Sécurité

Enquête sur un phising par Twitter

Ce matin, je suis surpris par un message un peu incongru d’un de mes contacts sur Twitter:

Guidé uniquement par ma curiosité je décide de suivre le lien qui m’amène sur une page http://mspaworldwide.net/twitter/ qui ressemble en tous points à la page d’accueil de Twitter:

Un petit regard au code source finit de me convaincre qu’il s’agit bien d’un phishing:

et … si l’on remplit le petit formulaire de connexion on est finalement redirigé sans encombre sur la vraie page de twitter (qui, si on est déjà connectés, affiche de toutes façons la liste des publications de nos contacts). Rien de très « high-tech » donc.

Je suis déjà surpris que de nombreuses heures après le début de cette campagne de phishing mon navigateur n’affiche pas une alerte (testé sous Chrome, Firefox, Internet Explorer, à cette heure – 12:07 – seul ce dernier affiche une alerte). Au passage toujours, Twitter utilise http://t.co/ pour relayer ce lien (quand on clique dessus en réalité on passe par http://t.co/2acFQb3 avant d’être redirigé vers le lien original en tinyurl) qui est un domaine censé permettre à Twitter de lutter contre ce genre de problèmes:

Apparemment leur système n’a pas encore détecté le problème… Les pages d’aide de Twitter nous indiquent qu’on peut signaler les abus de http://t.co/ en envoyant un message à tcoabuse@twitter.com, ce que je viens de faire évidemment.

Je ne sais pas si mon contact a laissé accès à son compte à une application mal intentionnée ou a succombé à la tentative de phishing elle-même… dans l’un et l’autre cas l’ensemble de ses contacts ont donc pu recevoir un message direct les invitant à visiter cette page. (15:27: La victime me confirme que c’est passé par le site de phishing lui-même, pas d’application en cause).

Si vous-même êtes tombés dans le panneau, pas trop d’inquiétude et suivez les indications du support de Twitter pour changer votre mot de passe. Je vous conseille de supprimer aussi les messages directs qui doivent apparaître dans votre compte à destination de vos amis (même si les courriers électroniques d’alerte sont sûrement déjà partis…).

Je ne suis pas le premier à parler de ça, bien évidemment (comme ici par exemple et @gcluley en parlait au début du mois de juillet dans un de ses articles, ou encore (17:18) @5ct34m il y a quelques jours qui notait qu’on retrouvait la même IP derrière une URL différente).

Epilogue concernant le site de phishing lui-même (14:19): il est hébergé en Chine. En outre, l’adresse IP hébergeant le site Web de Phishing est 220.164.140.252, qui renvoie, à l’heure où j’écris ces lignes (17:25) à des noms de domaine aux noms intéressants comme iltwitter.com, itiwitter.com ou ltwitteri.com entre autres (voir l’image agrandie pour en apercevoir la liste):

Je pense que seul Twitter peut nous en dire plus sur quelles adresses IP se connectent sur les comptes des victimes. Les infractions que l’on pourrait viser pour cette affaire sont essentiellement celles de collecte déloyale de données à caractère personnel, accès frauduleux à un système de traitement automatisé de données et peut-être le détournement de correspondances privées (les scammers envoient des messages, mais en théorie ils peuvent aussi consulter les autres messages).

Mise à jour (14:51): Chrome n’annonçant toujours pas la page comme du phishing, j’essaie de trouver la fonction qui permet de le signaler. Alors:

Ouvrir le menu en cliquant sur la petite clé à molette ;
Outils > Signaler un problème… et ensuite on suit le guide !

Sous Firefox, malgré les nombreuses indications quant à leur nouvelle version qui serait encore meilleure en matière de lutte contre le phishing, je n’ai pas trouvé où était la fonction pour signaler un phishing, ni sur leur site d’aide en ligne… Mais bon, comme ils utilisent « Google Safe Browsing« , je suppose qu’il suffit de le faire via Chrome ! Mais c’est dommage de ne pas avoir une fonction intégrée pour signaler un site.

Sous Internet Explorer, même principe que sous Chrome:

Affichage du menu
Sécurité… Signaler un site Web d’hameçonnage.

18:12 Suite de l’enquête. Un peu agacé que le site de phishing soit toujours accessible, je me suis amusé à chercher un peu plus loin et j’ai découvert que sur le même serveur il y avait une autre forme de phishing qui se fait passer une application Twitter « StalkTrak », censée vous indiquer qui vous suit avec des intentions malhonnêtes sur Twitter:

Le fonctionnement est similaire et derrière l’URL http://mspaworldwide.net/app1/function.api.stalktrak.htm vous avez donc un formulaire qui vous invite à nouveau à rentrer votre identifiant et votre mot de passe Twitter, avec un aspect graphique qui ressemble à celui de Twitter.

Ceux qui se sont fait avoir se retrouvent apparemment à faire la publicité de l’application. Topsy nous donne une petite idée du trafic autour de ce site depuis quelques jours (cliquer sur l’image pour l’agrandir):

On note ainsi un pic le 29 juillet, avec un début de propagation le 27.

Stalktrak lui-même (ce qui semble confirmer ce que je rappelais un peu plus haut sur l’adresse IP du serveur suite à une indication de @5ct34m), tourne aussi au moins depuis le début du mois de juillet comme on peut le lire sur cet article de blog (avec une petite vidéo dedans) et où l’on retrouve un des noms de domaine évoqués précédemment.

05 août: Apparemment un nouveau domaine est apparu depuis hier qui délivre les mêmes contenus illégaux : 3xloanstoday.com. Évitez de vous y rendre et signalez le comme site de phishing.

Un chapitre collaboratif ?

Photo de Rahego

Un article un peu inhabituel et court pour lancer un appel à commentaires auprès de mes lecteurs sur leurs sujets de préoccupation du moment en matière de cybercriminalité.

