Catégorie : Actualité

Strava mes données a moi, que j’ai donné avec plaisir et sueur

La raison de vivre d’un réseau social est le partage avec ses « amis », Strava ne déroge pas à la règle, mais le partage des données collectées n’était pas vraiment attendu par tout le monde. Cette affaire permet de lever un coin de voile sur les réseaux sociaux et leur capacité à collecter des informations, à les agréger et enfin à les exploiter…
Le réseau social Strava permet de partager ses « exploits » sportif avec ses amis via un équipement connecté au travers des données collectées pendant l’effort. Celles-ci ont été agrégé par le réseau social est rendue publique fin janvier sur le site Strava Global Heatmap. Cela permet à travers une première analyse de voir que l’on fait beaucoup de sport en Europe, en Amérique du nord mais pas uniquement, l’on aperçoit sur la carte globale beaucoup d’espaces où l’on fait du sport, en particulier dans des endroits improbables, le désert ou la mer, on y remarque aussi quelques bugs…

Lorsque l’on a l’habitude de regarder Google Map pour regarder des endroits lointains, on regarde en réalité des photos et en dehors des villes, difficile de se rendre compte de l’activité humaine. Strava va agir comme un révélateur de cette activité. Un peu comme lorsque vous utilisez des jumelles de vision nocturne en pleine nuit. Ce qui frappe tout d’abord, c’est les routes, en effet on distingue très bien les autoroutes et les routes importantes, or ce n’est pas un lieu où l’on pratique du sport. Viennent ensuite les stades qui sont des lieux de pratique évidents, on y remarque d’ailleurs ceux a forte activité par rapport à d’autres. Strava fournit plusieurs fonctionnalités qui permettent de filtrer les informations suivant le type de sport, élément important suivant l’utilisation que l’on en fait, on le verra par la suite.
Au même titre que Google Map cela permet de regarder des endroits improbables, la Corée par exemple. en particulier au nord on y retrouve de l’activité sportive, des touristes probablement…

Dans les zones de conflits on y retrouve l’activité de militaire, on pense tout de suite à la Syrie, au mali, en Libye, mais plus amusant l’ile de Xonjing dans les iles Paracel. On constatera aussi que quelques menus travaux d’aménagement on était réalisé….

Dans d’autres zones de conflit on peut voir les patrouilles à pied de celles en véhicules grâce aux paramètres de l’application.
Mais mieux encore cela permet aussi de voir les activités passées d’un endroit, une sorte d’empreinte du temps. Cela ne se détecte que si vous connaissez l’endroit parfaitement. Par exemple sur l’aéroport de Paris Le Bourget se déroule tous les 2 ans le Salon International de l’Aéronautique et de l’Espace, ce salon se déroule sur le tarmac pour la partie extérieure et l’on y remarque sur Strava l’agencement des chalets extérieurs par exemple. cela ne fonctionne pas pour les activités en intérieur comme les salons porte de Versailles.

Cette divulgation consentie permet de prendre conscience si cela était encore nécessaire que de la protection des données personnelles est une action importante. Ces données pouvant être exploitées par l’état disposant de ces données. Pour rappel Strava est basé aux Etats-Unis, donc soumise à la loi américaine et donc au Patriot Act. Lequel est utilisé pour lutter contre le terrorisme mais pas uniquement et en particulier dans la guerre économique mondiale. alors que dire des informations recueillies par les GAFAM qui eux représentent des milliards d’utilisateurs. A ce titre là, une carte diffusée par Facebook seraient très instructive!
La mise en place du RGPD permettra peut-être de mieux lutter contre la diffusion de vos données, mais en attendant celles-ci sont exploités au mieux par d’autres bien mal intentionnés.

Le FIC2018 c’est bientôt

FIC2018
FIC2018

Comme chaque année depuis 10 ans le Forum International de la Cybersécurité (FIC) qui se tient au Grand Palais de Lille est le premier événement Cyber de l’année.

Vous y trouverez en endroit pour faire vos courses, prendre des contacts, vous tenir informé des nouvelles tendances, faire le point sur l’actualité, construire votre réseau, tout cela sur 2 jours les mardi 23 et mercredi 24 janvier.Plus de précision ici.

Toujours dans le cadre du FIC2018 le lundi 22  vous avez la Conférence sur la réponse à Incident et l’Investigation Numérique (CoRIIN) organisé par le CECyF.

