A quelques heures de la fin 2008, je me précipite donc pour écrire un dernier billet... après plusieurs semaines de silence (faute de temps et peut-être de fatigue à écrire tous les jours pour mes différents rédacteurs en chef..).
Pour être original, je vais donc faire un « billet bilan ». Simple, rapide (à chaud) et bien sûr pas complet.
Coté bonnes nouvelles :
- La montée en puissance de Firefox que j’utilise quotidiennement même si mon cœur balance sérieusement avec Opera trop souvent mis à l’écart par mes confrères.
- La montée en puissance des distributions Linux qui deviennent de plus en plus abouties, sérieuses et accessible au grand public. Résultat, après plusieurs velléités, j’ai décidé de franchir le pas en 2009 ; j’abandonne (définitivement Windows Vista ?) pour travailler quotidiennement sous Opensuse 11.1. Après avoir testé la dernière version d’Ubuntu, j’ai choisi celle de Suse qui me semble plus complète et pratique pour un néophyte comme moi. Bilan dans un mois. Tout en sachant d’ores et déjà que je testerai de façon précise Ubuntu qui m’intéresse aussi.
Coté mauvaises nouvelles ou plutôt les fausses innovations :
- La sécurité informatique dans les nuages avec ce concept fumeux reposant sur le Cloud computing. Je ne suis pas un expert comme ceux que je contacte régulièrement (et que je remercie au passage pour leur diligence) mais ce concept ne fait que déplacer le problème. Il ne résout rien et donne encore plus de facilité aux éditeurs pour récupérer des données et nous faire croire qu’ils assurent.
- Les failles à répétition sous Windows mais aussi sous Mac OC et Linux. Toute la journée, on nous rabat les oreilles avec le mot « efficacité » et là, on voit des logiciels bourrés de failles toujours pas colmatées.
- L’informatique à la sauce verte : ca me gonfle. Tout simplement. L’idée de départ est honnête et part d’un bon sentiment que je partage. Mais il est maintenant récupéré par tous les services marketing et les services de presse qui m’envoient des communiqués hypocrites.
- Les ultraportables : comme pour l’informatique verte, l’idée de départ a été galvaudée par les services marketing. A la place de vendre des portables à 800 ou 1000 euros, on vend ces portables low cost. Madame Michu est contente d’en trouver sous son sapin. Mais elle va vite déchanter.
- La 3G et la HD : c’est toujours la même grosse ficelle. On nous vend quelque chose qui n’existe pas. Comme je suis un peu vieux, je vais la jouer « je maitrise et on me la fait pas ». Au début des années 90, Canal+ et TPS rivalisent d’arguments fumeux pour vendre leur bouquet : son dolby, services interactifs, 16/9e… Résultat : pas grand-chose. Aujourd’hui, on nous ressort les mêmes arguments : super débit, image pétante… Résultat : les opérateurs brident le débit de leurs abonnés équipés d’un smartphone et la HD se limite à quelques heures de programmes sur satellite et TNT. Je suis un peu mauvaise langue quand même car la situation va s’améliorer progressivement.
- La crise : c’est parti pour être le mot de 2009. la crise de quoi, de qui ? Des actionnaires, des patrons compétents pour « sur vendre » leurs… compétences et savoir que 1 – 1 = plus de bénéf’. La chasse au gaspi est partie.
-
mercredi 31 décembre 2008
2008 : année chaotique
jeudi 18 septembre 2008
un HTC pour la... HD
HTC annonce le HTC Touch HD. Permettant une vitesse de téléchargement en haut débit égale à celle d’un ordinateur, le HTC Touch HD intègre en plus du TouchFLO 3D des fonctionnalités particulièrement propices aux loisirs multimédia : un écran Wide VGA de 3,8 pouces et une prise audio jack 3,5 mm
Prix : 649 €
Deux stations Logitech pour les iPods et les iPhones
Le haut-parleur omnidirectionnel Logitech Pure-Fi Express Plus pour iPod ou iPhone diffuse un son exceptionnel dans toute la pièce, alors que le réveil Logitech Pure-Fi Anytime pour iPod ou iPhone est le compagnon idéal de vos nuits. Les deux stations sont compatibles avec la première génération d’iPhone mais aussi le nouveau iPhone 3G.
Grande première pour une station iPod ou iPhone, Pure-Fi Express Plus offre une acoustique omnidirectionnelle. Une technologie sonore innovante qu’on ne trouvait jusqu’alors que dans les systèmes de home cinéma, l’acoustique omnidirectionnelle, diffuse le son équitablement dans toutes les directions. Si vous aimez brancher, charger et écouter votre iPod ou votre iPhone quand vous êtes chez vous, ou même dans votre jardin, vous pouvez maintenant bénéficier d’un son riche, articulé et pur, n’importe où dans la pièce.
Cependant, Pure-Fi Express plus fournit bien plus qu’un son d’une incroyable qualité. Pour augmenter sa portabilité, Pure-Fi Express Plus peut notamment fonctionner sur piles ou batterie et contient une poignée intégrée, vous permettant d’emmener votre musique de pièce en pièce.
