Sécurité

Dragon de Nuit contre industries de l’énergie

Dans un document publié le 9 février 2011, les spécialistes de la société McAfee soufflent sur les braises qui aurait été allumées par un mystérieux groupe de cybercriminels dont les activités ont été surnommées « Night Dragon ». La Chine est pointée du doigt comme étant la base arrière de ces attaques, mais il semblerait qu’il faille regarder ce rapport comme une alerte utile sur les risques réels auxquels sont confrontés les systèmes d’information des entreprises tous les jours, plutôt qu’une véritable opération coordonnée.

La présentation qu’en fait George Kuntz (@george_kurtzcto, le chief technology officer de McAfee), le même jour, nous apprend que des attaques commencées en novembre 2009 auraient ciblé différentes entreprises pétrolières, pétrochimiques ou œuvrant dans le domaine de l’énergie. Ces attaques suivraient un parcours assez classique, en obtenant d’abord des accès sur les extranets des sociétés, puis compromettant les machines situées à l’intérieur des réseaux des entreprises pour finir par subtiliser des données confidentielles, en exploitant l’ingénierie sociale ou différentes failles :

Schéma des attaques proposé par McAfee

L’analyse qu’ils ont réalisée de ces attaques qui d’abord ne font que se ressembler, et en particulier des signatures des outils utilisés pour les réaliser, leur ont permis de tisser des relations d’abord techniques entre ces évènements. Toujours selon l’analyse de McAfee, ces attaques seraient exclusivement d’origine chinoise, et ils mettent notamment en avant la présence des outils utilisés sur des forums où sévissent uniquement des « crackers » chinois (apparemment on y rencontre aussi des spécialistes de chez McAfee 🙂 ), ou les créneaux horaires correspondant aux pics d’activité.

Le 17 février prochain, George Kurtz et Stuart McClure (@hackingexposed) présenteront notamment les résultats qui sont ici dévoilés lors de la Conférence RSA 2011.

Cette annonce n’est pas sans rappeler l’annonce du ver Stuxnet au début de l’été 2010, en ce qu’il s’agit de s’en prendre ici à des industries de l’énergie, mais cela semble être le seul point commun, puisque les systèmes de commande industrielle (SCADA) ne sont pas au coeur de l’attaque. Il s’agirait plus classiquement d’opérations visant à collecter des secrets dans ces entreprises.

Ce n’est pas non plus la première fois que la Chine est accusée d’être à l’origine d’attaques de grande envergure, comme en septembre 2007 lorsque le Pentagone américain accusait le gouvernement chinois d’avoir organisé des agressions graves contre leurs systèmes informatiques ou lorsque Google, en Janvier 2010, accusait le gouvernement chinois d’avoir commandité des attaques contre ses systèmes pour y voler des données confidentielles (l’opération a été surnommée Aurora). Il faut avouer qu’avec plus de 400 millions d’internautes et une éducation technique avancée, il est logique que la Chine, comme d’autres pays soient à l’origine de nombre d’attaques. Beaucoup de spécialistes toutefois rappellent que les ordinateurs chinois, nombreux et pas toujours parfaitement sécurisés, pourraient aussi servir de paravent à des attaques provenant d’autres régions du Monde.

Sur le blog de Sophos, Fraser Howard, questionne l’analyse et les preuves présentées par McAfee. Le regroupement sous une même bannière du « Dragon de Nuit » des logiciels malveillants utilisés lui semble pour l’instant artificielle, même si ces attaques ont bien eu lieu. Il n’est notamment pas démontré que celles-ci ciblent plus particulièrement l’industrie de l’énergie, peut-être cela est-il le résultat d’une détection plus précoce dans ces entreprises, qui ont fait appel à McAfee.

En conclusion, comme beaucoup de commentateurs, je dirais que la publication de ce rapport vient surtout nous rappeler la nécessité de correctement sécuriser les réseaux des entreprises (sensibilisation des utilisateurs, utilisation de logiciels de sécurité et notamment d’antivirus, si l’enjeu le justifie outils de détection d’intrusion, etc.), c’est d’ailleurs très certainement l’objectif de McAfee : démontrer au travers d’un exemple particulier l’importance de la menace. Mais peut-être des informations à venir, non encore révélées par McAfee viendront-elles soutenir la thèse d’une véritable opération « Night Dragon ».

Les dix ans des Assises de la sécurité et des systèmes d’information

Les Assises de la sécurité et des systèmes d’information tenaient leur dixième édition à Monaco du 06 au 09 octobre 2010. Cet événement rassemble des RSSI de toute la France, des fournisseurs de solutions de sécurité et plus généralement la communauté de la sécurité des systèmes d’information.

Organisées assez classiquement autour d’un salon, où les exposants présentent leurs solutions, les assises sont rythmées par des séances plénières avec quelques invités prestigieux et des ateliers qui abordent les problématiques de la sécurité sous différents angles parfois très concrets ou plus simplement pour présenter des prestations ou des produits. Je dois avouer que j’étais évidemment plus intéressé par les présentations plus concrètes, mais la communauté des RSSI a aussi et sûrement besoin de mieux connaître et discuter les offres existant sur le marché.