Maintenant que vous avez le planning, reste la plus difficile trouver un logement.

Mon amour d’Heathrow ma clé USB

clé usb
Cle USB

Il y a quelques jours un chômeur a trouvé une clé USB au milieu d’autres papiers, sur un trottoir d’Ilbert Street à Queen’s Park dans l’ouest de Londres. Quelle ne fut pas sa surprise d’y découvrir des données très sensibles marquée confidentielles pour certaines, lesquelles concernaient l’aéroport de Londres Heathrow. Il a bien évidemment contacté un journal plutôt que les forces de police, et donc grâce à lui cette histoire nous est connue.
La clé contenait près de 2.5 Go de données, réparties dans 76 répertoires. Parmi ces données on y a trouvé, le chemin emprunté par la Reine et les mesures de sécurité la concernant au sein de l’aéroport, les ID d’accès aux zones y compris ceux employé par les policiers sous couverture, les calendriers des rondes assurant la protection contre les attaques terroristes, des cartes d’implantation des caméras de surveillance, le cheminement des personnalités, le système de scanner de piste…Toutes ces données étaient librement accessibles sur une clé USB, non chiffrées.

Cet exemple médiatique est très intéressant à plusieurs titres.

Il rappelle que les données stockées sur un support numérique sont naturellement volumineuses, ici on parle de 2.5 Go soit environ 800 000 pages A4 ou encore 1600 ramettes de papier ! Autant se promener avec une clé USB est naturel, avec 1600 ramettes sous le bras beaucoup moins.
Ensuite comment expliquer qu’un tel volume d’information sensible soit trouvé dans la rue a une douzaine de kilomètres de l’aéroport? Cette question se scinde en 2, une première sur l’aspect humain, une seconde sur l’aspect technique.

Sur la question humaine on peut imaginer plusieurs scénarios.

  • Le premier, peut-être le plus vraisemblable, la clé USB a été perdue par un employé tout simplement, l’histoire finissant finalement bien.
  • Autre scénario un employé s’est fait voler une sacoche contenant entre autres documents cette clé USB, le voleur se débarrassant de ce qu’il ne trouvait pas utile, les documents papiers et la clé.
  • La clé a été perdue par une personne qui n’était pas légitime à la détenir.
  • Le chômeur a peut-être trouvé la clé USB dans un endroit que l’on appelle une boîte aux lettres et l’a récupéré avant le passage de la personne qui aurait dû « légitimement » la récupérer.

Dans tous ces scénarios les services de police britanniques détiennent un témoin vital, la clé USB. En effet une analyse technique poussée permettra de retracer la vie de la clé. On pourra définir par exemple quand des fichiers ont été copiés, supprimés, modifié, en analysant les métas datas des fichiers ont pourra définir qui a créé les fichiers, qui les a modifié, où et quand la clé a été branché…bref connaître l’histoire de la clé.

En comparant l’histoire de la clé on pourra très probablement en définir un propriétaire ou du moins des gens ayant le besoin de détenir ces fichiers. On pourra aussi définir si c’est une clé fournie par l’entreprise ou non.

Si l’analyse forensique ne donne rien de probant, c’est que l’on aura affaire à une clé très probablement “fabriqué” compilant des informations recueillies par ailleurs, situation guère rassurante. Dans tous les cas cette analyse sera déterminante pour identifier le responsable de la fuite et/ou la destination de la clé dans le cas d’une fuite volontaire.

Pour l’aspect technique on imagine mal en 2017 qu’aucun dispositif de protection ne soit mis en place par l’aéroport. Des produits de Data Leak Prevention (DLP) existent et font aujourd’hui partie de la panoplie dont dispose un RSSI pour limiter au mieux ces fuites d’information. Autre moyen technique, le chiffrement qui aurait pu permettre de limiter l’accès à l’information par celui qui trouve le support. Ces 2 moyens techniques auraient permis au RSSI de l’aéroport et aux services de sécurités d’être plus serein sur la sécurité des voyageurs.

Pourtant le Royaume-Uni dispose d’une réglementation, qui donne des objectifs de protection des informations sensibles et marquées.

La fuite d’information sensible marquée n’est pas une nouveauté, en août 2016 une fuite d’information concernant une société française portant sur plus de 22000 documents avait eu lieu ici et avait posé bien des questions non résolus.