La nouvelle station Logitech est également équipée d’une télécommande. Dans un périmètre de
Prix : 100 €
Tuner TV numérique USB
.jpg)
Le Pinnacle PCTv nanoStick Ultimate est un tuner miniature qui offre une haute qualité de télé numérique pour les PC et les Mac, avec la possibilité d’utiliser les commandes « pause » et « retour rapide » ou d’enregistrer vos émissions préférées. De plus, avec un PC, ce tuner transfère les signaux TV jusque sur trois PC d’un réseau domestique.
Pinnacle PCTV nanoStick Ultimate est un tuner TV relié via une prise USB qui s’adapte parfaitement aux ordinateurs portables ultra fins fonctionnant sur Windows ou sur Mac. Malgré sa toute petite taille, le PCTV nanoStick Ultimate est très performant : sa technologie de réception ultra sensible capte la TNT et la radio même quand le signal est faible.
PCTV nanoStick Ultimate est la solution idéale pour les foyers dotés à la fois de PC et de Mac et désirant une solution de tuner TV pour les deux environnements, tandis que sa taille ultra compacte et son design très léger en font un véritable accessoire mobile facile à transporter (de la maison au bureau) ou à utiliser lors de voyages et pendant les vacances.
PCTV nanoStick Ultimate comprend également l’application Pinnacle Distan TV, qui permet au signal TV d’être transféré jusque sur trois PC d’un réseau local (LAN). Cela signifie que les utilisateurs peuvent regarder les programmes télévisés sur tous les PC de la maison, facilement et à moindre coût.
Prix : 69 €
lundi 8 septembre 2008
SCOOP : Doctor Web se paie une tranche de Kaspersky
Dans un communiqué officiel, "Doctor Web France annonce le recrutement de Marc Blanchard, l’un des scientifiques européens les plus reconnus en matière de recherche antivirale".
Après etre passé chez TrendMicro, ce spécialiste des virus était chez Kaspersky, l'autre concurrent russe de Doctor Web...
« Mes axes de travail sont divers et complémentaires. Dans un premier temps, je vais m’appliquer à mettre en place une structure de support technique qui devra, à terme, fournir une grande réactivité et surtout un niveau d’expertise à même de répondre à l’ensemble des attentes des clients Dr.Web®. En parallèle, j’accompagnerai les équipes Doctor Web, Ltd dans l’amélioration des techniques de lutte antivirale », a précisé Marc Blanchard.
Avec cette nomination, Doctor Web entend bien accélérer son développement en France et inciter de nombreuses entreprises à installer son excellent antivirus...
jeudi 5 juin 2008
Cybercriminalité : les failles humaines (2e partie)
Suite et fin de l'interview de Michel Iwochewitsch, Directeur associé de Strateco.
Selon vous, dans le cadre des tests de pénétration réalisés dans le cadre de la sécurité, peu d'actions développent une approche des "failles humaines". Pourquoi ?
1. Peu d’opérateurs informatiques sont formés à l’exploitation systématique des failles humaines en dehors de leurs domaines de compétences
2. Les entreprises restent « frileuses » sur ce sujet pour ces raisons essentielles :
a. Les tests de pénétration reposant sur l’humain sont souvent déstabilisants pour les employés ! En effet, il s’agit en somme de provoquer des erreurs de ces employés pour en exploiter les résultats. Ils ne peuvent donc être réalisés que dans un cadre éthique strict comprenant au minimum l’anonymat des employés ciblés (sauf cas de détection d’un acte illégal évidemment !)
b. Les tests des failles humaines ne peuvent reproduire intégralement une séquence de recrutement de type espionnage industriel ! Il serait amoral de « provoquer » un employé au point de mettre en place une séquence de recrutement ! 1-parce que cela serait pousser à la faute un individu volontairement fragilisé ; 2-au-delà des conséquences juridiques d’un tel acte, comment l’entreprise et l’employé pourrait encore collaborer ensemble ?
c. Les croyances comme « cela n’arrive qu’aux autres » et « nous ne sommes pas un secteur sensible » qui est une hérésie pour de multiples raisons !
d. Le fait médiatique qui présente des cas extrêmes, souvent très éloignés de la réalité des opérations des prédateurs (quelques exemples présentés ci-dessus)
Là encore, et contrairement à un avis général, des contre-mesures simples - et peu coûteuses - permettent de « bloquer » la majorité des attaques via les failles humaines. Que ces dernières découlent de social engineering ou des approches plus sophistiquées mise sen œuvres par certains SR et spécialistes du renseignement industriel.
Avez-vous, néanmoins, noté une évolution (une prise de conscience des entreprises) ces dernières années ?
Il existe une nette prise de conscience des managers sur ces risques ! En particulier sur les cadres supérieurs qui sont généralement « sous microscope » officiel ou autres au cours des déplacements. Je note ainsi un fort développement des formations de « contre-elicitation » pour permettre aux cadres de détecter des actions préliminaires contre eux.
