Sécurité

Un simple bug et le chaos ?

Vendredi matin 19 juillet 2024, beaucoup de responsables de système d’information importants se sont réveillés avec des alertes sur l’apparition d’écrans bleus, le fameux BSOD (ou Blue Screen of Death) de Microsoft Windows, revenant en boucle à chaque démarrage. Est-ce une attaque, est-ce un bug suite à une mise à jour ? Très vite le responsable est pointé du doigt, le logiciel Falcon de la société CrowdStrike. [Mise à jour 24/07/2024] Une société d’assurance estime les pertes cumulées des grandes entreprises américaine à 5,4 milliards de dollars.

Le BSOD apparaît sur les écrans de millions d’appareils dans le monde, y compris comme ici aux Etats-Unis des caisses enregistreuses de grande surface (source: https://x.com/ErrataRob/status/1814306615161450631)

Chronologie des premières heures

Les premiers rapports d’incident nous viennent de l’Océanie, avec des rapports de nombreux sites Web, chaînes de télévision ou radio dans l’impossibilité d’émettre leurs programmes normaux en Australie notamment (ici l’alerte du journal en ligne australien CyberDaily). Ici c’est déjà l’après-midi de ce vendredi de juillet. Peu à peu la même histoire émerge: des écrans bleus sur des machines Windows qui empêchent les systèmes de produire des contenus et peu à peu semblent mettre une partie de l’activité informatique humaine à l’arrêt.

Les aéroports et les gares sont aussi rapidement touchés, non pas les trains ou les avions eux-mêmes mais le fonctionnement des systèmes d’affichage ou d’embarquement. Et la même expérience se reproduit dans le monde entier, en Asie, en Afrique et en Europe, puis en Amérique, suivant les débuts d’activité de chacun dans son fuseau horaire. Tous décrivent le même chaos, dans l’impossibilité de réparer rapidement les systèmes touchés, soit l’activité est bloquée, soit elle est réorganisée manuellement quand c’est possible, dans les hôpitaux et les aéroports notamment.

Mon activité professionnelle en gendarmerie n’était pas directement impactée (nous fonctionnons sous Linux, système non concerné par ce bug précis), mais très vite les premiers témoignages nous sont remontés de RSSI et de CERTs français, vendredi matin.

La chronologie plus précise des événements clés est la suivante, selon les informations fournies par la société CrowdStrike (et que personne ne conteste) :

  • 04:09 UTC (soit 06:09 du matin pour Paris, et déjà 14:09 à Sydney en Australie, encore jeudi 21:09 à Los Angeles ou 00:09 à New York): CrowdStrike diffuse une mise à jour de « contenu » pour les systèmes Windows utilisant leur logiciel Falcon
  • 05:27 UTC (soit 07:27 du matin à Paris, 22:27 à Los Angeles), arrêt de la diffusion de cette mise à jour particulière

Ainsi, toutes les machines qui étaient actives et connectées à Internet dans ce créneau horaire ont été mises à jour avec la mauvaise version, beaucoup des machines concernées sont de toutes façons allumées en permanence et en tous cas pendant ces horaires dans les aéroports, hôpitaux, grandes surfaces, etc. On peut supposer que l’Europe a été moins touchée pour l’informatique des postes de travail qui ont été allumés après 7:30 vendredi matin.

Qu’est-ce que le logiciel Falcon de Crowdstrike ?

Falcon est un système dit d’EDR ou « Endpoint Detection and Response », c’est-à-dire un logiciel travaillant au plus près des systèmes d’exploitation pour tracer les activités suspectes dans les systèmes (la détection), remonter les alertes et aussi dans certains cas arrêter des actions malveillantes (la réponse). Ils vont donc plus loin que les antivirus classiques, car il ne s’agit pas uniquement de détections de signatures connues ou de comportements pouvant être suspects (comme l’écriture ou la suppression de certains types de fichiers), mais de véritables vigies au cœur des ordinateurs. Ces informations sont traitées en temps réel sur l’ordinateur, mais aussi remontées vers des plateformes dans les entreprises où ils sont déployés et chez les éditeurs, pour être analysées et éventuellement déployer des contre-mesures. Ces nouveaux types d’antivirus apparaissent au début des années 2010; on parle aussi parfois de XDR ou d’autres variantes décrivant une combinaison de fonctionnalités.

Pour citer d’autres noms, Microsoft intègre sa propre solution d’EDR aux systèmes Windows, appelée Defender, et des éditeurs européens, notamment français proposent des solutions concurrentes reconnues comme les sociétés TEHTRIS et HarfangLab.

Que s’est-il passé techniquement ?

La société CrowdStrike explique de façon détaillée les composants qui sont responsables de ce bug. Ce paragraphe sera un peu technique pour certains lecteurs, mais vous donnera quelques pistes de compréhension à la fois sur la complexité de la situation et les raisons de l’incident.

  • Le composant de Falcon concerné est ce que CrowdStrike dénomme le « Rapid Response Content » destiné à s’adapter rapidement à l’évolution de la menace
  • Ce composant est mis à jour très régulièrement, sous forme de mises à jour dites de « contenu » qui contiennent des fichiers binaires (dénommés par CrowdStrike « Template Instances ») qui viennent se brancher sur un type de motif devant être analysé (qu’ils dénomment « Template Types »). Selon CrowdStrike, ces fichiers binaires ne contiennent pas de code exécutable.
  • Le 28 février 2024, une mise à jour du capteur est déployée (version 7.11 dans leur nomenclature), ciblant de nouvelles stratégies d’abus des « Named Pipes » sous Windows. Il s’agit d’une fonctionnalité des systèmes d’exploitation (Windows notamment) qui permet des communications entre process au travers d’un canal (« pipe ») à qui un nom particulier est attribué, référence unique.
  • CrowdStrike indique que des tests de « stress » ont été réalisés comme à l’accoutumée avant le déploiement et que les phases de production de cette nouvelle fonctionnalité n’ont pas permis d’identifier de problèmes dans les mois qui ont suivi. Un validateur de contenu (Content Validator) s’assure que chaque mise à jour de contenu qui suivra soit conforme aux contraintes de ce nouveau module de détection.
  • Le contenu déployé le 19 juillet passe les tests de cohérence du validateur de contenu. Or, le contenu fourni (les paramètres intégrés au format binaire dans cette mise à jour) entraîne une erreur de type lecture mémoire hors limite (« out-of-bounds memory read« ) déclenchant une exception dans l’exécution du programme.
  • Celui-ci étant intimement lié à un pilote proche du système d’exploitation, il en arrête le fonctionnement brutalement, générant les messages d’erreur de type BSOD (littéralement écran bleu de mort du système), et malheureusement dans ce cas un redémarrage en boucle sans possibilité de récupération.

Comment qualifier cet incident ?

