Le Cigref a lancé le 1er septembre dernier une campagne de sensibilisation aux risques du numérique intitulé Hack Academy. Cette campagne repose sur un parallèle avec l’émission Star Academy, le célèbre télé crochet.
Ici 4 candidats Dimitri, Jenny, Martin et Willy proposent leurs attaques fétiches et pour les départager un jury composé d’Amy, Wuang et Dragan. Les 4 candidats ont chacun un côté attachant, Dimitri le beau gosse avec un accent de l’est, Jenny la teenager québécoise, Willy le belge et enfin Martin le gosse surdoué. Le teaser est ici.
Dimitri nous présente son attaque “man in the middle” sur les sites marchands et réserve une surprise à Dragan ici.
Jenny avec son petit chewing-gum rose nous présente sa technique spéciale pour récupérer les mots de passe, elle est “so cute”, c’est encore Dragan qui ramasse, ça se passe ici.
Martin avec son aire angélique vous présentera les logiciels gratuits et les clés USB ici.
Willy nous propose toutes les subtilités du phising ce sera ici.
Les choses ont même été sous-titré en anglais pour rendre le message plus internationale avec respectivement, Dimitri, Jenny, Martin et Willy.
Usez et abusez de ces vidéos qui sont très bien faites pour sensibiliser vos salariés, vos enfants et vos amis.
Le réseau inter bancaire SWIFT (Society for Worldwide Interbank Financial Telecommunication) subit actuellement une série d’attaques par des malveillants sans précédent par le passé. Faisons connaissance avec lui.
Le réseau SWIFT est le réseau d’échanges entre les banques, l’objectif de ce réseau fiable et la non-répudiation des transactions, la fiabilité est donc son objectif premier. Il serait très malvenue que lors d’une transaction une banque refuse la validité de la transaction. le réseau SWIT doit garantir cela.
Ce réseau qui relie les organismes bancaires est bien sur chiffrés afin de se protéger de l’interception et de la modification des flux, comme on pourrait le faire à travers une attaque Man In The Middle. Au-delà d’un service de transport brut d’information, SWIT est aussi un protocole d’échange d’informations pré formaté (voir ici et ici) et de processus d’acquittement, afin de faire transiter au plus vite les milliards de dollars qui sont échangés, c’est ce qui en fait la qualité et la richesse. Tous ces éléments concourent à l’objectif final de non-répudiation des transactions. Les volumes transitant par ce réseau sont titanesques, c’est pour cela qu’il doit être fiable à 100%.
Cela était vrai jusqu’à il y a quelque temps, du moins officiellement. En effet en mars la Banque Centre du Bangladesh est victime d’une attaque qui fait disparaitre pas moins de 80 millions de dollars de ses comptes. Cette somme quoique importante semble bien dérisoire face à l’objectif des pirates. Ceux-ci avaient prévu un montant global de virement d’un milliard de dollars. quand on regarde le ratio, les attaquants ont obtenu moins de 10% de l’objectif, tout ça à cause d’une erreur d’orthographe. Car dans le cas présent les pirates ont pu réaliser la totalité du protocole d’échange (ici).
Ce qui est intéressant ici c’est que techniquement personne n’a rien vu, donc les attaquants sont d’un bon niveau, mais que c’est les mesures organisationnelles qui ont permis de stopper les virements. En effet dans le processus de transfert il y a bien sûr la validité du destinataire, et une faute d’orthographe dans son libellé rendent le transfert douteux et lève une alerte. Autre élément intéressant dans le déroulement c’est la time line de l’attaque, celle-ci se déroule un vendredi soir afin de maximiser le “brouillard de guerre” et donc de mettre le plus de chance du coté de l’attaquant.