Néanmoins, je constate également que seules les entreprises dites « stratégiques » (défense, aéro, pharmacie, biotech, etc.) sont sensibilisées ! Je pense qu’il s’agit là d’une hérésie pour de multiples raisons :
- Plus l’entreprise a de concurrents plus elle a de risque qu’un individu peu scrupuleux face appel à des méthodes de renseignement industriel ;
- Une entreprise peut être « ciblée » simplement parce qu’elle est plus fragile à la pénétration et travaille en sous-traitance en N-2 N-3 pour un groupe sensible (méthodo typique des prédateurs les plus agressifs) ;
- Une entreprise peut être ciblée car elle donne accès à des informations sensibles sur des individus qui intéressent le prédateur ! Quelques exemples simples loin d’être exhaustifs :
o Le conseiller clientèle dans une banque qui dispose d’informations concernant l’utilisation des CB des individus cibles et de leurs trains de vie,
o
o L’opérateur d’une agence de voyage qui sait ou et quand un individu se déplace ;
o Des PME ayant un produit outdaté mais pouvant intéresser les SR d’un pays du tiers-monde ;
o Des PME vendant des produits pouvant être exploités par des prédateurs pour de la collecte agressive. Par exemple :
§ Des systèmes de visioconférence,
§ Des installations téléphoniques en PABX,
§ L’outsourcing de la maintenance des PC,
§ Des produits événementiels (voilure et stand) : un exemple que j’ai personnellement audité a été celui d’une société fabriquant des stands et qui avait été ciblé simplement car le degré d’activité de production et le nom des clients permettaient de connaitre en « avance de phase » les manifestations d’un concurrent sensible,
§ Les pizzaiolos devenus célèbres lors de la guerre du Golfe car les journalistes analysaient l’augmentation des commandes de pizzas nocturnes vers le Pentagone et
Les sociétés anglo-saxonnes sont-elles plus sensibilisées par ce genre d’attaque que les entreprises françaises ?
En France : les cadres sont sensibilisés à ces risques compte tenu du nombre de menaces dans ce domaine qui les concernent directement ! Ainsi, comme je le soulignais, de plus en plus de sociétés nous demandent de protéger les cadres en les éveillant aux méthodes des prédateurs. L’objectif numéro 1 est de les aider à détecter ces tentatives. Le second objectif est de les doter d’un corps de techniques de contre-elicitation les rendant nettement moins vulnérables tout en pouvant – ce qui est essentiel – maintenir des relations business. La discrétion dans la détection et la contre-élicitation est donc essentielle !
Rechercher et exploiter les failles humaines impliquent une importante organisation logistique (dans MISC 36, vous parlez de « l’agent acquisition process ») et beaucoup de temps (six mois environ). Mais, rechercher et exploiter des failles de logiciels prend moins de temps et le résultat peut être aussi efficace ?
Oui et non ! En effet, les failles logicielles et de réseaux peuvent être plus simples à exploiter ! Mais :
1-l’humain sait beaucoup plus de choses que les informations formalisées sur des supports électroniques ;
2-une source humaine dans le cadre du renseignement industriel est plus longue à développer mais permet d’obtenir un flux permanent de données à analyser !
3-l’avantage d’une approche humaine est sa redoutable discrétion ! Très peu de cas finissent par être connus ! Voir sont volontairement étouffés par l’entreprise par peur d’un risque d’image (ex : très peu de détournements de fonds dans le milieu financier font l’objet de déclaration sous ce nom ! Les établissements préfèrent généralement les considérer comme des « misdirections » plutôt que d’admettre une fragilité auprès de la clientèle.
Par ailleurs, attention à l’exemple du AAP présenté dans l’article : il s’agit d’un cas d’école (réel inspiré de 2-3 cas sur le terrain) démontrant la méthodologie habituelle de ces prédateurs ! La durée indiquée est une durée moyenne. Il est évident que dans un cas simple, une seule source aurait suffit !
De plus, il s’agit d’un process de recrutement sur le long terme de sources humaines au sein d’une entreprise. Ce process est celui utilisé par les SR, les groupes transnationaux de criminalités organisés, et les spécialistes du renseignement industriel LORSQUE le « jeu en vaut la chandelle » !
Accéder au password d’un individu, récupérer un numéro de carte bleue pour « suivre » les déplacements d’un individu, ou encore obtenir la copie d’un mémo interne, sont des actions de collecte qui ne nécessitent que peu de temps de préparation et d’exécution ! C’est par exemple, la spécificité du social engineering ou des approches d’élicitation des SR. Quelques jours à peine sont nécessaires pour ces genre d’opération « one-shot ».
Maintenant, à titre d’anecdote, il est considéré dans les milieux spécialisés que les opérateurs du SVR et du GRU (très actifs dans les entreprises), considèrent qu’un seul individu dans une grande société est suffisant pour compromettre l’ensemble des informations de celle-ci s’il est bien formé ! Par ailleurs, on considère que ces deux SR « possèdent » une source dans chaque grande entreprise transnationale …
Et ne parlons pas des SR chinois ! Ou de ceux de nos alliés politiques très actifs également …
· « piraté » à partir du PC et/ou du réseau,
· Récupérer par un opérateur humain (de multiples méthodes existent allant de la technique de l’éléphant des SR, à une analyse de fréquence des touches)
· Lu sur un post-it à côté du dit-PC (semble inconcevable et pourtant encore si fréquent : l’’exemple type est le password du cadre sur le bureau ou dans l’agenda de la secrétaire ! Sic !)
· Eliciter auprès de l’individu lors d’une virée dans un bar (parce que ce dernier utilise le même password pour tous ses comptes privés et pro)
· Eliciter auprès des membres de sa famille
· « Deviner » en créant une liste de mots clés concernant la biographie de l’individu et ensuite passer dans un outil de génération de password,
· Reconstruit à partir des touches et retrouver avec l’aide de générateur d’anagrammes,
· Etc .
