. Lakhani a refusé de préciser quelle agence du gouvernement avait été infiltrée et compromise par Mlle Williams.
Le Hacknowledge Contest Europa-Africa, compétition de Hacking éthique, s’est déroulé à travers l’Europe et l’Afrique. Il réunira l’ensemble des équipes qualifiées pour une ultime manche les 7 et 8 décembre prochains, à Jeumont dans la région Nord-Pas-de Calais. Les quinze équipes qualifiées viendront se disputer la victoire par pays, lors d’un affrontement intense de douze heures d’affilée, avec l’espoir de se hisser au premier rang de la compétition.
Les challenges ont eu lieu tout au long de l’année, en Algérie, Belgique, Côte d’Ivoire, Espagne, France, Maroc et Tunisie. Les équipes classées en première et deuxième position ont reçu une bourse pour représenter leur pays lors de la finale de la compétition. Cette finale récompensera les vainqueurs en leur offrant un séjour à Las Vegas, où ils pourront participer à la mythique conférence DEFCON, qui rassemble chaque année l’élite mondiale du hacking.
Les participants au challenge tenteront de résoudre 70 épreuves inédites, nécessitant des talents techniques et faisant appel à des qualités de culture, stratégie et logique. Ouverte à tous, la compétition regroupe hackers professionnels, étudiants et plus généralement les passionnés de hacking. Le Hacknowledge Contest est une initiative originale de l’association ACISSI, la compétition est organisée par des membres bénévoles. Les organisateurs sont issus des secteurs académique et professionnel, ils ont pour objectif de promouvoir le hacking éthique et sa diversité.
Franck Ebel, Responsable de la licence professionnelle Ethical Hacking, CDAISI, de l’IUT de Maubeuge et organisateur du concours, déclare : « Les concours nationaux sont terminés, l’accueil dans chaque pays a été exceptionnel. Pour un coup d’essai, ce fut un coup de maître ! Quelle joie et honneur de côtoyer des hackers de tous les horizons, de toutes nationalités, de toutes religions. Le Hacking est un langage universel qui rassemble et uni sans discrimination, il casse les frontières faites par les hommes. C’est un événement hors du commun, nous nous attendons à une finale extraordinaire avec les meilleurs hackers d’Europe et d’Afrique. »
En parallèle de la compétition, le hacknowledge proposera des ateliers et un cycle de conférences. Parmi les sujets abordés : le piratage des systèmes industriels, tester la sécurité en toute légalité, les coulisses de l’attaque DdoS en Tunisie…
A noter que vus pourrez suivre ce rendez-vous en live (streaming vidéo en autres, NDR) sur zataz.com, zatazweb.tv et datasecuritybreach.fr.
D’habitude, dans les concours de hacking éthique, les concurrents doivent trouver des failles, des passages numériques, hardware et/ou résoudre des problèmes informatiques afin d’atteindre une autre épreuve et ainsi engranger des points. Chez BT, c’est le contraire via son « Challenge ». Le jeudi 7 novembre, à partir de 18 heures, sera organisé le BT Cyber Défense Challenge. L’idée, vous aurez 3 heures pour défendre votre système et contrer les attaques des experts BT. Ce sympathique challenge consiste en la défense d’une application à l’aide d’équipements de sécurité d’infrastructure (Check Point et SourceFire). L’idée, analyser dans un premier temps les logs pour identifier les vulnérabilités exploitées par les informaticiens de chez BT. Il faudra ensuite construire une défense adaptée à l’aide des technologies proposées par BT. A gagner, un drône Barrot 2.0. [Inscription]
Les services secrets Russes mettent la main sur l’un des plus important pirate informatique du pays. Les services secrets russes, le FSB, aurait mis la main sur l’auteur d’un des plus important couteau Suisse pirate du web, Blackhole. Ce logiciel permet d’attaquer des ordinateurs, à distance, à partir d’exploits et sites web piégés. Finalité de ce logiciel, profiter de failles dans des logiciels web (Adobe, Navigateurs, Apache, …) pour voler toutes les données bancaires possibles, Bitcoin compris. Un kit exploit qui a fait de gros dégâts. Si la rumeur fait état que cette arrestation n’en serait pas une, il est très intéressant de constater que le service « chiffrement » proposé par Paunch, crypt.am, a été fermé. Si peu d’informations ont pour le moment fuitées, Paunch (ou encore Punch) a en main des centaines de milliers d’informations qui pourraient faire frémir le black market, le marché noir des données bancaires piratées.