J’ai commencé depuis quelques mois la rédaction d’un livre sur la cybercriminalité et la cybersécurité et l’idée ici est d’en consacrer une partie, soit dans les chapitres déjà prévus, soit dans un chapitre à part, aux questions, aux préoccupations du moment, de mes lecteurs.

A vos claviers ! Toutes les questions et tous les commentaires sont les bienvenus.

Lancement de trois sous-projets de la préfiguration du centre d’excellence français contre la cybercriminalité

Les 23 et 24 juin derniers, les équipes de trois sous-projets du volet français du projet européen 2CENTRE étaient réunis à l’Université de technologie de Troyes. Ce billet pour vous présenter le contenu de ces premiers ateliers.

Formation en ligne des premiers intervenants

L’ambition est ici de créer une formation attractive et accessible pour tous les enquêteurs qui sont confrontés de près ou de loin à des investigations simples sur Internet. Cette initiative a germé lors de travaux communs menés au sein du Ministère de l’intérieur – entre les services spécialisés de la police et de la gendarmerie nationales – au cours desquels nous avons identifié qu’il était complexe de compléter rapidement et efficacement la formation des plus de 100.000 personnels concernés. Il s’agit des policiers et des gendarmes, dans les brigades de gendarmerie et les commissariats notamment, et qui accueillent un public de plus en plus souvent victime d’infractions liées à Internet ou à l’outil numérique, mais aussi dans des services spécialisés lorsqu’ils sont moins souvent confrontés à des infractions spécialisées.

Il a donc été décidé de proposer un module de formation à distance, qui aura l’avantage d’être facile à déployer, à mettre à jour et éventuellement à partager avec d’autres administrations françaises ou étrangères chargées de ce type d’investigations.

Formation en ligne sur l’analyse de Windows 7

Il s’agit ici tout simplement d’offrir un outil de référence permettant aux enquêteurs spécialisés déjà formés (NTECH dans la gendarmerie et ICC dans la police) de mettre à jour leurs connaissances sur les spécificités de Windows 7. Jusqu’à présent nous diffusions ce type de formations complémentaires lors des réunions annuelles (mais tous ne peuvent y assister) ou par la diffusion de documentations.

Ici encore, le produit sera partagé avec nos partenaires européens.

Projet de recherches sur la détection d’intrusions distribuée

Ce dernier projet est un travail collectif qui sera mené sur 18 mois pour permettre le test de méthodes permettant la détection d’intrusions dans des grands réseaux grâce à des méthodes distribuées, avec le souci de rendre les implémentations compatibles avec les besoins de l’investigation numérique.

Ces premières descriptions de nos travaux vous montre, je l’espère, la variété des activités que nous souhaitons développer dans le cadre de cette préfiguration du centre d’excellence français contre la cybercriminalité et l’intérêt de faire travailler ensemble des acteurs provenant de différents univers (services d’enquête, monde académique, entreprises).

2 juillet 2011 by Éric Freyssinet Cybercriminalité Formation Sécurité 1

SSTIC – Jour 3 (mise à jour 15:45)

Suite de mes notes !

RRABIDS, un système de détection d’intrusion pour les applications Web Ruby on Rails

Romaric Ludinard, Loïc le Hennaf, Eric Totel, Supélec

Projet ANR DALI. Outil Daikon, détecteur d’invariants dynamique. Mais il faut réduire le nombre d’invariants en ne s’intéressant qu’à celles qui dépendent des entrées utilisateurs, grâce à la notion de taint checking (propagation d’une marque apposée). Ensuite, il faut « tisser » dans le code la détection associée à ces invariants. Le coût en nombre de lignes et donc en temps d’exécution est important.

Il leur reste encore à améliorer l’apprentissage (diminution du nombre de faux positifs). Démonstration sur l’application confiée par un client.

Usages offensifs de XSLT

Nicolas Grégoire, Agarri

XSLT réel langage de programmation W3C (permet de transformer automatiquement des structures de données XML en page HTML à partir d’un fichier de transformation). L’objectif des travaux de l’auteur est de découvrir des exploits autour de cette technologie. Ils ont été conduits sur plusieurs moteurs XSLT généralistes et spécifiques. Les risques identifiés sont essentiellement du côté des extensions propriétaires (LibXSLT, Xalan-J et Altova).

Exemples de vulnérabilités: sous libxslt (produits Apple, RIM, distributions Linux à cause du moteur de rendu Webkit et Chrome n’est pas vulnérable), il est possible d’écrire un fichier dans le système attaqué. PHP5 (toujours impacté aujourd’hui).

En résumé, beaucoup de boulot en vue pour les éditeurs d’applications XSLT.

Conférence invitée: Faille de sécurité ou défaut de sécurité

Eric Barbry, Cabinet Alain Bensoussan

Conséquences pénales d’une mauvaise sécurité (article 34 de la loi informatique et libertés). Eric souligne un intérêt croissant de la CNIL pour ces questions. Un guide de la CNIL est disponible ici. Sans oublier les autres obligations (226-22 du code pénal sur la divulgation de données personnelles, 226-13 sur la révélation de secrets).

La victime finale (celle dont les données ont été détournées) est elle victime du professionnel négligent ou de l’auteur de l’intrusion ? Mais pour une affaire comme celle de Sony, les conséquences sont innombrables dans de nombreux domaines (communication et image, remboursements, contrôles. enquêtes…).

Eric évoque ensuite le projet d’ordonnance qui doit implémenter les notifications obligatoires d’incidents de sécurité touchant les opérateurs et d’autres acteurs, mesure issue d’une des directives du Paquet télécoms (on en reparlera). PDF du projet d’ordonnance (voir l’article 38) qui est l’objet actuellement d’une consultation publique.