Le gouverneur de la banque centrale, Atiur Rahman, a déclaré « J’ai vécu cet événement pratiquement comme une attaque, comme un séisme. Je n’ai pas compris comment [ce vol] a pu se produire, d’où c’est venu et qui l’a réalisé ». Sa réaction tout humaine soit-elle montre que l’attaquant a pris un ascendant sur le défenseur en réalisant une action jugée impossible. En stratégie on appelle cela une surprise Stratégique (ici). Un peu comme la mise en orbite du premier satellite artificiel Spoutnik ou encore l’attaque japonaise sur Pearl Harbor. Il est fort probable que d’autres responsables aient été aussi un “peu” surpris.
Il apparaît qu’une autre banque équatorienne cette fois, la Banco del Austro a été victime d’une attaque permettant de voler 12 millions de dollars en janvier 2015, mais que l’information n’apparaît que maintenant lors d’un procès intenté contre Well Fargo qui a validé la transaction. Les attaquants ont pu utiliser les accréditations d’un employé pendant plus de 10 jours…une éternité
Enfin SWIT a indiqué une autre attaque mais n’a pas indiqué ni le nom, ni les montants volés (ici).
Le mode opératoire semble bien rodé :
tout d’abord une infiltration au sein d’une banque somme toute très classique,
prendre le contrôle d’un poste SWIFT avec quelques logiciels “innocent” supplémentaire (ici),
enfin il suffit de jouer des transactions à destination de compte “amis”.
Tous ces éléments éclairent le problème qui ne vient pas intrinsèquement des échanges chiffrés, mais du processus “humains” en début de chaine. L’opacité de la déclaration d’incident montre aussi que personne ne sait trop qui a subi des attaques et donc cela profite un maximum à l’attaquant. En changeant de cible il est presque sûr que la nouvelle n’est pas d’information de celles qui ont déjà été ciblé. Les banques ne communiquent pas vers SWIFT pour les informer des incidents de ce type. SWIFT appel à être informé de ces attaques mais eux-mêmes ne sont pas particulièrement transparents sur le sujet.
L’attaquant semble bien rodé sur les processus internes d’échange SWIFT. Le groupe Carbanak spécialisé dans les piratages bancaires est actuellement l’attaquant supposé.
Les banques sont une cible idéale et il semble qu’actuellement l’attaquant dispose d’une longueur d’avance sur le défenseur, ça va SWIFTer dans les banques.
L’ANSSI en 9 # c’est le film institutionnel que l’ANSSI vient de mettre en ligne. La vidéo est ici.
L’objet de ce petit film est de montrer les missions de l’agence, le tout en 5 minutes. On y retrouve beaucoup d’images prises au FIC à Lille et dans le quartier de l’agence toute proche de la tour Eiffel et l’on y retrouve Guillaume Poupard l’emblématique Directeur Général de l’ANSSI
9 thèmes y sont développés :
la coordination, consistant à coordonner les actions de cyberdéfense et les projets de cybersécurité au sein de l’État français et de ses administrations,
la défense et la protection des systèmes d’information des différentes composantes de l’État français ainsi que celle des OIV,
la connaissance et l’anticipation, des menaces touchant l’environnement cyber, mais aussi les aspects touchant aux évolutions des technologies du numérique ,
le développement, de la filière cybersécurité à la Française afin de se doter des personnes répondant au besoin du pays dans la protection de l’espace numérique,
la promotion, des valeurs Française à l’international dans le domaine de la cyber et en particulier dans le monde francophone,
la formation et la sensibilisation, 2 axes complémentaires pour former à la sécurité du numérique et pour sensibiliser les Français et les francophones aux bonnes pratiques de la sécurité dans le monde numérique.
Ce petit film agréable à regarder permet de mieux percevoir les missions et les objectifs de cette agence française.
J’aurai l’occasion de revenir bientôt sur certains aspects de l’agence.
On a beau parler de cyber, cela reste toujours quelque chose de difficile à appréhender et lorsque l’on parle de Sécurité des Systèmes d’Information (SSI) on se focalise principalement sur les aspects logiques mais cette approche même si elle est nécessaire n’est pas suffisante.