Le tribunal d’Alexandrie (USA – Etat de Virginie) n’a pas été de main morte. La justice américaine vient de mettre en cause 13 pirates informatiques présumés pour avoir lancé des attaques informatiques sous la signature d’Anonymous. Des piratages informatiques, vols de données et autres DDoS menés entre septembre 2010 et janvier 2011 contre la Motion Picture Association of America. Le syndicat des studios de cinéma Hollywoodien (MPAA), la Recording Industry Association of America (RIAA), Visa, Mastercard ou encore la Bank of America. Des actions lancées au moment des mises en place de nouvelles lois contre le piratage de biens culturels sur le réseau des réseaux. Les 13 personnes inculpées « ont planifié et mis en oeuvre une série de cyberattaques contre les sites des entreprisesvictimes (…) pour rendre leurs ressources inaccessibles à leurs clients et utilisateurs », a pu lire datasecuritybreach.fr dans l’annonce de l’acte d’inculpation. Ces internautes, s’ils sont reconnus coupables, risquent jusqu’à 30 ans de prison ferme.
C’est dans une chaleur intense que plus de 110 concurrents se sont retrouvés pour les 12 heures d’épreuves du HackNowLedge contest Tunisie. Organisé par l’ATAST et Sup’COM, en collaboration avec l’association Française ACISSI, le concours a offert 72 épreuves de hacking éthique dans les très beaux locaux de l’école d’ingénieur située dans la capitale tunisienne. Autant dire que la Tunisie aura fait fort avec des vainqueurs dépassant l’ensemble des autres équipes des éditions antérieures (1 – Tunisie, 2 – France, – 3 Belgique). 6610 points aux compteurs pour la team ForbiddenBits. Autant dire que la finale du 7 décembre prochain s’annonce palpitante. (Reportage sur ce week-end exceptionnel sur zatazweb.tv). Prochaine date, fin octobre, à Alger.
Les 28 et 29 septembre, à partir de 18 heures, suivez en direct, le HackNowLedge Contest Tunis 2013 en partenariat avec ACISSI ; ATAST ; Sup’COM, ZATAZ.COM et ZATAZWEB.tv. Après la Côté d’Ivoire, le Maroc, l’Espagne, la Belgique et la France. C’est à Tunis que le H.N.C. a déposé ses conférences et ses 12 heures d’épreuves de Hacking Ethique. 72 épreuves de hacking logiciels, codes, hardware, lock Picking … Retrouvez nous sur Twitter @zataz et @hacknowledgeC. Vous pourrez retrouver dans cette page, … le voyage de l’équipe (selon connexions wifi, ndlr), les conférences (en live) et les 12 heures d’épreuves en streaming vidéo.
Que s’est-il passé lors lors de l’EPT de Barcelone. Au moins trois joueurs professionnels de poker, qui logeaient dans l’Hôtel ARTS ont vu leurs ordinateurs portables disparaitre, pu revenir dans la chambre de leurs propriétaires respectifs. Les victimes, Jens Kyllönen, Ignat Liviu et Aku Joentausta ont découvert qu’une personne avait tenté d’installer un logiciel espion dans leurs machines. DataSecurityBreach.fr vous rappelle que Kyllönen est l’un des plus importants joueurs de poker du web.
Ignat Liviu a expliqué sur le forum 2+2 sa mésaventure : « la même chose nous est arrivée à Ignat et moi, nos clés de chambre ne fonctionnait plus, nous descendons à la réception, lorsque nous sommes remontés nos ordinateurs avaient disparu. Le temps de retourner à la réception pour signaler le vol, remonter dans notre chambre, nos machines étaient miraculeusement réapparu. » Du côté de l’Hôtel, une enquête est en cours.
Que vous soyez joueur de poker ou non, dans un hôtel, un ordinateur portable n’a pas à trainer sur une table. Voici quelques trucs que DataSecurityBreach.fr utilise en déplacement :
– Ranger votre machine dans le coffre de votre chambre.
– Retirer la batterie. Ranger la prise électrique ailleurs, dans la chambre. Dans votre valise, fermée à clé par exemple. Comme nous vous le montrons, il existe des prises qui permettent d’être scindée en trois parties. De quoi retarder le pirate.
– Changer votre mot de passe de portable et mettez un mot de passe au bios de votre machine. Le mot de passe bios vous évitera la modification de lancement de votre machine, vers une clé USB ou CD boot casseur de mot de passe. [Voir comment cracker le mot de passe de n’importe quel Windows en 30 secondes].
– Chiffrer les informations sensibles ou le disque dur de votre ordinateur.
– Utiliser un câble antivol.