Au vu de la quantité de données numériques et de la quantité de clé USB produite dans le monde, il est de la responsabilité de chaque entreprise de faire le nécessaire pour s’assurer que son patrimoine ne s’envole pas. C’est dans ce sens que l’II901 portée par l’ANSSI recommande de chiffrer les supports amovibles et d’en contrôler la connexion aux réseaux d’entreprises.

Ingérence le plus vieux métier du monde?

Voter
Voter

L’ingérence des pays dans les élections est aussi vieille que l’art de la guerre. En effet selon Sun Tzu. Il « Le meilleur savoir-faire n’est pas de gagner cent victoires dans cent batailles, mais plutôt de vaincre l’ennemi sans combattre ».

Plusieurs phénomènes se sont développé au fil du temps et aboutissent à ce raffinement ultime que l’on connaît actuellement et qui scandalise de nombreuses personnes.

Depuis longtemps les états cherchent à influencer les autres états, de façon plus ou moins violente et transparente. Ce fait n’est pas nouveau en soi. ce qui est nouveau par contre c’est la façon de le faire.

D’un autre côté le développement commercial passe par une phase de marketing, domaine qui n’a de cesse de s’améliorer au fil du temps. Ce domaine qu’est le marketing n’a de cesse de développer de nouveaux modes d’action et l’un d’eux est le marketing politique qui s’appuie principalement sur les médias et dernièrement sur les réseaux sociaux. Par exemple le marketing politique a été employé en Irak en 2003 (ici). Il ne faut toutefois pas confondre la propagande avec du marketing politique.

Enfin dernier ingrédient de notre savant mélange, les technologies de l’information que sont, Internet, le Big Data et les objets connectés. Ces techniques ont permis une accélération du temps, de concentrer les données et de pouvoir les analyser finement et rapidement.

Ces différents phénomènes imbriqués les uns dans les autres, permettent aujourd’hui d’avoir une certaine forme d’influence sur les processus démocratiques des démocraties. Ce qui n’était pas concevable et réalisable par le passé devient réalisable aujourd’hui.

Ensuite ce qui est acceptable pour certains acteurs, je pense en particulier aux pays occidentaux qui cherchent à imposer leurs modèles à d’autres, semble ne pas acceptable pour d’autres. Les pays occidentaux sont passé au fil du temps d’une imposition de leur volonté par des moyens militaires au Soft Power (ici) comme lorsque la CIA a appuyé Force ouvrière (ici), or ils ne sont pas les seuls à pouvoir utiliser cette méthode. Au final l’utilisation de ces principes repose sur un principe simple l’ingérence.

Dans le cas qui nous préoccupe, nous en France, c’est de constater que lors de l’élection américaine il semble qu’il y ait eu une ingérence Russe dans l’optique de placer un candidat qui soit le moins mauvais pour l’ingérant, cela n’implique pas qu’il soit pro-russe. Comme le principe d’une élection n’est pas d’avoir tous les votes pour soi mais juste la majorité, il suffit de pousser l’opinion publique, de quelques pourcents dans un sens ou dans l’autre. Dans le cas américain, le principe de l’élection par grand électeur rend le travail plus facile puisqu’il suffit de mener l’action aux points stratégiques, de remporter quelques états clés pour faire basculer le vote.

Dans le cas français le processus est différent, car la seule élection a grand électeur est celle du Sénat qui se renouvelle par tiers tous les 3 ans. donc influencer directement une élection française sur un mode à l’américaine est très improbable.

Cependant il est toujours possible d’infléchir à l’inverse le candidat que l’on ne souhaite pas voir arriver au pouvoir et cela grâce aux techniques cybers qui permettront de sortir une “affaire” au plus mauvais moment, par exemple dans le cas américain l’affaire des mails à quelques jours de l’élection comme cela est arrivé pour Hillary Clinton. Dans ce dernier cas c’est très compliqué de gommer l’effet au moment de déposer son bulletin dans l’urne.

Maintenant construire une affaire n’est pas trop compliqué, car par définition les personnalités politiques sont publiques et elles ont des vulnérabilités comme tout le monde, on se souviendra de l’affaire “DSK”. De plus comme les personnalités politiques sont mêlés à plusieurs milieux, comme ceux des affaires et du journalisme, il est assez facile pour un service de renseignements étranger de trouver des indices et des éléments pour construire une affaire ou en exhumer une.