Il y a de nombreuses façons d’évaluer un incident dans l’exploitation d’un système d’information. Dans le cas qui nous occupe, voici les paramètres:

  • Atteinte à la disponibilité des systèmes et des données (confidentialité, intégrité et disponibilité sont les trois champs classiques de la sécurité des systèmes d’information)
    • Au passage, il faut noter que s’agissant des données à caractère personnel éventuellement concernées, une évaluation de l’impact sur la disponibilité doit être mis en œuvre dans le cadre du RGPD pour envisager ou non la déclaration de l’incident auprès des autorités concernées (la CNIL en France). On peut supposer que dans beaucoup de cas, la disponibilité n’aura pas entraîné d’impact majeur empêchant le respect des droits des personnes, toutefois cela dépendra de la durée de remise en service des systèmes.
  • Impact: suivant le type de victime et l’heure de survenance de l’incident il a pu entraîner un arrêt total ou freiner de façon importante l’activité d’acteurs essentiels tels que des hôpitaux ou des opérateurs de transport notamment. Microsoft déclare que seules 8,5 millions de machines ont été touchées, toutefois ce chiffre est à rapporter au nombre de clients de CrowdStrike et les secteurs professionnels concernés (les particuliers ne sont pas clients de ce logiciel particulier).
  • Durée importante de remédiation: dans beaucoup de cas il a fallu intervenir sur chaque machine individuellement pour supprimer le fichier fautif avant qu’il puisse redémarrer, avec le frein particulier du chiffrement Bitlocker intégré à la plupart des systèmes Windows modernes qui nécessite de saisir une clé de récupération spécifique à chaque ordinateur. Ces clés sont normalement stockées de façon centralisée dans l’entreprise, ou auprès de Microsoft.
  • Le bug concerne un logiciel de sécurité.
  • Depuis les premières heures de l’incident on sait, grâce à la réaction de CrowdStrike notamment, que l’incident n’est pas d’origine malveillante mais accidentelle.

Pour beaucoup d’acteurs, il s’agit avant tout d’un incident de production. Toutefois, il faut bien à mon sens le prendre en compte en tant qu’incident de sécurité des systèmes d’information au vu de l’ensemble des paramètres évoqués. Le seul caractère accidentel ne suffit pas à l’en exclure.

En outre, la situation n’a pas manqué d’être aussi exploitée par les cybercriminels, comme le rappelle le bulletin d’actualité du CERT-FR:

Le CERT-FR a connaissance de tentatives d’exploitation malveillantes de la situation (phishing, fausses pages d’information, incitation à l’installation de logiciels malveillants). Le CERT-FR vous invite à la plus grande prudence et vous recommande de télécharger les outils de remédiation et d’appliquer les recommandations uniquement à partir des sites officiels des éditeurs.

Campagnes de hameçonnage, diffusion de logiciels malveillants ont accompagné les heures et les jours qui ont suivi l’incident CrowdStrike Falcon du 19 juillet 2024 (https://www.it-connect.fr/phishing-faux-correctifs-crowdstrike-utilises-pour-cibler-les-entreprises-malwares/)

Comment le prévenir ?

Plusieurs niveaux de responsabilité sont impliqués:

  • Évidemment la société CrowdStrike elle-même devra réviser ses procédures d’assurance qualité (et elle s’y est déjà engagée dans ses différentes publications), pour diminuer les chances qu’un tel incident puisse se reproduire. Le patron de Crowdstrike est bientôt convoqué devant le parlement américain pour s’en expliquer.
  • Microsoft accuse la réglementation européenne d’être pour partie responsable de cet incident, parce qu’elle l’oblige à ouvrir ses systèmes à des logiciels de sécurité concurrents. Or les obligations européennes imposées depuis 2009 prévoient que ces logiciels aient accès aux mêmes fonctionnalités que les logiciels de sécurité de Windows – qui ne sont pas plus à l’abri de bugs que les solutions concurrentes. Certains critiquent en réalité l’architecture choisie par Microsoft qui autorise ces actions de sécurité avec un accès direct au cœur du système d’exploitation, plutôt que par des interfaces qui pourraient être elles-mêmes sécurisées (comme le permet par exemple MacOS).
  • Enfin, une partie de la réponse est certainement dans les plans de continuité d’activité mis en place dans les organisations dont ce type de scénario démontre qu’il faut peut-être dans certains cas déployer des solutions de sécurité différentes sur certaines parties du parc informatique ou encore disposer de machines de secours non connectées qui peuvent être déployées rapidement en cas de mise à jour fautive, ou disposer de solutions de réinstallation rapide de sauvegardes pour certains postes de travail critiques. Ces choix ne sont pas simples, parfois coûteux et doivent être adaptés à chaque situation.

Mises à jour

Plusieurs informations nouvelles sont progressivement publiées par les acteurs et commentateurs:

Prospection commerciale B2B inattendue ou le « cold-emailing »

Qui n’a pas reçu sur sa boîte de courrier électronique professionnelle un contact d’un agent commercial vous proposant un rendez-vous, parfois en vous invitant à cliquer sur son calendrier pour fixer le rendez-vous directement dans son calendrier très chargé ? Puis quelques semaines après que vous ayez supprimé ce message, une relance reprenant le message initial, et souvent au moins une troisième fois ensuite, vous reprochant presque de ne pas avoir fait attention au message précédent. C’est ainsi que se pratique aujourd’hui le « cold-emailing », ou comme ils le définissent eux-mêmes dans leurs documents de formation des « courriers électroniques envoyés à des prospects n’ayant pas particulièrement montré d’intérêt pour l’entreprise ou son offre commerciale.»

C’est une publicité vue sur twitter (pardon X) ce matin qui a fini de m’aiguillonner sur ce sujet et à écrire ce post dominical:

La publicité elle-même a été vue plus de 20 millions de fois depuis le 23 janvier 2024 et propose un lien vers ce fameux guide du cold-email, dans un document hébergé chez Google. On notera qu’il est publié par le compte d’un certain « Reio » travaillant pour la société instantly[.]ai, nous y reviendrons plus tard.

Le principe de la prospection à froid

L’idée générale derrière la prospection à froid est de susciter de nouveaux prospects par un contact direct envoyé à des adresses de courrier électronique professionnelles avec lesquelles l’agent commercial n’a jamais été en relations.

Sur le principe, la législation européenne en matière de prospection commerciale entre professionnels est assez permissive. Ainsi la CNIL rappelle sur son site Web (il faut cliquer sur l’onglet « Pour les professionnels B to B »:

  • Principe général: information des personnes, opposition simple et gratuite
  • Information au moment de la collecte, et être en mesure de s’opposer à ce moment-là (c’est souvent présenté comme une condition pour participer à des événements). La revente de ces données dans le contexte de la prospection de professionnels est légale et suppose de conserver la traçabilité de cette information et de la possibilité d’opposition.
  • L’objet de la sollicitation doit être en rapport avec la profession de la personne démarchée
  • Chaque message doit préciser l’identité de l’annonceur et proposer un moyen simple de s’opposer.

Le contenu du guide

Le contenu du guide nous plonge dans une autre réalité qui entoure ces démarches. L’objectif affiché du rédacteur de ce guide est de s’assurer que les messages arrivent bien dans la boîte de courrier électronique du destinataire (son « Inbox ») et non pas le répertoire des spams détectés de façon automatique.

La liste des recommandations qu’il apporte est la suivante:

  • une étape technique consistant à créer de multiples noms de domaine et adresses de courrier électronique d’émission
  • la configuration des mesures de sécurité du mail (SPF, DKIM et DMARC, protocoles qui empêchent d’usurper un domaine émetteur, mais qui n’empêche pas d’émettre du spam depuis un domaine créé pour cela)
  • un domaine de traçage et la redirection vers le domaine propre du prospecteur.

En effet, la démarche qu’ils proposent est de découper le volume de messages à envoyer par autant de domaines et d’adresses pour ne pas être détecté par les seuils automatiques de classement en spam des récepteurs! Dans le cadre des envois massifs de spams classiques (messages publicitaires par opposition à la prospection directe évoquée ici), on utilise souvent le terme de « snowshoeing » pour décrire cette méthode.

Le guide recommande ensuite de « préchauffer » les adresses de courrier électronique. Il s’agit ici d’envoyer des messages anodins entre les adresses d’émission préparées pour qu’il y ait un trafic légitime aux yeux des grandes plateformes de messagerie. La société en question offre d’ailleurs un service (payant évidemment) automatisé pour simuler ces messages. Ils recommandent de maintenir l’activité fictive de « préchauffage » tout au long des opérations.