– N’hésitez pas à mettre un bout de scotch qui bloque les deux parties de votre portable. Si quelqu’un tente de l’ouvrir, vous le verrez. Un autocollant original et difficile à trouver dans le commerce fera parfaitement l’affaire.
– Nous prenons en photo les vis des disques durs de nos portables. Si ces dernières ont bougés, ont été déplacées, vous pourrez vous en rendre compte.
– Un antivirus mis à jour obligatoire.
– Utiliser un VPN pour vos connexions.
– Nous employons aussi une mini caméra de 5 cm qui s’enclenche dès lors qu’un mouvement dans la zone surveillée est détecté.
Si aucune de ces solutions proposées par zataz.com ne vous convient, gardez votre machine à vos côtés.
Ps : DataSecurityBreach.fr ne peut proposer l’url du forum américain 2+2 considéré comme interdit sur le territoire français par l’ARJEL. Ce forum propose des liens et des tournois de pokers vers des casinos illicites sur le territoire hexagonal.
Bitdefender relève l’existence d’un Cheval de Troie ciblant les joueurs trop impatients de découvrir l’un des jeux les plus attendus de l’année. Bitdefender, éditeur de solutions de sécurité, a découvert une escroquerie (scam) concernant le jeu vidéo Grand Theft Auto 5, un des titres les plus attendus de l’année par la communauté des fans de la série. Les joueurs ne doivent pas se fier aux copies de GTA 5 qui auraient ‘fuité accidentellement’ et qui sont disponibles sur Internet depuis quelques semaines. Ces copies ne sont que de fausses versions infectées par un malware, conduisant les utilisateurs imprudents tout droit dans un piège : un scam mis en place par des pirates, basé sur l’envoi de SMS surtaxés. dataSecurityBreach.fr a repéré de son côté une 50ène de fausses versions de GTA, toutes piégées (porno, trojan, …)
Depuis un certain temps, de nombreuses copies de prétendus kits d’installation de GTA 5 ont commencé à se répandre sur des sites Web de torrents. Ces faux kits sont diffusés et promus par des cyber-criminels, grâce à l’ajout de la mention « j’aime » et de commentaires positifs publiés à partir de faux comptes afin d’améliorer la crédibilité de ces téléchargements. Une fois exécuté, le fichier d’installation aurait même l’air des plus convaincants puisque les cyber-criminels ont intégré des fonds d’écran et des illustrations issus du jeu officiel dans le process d’installation. Les fichiers à l’intérieur du fichier ISO, déduction faite du fichier d’installation malveillant, ont en fait été copiés d’un jeu appelé The Cave.
Cependant, au milieu du processus d’installation, l’utilisateur doit entrer un numéro de série qu’il peut obtenir en remplissant un questionnaire. Un peu plus loin, il lui est demandé d’envoyer un SMS surtaxé afin de valider ce questionnaire. Ce SMS lui sera facturé 1€ par jour jusqu’à ce que le service soit arrêté.
Bitdefender rappelle aux joueurs impatients que la date de lancement de GTA 5 serait fixée aux alentours du 17 septembre selon l’industrie et que le jeu serait uniquement disponible sur console XBOX 360 et Playstation 3 dans un premier temps, l’annonce de la date de sortie sur PC étant prévue plus tard. Avant cette date, il est donc recommandé de ne pas se fier à ces copies qui semblent trop belles pour être vraies !
Par ailleurs, protéger sa machine avec une solution antivirus efficace est plus que jamais indispensable. Ce faux kit d’installation est détecté par Bitdefender sous le nom de Trojan.GenericKDV.1134859, et bloqué dès son téléchargement pour éviter toute infection. Enfin, Bitdefender recommande aux joueurs d’utiliser des plates-formes légales de téléchargement de jeux comme Steam, Origin et d’autres services similaires. Les jeux vidéo téléchargés via des torrents sont le plus souvent infectés par un malware ciblant les joueurs afin de voler leurs mots de passe, de miner leurs Bitcoin et d’ouvrir une backdoor sur leur machine permettant aux pirates d’y accéder à leur insu.
5 Etapes Importantes à la Sécurisation des Environnements SCADA. Par Eric Lemarchand, Ingénieur Système chez Fortinet, pour DataSecurityBreach.fr. L’attaque par le virus Stuxnet contre l’Iran en 2010 a fait prendre conscience de la vulnérabilité des systèmes industriels souvent connus sous le nom de SCADA (Supervisory Control And Data Acquisition ou télésurveillance et acquisition de données en français), Mis en place depuis des dizaines d’années dans de nombreuses industries, cette architecture SCADA a montré des failles sécuritaires qu’il est aujourd’hui urgent de résoudre.