Typologie des attaques contre nos libertés online

Jérémie Zimmermann, La Quadature du Net

Neutralité du net. Vision d’un Internet comme bien commun. J. Z. définit les attaques comme toute limitation à la possibilité de publier ou d’accéder (aux services, aux contenus,…). Protection des gouvernements autoritaires, protection par les gouvernements des intérêts sectoriels, attaquants purement industriels. Le biais serait parfois législatif ou parfois en contournant les législations. Les vecteurs seraient multiples: inconscient collectif (peurs), complexité et opacité, contournement des chemins traditionnels. Il décrit ensuite des contre-mesures: observer, démontrer.

(Beaucoup d’attaques contre le blocage des sites pédopornographiques, cf. mes articles précédents sur le sujet).

Système de stockage en ligne de photos avec confidentialité des données personnelles

L. Montalvo, S. Defrance, F. Lefebvre, N. Le Scouarnec, P. Perez, Technicolor

La gestion des doublons permettrait d’optimiser le stockage. Confidentialité des données: si l’utilisateur chiffre les informations stockées, l’hébergeur ne pourra pas supprimer les doublons. Le principe du chiffrement convergent est discuté.

Se pose la question de chercher des images similaires, sans avoir accès au contenu chiffré. Les fonctions de hachage classique ne fonctionnent évidemment pas: plutôt fonctions de hachage visuel (empreinte plutôt que digest). Deux grandes classes d’algorithmes sont documents: globales ou locales (+ lentes et robustes contre quasi toutes les distorsions). Elles font un focus sur les points d’intérêt. Si statistiquement le nombre d’empreintes communes entre deux images est important, on dira que les images sont similaires.

Ces fonctions posent deux problèmes: performance et introduction d’une nouvelle faille (sur la confidentialité). Les fonctions les plus efficaces sont les fonctions SIFT classiquement documentées. Toutefois, il est démontré qu’à partir de nombreuses empreintes on peut reconstruire partiellement les images: l’invertibilité n’est pas garantie. On va donc combiner avec la fonction de hachage VLAD (vector of locally aggregated descriptors).

Un framework de fuzzing pour cartes à puces, application au protocole EMV

Julien Lancia (site web), CESTI-SERMA Technologies

EMV est la spécification des cartes bancaires à puce diffusées actuellement. Fuzzing: technique de tests en boîte noire, ici par blocs. Framework Sulley, étendu pour générer des données au modèle EMV, une interface pour les cartes à puce et des spécifications pour la détection d’incidents réussis.

Sulley est dédié au départ au fuzzing de protocoles réseau. Pour la transmission des données, la couche de communication a été remplacée par une API métier TRITON.

Sur 12 produits, 6 ont eu des résultats: anomalies sécuritaires (remise à zéro de compteur avant vérification online) et anomalies fonctionnelles.

Développements futurs: sortir de la spécification stricte, inclusion des spécifications Monéo ou fuzzing des couches basses. Ces techniques pourraient être intégrées en amont au niveau du développement.

Conférence invitée de clôture

Hervé Schauer, HSC

Revue de la philosophie sur le débat liberté-sécurité, repositionné sur la SSI. Constat rétrospectif d’inachèvement: la sécurité aurait peu progressé.

10 juin 2011 by Éric Freyssinet Conférences Sécurité 0

SSTIC – Jour 2 (mise à jour 18:00)

Mes notes de la deuxième journée (ce ne sont que des notes et je prie d’avance les lecteurs de m’excuser si elles ne sont pas claires).

Attaques DMA peer-to-peer et contre-mesures

Fernand Lone-Sang (et Loïc Duflot, Vincent Nicomette, Yves Deswarte)

Il s’agit d’attaques ciblant la mémoire des contrôleurs eux-mêmes et non la mémoire centrale du système. Le contrôleur utilisé pour l’attaque est un contrôleur Firewire. Les tests ont été effectués sur cinq chipsets (Lakeport, Eaglelake et Tylersburg). Noyau d’attaque Linux 64 bits recompilé pour retirer protections sur /dev/mem. dd est ensuite utilisé pour copier la mémoire des contrôleurs. L’architecture de la machine attaquante est classique.

Les chipsets Eaglelake et Lakeport ont des comportements similaires.

Une démonstration a été réalisée pour copier la mémoire de la carte graphique, qui apparaissent quasi en temps réel.

Contre-mesures possibles:

I/O MMU (In/Out Memory Management Unit) qui permet de l’isolation entre les régions de mémoire des contrôleurs, restreint l’accès des contrôleurs à leurs domaines respectifs. Implémenté au sein du northbridge dans les chipsets Intel. Certains chipsets AMD intègrent un I/O MMU dans le southbridge.
Access control services (ACS): définissent des points de contrôle sur les bus d’E/S. Apparus récemment dans des chipsets Intel x58, désactivés par défaut. Leur activation peut interférer avec certains pilotes de périphériques.

Sticky fingers & KBC Custom Shop

Alexandre Gazet, ESEC Sogeti

De très nombreuses « offres » vendant des mots de passe BIOS « maîtres » qui correspondraient à tel ordinateur. L’orateur découvre dans ses recherches le source d’un générateur de mot de passe correspondant à son ordinateur.

Ses recherches le mènent sur différents forums (mydigitallife.info, csdn.net…) et à adapter Metasm pour prendre en compte le processeur du contrôleur clavier (qui s’avère être un ARCompact).

Cela lui permet d’aller plus loin dans l’analyse du contrôleur de clavier. Il parvient notamment à forcer des mises à jour de la ROM du contrôleur clavier. Il procède ensuite à un débridage de la commande de lecteur pour un accès complet à la ROM et à la RAM du contrôleur clavier, ajouter un loggeur de commandes et une commande d’écriture en RAM.

Il ouvre la voie à l’exécution de code dans le SMM grâce à l’exploitation d’une faille dans le dialogue entre le contrôleur clavier et le handler SMI. Pour la démonstration il parvient à ajouter des fonctions à l’interface 0xB2 pour rendre accessible la SMRAM.