Contrer cette ingérence sans mettre en péril les fondements de la démocratie est compliqué car cela abouti indirectement à compromettre certains candidats aux détriment des autres, c’est probablement le point faible de la démocratie de nos jours.

FIC 2107 à Lille

L’événement majeur de la sécurité informatique de ce début d’année se déroule à Lille les 24 & 25 janvier.

Le Salon du FIC pour sa 9ième éditions une fois n’est pas coutume au Grand Palais de Lille. Il regroupera plus de 5000 visiteurs, des dizaines de conférenciers et des centaines d’industriels pour échanger, partager et tracer un chemin vers une meilleure protection des systèmes d’information.

Je vous donne donc rendez-vous à cet événement majeur de la cybersécurité, avec la présence des ministres de l’Intérieur, de la Défense, de la secrétaire d’état au numérique, mais aussi à tous les visiteurs qui apporteront leur pierre à l’édifice de la sécurité.

A noter qu’a l’heure actuelle les ateliers sont complets mais que les inscriptions sont toujours possibles.

 

 

CyberDef-CyberSec

Bilan des conférences Cyber à Eurosatory 2016

Cyber Def EuroSatory
Cyber Def EuroSatory

La semaine dernière s’est déroulé le 4ième forum CyberDef-CyberSec. Ce forum s’est déroulé lors du salon Eurosatory 2016 à Villepinte. Le cycle de conférences s’est déroulé sur 2 jours, cette année, c’était les mardi 14 et mercredi 15 juin. Hormis la conférence d’ouverture, toutes les conférences étaient en anglais.

La conférence d’ouverture a été faite par le vice-amiral Arnaud Coustillière qui est en charge de la cyber défense au sein des forces armées françaises. Il a synthétisé la position française sur le sujet. avec une question qui est revenu pour d’autres conférences, l’équilibrage entre la lutte informatique défensive (LID) et la lutte informatique offensive (LIO), question auquel les orateurs ont répondu en indiquant que l’équilibrage se faisait en fonction des besoins, réponse assez évasive, mais réponse quand même.

Lors de la conférence suivante il a été question de la course aux armements dans le cyberespace avec Mikko Hypponen de F-Secure.

La troisième conférence de la première journée portait sur un sujet qui a été remis sur le tapis le lendemain, “Convergence de la guerre électronique et Cyber sur le champ de bataille”. Le mercredi c’était “comment contrôler simultanément le cyberespace et le spectre électromagnétique”. Ces sujets assez proches ont été présenté par des officiels américains qui il faut le reconnaitre ont une longueur d’avance sur le sujet. Ce sujet concerne plutôt le champ de bataille, ce qui assez logique sur un salon comme Eurosatory.

Le mardi on a eu un sujet sur la menace intérieure, “Insider Threat : comment faire face aux menaces provenant de l’intérieur de votre organisation”, une menace bien souvent ignorée par les CIO, alors que chaque salarié quittant une société emmène toujours des données de l’entreprise.

La dernière conférence de la journée portait sur la résilience cyber quand tous les systèmes et plateformes sont connectés, un vaste programme. La vue japonaise des choses était intéressante, car axée sur les problématiques du pays devant tenir compte de son environnement tectonique qui a un impact fort sur la résilience des systèmes d’information.

La première conférence du mercredi portait sur un sujet assez classique sur la détection des menaces et des attaques.

La conférence suivante était sur les fuites d’informations, avec l’affirmation du moment, “il n’est plus question de savoir si on sera attaqué, mais quand?”. Là aussi il n’y avait rien de très nouveau mais l’allocution de Mr Koivunen de F-Secure était agréable.

La conférence de début d’après-midi portait sur la Cyber Défense et la Cyber sécurité en Afrique, continent vierge s’il en est. Les problèmes de l’Afrique sont plutôt orientés sur la cyber criminalité pour l’instant mais les compétences montent vite. Cette conférence a attiré beaucoup de monde.

Les conférences n’étaient pas d’un niveau technique très pointu, mais correspondaient au niveau d’attente d’un salon comme Eurosatory, en particulier les conférences situées au carrefour entre le cyberespace et le champ de bataille. La liaison entre le spectre électromagnétique et le cyberespace montre très bien la très grande maitrise qu’ont les Américains du sujet. Ce qui est rassurant ou pas, c’est que les messages sont constants, sensibilisation, maintenance des niveaux techniques sont les mamelles de la cyber.