- Selon vous, dans le cadre des tests de pénétration réalisés dans le
cadre de la sécurité, peu d'actions développent une approche des "failles humaines". Pourquoi ?
Les raisons principales selon mon expérience sont :
1. Peu d’opérateurs informatiques sont formés à l’exploitation systématique des failles humaines en dehors de leurs domaines de compétences
2. Les entreprises restent « frileuses » sur ce sujet pour ces raisons essentielles :
a. Les tests de pénétration reposant sur l’humain sont souvent déstabilisants pour les employés ! En effet, il s’agit en somme de provoquer des erreurs de ces employés pour en exploiter les résultats. Ils ne peuvent donc être réalisés que dans un cadre éthique strict comprenant au minimum l’anonymat des employés ciblés (sauf cas de détection d’un acte illégal évidemment !)
b. Les tests des failles humaines ne peuvent reproduire intégralement une séquence de recrutement de type espionnage industriel ! Il serait amoral de « provoquer » un employé au point de mettre en place une séquence de recrutement ! 1-parce que cela serait pousser à la faute un individu volontairement fragilisé ; 2-au-delà des conséquences juridiques d’un tel acte, comment l’entreprise et l’employé pourrait encore collaborer ensemble ?
c. Les croyances comme « cela n’arrive qu’aux autres » et « nous ne sommes pas un secteur sensible » qui est une hérésie pour de multiples raisons ! (je détaille dans la question 4)
d. Le fait médiatique qui présente des cas extrêmes, souvent très éloignés de la réalité des opérations des prédateurs (quelques exemples présentés ci-dessus)
Maintenant, et contrairement à des images d’Épinal concernant les tests de failles humaines, il est parfaitement possible de tester les failles les plus courantes selon un protocole aussi rigoureux que pour les failles informatiques ! Une différence essentielle entre les deux familles de tests découle du fait que les tests de failles humaines restent ANONYMES pour protéger individuellement des employés provoqués, ET font l’objet de séances de sensibilisation auprès de l’ensemble des employés pour mettre en place un système de protection contre ces failles ! Il est d’ailleurs intéressant de constater que lors de ces séances de sensibilisation, de nombreux employés ont des anecdotes de coup de fils curieux mais qui n’ont JAMAIS été remontés à la direction de la sécurité.. Souvent parce qu’aucune hotline n’existe pour cela !
Là encore, et contrairement à un avis général, des contre-mesures simples - et peu coûteuses - permettent de « bloquer » la majorité des attaques via les failles humaines. Que ces dernières découlent de social engineering ou des approches plus sophistiquées mise sen œuvres par certains SR et spécialistes du renseignement industriel.
mercredi 4 juin 2008
Cybercriminalité : les failles humaines (1ere partie)
Il n’y a pas que les logiciels qui présentent des failles, il y a aussi et surtout l’être humain. Michel Iwochewitsch, Directeur associé de Strateco, cabinet spécialisé dans le conseil en Intelligence stratégique et dans la sécurité informationnelle, l’a rappelé aujourd’hui (le 4 juin) lors d’une Le Symposium sur
Voici la version longue d'une interview plus courte qui est publiée aujourd'hui sur 01net.com.
1-Quelles sont les principales failles humaines et celles qui sont les plus exploitées par les attaquants car elles sont les plus évidentes et faciles ?
Avant d’aborder les failles, j’aimerais préciser qui sont les prédateurs les plus courants : on parle dans les milieux de la sécurité informatique essentiellement des social engineers mais mon expérience dans les audits de sécurité me fait dire qu’il ne s’agit pas et de loin de la catégorie la plus dangereuses ! Globalement, ils sont peu formés et exploitent des failles basiques !
Nous utilisons dans notre cabinet la typologie suivante (en risque de dangerosité) :
- Social engineer : peu formé, méthode basique. Essentiellement des opérations « one-shot » (password par exemple)
- Escrocs : souvent nettement mieux formés. Plus expérimentés. Plus de ressources financières et de fait plus dangereux
- Opérateurs de renseignement industriel : en plein développement ! Exploitent de nombreuses failles en combinaison et pas seulement des failles humaines. Les cas répertoriés sont de plus en plus nombreux. Le spooke (selon la terminologie anglo-saxonne) est un opérateur redoutable et discret !
- Groupe de criminalité organisée : disposant de moyens financiers et techniques importants. Très bien formés. Exploitent souvent des opérateurs anciens des SR. Redoutables et en plein développement comme vous l’avez souligné dans votre ouvrage ! Exploitent en plus des pressions fortes sur les individus pour les intégrer dans leurs réseaux.
- Services officiels de renseignement : les mieux formés. Capable de pénétrer à peu prêt partout ! Ils ont dangereux en terme de méthodologie mais leurs objectifs sont essentiellement de « récupérer » une technologie. A l’inverse d’un concurrent peu scrupuleux, ils ne cherchent pas à endommager directement le fonctionnement de l’entreprise cible.