Les environnements SCADA sont des systèmes de gestion et de contrôle industriel, généralement déployés à grande échelle, qui surveillent, gèrent et administrent ces infrastructures critiques dans des domaines divers et variés : transport, nucléaire, électricité, gaz, eau, etc. A la différence d’un réseau informatique d’entreprise classique, l’environnement SCADA permet d’interconnecter des systèmes propriétaires ‘métier’ : automates, vannes, capteurs thermiques ou chimiques, système de commande et contrôle, IHM (Interface Homme Machine)… plutôt que des ordinateurs de bureau. Ces infrastructures sont principalement déployées en entreprise, mais sont désormais aussi présentes chez les particuliers.
Les environnements SCADA utilisent un ensemble de protocoles de communication dédiés, tels que MODBUS, DNP3 et IEC 60870-5-101, pour établir la communication entre les différents systèmes. Ces protocoles permettent de contrôler les API (Automates Programmables Industriels) par exemple, entrainant des actions physiques telles que l’augmentation de la vitesse des moteurs, la réduction de la température… Pour cette raison, l’intégrité des messages de contrôle SCADA est primordiale et les protocoles de communication devraient être entièrement validés.
Conçus pour fonctionner des dizaines d’années, à une époque où la cybercriminalité ciblant spécifiquement le secteur industriel n’était pas répandue, ces systèmes SCADA n’ont pas été pensés en tenant compte de la sécurité réseau. Très souvent, les principes de sécurité élémentaires n’ont pas été intégrés pour deux raisons principales: d’une part, l’architecture SCADA n’était pas intégrée au système informatique classique de l’entreprise, et d’autre part, le besoin d’interconnexion avec le réseau IP n’existait pas. Le besoin de sécurité était donc alors jugé non nécessaire.
Depuis, l’architecture SCADA a évolué et les automates, systèmes de mesure, outils de commande et de contrôle, télémaintenance…, sont dorénavant interconnectés via un réseau classique IP. Ils sont également administrés par des environnements potentiellement vulnérables, comme par exemple, la plateforme interface homme-machine équipée d’un système d’exploitation Windows non patché. Jugés hautement sensibles, ces environnements n’appliquent généralement pas les patchs des systèmes d’exploitation de peur de nuire à la production. Cette crainte l’emporte d’ailleurs souvent sur celle des attaques informatiques potentielles. Les environnements SCADA, pourtant identifiés comme critiques, sont ainsi paradoxalement les moins sécurisés et devenus la cible potentielle des cybercriminels, comme nous avons pu le constater avec Stuxnet, premier ver découvert qui espionne et reprogramme des systèmes industriels. Ce virus a exploité des vulnérabilités Windows de type zero day (c’est-à-dire pour lesquelles il n’existait pas de patchs) pour compromettre des dizaines de milliers systèmes informatiques, à la fois des ordinateurs et une centrale d’enrichissement d’uranium.
Il aura fallu le cas d’attaque de l’ampleur de Stuxnet pour que la sécurité devienne l’une des préoccupations majeures des entreprises industrielles. Alors que les attaques informatiques traditionnelles engendrent généralement des dégâts immatériels, les industriels ont, dans le cas de Stuxnet, pris conscience de la capacité destructrice et bien réelle des vers et virus avancés, affectant non seulement les données d’une entreprise mais également les systèmes de gestion des eaux, des produits chimiques, de l’énergie…
Dorénavant, les industriels cherchent à intégrer la sécurisation de leurs équipements, et ce, de façon native. Même si les moyens commencent à être mis en œuvre pour sécuriser les industries, il est aussi nécessaire que les hauts dirigeants de ces entreprises soutiennent ce besoin de sécurisation, sans quoi, bon nombre de responsables informatiques ne trouveront pas d’échos positifs à leurs initiatives, et auront des budgets et ressources limités.
De plus, à défaut d’un standard, il existe des guides de bonne conduite permettant d’appréhender les problématiques que pose ou impose SCADA, édités par exemple par NERC (North American Electric Reliability Corporation) ou l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) en France. Voici quelques étapes importantes à respecter pour appliquer une sécurité globale sur ces infrastructures jugées sensibles : – Des mises à jour régulières Patcher régulièrement ses systèmes d’exploitation, applications et composants SCADA est une étape essentielle pour éviter les failles déjà connues par les fournisseurs de sécurité. De plus, la mise en place d’un outil de détection et d’analyse des vulnérabilités permettant d’intercepter des menaces Internet malveillantes avant qu’elles n’impactent le réseau ou le serveur cible permettra de prendre des mesures proactives pour prévenir des attaques, éviter des interruptions de services, réagir rapidement et en temps réel face aux menaces émergentes.