Mr Tissot a organisé de bien belles conférences, vivement les prochaines.

La crue de Seine en Cyber crise

Zouave du pont de l'alma
Zouave du pont de l’Alma les pieds dans l’eau

Alors que la crue Seine semble s’éloigner je voulais revenir sur cet événement qui connut un problème technique majeur dans l’évaluation de la crue, la crue de la Seine en Cyber crise.

Le premier élément de cette crue a été joué il y a quelques mois du 7 au 18 mars 2016 lors d’un exercice européen et organisé par la préfecture de police de Paris, les détails sont ici.

Il y a eu beaucoup d’informations pour indiquer qu’un exercice allait se jouer, par contre le résultat lui n’est pas connu (ici), ou plutôt ils devaient être débattus le 17 mai au palais de l’eau à Paris avec tous les partenaires (ici page 221), mais les dieux ont préféré un exercice grandeur nature, bien plus réaliste. L’exercice a surement bien aidé à la gestion de la crue de 2016.

Par contre un site de podcast de sécurité informatique, le Comptoir Sécu a réalisé une série d’émissions sur la durée de l’exercice. Cette série se décline en 10 émissions, de la mise en condition pour l’exercice au fatidique “qui va payer?”.

L’ensemble des podcasts est ici : J1J2J3J4J5J6J7J8J9J10.

Ces podcasts ont le mérite de poser les choses à plat et de pouvoir y réfléchir en amont. Et les événements de ces derniers jours ne font qu’en démontrer la pertinence.

Il s’est d’ailleurs produit un événement mineur qui a conduit à une mini-crise dans la gestion de la crue. Cela c’est produit au cours de la journée du vendredi 3 juin. Alors que l’eau montait, rien d’exceptionnel pour une situation de crue, il est apparue une anomalie entre ce que l’on observait et ce que l’on mesurait (ici et ici).

Graphique d'erreur de vigiecrue
Graphique d’erreur de vigiecrue

Or lors de la crise il est impératif d’avoir les bonnes mesures pour prendre les bonnes décisions et l’écart de 50 cm qu’il y a eu, aurait pu faire toute la différence entre une ligne de métro qui fonctionne et une qui ne fonctionne pas.

Il est assez symptomatique de notre société qu’à partir du moment ou la crise a été avéré, aucune mesure particulière n’a été prise pour valider correctement les mesures des machines, il s’est passé la nuit entre le bon fonctionnement et la découverte de la panne. Cette erreur s’est ressenti dans certaines annonces sur les hauteurs de crue et dans la précipitation de certaines opérations que les Parisiens ont pu observer en particulier dans le processus d’édification le vendredi. Le maximum de crue passé dans la nuit de vendredi à samedi on a senti un grand ouf de soulagement, même si la décrue sera plus longue.

Il faut toujours garder à l’esprit que le meilleur des capteurs reste l’humain surtout en cas de crise et surtout que le bon sens aide à passer la crise.

ça SWIFT dans les banques

SWIFT
SWIFT

ça SWIFT dans les banques

Le réseau inter bancaire SWIFT (Society for Worldwide Interbank Financial Telecommunication) subit actuellement une série d’attaques par des malveillants sans précédent par le passé. Faisons connaissance avec lui.

Le réseau SWIFT est le réseau d’échanges entre les banques, l’objectif de ce réseau fiable et la non-répudiation des transactions, la fiabilité est donc son objectif premier. Il serait très malvenue que lors d’une transaction une banque refuse la validité de la transaction. le réseau SWIT doit garantir cela.

Ce réseau qui relie les organismes bancaires est bien sur chiffrés afin de se protéger de l’interception et de la modification des flux, comme on pourrait le faire à travers une attaque Man In The Middle. Au-delà d’un service de transport brut d’information, SWIT est aussi un protocole d’échange d’informations pré formaté (voir ici et ici) et de processus d’acquittement, afin de faire transiter au plus vite les milliards de dollars qui sont échangés, c’est ce qui en fait la qualité et la richesse. Tous ces éléments concourent à l’objectif final de non-répudiation des transactions. Les volumes transitant par ce réseau sont titanesques, c’est pour cela qu’il doit être fiable à 100%.