En ce qui concerne les failles, on peut les classer en plusieurs sous-ensembles :
- Les failles exploitables de type heuristique et biais cognitifs : failles extrêmement courantes dans les approches des individus. Quasiment toutes les méthodes agressives reposent sur ces dernières. A titre d’exemple, l’élicitation (en direct ou par tél) d’information s’appuient dans son cœur méthodologique sur des approches cognitives destinées à limiter le passage de l’individu en mode systématique et de le « laisser » en mode heuristique (modèle ELM en psychologie de la persuasion). L’exemple type de ces failles : les grandes lois de psychologie sociale ! (cf. « le petit guide de manipulation à l’usage des honnêtes gens »). Le social engineer en a souvent une connaissance intuitive et sait créer l’illusion de la confiance, donner l’illusion de faire partie d’un groupe, etc. Les autres opérateurs sont généralement des spécialistes de l’exploitation de ces failles et les mettent en œuvre en permanence…
- Les vulnérabilités des traits de personnalités : plus rarement utilisées par les escrocs. Fréquent chez les spécialistes du rens industriel et les SR. Plusieurs cas ces dernières années prouvent qu’un « transfert de méthodologie » a permis aux groupes de criminalités organisées de disposer de ce « savoir-faire ». A ma connaissance : pas de cas connu d’exploitation par les social engineers de ce type d’approche
2-Avez-vous des exemples d’attaques reposant essentiellement sur une analyse des failles humaines ?
Oui ! Pour d’évidentes raisons de sécurité, je démarquerais ces exemples à l’exception de ceux ayant fait l’objet d’articles de presse. Et je classerais ces exemples en fonctions de la typologie d’attaques possibles :
En déplacement de cadres à l’étranger et/ ou sur « points d’eau » :
- Élicitation de la banque de la cible lors d’une discussion dans un salon pro. Achat des relevés CB à la banque auprès d’un « agent d’accès » recruté pour cette fonction précise (ex : un conseiller de banque). Analyse des localisation des factures avec la proximité de clients – actuels et futurs – de la cible.
- Groupe spécialisés de copie du contenu des portables dans les hôtels agissant sur le S de ASIE en mettant des prostituées dans les bars d’hôtels de certaines villes d’Asie du Sud-Est. Ces groupes sont fortement organisés et proches de la criminalité organisée
- Utilisation d’une call-girl pour tamponner des cadres cibles dans une ville étrangère sur la base du S et de l’habitude des cadres commerciaux de « profiter » des occasions. Une fois le cadre endormi dans la chambre d’hôtel, la call-girl accepte les SMS d’enregistrement d’un système de suivi du tél portable sur Internet réalisé par un autre opérateur. Une simple connexion sur le site internet permet ensuite de savoir avec précision les déplacements de la cible lorsqu’il visite des clients/fournisseurs.
Dans les « réseaux sociaux » de la cible :
- En jouant sur le A de ASIE = proposer à une cible dans un réseau social quelconque d’obtenir à très bas prix des portables téléphoniques dernière génération, sous Symbian qui contiennent des pisteurs d’appels, de sms, etc.
- Le cas d’un agent d’accès : une jeune femme qui travaille dans une agence de voyage rencontre un soir un JH étudiant bien sous tout rapport. Elle sort avec lui et tombe amoureuse. Le JH lui annonce plus tard, qu’il doit quitter la ville et abandonner ses études par manque d’argent ! (technique dite du chaud-froid), quelques jours plus tard, il lui propose un marché en lui faisant rencontrer le spooke qui propose de l’argent contre la liste des déplacements d’individus précis au sein du système de réservation SABRE…
- Une opération de collecte par élicitation est montée contre le service R&D d’une PME. L’opération se divise en 1-collecte de l’organigramme par social engineering (multiples méthodes) et identification des cadres clés sur les projets intéressants le client du spooke. 2-shell-company fait passer une annonce de recrutement dans un journal spécialisé. L’annonce correspond précisément aux caractéristiques des cadres identifiés. 3-réception des CV des ingénieurs intéressés. 4-Relance des ingénieurs n’ayant pas réagit par une « chasseuse de tête » du faux cabinets. 4-une salle est louée dans un Regus pour la semaine, les ingénieurs sont convoqués. 5-les entretiens permettent d’éliciter les informations nécessaires sur les projets intéressants le client, ils ont également filmés discrètement. 6-une offre financière « optimale » est proposée aux cadres les plus intéressants et les plus fragiles. Plusieurs débriefings sont réalisés sur les cibles les plus fragiles. 7-l’offre est annulée au bout de quelques temps car le poste est dans une société qui travaille sur un rachat de l’entreprise cible et que c’est incompatible avec les normes éthiques de recruter sur cette société. 8-Pour les plus fragiles, il leur est proposé d’aider le futur acheteur en donnant des informations sensibles en échange d’un contrat de consulting !
Au sein de l’entreprise par sources humaines :
- Le cas le plus célèbre est celui des SR russes avec Erickson : la documentation représentait environ l’équivalent papier de 10 camions 32T
- Le cas GM-Volskwagen par le recrutement de Lopez
- Un cas dans une PME disposant d’un bureau d’étude à Cuba. Le responsable de
En one-shot via des attaques de type social engineering :
- Il existe des dizaines d’anecdotes sur le SE. D’un point de vue technique, toutes passent par une discrétisation des recherches (split en petits éléments d’information permettant de reconstituer la grande image), l’identification de la « surface utile » (en clair = les lieux/flux de l’entreprise les plus logiques pour trouver l’information ET les plus fragiles), et la mise en place d’un « rôle » permettant d’arriver à ses fins (comptable, jeune embauché, services techniques, de sécurité, etc.). Un simple exemple : le SE sait que la cible utilise le logisticien Alpha pour ses expéditions clients. Il va personnifier un comptable nouvellement arrivé chez le logisticien qui reprend des dossiers et ne retrouve pas les dernières factures. Il obtient les copies de ces dernières par fax ou email. Il réalise la même opération dans l’autre sens sur le logisticien.