– Cloisonner son réseau SCADA
Il est indispensable d’isoler son réseau SCADA de tout autre réseau de l’entreprise. Pour cela, la définition de DMZ ou bastions permet de segmenter une architecture SCADA. Ainsi, le réseau de l’IHM sera dissocié des automates et dispositifs de mesures, des systèmes de supervision, des unités de contrôle à distance et des infrastructures de communications, permettant à chaque environnement d’être confiné et d’éviter des attaques par rebond.
En quelques mots, les réseaux SCADA doivent être protégés de la même manière que les réseaux d’entreprises des logiciels malveillants et intrusions, en utilisant des systèmes de prévention d’intrusions (IPS) et des solutions anti-malware.
– Validation protocolaire
Après avoir partitionné et séparé les différents éléments d’une architecture SCADA, la prochaine étape logique est d’appliquer une validation et un contrôle protocolaire liés aux différents composants. En d’autres termes, il est nécessaire d’inspecter le protocole MODBUS pour être certain qu’il n’est ni mal utilisé ni vecteur d’une attaque. Egalement, assurez-vous que les applications qui génèrent des demandes MODBUS sont des applications légitimes et qu’elles sont générées depuis le bon poste de travail. Ainsi, la reconnaissance des applications prend son sens.
– Contrôler et identifier les actions administrateurs-utilisateurs
En complément de la segmentation des réseaux, il devient nécessaire d’établir des règles d’accès par authentification pour que seules les personnes autorisées puissent accéder au réseau, données et applications et puissent interagir avec les systèmes SCADA, afin que ces derniers ne soient pas endommagés par un tiers. Ainsi, un administrateur sera identifié de façon différente d’un utilisateur lambda, ce qui lui permettra d’effectuer certaines configurations au travers d’IHM alors que l’utilisateur pourra uniquement avoir une visibilité sur des équipements de mesure.
– Superviser l’ensemble des réseaux
Se doter d’un outil de corrélation et de gestion d’événements est indispensable. Cela permet d’obtenir une visibilité globale sur l’état sécuritaire de l’ensemble du réseau et permet par exemple à un administrateur de connaitre à la fois l’état d’un automate, le niveau de patch d’un IHM et sa relation avec un utilisateur ou un composant de l’architecture. La remontée d’événements de sécurité est toute aussi importante. L’administrateur ainsi informé pourra mettre en place des actions ou contre-mesures adaptées en fonction du niveau de criticité de l’événement. La mise en application de ces étapes est parfois fastidieuse mais la meilleure solution pour protéger ces systèmes critiques est d’adopter une stratégie de défense en profondeur avec une couche de sécurité à tous les niveaux, même au niveau des API, pour un contrôle précis des échanges et communications entre les composants de l’environnement SCADA et l’infrastructure réseau.
Avec des attaques de plus en plus sophistiquées de type APT, il devient urgent que les organisations industrielles prennent conscience que la sécurité des environnements SCADA est essentielle. Il en va de leur pérennité. Un contrôle précis sur leurs réseaux, utilisateurs et applications leur permettra de se prémunir d’éventuels risques qu’il est facile d’éviter. Enfin, il est important de bénéficier d’une protection en temps réel pour identifier rapidement les menaces potentielles et mettre en place les outils de protection adéquats conçus par des équipes spécialisées.
Des attaques informatiques lancées par la Corée du Nord auraient été découvertes. C’est ce qu’affirme plusieurs sociétés de sécurité informatique Coréennes. Les sites de plusieurs ministères et agences gouvernementales de la Corée du Sud ont été impactées. Mission des « visiteurs », tenter d’obtenir des informations secrètes du grand frêre du sud. L’information a été révélée par le fournisseur de solutions de sécurité informatique Hauri Inc. Depuis trois ans, des activités d’espionnage informatique, qui seraient orchestrées par la Corée du Nord, ont tenté plusieurs méthodes d’attaques dont l’injection de logiciels espions ayant pour mission de récupérer des informations classées secrètes.
La majorité des agressions numériques se sont faites à partir de courriels piégés (sic!) comportant des pièces jointes malveillantes. Autant dire qu’il manque une sacré formation sur le béa-ba de la sécurité d’Internet pour les élus et fonctionnaires ciblés et touchés par ces piratages. L’adresse IP utilisée par ce groupe de pirates informatiques était la même que celle à l’origine des messages qui ont glorifié la famille Kim du Nord sur des sites Internet au Sud. Autant dire que des pirates américain, russe, … par exemples, pourraient exploiter ce stratagème pour effacer leurs traces.