La fonction vulnérable est appelée à chaque démarrage par le BIOS, furtive (tout en mémoire), persistante (même en cas de réinstallation).

« Ça ne sert à rien. », conclut-il. C’est quand même intéressant de démontrer qu’on peut explorer le fonctionnement des contrôleurs les plus simples et même y découvrir des failles qui ont un impact potentiel sécuritaire sur le fonctionnement central d’un PC et envisager des compromissions en cascade.

Virtualisation d’un poste physique depuis le boot

Stéphane Duverger, EADS Innovation Works

Leçons tirées du développement d’un hyperviseur de type 1 (sans système hôte), Ramooflax. L’objectif de ce travail est d’avoir des méthodes d’observation du fonctionnement d’un OS, y compris d’interagir en direct avec les process en cours (démo de débug en direct avec IDA).

Résultat du challenge SSTIC

Axel Tillequin, EADS, présente sa solution du challenge SSTIC 2011

Attacking and Fixing PKCS#11 Security Tokens with Tookan

Graham Steel (@graham_steel)

Conférence initiale en novembre 2010.

PKCS 11 décrit une interface pour les « tokens » d’authentification (clé USB, carte à puce,…). Les clés sont stockées dans le dispositif, protégées par un PIN.

Explication et démonstration de l’utilisation de Tookan pour tester les vulnérabilités de tels dispositifs de sécurité qui autoriseraient l’accessibilité en clair à des secrets théoriquement protégés dans celui-ci.

Beaucoup de produits ont montré des vulnérabilités (voir le site de Tookan)…

Peut-on éteindre l’Internet?

Stéphane Bortzmeyer (blog, @bortzmeyer)

Méthodes citées:

Couper les câbles – coûteux en main-d’oeuvre, réparable, difficile à faire sur une grande échelle
Trouver une 0-day, par exemple dans le code d’IOS (Cisco) – mais il faudrait des vulnérabilités multiples (plusieurs équipementiers) et l’attaque impose de ne pas couper l’Internet pour qu’elle puisse se propager
Attaque en déni de service – il faut cibler des ressources essentielles (par exemple la racine du DNS)
Action autoritaire (exemple de certains pays récemment coupés de l’Internet pendant plusieurs jours)

… facile donc de perturber l’Internet, essentiellement localement et pour un temps finalement assez court.

Pour améliorer la résilience:

Repenser Internet? Mais on se heurtera aux mêmes types de défauts intrinsèques aux systèmes complexes.
Réglementer?

S. Bortzmeyer croit plus en:

La redondance physique (éviter les points de défaillance unique – SPOF);
Ecrire des logiciels sans bogues – en tous cas direction à prendre;
Coordination des acteurs;
Action politique (au sens d’éviter des politiques de censure).

Architecture DNS sécurisée

Guillaume Valadon, Yves-Alexis Perez, ANSSI

Nota: l’ANSSI recrute 🙂

Présentation de DNSSEC (voir aussi article Wikipédia, ou un article précédent de S. Bortzmeyer).

L’enregistrement NSEC (Next SECure) a pour but de signer des enregistrements qui n’existent pas, afin d’éviter des usurpations non signées. La première solution fut d’énumérer ce type d’enregistrements manuellement. NSEC 3 (RFC 5155 ou sur le blog de S. Bortzmeyer) est une évolution dans laquelle des empreintes cryptographiques sont utilisées à la place des noms.

Rump sessions (extraits)

Billetterie du SSTIC, Nicolas Bareil & Fabrice Desclaux. Signature HMAC-SHA1 du QR Code. Billet produit en Latex/Tikz, généré en Python.

XSS, Erwan Abgrall. Projet ANR DALI. Distinction payload/vecteur. Envisage fingerprinting grâce à ces résultats sans tenir compte du navigateur.

Digital forensics XML, Christophe Grenier. Format créé par Simson Garfinkel simsong@amg.org. Utilisé par scalpel, frag_find, photorec, ewfinfo, md5deep (*deep).

Audits techniques et analyses de risque, Pôle national de compétence SSI Education nationale. Méthodologie maison.

Référentiel d’exigences applicables aux prestataires d’audit de la SSI. ANSSI.

AirScan, Raphaël Rigo. Détecteur de points d’accès Wifi sous Nintendo DS. http://syscall.eu/

Orchids IDS opensource – http://www.lsv.ens-cachan.fr/orchids/

Incident response methodology, Jean-Philippe Teissier, CertSG.

Hack de couteau suisse USB auto-destructeur. 🙂

DGA/MI recrute aussi.

Usages offensifs de XSLT, Nicolas « Nicob » Grégoire.

9 juin 2011 by Éric Freyssinet Conférences Sécurité 3

La légitime défense numérique – Le Cercle

Le Cercle européen de la sécurité des systèmes d’information organisait jeudi 28 avril 2011 à 18 heures une table ronde sur le thème de la légitime défense numérique.

Le débat était animé par Yann Le Bel de la SNCF, et rassemblait Guillaume Tissier de CEIS et Philippe Langlois de P1Sec.

Guillaume Tissier a d’abord résumé le contexte actuel des attaques contre les systèmes d’information, de la cybercriminalité et de la cybersécurité en général, en soulignant les risques particuliers auxquels sont confrontées aujourd’hui notamment les entreprises. Ensuite il a rappelé le cadre juridique de la légitime défense.

Sur le plan pénal, le concept de légitime défense est défini comme une exception, au travers d’une cause d’irresponsabilité. Ainsi dans l’article 122-5 du code pénal il est indiqué:

N’est pas pénalement responsable la personne qui, devant une atteinte injustifiée envers elle-même ou autrui, accomplit, dans le même temps, un acte commandé par la nécessité de la légitime défense d’elle-même ou d’autrui, sauf s’il y a disproportion entre les moyens de défense employés et la gravité de l’atteinte.