En résumé, ces pratiques et les services de ce type d’entreprises visent ouvertement à tromper et contourner les mesures de protection contre le spam.

Ensuite, pour le contenu même des messages envoyés aux prospects, l’auteur recommande de personnaliser les messages évidemment et de varier le vocabulaire utilisé d’un message à un autre, grâce à des modèles de textes alternatifs (et une fonctionnalité incluse dans son produit évidemment pour automatiser tout cela). Ils expliquent très bien eux-mêmes pourquoi c’est nécessaire: encore pour tromper la détection de spams.

On retrouve le même genre de conseils sur les sites de « conseil » pour la publication automatique sur les comptes de réseaux sociaux (pour ceux qui sont sur X récemment, on aura noté que la technique n’est pas tellement utilisée par les campagnes de spam pornographiques qui répètent des milliers de fois le même message « mes nus dans mon profil » sans apparemment être détectés par X).

La suite des recommandations est dans la même veine pour tromper le destinataire cette fois-ci. Ainsi, il recommande de fabriquer l’objet (le sujet) des messages de nature à inciter le destinataire à ouvrir le message, par exemple en combinant prénom et un mot simple comme « question » ou « pouvez-vous aider? ».

Pour finir de se convaincre du peu de sérieux de cette entreprise américaine, une visite sur son site Web confirme assez rapidement la première impression: les liens présents en bas de page et intitulés « Don’t sell my info » (ne vendez pas mes informations) et « Privacy Center » renvoient toutes deux vers des pages d’erreur.

Résumé et conseils

Comme je l’évoquais plus haut, la législation européenne n’interdit pas de contacter des prospects professionnels pour des produits ou services qui sont susceptibles de les intéresser. Mais utiliser des méthodes déceptives vis-à-vis des acteurs techniques et des destinataires des messages pour les inciter à transmettre, ouvrir et répondre aux messages est à l’opposé de toute éthique professionnelle. En outre, comme les destinataires ont vite fait de comprendre  ces manœuvres après un ou deux messages insistants du même type, ils finissent systématiquement dans la corbeille, c’est totalement contre-productif. Et je note que malheureusement de nombreux acteurs recommandent ces méthodes: on retrouve toujours de nombreuses publications sur LinkedIn en français qui décrivent ces méthodes et proposent des formations à ces outils.

Mes conseils:

  • comme d’habitude, informez-vous et discutez de ces méthodes abusives autour de vous;
  • réfléchissez avant d’ouvrir un message ou de cliquer sur un lien, en particulier si vous ne connaissez pas l’émetteur;
  • contribuez à lutter contre ces abus et signalez les messages que vous estimez inappropriés: n’hésitez pas à installer le module de signalement de Signal-Spam (c’est totalement gratuit), il vous permet non seulement de signaler un message abusif en un clic mais vous protège aussi des URLs malveillantes connues dans votre navigateur Web ou votre logiciel de courrier électronique.

 

Recall – Une fausse bonne idée et des risques trop forts pour notre sécurité

Il y a quelques jours, la société Microsoft (le 20 mai 2024 sur son blog) annonçait une toute nouvelle fonctionnalité disponible pour les systèmes disposant des fonctionnalités d’intelligence artificielle appelés « Copilot+PC », à savoir les ordinateurs disposant de composants dédiés à l’intelligence artificielle (NPU ou « neural processing unit ») pour lesquels des options supplémentaires de Windows sont développées.

En effet, cette nouveauté est révélée au moment de mettre en avant cette nouvelle gamme de fonctionnalités et il s’agit manifestement de créer un effet « waouh » démonstratif des capacités et des ambitions de Microsoft dans le domaine.

Présentation de la fonctionnalité Recall

Le principe qui nous est expliqué et que des captures de l’écran sont réalisées régulièrement, traitées par les fonctionnalités d’intelligence artificielle de Windows permettant ensuite à l’utilisateur de faire des recherches en langue naturelle jusqu’à trois mois en arrière, puis d’afficher les résultats correspondants sous forme graphique.

Copie d'écran d'un résultat de recherche Recall avec 8 vignettes d'images 4 correspondant aux résultats de la recherche textuelle et 4 autres à la recherche dans le contenu de l'image. L'interface propose de filtrer les résultats par application.

Copie d’écran de la présentation des résultats de recherche « Recall » publiée sur le site de Microsoft

Traduit automatiquement (certainement par une IA), la fonction s’appellerait en français « Rappel » et est décrite sur le site de l’éditeur. Il semblerait que Recall aille plus loin que l’interprétation des images, mais se cale aussi par rapport aux différentes applications utilisées (et y capture peut-être des informations directement), puisqu’il est possible de filtrer les résultats par application.

Réactions de la communauté

Les réactions ne se sont pas faites attendre dans les communautés attentives à la sécurité numérique et à la vie privée.

Dans la communauté de la sécurité numérique, c’est Kevin Beaumont (alias GossiTheDog) qui est le plus souvent cité, car ayant réalisé lui-même un certain nombre d’essais pour en avoir le cœur net et publié ses résultats sur ses comptes de réseaux sociaux.

Citation post sur le fédivers par Kevin Beaumont au-dessus d'une vidéo du PDG de Miscrosoft Satya Nadella "For those who aren’t aware, Microsoft have decided to bake essentially an infostealer into base Windows OS and enable by default. From the Microsoft FAQ: “Note that Recall does not perform content moderation. It will not hide information such as passwords or financial account numbers." Info is stored locally - but rather than something like Redline stealing your local browser password vault, now they can just steal the last 3 months of everything you’ve typed and viewed in one database."

Post sur le fedivers de Kevin Beaumont du 21/05/2024 https://cyberplace.social/@GossiTheDog/112479974357074203

L’inquiétude de Kevin Beaumont est expliquée très clairement dès le départ: Microsoft ne proposerait ni plus ni moins que d’intégrer par défaut dans son système d’exploitation une fonctionnalité qui est typique des logiciels malveillants de type « infostealer » (voir par exemple le blog de Sekoia qui décrit régulièrement ces logiciels malveillants), documentée d’ailleurs comme la technique T1113 dans le référentiel MITRE ATT&CK. En fait, même si T1113 référence la notion de capture d’écran telle qu’on peut la faire soi-même sur son ordinateur ou téléphone mobile, elle est ici implémentée par Recall de façon systématique par défaut, permanente (toutes les x secondes) sauf quand on la mettrait en pause, requêtable et accolée à une base de données.

Dans son article de blog écrit quelques heures plus tard, Kevin Beaumont démontre comment un attaquant va pouvoir facilement exploiter Recall et récupérer les informations ainsi stockées. En particulier, les informations ne sont pas stockées de façon plus sécurisée que les données habituelles d’utilisation du système d’exploitation et une partie au moins de l’indexation est réalisé dans une simple base SQLite, c’est-à-dire un fichier texte, stocké dans un des répertoires du système (accessible avec les droits d’administrateur, mais aussi requêtable par l’utilisateur lui-même via son interface Recall donc peut-être ultérieurement via une interface de programmation avec les droits de l’utilisateur).

Dans la communauté de la défense de la vie privée, on peut citer Eva Galperin, experte de l’Electronic frontier foundation et intervenant notamment dans le cadre de la Coalition contre les stalkerwares (logiciels espions qui peuvent être utilisés notamment par des proches abusifs):

Citant un article du site Web de la BBC (https://www.bbc.com/news/articles/cpwwqp6nx14o) qui dit (reprenant la défense de Microsoft), "...a would-be hacker would need to gain physical access to your device, unlock it and sign in before they could access saved screenshots."Celle-ci répond: I've got some news for Microsoft about how domestic abuse works.