Historiquement, on fortifiait ce qui avait besoin d’être protégé des malveillants et des ennemis qu’ils soient extérieurs ou intérieurs. D’ailleurs à ce propos les châteaux les mieux défendus sont souvent tombé grâce à des complicités internes.
Pour aider à la protection il y a des aspects physiques du “cyber” il y a quelques éléments. Le premier dont j’ai déjà parlé est l’instruction interministérielle 901 disponible ici. Celle-ci détaille la protection physique au travers 3 objectifs. Les objectifs 9 à 11 allants des pages 16 à 18. Ces objectifs couvrent toutes les surfaces de l’entreprise, des zones publiques aux zones techniques et évoquent aussi les points d’importance vitale (PIV) décrit dans l’instruction générale Interministérielle 6600 disponible ici. Le second élément qui permet de mettre en place des mesures de protection physique est celle de l’instruction générale Interministérielle 1300 disponible ici. Celle-ci bien que prévu pour des locaux abritant du classifié de défense, permet de disposer d’un référentiel sur des règles de protection physique en particulier les articles 70 et 71 et l’annexe 6 donnant des principes généraux de protection.
Le cyber est un milieu aux extrémités duquel des points terminaux permettent des échanges via des interfaces (poste de travail, objets connectés, scada, …). Ces interfaces ont la mauvaise habitude d’être bien réelles et ce qui est bien réel doit être protégé.
Dans le cas présent il y a plusieurs points à protéger. Le premier et le plus évident c’est le cœur, le data center hébergeant les données, les serveurs. Pour cela II901 nous permet de prendre en compte les aspects protection physique avec les restrictions d’accès et la traçabilité de ceux-ci, mais aussi les problématiques d’énergie, de climatisation, de lutte contre l’incendie et de lutte contre les voies d’eau. En effet plus de serveurs, plus de cyber c’est aussi simple que cela, donc mettre le maximum de moyens pour éviter toute interruption de service est une obligation nécessaire.
Le second point à protéger est le réseau et ses points de connexion. Là encore l’II 901 permet d’avoir une approche cohérente et permet d’assurer la continuité de service entre les data centers et les interfaces. Ici on se rapproche de la protection des data centers.
Enfin dernier endroit où il faut assurer une protection, les interfaces. c’est surement le plus difficile, car il y a une diversité de lieux, cela peut être une zone de bureau cloisonné, un open space, un scada au milieu du désert en passant par un aérogare, ou une plate-forme pétrolière en mer du nord. Pour cela l’approche de LGI 1300 avec les notions d’emprise, bâtiment et local sont très intéressants, car cela peut permettre de moduler la protection en fonction des lieux et des configurations.
En complément de cette protection une analyse de risque permettra aussi de bien dimensionner les mesures et de savoir contre quoi se protéger. Une serrure 3 points au second étage ne protège pas contre une voiture bélier par exemple.
Il suffira de la déficience physique d’un de ces 3 cas pour que la protection de l’édifice entier puisse être mise en défaut et permettre au malveillant d’accéder au cœur de l’entreprise. Ces guides ne permettant pas de tout résoudre mais cela permet de placer des seuils minimum de protection physique pour l’entreprise. Après c’est à vous de jouer pour conduire le changement et faire accepter aux salariés des règles parfois contraignante mais ayant pour objectif d’assurer leur sécurité et celle des biens essentiels de l’entreprise.
La fuite de données hantise des décideurs. es volumes annoncé donnent le tourni, Hacking Team 400 Go, Panama Papers 2,6 To, Sony Entertainment plusieurs dizaines de To, la liste s’allonge tous les jours.On en compte des dizaines par an. Comment de telles fuites d’informations sont possibles alors que les responsables informatiques nous assurent que cela n’arrivera pas?