N’est pas pénalement responsable la personne qui, pour interrompre l’exécution d’un crime ou d’un délit contre un bien, accomplit un acte de défense, autre qu’un homicide volontaire, lorsque cet acte est strictement nécessaire au but poursuivi dès lors que les moyens employés sont proportionnés à la gravité de l’infraction.

Ainsi, s’agissant dans le domaine de la sécurité sur les réseaux (et en particulier Internet), c’est le plus souvent le second alinéa qui est concerné. Et le but de la légitime défense des biens ainsi défini est limité à l’accomplissement d’un acte de défense, en vue d’interrompre l’exécution du crime ou du délit contre ce bien. Je suis intervenu à la fin du débat pour rappeler que dans tous les cas imaginables aujourd’hui, la véritable légitime défense sur Internet est difficilement applicable puisqu’on pourra soit prendre des mesures pour se protéger qui ne constitueraient pas des infractions (détourner le trafic qui vous attaque par exemple) ou tout simplement déconnecter le système (comme l’a fait Sony la semaine passée), faisant ainsi cesser l’atteinte.

Dans un contexte international, la charte des Nations Unies, à son article 51, a encore rappelé Guillaume Tissier, énonce le principe suivant:

Aucune disposition de la présente Charte ne porte atteinte au droit naturel de légitime défense, individuelle ou collective, dans le cas où un Membre des Nations Unies est l’objet d’une agression armée, jusqu’à ce que le Conseil de sécurité ait pris les mesures nécessaires pour maintenir la paix et la sécurité internationales. Les mesures prises par des Membres dans l’exercice de ce droit de légitime défense sont immédiatement portées à la connaissance du Conseil de sécurité et n’affectent en rien le pouvoir et le devoir qu’a le Conseil, en vertu de la présente Charte, d’agir à tout moment de la manière qu’il juge nécessaire pour maintenir ou rétablir la paix et la sécurité internationales.

Il s’agit bien ici d’offrir la possibilité aux Etats de répondre légitimement à une agression armée. Il sera tout de même très difficile pour l’instant de qualifier d’attaque armée une atteinte numérique, sauf si elle est de nature à porter atteinte de façon grave à la sécurité des personnes et des biens ou à l’intégrité d’un territoire.

Guillaume Tissier a aussi dressé une liste des types de réponse qu’il était possible d’envisager, en soulignant qu’il n’était pas nécessaire de toujours envisager d’aller jusqu’à des actes agressifs, mais qu’il était possible par exemple d’envisager des mesures judiciaires adaptées – y compris de nature à faire complètement cesser l’activité d’un attaquant grâce à la saisie de ses matériels ou l’interruption des services qui lui permettre de commettre ses attaques, ou des mesures de collecte de preuve, pour faciliter l’identification des auteurs de ces faits.

Philippe Langlois quant à lui a cité un certain nombre de cas concrets d’acte de rétorsion numérique suite à ce qui peut être considéré comme une attaque. Le cas de la société HBGary qui s’est vu sérieusement mise en défaut dans la gestion de sa propre sécurité, après s’en être prise aux Anonymous publiquement est un de ces cas. On pourrait aussi citer le cas récent du réseau des Playstation de Sony (voir l’article le plus récent de Numérama), dont l’agression pourrait être une réponse de certains groupes d’attaquants à l’attitude de cette société face à un chercheur indépendant (George Holtz) qui a mis à mal la sécurité de sa console la plus récente (voir l’article de 01Net). Philippe a aussi souligné le risque d’une véritable escalade des réponses entre les belligérants, comme l’un des risques principaux d’une riposte numérique suite à une agression.

Philippe a aussi indiqué, que techniquement il était évidemment possible dans beaucoup de situations – et dans l’esprit de la gamme de réponses possible évoquée par Guillaume Tissier, de prendre des mesures non agressives vis à vis de l’attaquant, en temps réel, de manière à plus facilement l’identifier, grâce à la prise d’une empreinte de l’attaque ou en se connectant simplement avec l’hôte à l’origine de l’attaque si le protocole utilisé le permet.

Enfin, comme l’a rappelé Lazaro Pejsachowicz dans la salle, il n’est pas acceptable d’envisager la légitime défense sous la forme d’une vengeance, il est absolument nécessaire de rapidement impliquer les autorités judiciaires suite à une attaque pour que la collecte de preuves s’exerce dans de bonnes conditions et que l’action légale soit efficace et rapide.

L’autre sujet qui n’a pas été abordé – il me semble – dans le débat, est le recours à une réponse numérique suite à une agression physique. Cela fait partie très clairement des outils dont pourrait se doter un Etat dans le cadre de sa légitime défense au sens de la charte des Nations Unies évoquée plus haut. Et – pourquoi pas – cela pourrait constituer une hypothèse intéressante dans le cadre de la légitime défense des personnes et des biens contre une agression physique, par exemple en se dotant d’outils pour rendre inopérants les commandes d’un véhicule qui foncerait sur une foule.

Jérôme Saiz, Security Vibes a fait un compte-rendu du débat.

Merci au Cercle pour l’organisation de cette soirée qui a continué autour d’un buffet indispensable au réseautage interpersonnel.

30 avril 2011 by Éric Freyssinet Conférences Cybercriminalité Juridique Sécurité 1

Du spam agressif qui se propage par Skype ?

Il y a quelques minutes j’ai reçu directement dans mon client Skype un message d’un interlocuteur qui n’est pas dans ma liste de contacts. Le message contient un texte assez classique pour inciter l’utilisateur à mettre à jour son ordinateur suite à une infection supposée:

Le message incite aussi à rajouter cet utilisateur parmi ses contacts.

Son pseudo dans mon cas: instruction.upd.6 et le lien proposé pour « réparer » mon système d’exploitation « www.updatetn.com ». Le client que j’utilise est le client Skype pour Linux qui n’est malheureusement pas particulièrement tenu à jour par la société qui le développe et qui est toujours en version « bêta ».