Post sur le fedivers d’Eva Galperin du 22/05/2024 https://hachyderm.io/@evacide/112481894385686328

En effet encore, la défense consistant à dire qu’il n’est possible d’accéder que physiquement aux données ne tient pas la route, puisque dans une grande partie des abus constatés par la Coalition, c’est justement un proche qui installe et consulte l’historique de sa victime et qui aura ici d’autant plus de facilité à l’imposer de façon toxique que ce serait une fonction du système dont la désactivation lui paraîtra suspecte et qui de toutes façons fait tout pour connaître ou contrôler les mots de passe utilisés par sa victime.

L’autorité britannique en charge de la protection des données personnelles ICO a quant à elle déclaré ouvrir une enquête, dans un premier temps en interrogeant l’éditeur.

Scénarios problématiques

Derrière le risque même que pose cette fonctionnalité, il convient de décrire concrètement les situations problématiques qu’elle rend possibles, exploitables par les acteurs malveillants ou des logiciels malveillants totalement automatisés :

  • capture de conversations confidentielles (à l’insu des correspondants) – pourra-t-on faire confiance à un utilisateur de Microsoft Windows lors d’une visio-conférence pour ne pas prendre de copies d’écran ?
  • capture de données qui s’affichent dans les logiciels de gestion de mots de passe
  • capture et interprétation de messages malveillants (spams) affichés sur l’écran, y compris de liens suspects qui pourraient se retrouver dans l’historique Recall alors même qu’on aurait déjà supprimé le message suspect ?
  • et bien sûr, atteintes à la propriété intellectuelle (contrefaçon d’images et de vidéos)
  • comme évoqué plus haut, espionnage forcé par un proche abusif (plus besoin de « stalkerware » imposé, il est ici installé par défaut dans les systèmes Windows avec cette fonction Recall)
  • copies de documents confidentiels et échappement aux procédures de lutte contre les fuites de données implémentées dans les organisations (le DLP ou data loss prevention, comme documenté ici sur le site de Microsoft)

En plus de ces enjeux de sécurité, cette fonctionnalité pourrait poser des grosses questions de perte de temps et d’espace disque:

  • est-ce qu’il est bien utile de conserver une mémoire des informations qu’on a volontairement supprimées (les spams qu’on a supprimés de sa boîte de courrier électronique qui réapparaîtraient dans les recherches) ?
  • les nombreuses publicités qui s’affichent sur l’écran ne vont-elles pas encombrer inutilement le disque dur ?
  • ou bien encore, est-il bien utile de conserver plusieurs fois au format image la copie d’un texte et les mots indexés à l’intérieur du texte, d’un document qu’on est en train d’éditer ?

Réponses apportées par Microsoft

Les réponses de Microsoft sont de deux niveaux (documentés sur page Web décrivant la fonctionnalité) :

  • les données sont protégées par le système d’exploitation et ne sont accessibles que grâce à un accès physique;
  • il est possible de désactiver totalement, temporairement ou par application la fonctionnalité Recall, et celle-ci est désactivée par défaut lors de la navigation Web dite « privée ».

Sur le premier point, Kevin Beaumont (voir plus haut) et d’autres ont clairement démontré que ce n’était pas une véritable protection contre les accès malveillants. Les systèmes d’exploitation de Microsoft ont beaucoup progressé en sécurité au cours des dix dernières années, Recall y crée une brèche non raisonnable.

Analyse personnelle

Sur le plan sécuritaire, je rejoins l’analyse de l’ensemble des experts résumée ci-dessus, la fonctionnalité Recall telle qu’elle est implémentée ne devrait pas être activée par défaut et je déconseille à tout responsable de la sécurité des systèmes d’information de l’autoriser dans son organisation.

Est-ce qu’une telle fonctionnalité de mémoire est souhaitable ? Oui pourquoi pas, on peut imaginer une fonction (intégrée au système, mais aussi pourquoi pas offerte par un éditeur tiers), permettant d’enregistrer de façon ciblée des sessions de travail et pas uniquement par des copies d’écran, mais aussi par des collectes de données utiles spécifiques à chaque application. Ainsi, on pourrait imaginer un collecteur de ces métadonnées d’activité – et éventuellement de copies d’écran prises aux moments appropriés – adapté à tous les types de logiciels, exploitant dans un format ouvert les étapes de travail dans son logiciel de création graphique, de bureautique ou de travail en groupe.

Vague d’extorsions par courriels avec un de vos mots de passe!

Depuis quelques jours, j’ai reçu plusieurs signalements de personnes qui étaient victimes d’une tentative d’extorsion par courrier électronique. Le même sujet a été décrit voilà quelques jours par Brian Krebs sur son blog.

Le schéma est le suivant:

  • Expéditeur = adresse bizarre en outlook.com ou autre service gratuit
    • Objet du message = « Re: prenom.nom – motdepasse »
  • Texte = un message en anglais rappelant le mot de passe, et indiquant que grâce à un virus implanté sur votre ordinateur l’escroc a pu vous observer visiter un site web pornographique et vous enregistrer à cette occasion grâce à votre webcam, menaçant ensuite de diffuser la vidéo à vos contacts. Le message réclame ensuite une rançon en bitcoins de $1900
  • Adresse Bitcoin = différente dans tous les exemples que j’ai pu voir

Le texte du message ressemble à celui-ci :

Let’s get straight to the point. I am aware [mot de passe] is your pass word. Moreover, I know about your secret and I’ve proof of it. You don’t know me and no one hired me to examine you.

It is just your misfortune that I discovered your bad deeds. Well, I installed a malware on the adult videos (adult porn) and you visited this website to have fun (you know what I mean). While you were watching video clips, your web browser started out working as a Rdp (Remote desktop) that has a keylogger which provided me accessibility to your display and also webcam. Right after that, my software program collected your complete contacts from facebook, as well as e-mail.

I then put in much more time than I probably should have into your life and made a two screen video. First part displays the recording you had been viewing and second part shows the video from your web cam (its you doing dirty things).

Honestly, I want to forget about you and let you get on with your life. And I am about to give you 2 options that will achieve that. The above choices to either ignore this letter, or perhaps pay me $1900. Let us examine those two options in more detail.

First Option is to ignore this e-mail. Let’s see what is going to happen if you pick this path. I will send out your video to your contacts including relatives, co-workers, and many others. It does not help you avoid the humiliation your family will face when friends discover your sordid videos from me.

Other Option is to make the payment of $1900. We’ll call it my “confidentiality charges”. Let me tell you what happens if you pick this option. Your secret remains your secret. I’ll destroy the recording immediately. You keep your lifetime as though nothing like this ever occurred.

At this point you may be thinking, “I should call the cops”. Let me tell you, I have covered my steps in order that this message can’t be tracked to me plus it will not stop the evidence from destroying your health. I am not planning to dig a hole in your pocket. I am just looking to get compensated for efforts and time I place into investigating you. Let’s assume you decide to generate pretty much everything disappear and pay me the confidentiality fee. You will make the payment via Bitcoins (if you don’t know how, type « how to buy bitcoins » in search engine)

Amount to be sent: $1900
Receiving Bitcoin Address: [adresse différente pour chaque escroquerie]
(It’s case sensitive, so you should copy and paste it carefully)

Tell nobody what you would use the bitcoin for or they might not offer it to you. The method to obtain bitcoins usually takes a few days so do not wait.
I have a specific pixel within this email message, and now I know that you have read through this e mail. You now have two days in order to make the payment. If I do not receive the BitCoins, I will certainly send out your video recording to all your contacts including members of your family, colleagues, and so on. You better come up with an excuse for friends and family before they find out. Nonetheless, if I receive the payment, I will erase the proof and all other proofs immediately. It is a non-negotiable one time offer, so don’t ruin my personal time & yours. Your time is running out.