- Pour l’anecdote – et parce que les méchants ne gagnent pas toujours lol - le NYPD a réalisé une opération de ce type il y a quelques années, en envoyant sous couvert d’un shell-company des lettres à des individus sous mandat d’arrêt. La lettre dans le pur style SE précisait que les individus avaient gagné un prix quelconque (voiture par ex.). Un bureau était loué au nom de la société fictive. Le prix devait être cherché en personne. Les arrestations avaient lieu dans la rue.
Typique de la criminalité organisée :
- Opération d’élicitation via téléphone et en direct des informations nécessaires pour comprendre le cheminement interne de validation des factures (limite en montant, signature autorisée, etc.). Intégration dans une phase II de fausses factures au nom d’un cabinet de consulting d’un montant sous la limite de vérification des autorisations. Reproduction des factures à un rythme élevé dans les sociétés ayant créé le compte fournisseurs dans les services comptables… Résultats = plusieurs centaines de milliers d’euros escroqués en respectant les procédures !
- Recrutement d’agents au sein de
- Il existe de multiples autres anecdotes sur le sujet de la criminalité organisée et des entreprises. Mais elles sont trop longues à développer ici
Mixte avec exploitation de failles techniques (communications, informatique, etc.) :
- Un détective privé US est recruté en Californie sous un faux prétexte (contrefaçons). Il équipe les camions du logisticien de la société cible de transpondeur GPS pour suivre les déplacements de ces derniers. Les stop des camions correspondent aux déchargements. Par recoupement, la liste des clients est identifiés. (illégal dans beaucoup de pays, autorisé en Californie)
- Le placement de tél portable sous symbian est aussi une opération mixte (cf. ci-dessus).
- Une opération de désinformation qui a désorganisé une filiale d’un grand cabinet de conseil : collecte par élicitation des numéros de tél portable des associés. Collecte des habitudes de communication de ces derniers. Collecte des portables des juniors et seniors. Sélection des individus utilisant les SMS. Faux SMS envoyés aux différentes personnes en changeant des lieux de réunions, des dates, des ordres, en mettant des messages personnels (liaison, personne se détestant, licenciement, démission), etc. Énorme pagaille durant plusieurs semaines au sein du cabinet !
- Par élicitation ou SE, le spooke identifie le nom de la société en charge de la gestion des ordinateurs auprès de la société cible. Cette société est située dans une zone industrielle. Il recrute ensuite au sein de la société de gestion une source en proposant de l’argent sous un prétexte quelconque. L’agent installe sur tous les PC, un keylogger et/ou un autre dispositif technique ou physique. Les PC sont livrés au fil du temps. La collecte d’information est lancée. Je connais un cas où le spooke a en plus recruté des jeunes casseurs pour forcer les bureaux et voler les PC non infectés… Afin d’accélérer la procédure de renouvellement des PC !
La deuxième partie de cette interview sera publiée jeudi 5 juin. En attendant, vous pouvez aussi lire les récents numéros de la revue MISC dans lesquels Michel Iwochewitsch a écrits de très bons articles.
mercredi 16 avril 2008
Cybercriminalité : le rapport de Symantec
Symantec vient de publier son Rapport ISTR qui rend compte chaque semestre des dernières menaces pesant sur les activités internet. même s'il ne peut prétendre à une vision parfaite de la cybercriminalité, ce rapport est très intéressant car il s'appuie notamment sur les données récupérées par 40 000 sondes dans 180 pays, 120 millions de PC et passerelles mais aussi 20 000 vulnérabilités enregistrées et plus de 2 millions de boites aux lettres emails qui représentent 30% du traffic aux Etats-Unis. Ces infos concernent donc avant tout les pays anglo-saxons mais la France n'est pas en reste.
Voici les principaux points clés présentés ce matin lors d'une conférence de presse :
La vulnérabilité des sites est sans doute l’indication la plus probante de cette nouvelle tendance. Il s’agit surtout ici de vulnérabilités dans le code propriétaire et le code client d’un site Web spécifique. Au cours du dernier semestre 2007, on a relevé 11 253 vulnérabilités de script intersites sur plusieurs sites.
Au cours du dernier semestre 2007, Symantec a constaté que les données d’identité, les cartes de crédit et les coordonnées bancaires représentaient 44% des marchandises disponibles sur les serveurs de l’économie souterraine. Les comptes bancaires figurent en tête des « articles » mis en vente sur les serveurs surveillés par Symantec pour 22% des marchandises disponibles, un chiffre en légère augmentation par rapport au premier semestre 2007 où ils atteignaient 21%.
Au cours du dernier semestre 2007, Symantec a détecté 499 811 nouveaux programmes malveillants. Ce chiffre représente une augmentation de 136% par rapport à la période précédente, où 212 101 programmes avaient été détectés, et une hausse de 571% par rapport au second semestre 2006. Au total, Symantec a détecté 711 912 nouvelles menaces au cours de l’année 2007, soit une augmentation de 468% par rapport aux 125 243 menaces relevées en 2006. Ce chiffre porte le nombre total de programmes malveillants identifiés par Symantec à 1 122 311 à la fin de l’année 2007. Ce qui signifie que les deux tiers environ des programmes détectés ont été créés au cours de l’année 2007.