Cela était vrai jusqu’à il y a quelque temps, du moins officiellement. En effet en mars la Banque Centre du Bangladesh est victime d’une attaque qui fait disparaitre pas moins de 80 millions de dollars de ses comptes. Cette somme quoique importante semble bien dérisoire face à l’objectif des pirates. Ceux-ci avaient prévu un montant global de virement d’un milliard de dollars. quand on regarde le ratio, les attaquants ont obtenu moins de 10% de l’objectif, tout ça à cause d’une erreur d’orthographe. Car dans le cas présent les pirates ont pu réaliser la totalité du protocole d’échange (ici).

Ce qui est intéressant ici c’est que techniquement personne n’a rien vu, donc les attaquants sont d’un bon niveau, mais que c’est les mesures organisationnelles qui ont permis de stopper les virements. En effet dans le processus de transfert il y a bien sûr la validité du destinataire, et une faute d’orthographe dans son libellé rendent le transfert douteux et lève une alerte. Autre élément intéressant dans le déroulement c’est la time line de l’attaque, celle-ci se déroule un vendredi soir afin de maximiser le “brouillard de guerre” et donc de mettre le plus de chance du coté de l’attaquant.

Le gouverneur de la banque centrale, Atiur Rahman, a déclaré « J’ai vécu cet événement pratiquement comme une attaque, comme un séisme. Je n’ai pas compris comment [ce vol] a pu se produire, d’où c’est venu et qui l’a réalisé ». Sa réaction tout humaine soit-elle montre que l’attaquant a pris un ascendant sur le défenseur en réalisant une action jugée impossible. En stratégie on appelle cela une surprise Stratégique (ici). Un peu comme la mise en orbite du premier satellite artificiel Spoutnik ou encore l’attaque japonaise sur Pearl Harbor. Il est fort probable que d’autres responsables aient été aussi un “peu” surpris.

Il apparaît qu’une autre banque équatorienne cette fois, la Banco del Austro a été victime d’une attaque permettant de voler 12 millions de dollars en janvier 2015, mais que l’information n’apparaît que maintenant lors d’un procès intenté contre Well Fargo qui a validé la transaction. Les attaquants ont pu utiliser les accréditations d’un employé pendant plus de 10 jours…une éternité

Enfin SWIT a indiqué une autre attaque mais n’a pas indiqué ni le nom, ni les montants volés (ici).

Le mode opératoire semble bien rodé :

  • tout d’abord une infiltration au sein d’une banque somme toute très classique,
  • prendre le contrôle d’un poste SWIFT avec quelques logiciels “innocent” supplémentaire (ici),
  • enfin il suffit de jouer des transactions à destination de compte “amis”.

Tous ces éléments éclairent le problème qui ne vient pas intrinsèquement des échanges chiffrés, mais du processus “humains” en début de chaine. L’opacité de la déclaration d’incident montre aussi que personne ne sait trop qui a subi des attaques et donc cela profite un maximum à l’attaquant. En changeant de cible il est presque sûr que la nouvelle n’est pas d’information de celles qui ont déjà été ciblé. Les banques ne communiquent pas vers SWIFT pour les informer des incidents de ce type. SWIFT appel à être informé de ces attaques mais eux-mêmes ne sont pas particulièrement transparents sur le sujet.

L’attaquant semble bien rodé sur les processus internes d’échange SWIFT. Le groupe Carbanak spécialisé dans les piratages bancaires est actuellement l’attaquant supposé.

Les banques sont une cible idéale et il semble qu’actuellement l’attaquant dispose d’une longueur d’avance sur le défenseur, ça va SWIFTer dans les banques.

L’ANSSI se pli en 9

L'ANSSI en 9 #
L’ANSSI en 9 #

L’ANSSI en 9 # c’est le film institutionnel que l’ANSSI vient de mettre en ligne. La vidéo est ici.

L’objet de ce petit film est de montrer les missions de l’agence, le tout en 5 minutes. On y retrouve beaucoup d’images prises au FIC à Lille et dans le quartier de l’agence toute proche de la tour Eiffel et l’on y retrouve Guillaume Poupard l’emblématique Directeur Général de l’ANSSI

9 thèmes y sont développés :

  • la coordination, consistant à coordonner les actions de cyberdéfense et les projets de cybersécurité au sein de l’État français et de ses administrations,
  • la défense et la protection des systèmes d’information des différentes composantes de l’État français ainsi que celle des OIV,
  • la connaissance et l’anticipation, des menaces touchant l’environnement cyber, mais aussi les aspects touchant aux évolutions des technologies du numérique ,
  • le développement, de la filière cybersécurité à la Française afin de se doter des personnes répondant au besoin du pays dans la protection de l’espace numérique,
  • la promotion, des valeurs Française à l’international dans le domaine de la cyber et en particulier dans le monde francophone,
  • la formation et la sensibilisation, 2 axes complémentaires pour former à la sécurité du numérique et pour sensibiliser les Français et les francophones aux bonnes pratiques de la sécurité dans le monde numérique.