« Nous avons décidé de rendre publiques les activités d’espionnage menées depuis plusieurs années auprès des organes gouvernementaux par des groupes de pirates informatiques soupçonnés d’appartenir au Nord pour lancer un débat public sur cette question et pour tenter de trouver des moyens qui permettront d’y faire face de manière efficace », indique à Yonhap un responsable de Hauri.
La filiale sud-coréenne de Kaspersky Lab a annoncé de son côté avoir découvert, début avril, des activités d’espionnage ciblant des sites étatiques. Des pirates venus de la Corée du Nord sont montrés de la souris. Un code espion, baptisé KimSuky a visé le ministère de l’Unification, l’institut Sejong, l’Institut coréen pour les analyses de défense (KIDA) et la branche « Marine » de Hyundai.
La Syrian Electronic Army, qui a fait pas mal parler d’elle en piratant d’importants comptes Twitter, vient de ressortir de son trou numérique pour annoncer le piratage de l’annuaire collaboratif TrueCaller. Truecaller est un annuaire collaboratif mondial qui tient dans votre poche et vous permet de contacter facilement des personnes à travers toute la planète. Bref, une mine d’or pour malveillants.
La SEA a annoncé sur son Twitter qu’il avait mis la main sur les données du site. Sept bases de données auraient été volées. La principale BDD pèserait 450GB. La BDD, baptisée Profiles, tiendrait dans 4Go. Le base de données contiendrait, selon les hacktivistes, les codes d’accès de plusieurs millions de Facebook, Twitter, Linkedin, de comptes Gmail.
True Caller explique sur son blog ne pas stocker « les mots de passe, informations de carte de crédit, ou toute autre information sensible sur nos utilisateurs. a pu lire datasecuritybreach.fr, Il est faux que les attaquants ont pu accéder à Facebook de nos utilisateurs, Twitter, ou autres mots de passe de médias sociaux.«
L’entreprise américaine explique enquêter sur l’étendue de l’accès non autorisé dans ses bases de données. « Nous pensons qu’il est essentiel de faire connaître l’attaque, car il est important que nous gardions fidèle notre honnêteté et notre intégrité« .
Data Security Breach vient de finir de lire les résultats d’une analyse menée par BitDefender sur les comportements les plus intrusifs des applications Android et iOS. Après avoir analysé plusieurs centaines de milliers d’applications, l’étude révèle qu’elles sont tout aussi intrusives et indiscrètes sous iOS que sous Android. Alors que l’on pourrait penser l’un des deux systèmes d’exploitation plus intrusif que l’autre, il résulte que les données personnelles des utilisateurs d’appareils mobiles (contacts, adresses e-mail, localisation, etc.) sont aussi bien en danger sous Android que sous iOS. Le nombre d’applications analysées s’élève à 314 474 applications pour Android et 207 843 pour iOS.
Parmi ces comportements intrusifs et indiscrets, parfois intégrés par les développeurs d’applications eux-mêmes, DataSecurityBreach.fr a pu constater dans l’étude que 45,41 % des applications iOS intègrent des services de localisation contre 34,55 % sous Android. Avec une implantation et des formes d’utilisation similaires sur les deux plates-formes, ces ‘espions’ sont souvent demandés par les publicitaires et intégrés via des composants API (framework APIs) pour connaître les habitudes des utilisateurs. À ce stade de l’étude, seulement 7,69% des applications Android peuvent accéder à votre liste de contacts alors que les applications iOS se montrent davantage indiscrètes : 18,92 % sont techniquement capables de lire vos contacts. 14,58 % des applications Android peuvent divulguer l’identifiant de votre appareil et 5,73 % transmettre votre adresse e-mail. De nouveau, les applications iOS semblent recueillir plus de données personnelles que celles conçues pour Android.
Là aussi, ces informations sont très intéressantes pour les réseaux publicitaires et sont susceptibles d’être partagées ou revendues à des tiers pour, par exemple, l’envoi de publicités ciblées en fonction du comportement et du profil des utilisateurs. 8,82 % des applications Android analysées peuvent divulguer les numéros de téléphone d’un appareil à des publicitaires. Les applications intégrant Air Push et parfois LeaBolt permettent aux développeurs de recueillir, crypter et d’envoyer le numéro de téléphone à l’insu des utilisateurs.