Hypothèses

Les hypothèses évoquées par Brian Krebs sont qu’il s’agit vraisemblablement de messages envoyés au hasard à une liste de personnes sur la base d’une fuite de données massive telle qu’on a malheureusement pu en avoir beaucoup au cours des dernières années. Cela converge avec les témoignages que j’ai pu recevoir.

Recommandations

Les recommandations que je pourrais faire aux victimes de cette tentative d’extorsion sont simples:

  • Ne pas payer la rançon, ne pas contacter l’escroc, ne pas répondre
  • Comme il s’agit ici d’une tentative reposant sur une vraie base de données volée, il est probable que vous reconnaissiez le mot de passe. Si vous l’utilisez encore sur un de vos comptes (courrier électronique, réseau social, etc.), changez-le très rapidement. La CNIL propose de très bons conseils sur les mots de passe, notamment en vous incitant à utiliser un logiciel de gestion des mots de passe.
  • Vous pouvez vérifier si votre adresse ou vos pseudonymes sont présents dans des détournements connus en les vérifiant sur haveibeenpwned. Dans ce cas modifiez aussi vos mots de passe pour ces comptes.

Campagne de hameçonnage ciblant les clients d’OVH

Depuis quelques jours une campagne de hameçonnage cible plus particulièrement les clients d’OVH, la gendarmerie du Doubs et du territoire de Belfort sur sa page Facebook.

En effet, j’ai moi-même reçu trois messages de hameçonnage successifs ciblant le même nom de domaine dont je suis le gestionnaire chez OVH (envoyés à l’adresse de contact du nom de domaine):

  • 7 mars 2018 15:27, objet: « Fermeture du XXX » XXX étant le nom de domaine, provenant apparemment de « <support@ovh.com> »
  • 8 mars 2018 05:24, objet: « [ֹOVֹH] : erreur ! », provenant apparemment de « [ֹOVֹH] » <support@ovh.net>
  • et de façon identique le 10 mars 2018 17:20

Jetons un œil à l’aspect du dernier message:

 

Si l’on passe la souris au dessus de l’URL qui devrait être celle du site d’OVH on obtient en réalité:

(la zone floutée correspond à l’adresse de contact du nom de domaine ciblé). Si l’on suit cette adresse, après deux redirections on se retrouve sur l’adresse (ATTENTION ne pas vous rendre sur cette adresse sans précautions !):

Le site Web est celui d’une société d’informatique allemande dont le site Web a été modifié pour afficher une page ressemblant à celle d’OVH:

Comment se protéger ?

Suivant les solutions de sécurité dont vous disposez sur votre ordinateur, vous serez éventuellement averti qu’il s’agit en réalité d’une page de hameçonnage connue. Ainsi, à l’heure où j’écris ces lignes, Windows Defender de Microsoft le signale correctement lorsqu’on visite cette page.

Si vous voulez participer à signaler ce type de messages et de pages de phishing c’est assez simple. L’association Signal Spamdont j’ai parlé plusieurs fois ici – fournit un plugin pour votre navigateur Web qui permet de signaler les messages non sollicités et les pages Web de hameçonnage.

Les signalements sont non seulement traités par Signal Spam, mais font l’objet d’une transmission vers les éditeurs des différents navigateurs.

Une mise à jour récente des modules de signalement de Signal Spam autorise désormais le signalement des URL (adresses internet) de phishing. Concrètement, cela signifie qui si au cours de votre navigation sur internet vous tombez sur un site de phishing, il vous est possible d’utiliser le même bouton Signal Spam installé dans votre navigateur (chrome, safari, ou firefox) qui sert traditionnellement au signalement d’un courriel indésirable pour signaler le site de phishing. Le module Signal Spam reconnaîtra que vous naviguez sur une page de phishing, et signalera l’URL.

L’URL ainsi signalée sera placée dans une liste noire qui préviendra la navigation sur ce site par d’autres utilisateurs de Signal Spam. Il est bien sûr possible de signaler un « faux-positifs », c’est à dire un signalement que vous estimez erroné, ou de poursuivre malgré tout votre navigation sur le site de phishing en pleine connaissance de cause.

En outre, la mise à jour des modules intègre également une protection de votre messagerie contre les messages de phishing : une alerte s’affichera lorsque vous vous apprêtez à ouvrir un message contenant des liens identifiés comme dangereux.

Le fonctionnement de cette fonctionnalité STOP PHISHING – développée par Signal Spam en partenariat avec la société Verifrom vous est expliqué dans la vidéo ci-dessous:

Une vidéo proposée par la CNIL vous informe très précisément sur la façon d’installer le plugin dans votre navigateur:

Enfin, le service cybermalveillance.gouv.fr vous propose une fiche de prévention sur le sujet du hameçonnage:

Développeurs, ne partagez pas vos clés avec n’importe qui

OctocatLe phénomène n’est pas nouveau, mais il semble toujours faire des ravages: des utilisateurs de github – une plateforme utilisée notamment pour partager du code logiciel – y publient malencontreusement des données confidentielles (mots de passe, clés d’authentification) en partageant leurs développements. Et certaines de ces données sont particulièrement recherchées, notamment les clés d’authentification sur les plateformes de services telles Amazon EC2 (ou Microsoft Azure).

Amazon EC2 est un service (proposé par Amazon Web Services – ce qui nous rappelle qu’Amazon n’est pas qu’une société de commerce électronique) qui permet notamment de disposer très rapidement de multiples instances de serveurs notamment pour disposer d’une puissance de calcul flexible au moment où l’utilisateur en a besoin.

Le dernier exemple en date – qui a été publié par sa victime pour aider à sensibiliser contre ce risque – s’est déroulé de cette façon:

  • Pendant les vacances de Noël, la victime a voulu tester Ruby on Rails, une plateforme de développement d’applications pour le Web, en l’occurrence pour essayer de développer rapidement un site sur le même modèle que Yelp (un réseau social de recommandation de restaurants et autres commerces) – et il utilise pour ses tests différents services d’informatique en nuage auxquels il semble habitué ;
  • Il se sert notamment de heroku pour stocker son application (elle est en ligne ici d’ailleurs), mais a besoin d’espace pour stocker ses images, il rajoute donc dans sa configuration un espace de stockage sur un compte Amazon à l’essai (en l’occurrence la branche Amazon S3) ;
  • En même temps, il pousse son code sur son compte github, mais se rend compte très rapidement que les clés de l’API d’Amazon, qui servent à identifier de façon unique son compte auprès de leurs services, ont aussi été poussées sur les serveurs de github. Il procède à un nettoyage rapide, s’estimant protégé par le fait qu’il n’avait pas spécialement diffusé l’adresse de son dépôt github pour cette application… (normalement ces fichiers de configuration auraient dû se trouver listés dans le fichier .gitignore pour empêcher une telle bévue)
  • Au réveil le lendemain matin, 4 courriers électroniques d’Amazon l’attendent sur sa boîte mail et un appel en absence. Au bilan, ce sont près de 2400$ qui ont été dépensés à son insu !

Il semblerait en effet que des individus fassent tourner des routines qui cherchent automatiquement et en permanence les mots de passe et clés d’API Amazon ou autres informations confidentielles. Github dispose en effet d’un moteur de recherche qui facilite ce type de découvertes (article d’ITNews qui expliquant ceci au mois de mars 2014). Ces ressources sont ensuite apparemment utilisées pour miner des crypto-monnaies (des Litecoin ou des YaCoin apparemment, d’autant plus profitables si on ne paie pas les ressources utilisées pour les calculs cryptographiques, mais les plus chevronnés chercheront sûrement les crypto-monnaies les plus rentables du moment).