Ce nom de domaine a été enregistré le 26 février 2011 (aujourd’hui) par un certain Mario Lipak en République Tchèque grâce aux services de la société Enom:

Domain Name: UPDATETN.COM
Registrar: ENOM, INC.
Whois Server: whois.enom.com
Referral URL: http://www.enom.com
Name Server: DNS1.NAME-SERVICES.COM
Name Server: DNS2.NAME-SERVICES.COM
Name Server: DNS3.NAME-SERVICES.COM
Name Server: DNS4.NAME-SERVICES.COM
Name Server: DNS5.NAME-SERVICES.COM
Status: clientTransferProhibited
Updated Date: 26-feb-2011
Creation Date: 26-feb-2011
Expiration Date: 26-feb-2012

>>> Last update of whois database: Sat, 26 Feb 2011 12:58:30 UTC <<<
[…]
Registration Service Provided By: Unpicked.com
Contact: support@unpicked.com
Visit: http://www.unpicked.com

Domain name: updatetn.com

Registrant Contact:
–
Mario Lipak ()

Fax:
Haria 55
Referral URL:www.unpicked.com
Prague, CZ 44300
CZ

Administrative Contact:
–
Mario Lipak (mariolipak@gmail.com)
+420.2495614
Fax: +420.2495614
Haria 55
Referral URL:www.unpicked.com
Prague, CZ 44300
CZ

Technical Contact:
–
Mario Lipak (mariolipak@gmail.com)
+420.2495614
Fax: +420.2495614
Haria 55
Referral URL:www.unpicked.com
Prague, CZ 44300
CZ

Status: Locked

Name Servers:
dns1.name-services.com
dns2.name-services.com
dns3.name-services.com
dns4.name-services.com
dns5.name-services.com

Creation date: 26 Feb 2011 07:33:00
Expiration date: 26 Feb 2012 02:33:00
[…]

Mise à jour 14:00

En fonction de la façon dont on se connecte à ce site, le visiteur est redirigé vers une page PHP particulière. Celle-ci contient des informations vous faisant croire que votre ordinateur a été infecté (et qui dans ce cas est fabriquée pour ressembler à une fenêtre classique de Windows) :

et charge aussi cette boîte d’avertissement:

Enfin, si vous cliquez sur l’un des messages, vous êtes redirigé vers un site d’achat en ligne http://secureonlinestore.net/… soit un nom de domaine qui ressemble au précédent par son parcours d’enregistrement, mais qui est référencé auprès d’un client habitant en Lituanie:

Domain Name: SECUREONLINESTORE.NET
Registrar: ENOM, INC.
Whois Server: whois.enom.com
Referral URL: http://www.enom.com
Name Server: DNS1.NAME-SERVICES.COM
Name Server: DNS2.NAME-SERVICES.COM
Name Server: DNS3.NAME-SERVICES.COM
Name Server: DNS4.NAME-SERVICES.COM
Name Server: DNS5.NAME-SERVICES.COM
Status: clientTransferProhibited
Updated Date: 04-feb-2011
Creation Date: 04-feb-2011
Expiration Date: 04-feb-2012

>>> Last update of whois database: Sat, 26 Feb 2011 13:32:20 UTC <<<

[…]
Registration Service Provided By: Unpicked.com
Contact: support@unpicked.com
Visit: http://www.unpicked.com

Domain name: secureonlinestore.net

Registrant Contact:
SecureOnlineStore Inc.
Andrew Bradley ()

Fax:
53/54, Latviu st
Referral URL:www.unpicked.com
Vilnius, LI 2600
LT

Administrative Contact:
SecureOnlineStore Inc.
Andrew Bradley (abradley@asia.com)
37052725555
Fax: 37052725555
53/54, Latviu st
Referral URL:www.unpicked.com
Vilnius, LI 2600
LT

Technical Contact:
SecureOnlineStore Inc.
Andrew Bradley (abradley@asia.com)
37052725555
Fax: 37052725555
53/54, Latviu st
Referral URL:www.unpicked.com
Vilnius, LI 2600
LT

Status: Locked

Name Servers:
dns1.name-services.com
dns2.name-services.com
dns3.name-services.com
dns4.name-services.com
dns5.name-services.com

Creation date: 04 Feb 2011 10:22:00
Expiration date: 04 Feb 2012 05:22:00

Et en réalité ce site ouvre une fenêtre (IFRAME) sur un site de commerce électronique beaucoup plus ~~recommandable~~ connu (Swreg/Digital River), pour le produit « Computer Repair service – Virus/Spyware & Malware Removal – Instant Online Repair » et un mondant de €15.29 (ou $19.95) avec une référence d’affiliation particulière (affil5777) qui doit être la référence de celui qui a diffusé ce spam via Skype.

Il s’agit évidemment de nous vendre du vent… Peut-être la suite nous en dira plus sur quel est le commerçant un peu douteux derrière ce stratagème.

En guise de première conclusion quelques conseils

Méfiez-vous des inconnus qui vous contactent sur vos logiciels de messagerie instantanée
Ne cliquez pas sur un lien sans être certain de sa provenance et de la volonté de celui qui vous l’envoie de le partager.
Utilisez les fonctions de vos logiciels de messagerie instantanée permettant de bloquer ou de signaler en comme émetteur de spam un contact malveillant.
Ne faites jamais confiance aux sites Web qui vous signalent que votre ordinateur est contaminé par des dizaines de logiciels malveillants.
N’installez ou n’achetez que des logiciels de sécurité (antivirus, antispyware, etc…) pour lesquels vous avez lu des recommandations provenant de publications sérieuses.