Ce petit film agréable à regarder permet de mieux percevoir les missions et les objectifs de cette agence française.

J’aurai l’occasion de revenir bientôt sur certains aspects de l’agence.

Panama Papers

Panama Papers
Panama Papers

Mossack Fonseca cabinet d’avocat et champion de l’optimisation fiscale mais aussi champion de la fuite tout court. En particulier de celle d’information qui atteint tout de même le chiffre record de 11,5 millions de documents représentant 2.6To. Ce trou béant découvert peut -être, mais communiqué par un certains John Doe au Süddeutsche Zeitung lequel journal a ensuite réalisé son travail d’investigation et de révélation à partir du 3 avril 2016, plus connu ssous le nom de “Panama Papers”. La vrai question n’est pas de savoir qui est concerné, c’est du voyeurisme, mais de savoir comment cela a-t-il pu se produire?

Il n’y a bien sur rien de certains, mais John Doe était-il une taupe au sein du cabinet ayant patiemment recueilli ces informations dans l’optique de les publier? Ou un hacker particulièrement doué qui a utilisé les faiblesses du système informatique pour s’y infiltrer puis pour exfiltrer ces informations, ou pire encore un simple stagiaire qui a ramassé par hasard ces informations sur un disque dur qui trainait. Quoi qu’il en soit l’individu qui a réalisé la communication aux médias ne l’a à priori pas fait pour de l’argent comme indiqué ici ou ici.

Il semble d’après un certains nombres d’articles que le système informatique du cabinet soit un modèle du genre de ce qu’il ne faut pas faire.

La liste est longue comme le bras (détaillé ici, ici ou encore la), elle commence par des CMS (Content Management System – Système de gestion de contenu) pas à jour, pas moins de 25 failles connues entre WordPress et Dupral. Pour ce dernier la version est vieille de 3 ans. Dans la suite de la liste à la Prévert il y a une version d’Outlook Web Access ancienne datant de 2009, un serveur de messagerie qui n’utilise pas de chiffrement TSL, un serveur HTTP mal configuré qui montre une architecture qui interroge, un script Google Analytics qui ne garanti pas la confidentialité des personnes qui se connectent, une base de donnée avec des mots de passe simple.

Une telle cascade de malveillance car ce n’est plus de la maladresse là, est assez unique. Cela démontre que d’avoir des outils ce n’est pas suffisant, qu’il faut les configurer et les mettre à jour.

Il faut revenir sur le contexte, à savoir un cabinet d’avocat spécialisé disposant d’environ 500 salariés à travers le monde et devant probablement sous traiter une grande partie de son informatique.

Ce mécanisme montre là tout son avantage… pour le pirate.

  • A savoir une non maintenance de la connaissance, comment expliquer autrement le fait qu’un outils ne soit pas mis à jour depuis 4 ou 5 ans? Une négligence criminelle?
  • Un directeur des systèmes d’information sûr de lui et de son architecture, se cachant dernière la complexité du SI pour perdre le hacker, ou plutôt lui même…

Ce type d’entreprise montre une grande attention à la confidentialité des données en utilisant à tour de bras des clauses de NDA (Non-Disclosure Agreement – accord de non divulgation), la culture juridique de l’entreprise donne un sentiment de protection supérieur, mais qui malheureusement ne tient pas face à des failles techniques profondes du système d’information.

Une analyse des risques aurait probablement fait prendre conscience qu’un NDA est nécessaire mais qu’il doit être alliée à une vraie urbanisation du système d’information avec une défense en profondeur comme le conseil l’ANSSI depuis 2004 aurait probablement permis d’éviter à Mossack Fonseca d’avoir a faire faire un leak d’une ampleur inégalé dans l’histoire. Mais surtout de protéger au mieux les données et les intérêts de ses clients.