Notre victime de Noël 2014 n’est pas la seule à avoir rendu publique sa mésaventure (on note qu’Amazon est conscient du problème et rembourse les victimes qui se font avoir une première fois) :

Amazon donne ici des conseils utiles pour se protéger et des bonnes pratiques ici. Et de façon générale, si vous êtes un développeur et souhaitez faire profiter les autres de vos développements (sur Github ou d’autres plateformes de partage), faites attention à ne pas publier de données confidentielles dans ces espaces de partage (par exemple, regroupez toute la configuration dans un seul fichier que vous ferez systématiquement attention de ne pas partager et avant de partager, faites une recherche dans votre code). Si vous avez d’autres conseils ou d’autres ressources, n’hésitez pas à les partager en commentaires.

Le fait que deux ans après l’alerte sur ce type de risque ait été lancée, on ait toujours autant de cas montre qu’il faut faire circuler l’information, donc n’hésitez pas à partager l’article !

Petit complément: en mai 2014, un autre événement intéressant a été signalé: des données confidentielles de NBC ont été accidentellement partagées avec un autre utilisateur de Github parce que son pseudonyme ressemblait certainement à celui de la personne normalement concernée. Cela peut vous arriver dans n’importe quelle plateforme de partage (par exemple sur le Drive de Google ou Office.com de Microsoft).

Rendez-vous au FIC 2014

fic 2014Bien installé dans le paysage des événements liés à la cybersécurité, le 6ème Forum International sur la Cybersécurité aura lieu les 21 et 22 janvier prochains à Lille Grand Palais.

Pour vous inscrire: http://www.forum-fic.com/

La thématique générale de cette année est « Identité numérique et confiance », mais vous trouverez dans le programme de nombreux thèmes qui vous intéresseront, notamment ceux qui sont au cœur de la lutte contre la cybercriminalité. Cet événement se veut ouvert et tourné vers les entreprises, les collectivités locales, les administrations et le citoyen. C’est pour cela que cette année encore l’entrée est gratuite. En y participant, vous pourrez échanger dans les couloirs et au moment des pauses, poser des questions lors des débats, des ateliers et des conférences.

Cette année plusieurs nouveautés importantes:

  • l’organisation d’un challenge forensique à destination des étudiants et des débutants dans l’investigation numérique (les inscriptions sont closes depuis le 31 décembre);
  • de nombreux ateliers seront en anglais ou traduits en anglais pour une meilleure ouverture vers nos visiteurs étrangers;
  • l’attribution d’un prix de la PME innovante.

Pour ma part je participerai à deux occasions:

  • Une conférence de 45 minutes sur la lutte contre la cybercriminalité
  • Un atelier que j’animerai avec Guillaume Arcas (Sekoia) sur la réponse aux incidents dans les entreprises. La réponse aux incidents comporte notamment les techniques qui sont mises en oeuvre pour comprendre l’origine et l’importance d’un incident de sécurité informatique, collecter éventuellement des preuves (en vue d’un dépôt de plainte) et aider aux processus de reprise d’activité. Cet atelier se déroulera en trois temps, avec une introduction concrète sur ce qu’est la réponse aux incidents, une démonstration des méthodes utilisées puis une table ronde pour discuter avec la salle des enjeux et difficultés de la réponse aux incidents avec plusieurs intervenants.

Rendez-vous à Lille !

Sondage sur la gestion des mises à jour

logotype_botnets160x113Dans le cadre de ma thèse  (pour rappel, le Wiki de ma thèse), je souhaite diffuser un sondage pour mieux connaître les pratiques en matière de gestion des mises à jour. Le sondage est évidemment anonyme. N’hésitez pas à le rediffuser auprès de vos contacts. Enfin, n’hésitez pas à en parler aussi ici, si le sujet vous amène des réflexions complémentaires !

Si vous êtes RSSI ou DSI dans votre entreprise ou organisation, vous pouvez répondre à ce sondage ici. La réponse à ce sondage ne devrait pas prendre plus de dix minutes.

Si vous connaissez personnellement votre RSSI ou votre DSI, faites lui gentiment passer l’adresse de cet article ! Merci de votre aide.

De la cyberdéfense

Cette semaine à Paris a connu deux événements qu’il est intéressant d’observer en parallèle:

Comment est définie la cyberdéfense ?

Comme souvent, lorsque l’on parle de défense nationale, il faut se rappeler qu’elle ne touche pas qu’aux missions militaires, mais bien à l’ensemble des mesures permettant de défendre l’intégrité physique autant qu’économique ou sociale de la nation. La cyberdéfense était définie dans un papier très attendu publié par l’ANSSI en février 2011:

Ensemble des mesures techniques et non techniques permettant à un État de défendre dans le cyberespace les systèmes d’information jugés essentiels.

et cela vise le cyberespace:

Espace de communication constitué par  l’interconnexion mondiale d’équipements de traitement automatisé de données numériques.

qui correspond très largement à l’Internet tel qu’on l’entend généralement, mais aussi à tous les réseaux qui y sont connectés.

… et vient s’inclure dans la notion plus globale de cybersécurité:

État recherché pour un système d’information lui permettant de résister à des événements issus du cyberespace susceptibles de compromettre la disponibilité, l’intégrité ou la confidentialité des données stockées, traitées ou transmises et des services connexes que ces systèmes offrent ou qu’ils rendent accessibles.

La cybersécurité fait appel à des techniques de sécurité des systèmes d’information et s’appuie sur la lutte contre la cybercriminalité et sur la mise en place d’une cyberdéfense.

Dans le rapport piloté par Jean-Marie Bockel La cyberdéfense: un enjeu mondial, une priorité nationale, son auteur s’était proposé de

se concentrer sur les attaques informatiques susceptibles de porter atteinte aux intérêts fondamentaux de la Nation et les moyens de s’en protéger.

En réalité, et on le voit dans les nombreuses affaires qui ont dû être traitées au cours des derniers mois, il y a une grande partie de la politique de cyberdéfense qui se doit d’utiliser les outils juridiques de la lutte contre la cybercriminalité, puisqu’on s’est souvent retrouvés dans une situation d’abord délictuelle – souvent vraisemblablement liée à des actions d’espionnage. A contrario, toutes les mesures de la cyberdéfense ne relèvent pas uniquement de la sécurité des systèmes d’information, parce que partie prenante de la politique de défense du pays et donc disposant d’autres modes d’action complémentaires (comme la diplomatie, la négociation de traités, l’action militaire éventuelle – notamment offensive).

Les composantes de la cybersécurité

Les composantes de la cybersécurité

Il faut donc comprendre la cyberdéfense comme une posture spécifique et renforcée de sécurisation (mesures de protection, détection des incidents et réaction) de systèmes d’information jugés essentiels et notamment ceux qui touchent aux intérêts fondamentaux de la nation. En pratique, cela concerne donc les systèmes d’information de l’Etat – et notamment ceux liés à la Défense nationale, des collectivités locales et autres acteurs qui traitent des systèmes d’information sensibles au profit de l’Etat, ainsi que les opérateurs d’importance vitale (ou OIV, définis à l’article R1332-1 du code de la défense).

L’article R. 1332-1 du code de la défense précise que les opérateurs d’importance vitale sont désignés parmi les opérateurs publics ou privés mentionnés à l’article L. 1332-1 du même code, ou parmi les gestionnaires d’établissements mentionnés à l’article L. 1332-2.