Mise à jour 17:40

En faisant quelques recherches sur le nom de ce service ou logiciel « Computer Repair service – Virus/Spyware & Malware Removal – Instant Online Repair » on tombe sur un nombre de sites qui se ressemblent dans leur fonctionnalité, mais pas forcément dans leur mise en page ou leur contenu. A chaque fois il s’agit de vous offrir un service d’assistance en ligne pour réparer votre PC en cas d’incident, dont certains correspondent à ce prix de $19.95. Ces services sont-ils sérieux ? Certains semblent exister depuis longtemps, d’autres depuis très peu de temps.

Dans le cas qui nous préoccupe on est directement amené sur une page de paiement, sans explication sur la nature ou du service proposé. Arnaque en vue donc!

26 février 2011 by Éric Freyssinet Cybercriminalité Sécurité 3

Dragon de Nuit contre industries de l’énergie

Dans un document publié le 9 février 2011, les spécialistes de la société McAfee soufflent sur les braises qui aurait été allumées par un mystérieux groupe de cybercriminels dont les activités ont été surnommées « Night Dragon ». La Chine est pointée du doigt comme étant la base arrière de ces attaques, mais il semblerait qu’il faille regarder ce rapport comme une alerte utile sur les risques réels auxquels sont confrontés les systèmes d’information des entreprises tous les jours, plutôt qu’une véritable opération coordonnée.

La présentation qu’en fait George Kuntz (@george_kurtzcto, le chief technology officer de McAfee), le même jour, nous apprend que des attaques commencées en novembre 2009 auraient ciblé différentes entreprises pétrolières, pétrochimiques ou œuvrant dans le domaine de l’énergie. Ces attaques suivraient un parcours assez classique, en obtenant d’abord des accès sur les extranets des sociétés, puis compromettant les machines situées à l’intérieur des réseaux des entreprises pour finir par subtiliser des données confidentielles, en exploitant l’ingénierie sociale ou différentes failles :

Schéma des attaques proposé par McAfee

L’analyse qu’ils ont réalisée de ces attaques qui d’abord ne font que se ressembler, et en particulier des signatures des outils utilisés pour les réaliser, leur ont permis de tisser des relations d’abord techniques entre ces évènements. Toujours selon l’analyse de McAfee, ces attaques seraient exclusivement d’origine chinoise, et ils mettent notamment en avant la présence des outils utilisés sur des forums où sévissent uniquement des « crackers » chinois (apparemment on y rencontre aussi des spécialistes de chez McAfee 🙂 ), ou les créneaux horaires correspondant aux pics d’activité.

Le 17 février prochain, George Kurtz et Stuart McClure (@hackingexposed) présenteront notamment les résultats qui sont ici dévoilés lors de la Conférence RSA 2011.

Cette annonce n’est pas sans rappeler l’annonce du ver Stuxnet au début de l’été 2010, en ce qu’il s’agit de s’en prendre ici à des industries de l’énergie, mais cela semble être le seul point commun, puisque les systèmes de commande industrielle (SCADA) ne sont pas au coeur de l’attaque. Il s’agirait plus classiquement d’opérations visant à collecter des secrets dans ces entreprises.

Ce n’est pas non plus la première fois que la Chine est accusée d’être à l’origine d’attaques de grande envergure, comme en septembre 2007 lorsque le Pentagone américain accusait le gouvernement chinois d’avoir organisé des agressions graves contre leurs systèmes informatiques ou lorsque Google, en Janvier 2010, accusait le gouvernement chinois d’avoir commandité des attaques contre ses systèmes pour y voler des données confidentielles (l’opération a été surnommée Aurora). Il faut avouer qu’avec plus de 400 millions d’internautes et une éducation technique avancée, il est logique que la Chine, comme d’autres pays soient à l’origine de nombre d’attaques. Beaucoup de spécialistes toutefois rappellent que les ordinateurs chinois, nombreux et pas toujours parfaitement sécurisés, pourraient aussi servir de paravent à des attaques provenant d’autres régions du Monde.

Sur le blog de Sophos, Fraser Howard, questionne l’analyse et les preuves présentées par McAfee. Le regroupement sous une même bannière du « Dragon de Nuit » des logiciels malveillants utilisés lui semble pour l’instant artificielle, même si ces attaques ont bien eu lieu. Il n’est notamment pas démontré que celles-ci ciblent plus particulièrement l’industrie de l’énergie, peut-être cela est-il le résultat d’une détection plus précoce dans ces entreprises, qui ont fait appel à McAfee.

En conclusion, comme beaucoup de commentateurs, je dirais que la publication de ce rapport vient surtout nous rappeler la nécessité de correctement sécuriser les réseaux des entreprises (sensibilisation des utilisateurs, utilisation de logiciels de sécurité et notamment d’antivirus, si l’enjeu le justifie outils de détection d’intrusion, etc.), c’est d’ailleurs très certainement l’objectif de McAfee : démontrer au travers d’un exemple particulier l’importance de la menace. Mais peut-être des informations à venir, non encore révélées par McAfee viendront-elles soutenir la thèse d’une véritable opération « Night Dragon ».

15 février 2011 by Éric Freyssinet Cybercriminalité Sécurité 1

Les dix ans des Assises de la sécurité et des systèmes d’information

Les Assises de la sécurité et des systèmes d’information tenaient leur dixième édition à Monaco du 06 au 09 octobre 2010. Cet événement rassemble des RSSI de toute la France, des fournisseurs de solutions de sécurité et plus généralement la communauté de la sécurité des systèmes d’information.

Organisées assez classiquement autour d’un salon, où les exposants présentent leurs solutions, les assises sont rythmées par des séances plénières avec quelques invités prestigieux et des ateliers qui abordent les problématiques de la sécurité sous différents angles parfois très concrets ou plus simplement pour présenter des prestations ou des produits. Je dois avouer que j’étais évidemment plus intéressé par les présentations plus concrètes, mais la communauté des RSSI a aussi et sûrement besoin de mieux connaître et discuter les offres existant sur le marché.