Première étape, de quelles données parle-t-on, je retiendrai celle décrite dans l’Instruction Interministérielle 901 (II901) accessible ici et en particulier la définition de l’article 1 et de l’article 5. L’article 1 permet de définir si un système d’information est sensible, alors que l’article 5 permet d’aider à la détermination de la sensibilité d’une information. La détermination de la sensibilité des informations détenue par une entité est rarement réalisée sauf dans des cas spécifiques en particulier les contrats liant des entreprises travaillant sur des sujets de défense nationale. Or sans grille précise il devient difficile de déterminer l’importance et donc la sensibilité d’une information. En cela lI901 est un outils précieux, le reste du travail doit être réalisé en collaboration entre le Responsable Sécurité des Systèmes d’Information (RSSI) et les différents métiers de l’entreprise afin de définir les actifs essentiels en s’appuyant sur la norme ISO27001 par exemple.
Lorsque cette première étape est réalisé il est bien plus facile de déterminer si une information trouvé sur Internet est sensible ou pas. L’autre question est de savoir si j’ai trouvé une ou plusieurs informations ou si c’est un volume conséquent.
Pour vous aider dans la détection de fuite d’information il est existe plusieurs méthodes. La première est de faire appel à des outils de Data Loss Prevention (DLP), ceux-ci permettront en plaçant des barrières à des endroits choisi de limiter ces pertes d’informations. Cela peut être sur les éléments centraux, les points terminaux ou encore sur les flux d’échange. Aussi miraculeux que soit ces outils ils doivent être bien administré et bien configuré. Cela rendra la fuite d’information plus difficile.
Une autre méthode est de faire appel à des sociétés qui surveilleront internet pour vous, mais vous serez averti qu’une fois les données sorties. Une de ces sociétés qui fut lauréate du prix de la PME innovante du FIC2014 est Cybelangel.
Autre possibilité, c’est le faire soit même avec les outils d’administration en surveillant par exemple les volumétries anormales des flux réseaux. Cette possibilité suppose des équipes d’administration affutés, ayant une bonne connaissance des flux et des volumes légitimes. Ce type d’opération peut être réalisé par le Network Operation Center (NOC) en collaboration avec le Security Operation Center (SOC).
Voici quelques méthodes et outils pour éviter l’irréparable en terme d’image, de métier et de savoir faire. Cela n’empêchera pas un malveillant de réussir, mais cela vous donnera des clés dans la prévention de fuite d’information.
La chine a célébré le 15 avril dernier son premier National Security Education Day. Cette journée de sensibilisation avait pour but de sensibiliser les chinois et en particulier les fonctionnaires aux enjeux de sécurité national suite à l’observation de plusieurs cas d’espionnage dans le pays.
Le coté le plus marquant de l’événement a été la diffusion d’affiches intitulé “The Dangerous Love” qui raconte histoire d’un couple mixte qui finit mal, lui stagiaire de type européen et elle fonctionnaire chinoise. Il va user de son charme pour qu’elle lui remette des informations sensibles. L’objectif est de mettre en garde le personnel des administrations contre les belles rencontres intéressées.
Ce mode opératoire, n’est pas nouveau dans l’histoire de l’espionnage comme cela est conté ici. Par contre ce qu’il l’est, c’est de sensibiliser une population aussi large et de cette manière. En France par exemple ce type de message n’est pas fait auprès des fonctionnaires sauf ceux exerçant des métiers à “risque”. Pour les autres c’est le vide sidéral, de toute façon la France pays des libertés n’est pas concerné et cela va à l’encontre des valeurs fondamentales de la République et de mixité. Quand à médiatiser la sensibilisation à cette échelle c’est probablement une première. Même si le Cigref a fait réaliser de bien belles vidéos mais j’y reviendrai.
L’autre point intéressant c’est le mode opératoire. En effet, les “hirondelles chinoises” ont une certaine réputation comme ici, même si cela peut prendre aussi une tournure plus numérique comme ici. Il n’est donc pas surprenant de la part d’un pays pratiquant cette technique, de la considérer comme une menace. Même si la Chine utilise d’autres techniques, celle des stagiaires en particulier, utiliser cette méthode pour une première étape de sensibilisation de ses fonctionnaires, démontre que c’est que c’est probablement une méthode efficace, voir très efficace.