Au cours de la seconde moitié de 2007, les chevaux de Troie représentaient 71% des 50
programmes malveillants les plus détectés, un taux en baisse puisque ce chiffre s'élevait à 73% au premier semestre. Sur l’ensemble des programmes ciblant des informations confidentielles détectés au cours de cette période, 76% étaient dotés d’un enregistreur de frappe et 86% disposaient de capacités d’accès à distance ; au premier trimestre 2007, ce dernier taux était de 88%.
Entre le 1er juillet et le 31 décembre 2007, 71% des emails contrôlés par la passerelle étaient des spams, soit une hausse de 16% par rapport au second semestre 2006 où 61% des emails avaient été classés comme spams. Les spams vantant le mérite de produits commerciaux atteignent 27% du volume total de spams sur cette période, de loin la catégorie la plus présente et une hausse certaine par rapport aux 27% du premier semestre 2007.
vendredi 28 mars 2008
Antivirus nuls et tests d'antivirus nuls
Mais cette annonce laisse dubitatif un autre Russe, Boris Sharov, Pdg de l’éditeur de sécurité Doctor Web (http://www.drweb.fr/). « Derrière le terme « partenariat » il faut comprendre « business » : nous ne participons plus aux tests de ces deux sites car ils demandent aux éditeurs d’antivirus de rembourser les frais occasionnés par leurs comparatifs. Notre position est claire : à la différence d’autres concurrents, nous ne paierons jamais des testeurs, quels qu’ils soient. »
Malheureusement, la détection virale n’a pas évolué depuis de nombreuses années. Elle se trouve aujourd’hui dépassée par les pirates qui multiplient les virus inconnus et donc indétectables par les antivirus. Le marketing a aussi pris le dessus constatent aussi quelques éditeurs qui s’inquiètent de l’intérêt donné aux sites de comparatifs.
C’est la raison pour laquelle différents acteurs de la sécurité (parmi lesquels F-Secure, Symantec, Doctor Web) ont décidé de s’associer cet hiver afin de créer un standard officiel, l’Anti-Malware Testing Working Group. Mais ce standard aura peut-être du mal à voir le jour car certaines sociétés voient d’un mauvais œil l’arrivée de AV-Comparatives.org dans ce groupe de travail…
L’industrie de la sécurité informatique hésite donc entre la recherche et le marketing. D’où une baisse de performance des logiciels. Résultat, certains se montrent « nerveux ». Ils ont décidé « d’inclure dans leur contrat une clause interdisant l'utilisation d'outils automatiques ou semi-automatiques afin d'extraire ou de construire toute signature ou dispositif de détection à partir des résultats », nous a révélé un spécialiste. Pour éviter tout procès, les organismes qui feront des tests comparatifs devront donc masquer le nom des éditeurs ou monter un partenariat avec eux…
mercredi 19 mars 2008
Un logiciel anti-censure récompensé
Internet est un agora où tout le monde peut s’exprimer. Officiellement ! De nombreux pays voient au contraire ce réseau comme une menace. D’où des accès bloqués à certains sites d’information ou sociaux. Pour contrer cette censure, il existe différentes parades techniques. L’une des plus intéressantes a été développée par des chercheurs du Citizen Lab de l'université de Toronto (Canada). Baptisé Psiphon, ce logiciel gratuit vise à aider les internautes à contourner le filtrage et la censure numérique. Il a reçu le Grand prix primé du premier forum Netxplorateur organisé fin février à Paris. Ce forum vise à mettre en avant les nouveaux talents du numérique.
Ce n'est bien sûr pas le seul logiciel à lutter contre la censure mais « il est très simple d'utilisation et la communication est encryptée », explique le Pr Deibert qui dirige cette équipe. Le système repose sur le bénévolat. Des résidents de pays où règne la liberté d'expression téléchargent Psiphon sur leur ordinateur. Ils peuvent ensuite transmettre discrètement à un internaute d'un pays touché par la censure toutes les informations nécessaires (adresse IP, nom d'utilisateur, mot de passe) pour lui permettre de se connecter à un ordinateur situé dans un pays démocratique. La communication encryptée protège l'internaute. Un principe identique à celui mis en place lors d’une transaction bancaire ou un achat électronique. Depuis son lancement fin 2006, Psiphon a été téléchargé 145.000 fois.
Le satellite au secours des exclus de l’internet à haut débit
Malgré le développement en Europe des réseaux câblés et ADSL, tout le monde ne bénéficiera pas de l’Internet à haut débit. Selon Eutelsat, en 2010, plus de 15 millions de foyers (principalement en Europe Centrale et de l’Est mais aussi sur le continent africain) se trouveront dans les « zones blanches », c’est-à-dire sans accès à des connexions filaires. Autant de clients potentiels pour Eutelsat et SES Astra qui ont décidé de relancer leurs plates-formes d’accès à l’Internet.