Si la géolocalisation, l’accès aux contacts de l’appareil ou l’interaction avec les réseaux sociaux, peuvent être légitimes pour certaines fonctionnalités, ces comportements deviennent intrusifs lorsque les données personnelles de l’utilisateur ne sont pas indispensables au bon fonctionnement des applications mais collectées pour être monétisées par les développeurs. En d’autres termes, l’application ne devient gratuite qu’une fois ‘payée’ par l’utilisateur avec ses données personnelles. La situation est même pire, puisque payer l’application n’assure pas à l’utilisateur que ses données privées ne soient plus collectées ni même rendues à son propriétaire puisque déjà stockées dans des fichiers. De plus, la collecte de ces données est faite sans que l’utilisateur ait connaissance des autorisations accordées lors de l’installation de l’application. Que ce soit au moment de l’installation de l’application Android ou lors de son exécution pour une application iOS, l’utilisateur devrait lire attentivement les autorisations demandées.
Des applications qui peuvent aider à se sécuriser, Data Security Breach vous propose plusieurs solutions gratuites, pour Android et iOS, qui permettent d’être informés sur les risques d’atteinte à sa vie privée et ainsi se prémunir contre d’éventuels usages non désirés de ses informations personnelles. Des applications qui peuvent servir à protéger contre la collecte et l’utilisation de données personnelles par les autres application déjà présente sur le smartphone. D’abord, débutons par l’application de Bitdefender baptisée Clueful. Elle permet d’apprécier les données que pillent les applications. Possibilité d’effacer les plus dangereuses. Attention, Clueful collecte aussi des données personnelles, c’est du moins ce qu’indiquent les conditions générales. Autre solution, celle proposée par AVG. Même principe, avec possibilité de détruire les applications malveillantes.
DataSecurityBreach.fr terminera avec Androick, un outil pour linux permettant d’aider les utilisateurs à analyser des applications Android. Il permet de récupérer le fichier apk, toutes les données (stockées sur le téléphone et carte SD), les bibliothèques et les bases de données (au format SQLite3 et CSV). C’est un projet récent, jeune et dynamique. L’auteur, Florian Pradines, chercheur pour la société Phonesec, a expliqué à Data Security Breach et zataz.com des ajouts de fonctionnalités d’ici un ou deux mois, notamment celle permettant de décompiler une application qui possède le flag « isEncrypted ».
La 13ème édition de la Nuit du Hack s’est tenue les 22 et 23 juin, l’Hôtel New-York de Disney Land Paris. 48 heures devenues LA référence Française en matière de sécurité informatique, hacking et chouette ambiance. Conférences dédiées à la sécurité/hacking bancaire, CTF, concours divers, crochetage de serrures, workshops, hack de consoles avec la team de XavBox, radio, robotique, …
Des pirates informatiques, sous la signature du groupe d’Hacktivistes Anonymous, ont diffusé ce qui semble être des données d’employés du groupe pétrolier Total. Cette diffusion fait parti d’une opération d’envergure mondiale de piratages de sites de sociétés pétroliéres et de gouvernement. une action baptisée Op Pétrol.
Les pirates expliquent agir pour manifester la hausse de l’essence. Certains groupes mettent en avant des motifs plus « politique » et « religieux » reprochant à L’Arabie Saoudite de vendre son pétrole en dollars.
Les données des présumés employés de Total, que DataSecurityBreach.fr a pu consulter, comprennent emails et mots de passe non chiffrés. A noter que zataz.com revient sur cette opération d’envergure d’Anonymous qui aurait fait plusieurs milliers de victimes numériques (entreprises et particuliers).
Le Pablo Escobar 2.0 vient d’être mis à jour, en Belgique.Data Security Breach vient d’apprendre que les policiers ont mis la main sur 1,099 tonne d’héroïne, 1,044 tonne de cocaïne, des armes et 1,3 million d’euros en liquide. Une saisie lors d’une opération d’envergure dans le port d’Anvers. Tout a débuté au Pays-Bas. Les douaniers néerlandais mettaient la main, en avril dans le port d’Amsterdam, sur plus de 110 kilos de drogue, cachée dans des poutres de bois. L’enquête va remonter chez le voisin Belge. Originalité de cette opération, deux informaticiens d’une trentaine d’années ont été arrêtés (sur les 23 perquisitions et 7 interpellations). Ils avaient orchestrés des piratages informatiques des ordinateurs du port belge, mais aussi de plusieurs transporteurs de marchandise passant par l’imposant port belge. Mission des piratages, repérer les conteneurs dans lesquels avaient été cachés la drogue. (GT)
Norman Shark, fournisseur leadeur mondial de solutions d’analyse malware pour entreprises, fournisseurs de services et gouvernements, a communiqué à Datasecuritybreach.fr un rapport détaillant l’infrastructure d’une vaste cyber-attaque sophistiquée qui serait originaire d’Inde. Les attaques, menées par des pirates privés depuis 3 ans, ne semblent pas avoir l’appui d’un État, mais le but principal du réseau C2 (Commande/Contrôle) mondial aurait été de cibler à la fois la sécurité nationale et les entreprises du secteur privé.