Alors, soyez donc prudent lorsque qu’une personne chinoise de sexe opposé s’intéresse à vous et n’hésitez pas a faire un compte rendu d’étonnement.
Mossack Fonseca cabinet d’avocat et champion de l’optimisation fiscale mais aussi champion de la fuite tout court. En particulier de celle d’information qui atteint tout de même le chiffre record de 11,5 millions de documents représentant 2.6To. Ce trou béant découvert peut -être, mais communiqué par un certains John Doe au Süddeutsche Zeitung lequel journal a ensuite réalisé son travail d’investigation et de révélation à partir du 3 avril 2016, plus connu ssous le nom de “Panama Papers”. La vrai question n’est pas de savoir qui est concerné, c’est du voyeurisme, mais de savoir comment cela a-t-il pu se produire?
Il n’y a bien sur rien de certains, mais John Doe était-il une taupe au sein du cabinet ayant patiemment recueilli ces informations dans l’optique de les publier? Ou un hacker particulièrement doué qui a utilisé les faiblesses du système informatique pour s’y infiltrer puis pour exfiltrer ces informations, ou pire encore un simple stagiaire qui a ramassé par hasard ces informations sur un disque dur qui trainait. Quoi qu’il en soit l’individu qui a réalisé la communication aux médias ne l’a à priori pas fait pour de l’argent comme indiqué ici ou ici.
Il semble d’après un certains nombres d’articles que le système informatique du cabinet soit un modèle du genre de ce qu’il ne faut pas faire.
La liste est longue comme le bras (détaillé ici, ici ou encore la), elle commence par des CMS (Content Management System – Système de gestion de contenu) pas à jour, pas moins de 25 failles connues entre WordPress et Dupral. Pour ce dernier la version est vieille de 3 ans. Dans la suite de la liste à la Prévert il y a une version d’Outlook Web Access ancienne datant de 2009, un serveur de messagerie qui n’utilise pas de chiffrement TSL, un serveur HTTP mal configuré qui montre une architecture qui interroge, un script Google Analytics qui ne garanti pas la confidentialité des personnes qui se connectent, une base de donnée avec des mots de passe simple.
Une telle cascade de malveillance car ce n’est plus de la maladresse là, est assez unique. Cela démontre que d’avoir des outils ce n’est pas suffisant, qu’il faut les configurer et les mettre à jour.
Il faut revenir sur le contexte, à savoir un cabinet d’avocat spécialisé disposant d’environ 500 salariés à travers le monde et devant probablement sous traiter une grande partie de son informatique.
Ce mécanisme montre là tout son avantage… pour le pirate.
A savoir une non maintenance de la connaissance, comment expliquer autrement le fait qu’un outils ne soit pas mis à jour depuis 4 ou 5 ans? Une négligence criminelle?
Un directeur des systèmes d’information sûr de lui et de son architecture, se cachant dernière la complexité du SI pour perdre le hacker, ou plutôt lui même…
Ce type d’entreprise montre une grande attention à la confidentialité des données en utilisant à tour de bras des clauses de NDA (Non-Disclosure Agreement – accord de non divulgation), la culture juridique de l’entreprise donne un sentiment de protection supérieur, mais qui malheureusement ne tient pas face à des failles techniques profondes du système d’information.
Une analyse des risques aurait probablement fait prendre conscience qu’un NDA est nécessaire mais qu’il doit être alliée à une vraie urbanisation du système d’information avec une défense en profondeur comme le conseil l’ANSSI depuis 2004 aurait probablement permis d’éviter à Mossack Fonseca d’avoir a faire faire un leak d’une ampleur inégalé dans l’histoire. Mais surtout de protéger au mieux les données et les intérêts de ses clients.