Un opérateur d’importance vitale :
– exerce des activités mentionnées à l’article R. 1332-2 et comprises dans un secteur d’activités d’importance vitale ;
– gère ou utilise au titre de cette activité un ou des établissements ou ouvrages, une ou des installations dont le dommage ou l’indisponibilité ou la destruction par suite d’un acte de malveillance, de sabotage ou de terrorisme risquerait, directement ou indirectement d’obérer gravement le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation ou de mettre gravement en cause la santé ou la vie de la population.

Cela va donc des fonctions techniques et d’infrastructure (opérateurs, composantes essentielles des réseaux comme les plateformes d’échange de trafic, les serveurs DNS, etc.) à tous les systèmes d’information sensibles des secteurs clés (énergie, transport, alimentation, santé, etc.).

Cette posture particulière se traduit notamment en France par la désignation d’entités spécifiques au sein de l’administration chargées prioritairement de cette mission: l’Agence nationale de la sécurité des systèmes d’information et la chaîne de commandement Cyber du Ministère de la défense. Bien entendu, ces entités disposent de nombreux partenaires agissant à différents titres: citons police, gendarmerie et justice dans les domaines judiciaires, ou encore la direction générale de l’armement dans la dimension technico-opérationnelle.

Que retenir du colloque organisé au Sénat ?

Le colloque avait d’abord pour objet de prendre acte des progrès accomplis depuis la publication du livre blanc de la défense de 2008. La cyberdéfense n’était alors pas encore affichée sous cette terminologie:

(Extrait de la synthèse) La guerre informatique est une préoccupation majeure du Livre blanc qui développe deux axes stratégiques : d’une part, une conception nouvelle de la défense informatique, organisée « en profondeur » et coordonnée par une agence de la sécurité des systèmes d’information placée sous la tutelle du secrétaire général de la défense et de la sécurité nationale; d’autre part, la constitution de capacités de lutte informatique offensive qui seront développées, pour les armées, sous l’égide de l’état-major des armées, et en outre par des services spécialisés.

Entre autres, l’agence nationale de la sécurité des systèmes d’information, successeure de la direction centrale de la sécurité des systèmes d’information aux missions élargies, a bien été créée et a recruté assez largement. De même, le ministère de la défense a renforcé ses structures dédiées à la cyberdéfense, couronnées par la nomination d’un « officier général cyber » au sein de l’Etat major des armées.

Dans le Livre blanc 2013 de la défense et de la sécurité nationale, l’ambition est réaffirmée, ce à plusieurs reprises:

(page 90) Nos armées remplissent d’abord des missions permanentes. La dissuasion continuera de se fonder sur la posture permanente des deux composantes, océanique et aéroportée. Dans le cadre de la fonction stratégique de protection, les postures permanentes de sûreté terrestre, aérienne et maritime seront tenues dans les mêmes conditions qu’aujourd’hui. L’engagement des armées en renfort des forces de sécurité intérieure et de sécurité civile en cas de crise majeure pourra impliquer jusqu’à 10 000 hommes des forces terrestres, ainsi que les moyens adaptés des forces navales et aériennes. Pour remplir ces différentes missions de protection, il sera fait appel, lorsque c’est nécessaire, à des moyens prélevés ponctuellement sur nos forces d’intervention. Cette posture sera complétée par le dispositif de cyberdéfense, qui est appelé à s’amplifier dans les années qui viennent.

(page 94) Le développement de capacités de cyberdéfense militaire fera l’objet d’un effort marqué, en relation étroite avec le domaine du renseignement. La France développera sa posture sur la base d’une organisation de cyberdéfense étroitement intégrée aux forces, disposant de capacités défensives et offensives pour préparer ou accompagner les opérations militaires. L’organisation opérationnelle des armées intégrera ainsi une chaîne opérationnelle de cyberdéfense, cohérente avec l’organisation et la structure opérationnelles de nos armées, et adaptée aux caractéristiques propres à cet espace de confrontation : unifiée pour tenir compte de l’affaiblissement de la notion de frontière dans cet espace ; centralisée à partir du centre de planification et de conduite des opérations de l’état-major des armées, pour garantir une vision globale d’entrée et une mobilisation rapide des moyens nécessaires ; et spécialisée car demandant des compétences et des comportements adaptés. La composante technique confiée à la direction générale de l’armement aura pour mission de connaître et anticiper la menace, de développer la recherche amont, et d’apporter son expertise en cas de crise informatique touchant le ministère de la Défense.

(page 105) La lutte contre la cybermenace

Les suites données aux analyses et aux recommandations du Livre blanc de 2008 dans le domaine de la cyberdéfense ont permis à la France de franchir une étape décisive dans la prise en considération de cette menace et dans la mise en œuvre des réponses qu’elle requiert. Toutefois, la croissance continue de la menace, l’importance sans cesse accrue des systèmes d’information dans la vie de nos sociétés et l’évolution très rapide des technologies imposent de franchir une étape supplémentaire pour conserver des capacités de protection et de défense adaptées à ces évolutions. Elles nous imposent aujourd’hui d’augmenter de manière très substantielle le niveau de sécurité et les moyens de défense de nos systèmes d’information, tant pour le maintien de notre souveraineté que pour la défense de notre économie et de l’emploi en France. Les moyens humains qui y sont consacrés seront donc sensiblement renforcés à la hauteur des efforts consentis par nos partenaires britannique et allemand.

La capacité de se protéger contre les attaques informatiques, de les détecter et d’en identifier les auteurs est devenue un des éléments de la souveraineté nationale. Pour y parvenir, l’État doit soutenir des compétences scientifiques et technologiques performantes.

La capacité de produire en toute autonomie nos dispositifs de sécurité, notamment en matière de cryptologie et de détection d’attaque, est à cet égard une composante essentielle de la souveraineté nationale. Un effort budgétaire annuel en faveur de l’investissement permettra la conception et le développement de produits de sécurité maîtrisés. Une attention particulière sera portée à la sécurité des réseaux de communication électroniques et aux équipements qui les composent. Le maintien d’une industrie nationale et européenne performante en la matière est un objectif essentiel.

Un renforcement de la sécurité des systèmes d’information de l’État est nécessaire. Une politique de sécurité ambitieuse sera mise en œuvre. Elle s’appuiera notamment sur le maintien de réseaux de haute sécurité irriguant les autorités de l’État, sur une politique appropriée d’achat public et sur une gestion adaptée des équipements de communications mobiles. Elle sera complétée par une politique de sensibilisation en direction des administrations déconcentrées de l’État, des collectivités territoriales, de leurs établissements publics et des principaux utilisateurs du cyberespace. La cybersécurité de l’État
dépend aussi de celle de ses fournisseurs de produits et de services, qui doit être renforcée. Des clauses seront insérées dans les marchés afin de garantir le niveau de sécurité attendu.

S’agissant des activités d’importance vitale pour le fonctionnement normal de la Nation, l’État fixera, par un dispositif législatif et réglementaire approprié, les standards de sécurité à respecter à l’égard de la menace informatique et veillera à ce que les opérateurs prennent les mesures nécessaires pour détecter et traiter tout incident informatique touchant leurs systèmes sensibles. Ce dispositif précisera les droits et les devoirs des acteurs publics et privés, notamment en matière d’audits, de cartographie de leurs systèmes d’information, de notification des incidents et de capacité pour l’agence nationale de la sécurité des systèmes d’information (ANSSI), et, le cas échéant, d’autres services de l’État, d’intervenir en cas de crise grave.