« Les données que nous avons indiquent que ces attaques ont été menées par un groupe d’attaqueurs basés en Inde, avec plusieurs développeurs ayant pour tâche de livrer des malwares spécifiques. » commente à datasecuritybreach.fr Snorre Fagerland, chef des recherches dans les laboratoires de Norman Shark à Oslo en Norvège. « Ce groupe semble avoir les ressources et les relations nécessaires en Inde permettant aux attaques d’être surveillées de n’importe où dans le monde. La grande diversité des secteurs touchés est toutefois très surprenante : il s’agit des secteurs des ressources naturelles, des télécommunications, de la restauration mais aussi des secteurs alimentaire, juridique, et industriel. Il est vraiment peu probable que cette organisation fasse de l’espionnage industriel pour son propre usage uniquement, ce qui est vraiment inquiétant. »
L’enquête a présenté des preuves de pratiques professionnelles au niveau de la gestion de projet, utilisées pour concevoir des systèmes, des modules et des sous-composants. Il semblerait que les auteurs des attaques malware aient assigné certaines tâches et certains composants à des programmeurs freelances. « Il n’y avait encore jamais eu de preuves de ce genre d’attaques» ajoute à data security beach magazine M.Fagerland.
Les autorités nationales et internationales enquêtent toujours sur cette découverte. La découverte de cette affaire a débuté le 17 mars lorsque les journaux norvégiens ont publié des articles sur Telenor, un des plus gros opérateurs téléphoniques au monde, faisant partie du top 500 mondial, et considéré comme l’une des entreprises de télécommunications leader en Norvège. Cette entreprise a porté plainte pour avoir été victime d’une intrusion informatique illégale. La source de cette infection proviendrait d’emails phishing ciblant la haute direction de l’entreprise.
Grâce à la structure et au type de comportement des fichiers malware, les analystes en sécurité de Norman Shark ont pu rechercher des cas similaires dans des bases de données internes et publiques, en utilisant les systèmes d’analyse automatique du Malware Analyzer G2 de Norman. Le nombre de malwares trouvé par les analystes de Norman et de ses partenaires était étonnamment grand. Il était donc évident que l’attaque de Telenor n’était pas isolée : elle fait partie d’un effort continu cherchant à mettre en danger les entreprises et les gouvernements du monde entier.
D’après les analyses des adresses IP collectées sur les banques de données criminelles découvertes pendant l’enquête, les victimes ciblées par ces attaques seraient répertoriées dans plus de 12 pays différents. Les cibles précises de ces attaques sont les gouvernements, les organisations militaires et les entreprises. C’est grâce à une analyse détaillée des adresses IP, des enregistrements de nom de domaine, et des identifiants texte contenus au sein même des codes malveillants que les malwares ont pu être attribués.
Malgré la récente attention médiatique portée sur l’exploitation de failles de type zero day , qui utilisent les toutes dernières méthodes d’attaques, Operation Hangover semble avoir exploité les failles déjà connues et identifiées dans Java, les documents Word et les navigateurs internet. « Ces dernières années, ce type d’activité était avant tout associé à la Chine, mais à notre connaissance, c’est la première fois qu’une activité de cyber-espionnage est originaire d’Inde », conclut à datasecuritybreach.fr M.Fagerland.
Pour commémorer la mort de 34 mineurs décédés sous les tirs des forces de l’ordre, Anonymous s’attaque au site officiel de la police sud-africaine. L’information n’est pas restée bien longtemps sur Internet. Une base de données contenant plus de 800 emails, identités, mots de passe (chiffrés en MD5), numéros de téléphone, appartenant au site Internet de la police d’Afrique du Sud saps.gov.za, a été diffusée vendredi 17 mai.
Derrière cette divulgation, des pirates informatiques signant sous le pseudonyme Anonymous. Les hacktivistes ont voulu manifester leur souvenir à l’encontre des 34 mineurs abattus lors d’une manifestation à Marikana, en août 2012. Les ouvriers d’une mine de platine s’étaient mis en grève.
Anonymous a voulu rappeler qu’aucun officier de policie n’avait été jugé. « Cette situation ne sera pas tolérée » indique les hacktivistes. Dans le document que la rédaction de datasecuritybreach.fr à reçu le week-end dernier, un fichier de 13Mo baptisé Emails.csv.