Les séances plénières auxquelles j’ai pu assister :

Enrique Salem, CEO de Symantec, nous a présenté sa vision des usages numériques d’aujourd’hui et demain et de leurs conséquences sur la sécurité ;
Eugène Kaspersky (qui a laissé tomber la barbe!), fondateur et président de Kaspersky Lab, nous a livré sa vision de la cybercriminalité aujourd’hui et de la réponse qu’il recommande: une police mondiale de l’Internet et l’identification sécurisée de toutes les personnes qui publient de l’information ou achètent sur Internet. J’en reparlerai sûrement.
« Dix ans de risque informatique… un regard vers le futur immédiat ». Cette table ronde réunissait Alex Türk, sénateur du Nord et président de la CNIL, Michel Riguidel, chercheur à l’ENST et Hervé Schauer, président et fondateur de HSc. Une petite heure de réflexions passionnantes sur les défis des dix prochaines années en sécurité numérique. Ce que j’en retire principalement est qu’on n’est pas au bout de surprises, avec un Internet qui dans cinq ans ou dix ans ne ressemblera plus à celui que nous connaissons aujourd’hui; l’individu et sa protection et la protection des Etats seront vraisemblablement les sujets majeurs de la sécurité numérique des prochaines années, tout autant que la protection des intérêts économiques des entreprises.
Et en clôture la simulation du procès pénal des réseaux sociaux. Il s’agissait ici de réfléchir avec l’auditoire sur les risques d’un usage mal informé des réseaux sociaux, des abus de certaines de ces plateformes et de l’exploitation qui peut en être faite par les criminels. Beaucoup de rires dans cette simulation du procès du mystérieux « Raizosocio », mais aussi tous les instruments d’une réflexion à poursuivre, merci à tous les « acteurs » !

Parmi les présentations auxquelles j’ai assisté, je citerais :

Un atelier organisé par Fortinet pour présenter les enjeux de la SSI dans des groupes à dimension mondiale et comparer les points de vue d’Areva et d’Alstom. Peu de surprises, mais une bonne synthèse des enjeux.
Les faux antivirus étaient illustrés par Nicolas Brulez (@nicolasbrulez) de Kaspersky Labs : une présentation vivante et très complète. A noter au passage la confirmation dans ses travaux qu’il y a parfois automatisation des processus d’empoisonnement des moteurs de recherche (j’en parlais en début d’année ici).
Une démonstration d’ingénierie sociale facilitée par les réseaux sociaux, faite par Arnauld Mascret de Sogeti ESEC R&D.

Enfin, le prix de l’innovation a été créé en 2006 et récompensait pour sa cinquième édition une jeune entreprise que nous connaissons bien: Arxsys. Créée par 4 anciens élèves de l’Epitech, Arxsys a pour ambition de développer une offre autour de l’investigation numérique, grâce au développement d’une plateforme opensource dédiée à cette mission, le Digital forensics framework et de services adaptés aux différents utilisateurs (forces de police et entreprises notamment lors des réponses à incident). Leur plateforme est désormais bien aboutie, et j’invite toute la communauté de l’investigation numérique à la tester rapidement, et à contribuer aux développements opensource. J’espère que cette initiative fera naître d’autres projets innovants français (et pourquoi pas opensource) au service de l’investigation numérique. Bravo à eux pour ce Prix !

Les rencontres dans les allées des Assises, lors des événements sociaux, dans les ateliers ont permis certainement à tous de nombreux échanges. En tous cas, j’ai personnellement pu avoir de longues heures de discussions passionnantes cette semaine et quelques nouvelles idées dans ma besace. Merci aux organisateurs !

9 octobre 2010 by Éric Freyssinet Criminalistique numérique Cybercriminalité Prospective Sécurité 2

Stuxnet / CPLink la situation ne s’arrange pas

Mise à jour 03/08/2010: Microsoft diffuse un modificatif de sécurité répondant à l’alerte. Plus d’information dans leur bulletin de sécurité MS10-046.

Aujourd’hui, Graham Cluley (Sophos) attire notre attention depuis son blog sur les mises à jour récentes de la page d’incident mise en place par Microsoft sur cette vulnérabilité:

Ainsi, il serait possible pour l’attaquant de mettre en place un site Web présentant ces raccourcis problématiques ou bien les insérer dans un document (notamment de la suite Microsoft Office).

Les vers Stuxnet

Les plus curieux d’entre vous liront l’article que Symantec a consacré au fonctionnement du ver Stuxnet lui-même.

Se protéger ?

A ce jour, les mesures de protection conseillées par Microsoft, si elles fonctionnent, ne sont pas forcément les plus pratiques car elles empêchent de distinguer les icônes auxquelles les usagers sont familiers. Rappelons que deux autres solutions sont proposées (sur le blog de Didier Stevens):

la mise en place de règles locales de sécurité qui empêchent l’exécution de fichiers extérieurs au disque système C:\;
l’utilisation de son logiciel Ariad qui permet de contrôler finement l’ouverture automatique de fichiers depuis les supports amovibles ou externes.

Par ailleurs, pour Windows 7 et Windows 2008 R2, Cert-Lexsi propose l’utilisation d’Applocker.

Enfin, assurez-vous de disposer d’un antivirus à jour, ceux-ci doivent pour la plupart aujourd’hui être en mesure de détecter aussi bien des raccourcis qui exploiteraient cette vulnérabilité que les différents vers qui ont été identifiés dans la famille Stuxnet.

Articles de référence:

Malicious shortcuts: now documents and webpages are risky too, Graham Cluley, Sophos, 21/07/2010;
W32.Stuxnet installation details, Liam O Murchu, Symantec, 20/07/2010;
Vulnerability in Windows shell could allow remote code execution, Microsoft security advisory (2286198), 16/07/2010-20/07/2010;
.lnk vulnerability: Microsoft fix causes icon chaos, H-Online, 21/07/2010.

21 juillet 2010 by Éric Freyssinet Criminalistique numérique Cybercriminalité Sécurité 0