La doctrine nationale de réponse aux agressions informatiques majeures repose sur le principe d’une approche globale fondée sur deux volets complémentaires :

  • la mise en place d’une posture robuste et résiliente de protection des systèmes d’information de l’État, des opérateurs d’importance vitale et des industries stratégiques, couplée à une organisation opérationnelle de défense de ces systèmes, coordonnée sous l’autorité du Premier ministre, et reposant sur une coopération étroite des services de l’État, afin d’identifier et de caractériser au plus tôt les menaces pesant sur notre pays ;
  • une capacité de réponse gouvernementale globale et ajustée face à des agressions de nature et d’ampleur variées faisant en premier lieu appel à l’ensemble des moyens diplomatiques, juridiques ou policiers, sans s’interdire l’emploi gradué de moyens relevant du ministère de la Défense, si les intérêts stratégiques nationaux étaient menacés.

Au sein de cette doctrine nationale, la capacité informatique offensive, associée à une capacité de renseignement, concourt de façon significative à la posture de cybersécurité. Elle contribue à la caractérisation de la menace et à l’identification de son origine. Elle permet en outre d’anticiper certaines attaques et de configurer les moyens de défense en conséquence. La capacité informatique offensive enrichit la palette des options possibles à la disposition de l’État. Elle comporte différents stades, plus ou moins réversibles et plus ou moins discrets, proportionnés à l’ampleur et à la gravité des attaques.

De manière plus générale, la sécurité de l’ensemble de la société de l’information nécessite que chacun soit sensibilisé aux risques et aux menaces et adapte en conséquence ses comportements et ses pratiques. Il importe également d’accroître le volume d’experts formés en France et de veiller à ce que la sécurité informatique soit intégrée à toutes les formations supérieures en informatique.

Toute politique ambitieuse de cyberdéfense passe par le développement de relations étroites entre partenaires internationaux de confiance. Les relations seront approfondies avec nos partenaires privilégiés, au premier rang desquels se placent le Royaume-Uni et l’Allemagne. Au niveau européen, la France soutient la mise en place d’une politique européenne de renforcement de la protection contre le risque cyber des infrastructures vitales et des réseaux de communications électroniques.

(page 120) Il faudra en outre organiser la montée en puissance de nouvelles composantes de la réserve opérationnelle, spécialisées dans des domaines dans lesquelles les forces de défense et de sécurité sont déficitaires. C’est notamment le cas de la cyberdéfense, qui fera l’objet d’une composante dédiée au sein la réserve opérationnelle. Celle-ci constituera un atout au service de la résilience de la Nation et sera prévue et organisée spécifiquement pour permettre au ministère de la Défense de disposer d’une capacité de cyberdéfense démultipliée en cas d’attaque informatique majeure.

[…] Compte tenu des enjeux multiples et croissants dans ce domaine, une réserve citoyenne sera particulièrement organisée et développée pour la cyberdéfense, mobilisant en particulier les jeunes techniciens et informaticiens intéressés par les enjeux de sécurité.

Les présentations de la première partie de la journée ont donc développé autour des idées détaillées dans le livre blanc. Je résumerais en trois points les idées principales que j’en retiens:

  • Un acquis important tant sur le plan organisationnel que des moyens mis à disposition;
  • Une véritable prise de conscience politique de l’enjeu de la cybersécurité et plus particulièrement de la nécessité de renforcer notre cyberdéfense – dans le précédent livre blanc, le sujet était bien présent, mais diffus ;
  • Une ambition réaffirmée, qui même si elle n’est pas chiffrée précisément, se positionne à la hauteur de ce qui est pratiqué par nos partenaires les plus proches – Royaume-Uni et Allemagne (l’Allemagne a annoncé un programme de financement de la recherche en cybersécurité à hauteur de 30 M€).

L’après-midi a été consacrée au rôle des industries spécialisées françaises, qui nous ont expliqué – et l’évolution de leur organisation et de leurs offres le démontre – qu’elles sont en ordre de bataille pour répondre aux enjeux proposés par le livre blanc ou le rapport Bockel. Le sujet des petites et moyennes entreprises œuvrant dans ce domaine a été abordé, notamment au travers de l’intervention de Jérôme Notin, l’un des responsables du projet d’antivirus français DAVFI. Et on touche là à un sujet essentiel et ce pour plusieurs raisons:

  • l’innovation se développe très souvent dans de petites structures (VUPEN est souvent cité comme acteur majeur de la connaissance des menaces, mais beaucoup d’autres sont à l’oeuvre comme PicViz, ArxSys, Quarkslab, Lexfo, Tetrane, Amossys, 6cure ou certains des membres du pôle Systematic, puis dans les toutes petites Agarrin’hésitez pas à me signaler d’autres petites entreprises en pointe);
  • l’offre de sécurité à taille humaine, c’est-à-dire à la taille des PME ou des collectivités locales doit se développer, elle existe en France de façon encore insuffisante (l’offre peine à atteindre ou à convaincre tout le public qu’il faudrait toucher) et fragile (les difficultés financières d’HSC annoncées récemment en sont une illustration criante).

Enfin, la recherche et la formation sont deux composantes essentielles de la politique à développer. Tous partagent le constat qu’un gros effort reste à réaliser dans le domaine de la formation, qu’il s’agisse de sensibilisation de tous les français, des responsables d’entreprises, d’initiation à la sécurité des informaticiens, de formation de spécialistes en sécurité des systèmes d’information et plus spécifiquement en cyberdéfense ou de la formation continue des acteurs complémentaires (comme les magistrats, gendarmes ou policiers par exemple). Les besoins sont clairement détaillés dans le rapport Bockel.

Vous retrouverez des extraits en vidéo de la journée sur le site du Sénat. Pour ceux qui seraient intéressés enfin, une fiche sur la réserve citoyenne cyberdéfense.

Autres articles sur ce colloque:

Sujet très complémentaire de nos préoccupations en matière de cybercriminalité !…

Les conférences en sécurité

Revenons sur le deuxième événement de cette semaine avec NoSuchCon. Les conférences de sécurité informatique se multiplient en France et dans les pays voisins et c’est une bonne chose. Rien qu’entre mai et juin on peut citer:

… puis à l’automne:

Autant d’occasions pour rencontrer non seulement des français qui travaillent sur des questions de sécurité, mais des spécialistes venus du monde entier. Témoignage d’une vivacité grandissante de cette communauté en France. NoSuchCon était l’occasion, à l’image de Hackito Ergo Sum quelques jours plus tôt, d’assister à des présentations qui auparavant ne parvenaient pas jusque chez nous.

Pour finir, quelques articles en ligne sur la NoSuchCon pour vous en faire votre propre idée:

J’ai eu un faible pour la toute dernière présentation, par deux français, Robinson Delaugerre & Adrien Chevalier, Killing RATs, the Arsenic Framework, qui ont pour ambition de mettre à disposition une plateforme d’analyse de certains types d’attaques en profondeur. A suivre donc !

Botconf 2013

anglais English version of this post.

ImageLes 5 et 6 décembre prochains se tiendra à Nantes (France) Botconf 2013, la première conférence dédiée à la lutte contre les botnets.

L’appel à présentations ou articles scientifiques est en ligne sur le site Web de la conférence https://www.botconf.eu/. La date limite pour soumettre des papiers est le 30 juin 2013.

La conférence est ouverte aux chercheurs académiques, industriels et aux services de police. Les étudiants dont les papiers seront sélectionnés recevront une aide pour assister à la conférence (aide financière pour le transport et le logement).

Le comité d’organisation est composé de volontaires de la communauté botnets.fr et le comité scientifique indépendant est composé de spécialistes en sécurité de tous secteurs et de toutes les régions du monde. La conférence se tiendra en langue anglaise.