Pour convaincre les particuliers de s’équiper d’une parabole, les opérateurs mettent en avant différentes innovations. « Premièrement, l’accès est bidirectionnel : la parabole émet et reçoit des données. Il n’est plus nécessaire de disposer d’une ligne téléphonique pour envoyer des emails ou des fichiers comme c’est le cas avec l’Internet par satellite unidirectionnel qui était proposé jusqu’à présent», précise Nick Stubbs, directeur général d’Astra France. Deuxièmement, les débits de la voie descendante (vers l’abonné) peuvent atteindre jusqu’à 1 Mbits/s et 2 Mbits/s pour les PME. Enfin, les tarifs deviennent un peu plus attractifs. Commercialisée en France depuis mars sous le nom de Vivéole par Auvea Ingénierie, la plate-forme de SES Astra (Astra2Connect) coutera de 19,90 €/mois (connexion à 256 Kbits/s) à 89,90 €/mois (2 Mbits/s). Il faudra aussi acheter un pack de connexion (modem+parabole de
Eutelsat ne s’appuie pas sur la même technologie. Astra2Connect fonctionne avec la bande de fréquences Ku (entre 10 et 18 GHz) surtout utilisée pour la diffusion de chaines. Mais pour Eutelsat, elle arrive à saturation et elle n’est pas vraiment adaptée aux connexions internet car la couverture du faisceau est trop large (toute la France). « C’est comme si pour arroser votre jardin vous arrosiez tout le pays ! » explique Arduino Patacchini, directeur multimédia d’Eutelsat. D’où un gaspillage de capacité.
L’opérateur mise plutôt sur la Bande Ka. Son spectre disponible étant plus large, elle permet des faisceaux plus étroits (
Depuis janvier dernier, l’opérateur Swisscom commercialise son offre interactive Tooway via le satellite HotBird 6 qui a quelques répéteurs (canaux) dans cette bande. En France, le distributeur Sat2Way commence à proposer un service similaire.
Mais au troisième trimestre 2010, Eutelsat mettra en service Ka-Sat, un satellite entièrement dédié à la bande Ka. Cette fois, une parabole de
Nokia lance enfin son site de musique
C’est l’une des pièces fondamentales de sa plate-forme OVI (http://ovi.nokia.com). Les trois premiers services qui seront lancés successivement sont la musique, la navigation et le jeu en ligne. OVI est aussi un site communautaire qui permet de stocker et d’accéder à l’ensemble de ses contenus (photos, vidéos, musique…).
L’accès est possible via un ordinateur ou un mobile, quelle que soit sa marque de téléphone.
mardi 19 février 2008
TVHD : pas de contenu, pas de chaine
Les Allemands savent restés concrets. Diffusées par le satellite Astra, les déclinaisons Haute Définition de deux chaînes importantes outre-Rhin (Sat1 et Pro7) viennent de s'arrêter.
La cause ? L'absence de réels programmes HD. Il s'agissait effectivement en majorité de programmes proposés en Standard Définition mais upscalés. En clair, de la fausse HD.
Pendant ce temps là, on nous parle du matin au soir de
jeudi 3 janvier 2008
Un antivirus gratuit pour smartphone
Mon premier billet de l'année présente une initiative intéressante pour deux raisons : elle est gratuite et performante. Doctor Web, éditeur d’antivirus, vient d'annoncer la disponibilité d’un nouveau produit destiné à protéger les appareils mobiles : smartphones, PDA communicant sous OS Windows Mobile 2003/2003 SE/5.0./6.0.
Selon le communiqué, "le nouveau produit assure une protection uniquement contre les virus écrits pour la plateforme Windows Mobile et qui peuvent, par exemple, pratiquer le vol
d’informations comme les adresses de l’agenda, les fichiers sauvegardés sur l’appareil mobile,
les statistiques sur les pages web visitées et donc des informations sur les achats en ligne, les
mots de passe, les informations financières depuis des programmes gérant le budget
personnel."
Ca c'est l'argument classique.
Le plus intéressant, et qui dénote avec le reste de la profession, est le propos d'Igor Daniloff, créateur de l’antivirus Dr.Web : « A mon avis, il faut relativiser le bruit médiatique autour des virus pour mobiles. A l’heure actuelle, on ne voit pas de vrais virus pour les gadgets mobiles, mais ce sont des menaces à venir, celles que nous détectons aujourd’hui sont des essais de plume ».
Bref, il n'y a pas urgence à se jeter sur un antivirus payant comme essaient de le faire croire quelques concurrents de DoctorWeb !
Mais par contre, il peut être utile d'installer un programme gratuit comme celui disponible à l’adresse suivante : http://pda.drweb.com.
Ce premier billet aborde finalement l'un des nouveaux terrains de chasse des éditeurs d'antivirus : la protection des terminaux mobiles. Depuis des mois, des communiqués alarmistes sont envoyés aux rédactions des médias. "Attention : les pirates vont s'attaquer à votre téléphone mobile !" Ce discours n'est pas faux mais il doit être relativiser : il y a encore peu d'échanges de données personnelles et, surtout, financières pour attirer les escrocs du high-tech.
Ils ont encore suffisamment à faire avec les PC (et les MAC) de Monsieur-tout-le-monde qui ne sont pas bien protégés. Principalement pour deux raisons : à cause des failles non corrigées des logiciels installés et à cause de la naïveté des internautes qui sont encore trop nombreux à tomber dans les pièges (il est vrai de plus en plus sournois ou sophistiqués) des pirates.
Articles