Les séances plénières auxquelles j’ai pu assister :

Enrique Salem, CEO de Symantec, nous a présenté sa vision des usages numériques d’aujourd’hui et demain et de leurs conséquences sur la sécurité ;
Eugène Kaspersky (qui a laissé tomber la barbe!), fondateur et président de Kaspersky Lab, nous a livré sa vision de la cybercriminalité aujourd’hui et de la réponse qu’il recommande: une police mondiale de l’Internet et l’identification sécurisée de toutes les personnes qui publient de l’information ou achètent sur Internet. J’en reparlerai sûrement.
« Dix ans de risque informatique… un regard vers le futur immédiat ». Cette table ronde réunissait Alex Türk, sénateur du Nord et président de la CNIL, Michel Riguidel, chercheur à l’ENST et Hervé Schauer, président et fondateur de HSc. Une petite heure de réflexions passionnantes sur les défis des dix prochaines années en sécurité numérique. Ce que j’en retire principalement est qu’on n’est pas au bout de surprises, avec un Internet qui dans cinq ans ou dix ans ne ressemblera plus à celui que nous connaissons aujourd’hui; l’individu et sa protection et la protection des Etats seront vraisemblablement les sujets majeurs de la sécurité numérique des prochaines années, tout autant que la protection des intérêts économiques des entreprises.
Et en clôture la simulation du procès pénal des réseaux sociaux. Il s’agissait ici de réfléchir avec l’auditoire sur les risques d’un usage mal informé des réseaux sociaux, des abus de certaines de ces plateformes et de l’exploitation qui peut en être faite par les criminels. Beaucoup de rires dans cette simulation du procès du mystérieux « Raizosocio », mais aussi tous les instruments d’une réflexion à poursuivre, merci à tous les « acteurs » !

Parmi les présentations auxquelles j’ai assisté, je citerais :

Un atelier organisé par Fortinet pour présenter les enjeux de la SSI dans des groupes à dimension mondiale et comparer les points de vue d’Areva et d’Alstom. Peu de surprises, mais une bonne synthèse des enjeux.
Les faux antivirus étaient illustrés par Nicolas Brulez (@nicolasbrulez) de Kaspersky Labs : une présentation vivante et très complète. A noter au passage la confirmation dans ses travaux qu’il y a parfois automatisation des processus d’empoisonnement des moteurs de recherche (j’en parlais en début d’année ici).
Une démonstration d’ingénierie sociale facilitée par les réseaux sociaux, faite par Arnauld Mascret de Sogeti ESEC R&D.

Enfin, le prix de l’innovation a été créé en 2006 et récompensait pour sa cinquième édition une jeune entreprise que nous connaissons bien: Arxsys. Créée par 4 anciens élèves de l’Epitech, Arxsys a pour ambition de développer une offre autour de l’investigation numérique, grâce au développement d’une plateforme opensource dédiée à cette mission, le Digital forensics framework et de services adaptés aux différents utilisateurs (forces de police et entreprises notamment lors des réponses à incident). Leur plateforme est désormais bien aboutie, et j’invite toute la communauté de l’investigation numérique à la tester rapidement, et à contribuer aux développements opensource. J’espère que cette initiative fera naître d’autres projets innovants français (et pourquoi pas opensource) au service de l’investigation numérique. Bravo à eux pour ce Prix !

Les rencontres dans les allées des Assises, lors des événements sociaux, dans les ateliers ont permis certainement à tous de nombreux échanges. En tous cas, j’ai personnellement pu avoir de longues heures de discussions passionnantes cette semaine et quelques nouvelles idées dans ma besace. Merci aux organisateurs !

Stuxnet / CPLink la situation ne s’arrange pas

Mise à jour 03/08/2010: Microsoft diffuse un modificatif de sécurité répondant à l’alerte. Plus d’information dans leur bulletin de sécurité MS10-046.

Aujourd’hui, Graham Cluley (Sophos) attire notre attention depuis son blog sur les mises à jour récentes de la page d’incident mise en place par Microsoft sur cette vulnérabilité:

Ainsi, il serait possible pour l’attaquant de mettre en place un site Web présentant ces raccourcis problématiques ou bien les insérer dans un document (notamment de la suite Microsoft Office).

Les vers Stuxnet

Les plus curieux d’entre vous liront l’article que Symantec a consacré au fonctionnement du ver Stuxnet lui-même.

Se protéger ?

A ce jour, les mesures de protection conseillées par Microsoft, si elles fonctionnent, ne sont pas forcément les plus pratiques car elles empêchent de distinguer les icônes auxquelles les usagers sont familiers. Rappelons que deux autres solutions sont proposées (sur le blog de Didier Stevens):

la mise en place de règles locales de sécurité qui empêchent l’exécution de fichiers extérieurs au disque système C:\;
l’utilisation de son logiciel Ariad qui permet de contrôler finement l’ouverture automatique de fichiers depuis les supports amovibles ou externes.

Par ailleurs, pour Windows 7 et Windows 2008 R2, Cert-Lexsi propose l’utilisation d’Applocker.

Enfin, assurez-vous de disposer d’un antivirus à jour, ceux-ci doivent pour la plupart aujourd’hui être en mesure de détecter aussi bien des raccourcis qui exploiteraient cette vulnérabilité que les différents vers qui ont été identifiés dans la famille Stuxnet.

Articles de référence:

Malicious shortcuts: now documents and webpages are risky too, Graham Cluley, Sophos, 21/07/2010;
W32.Stuxnet installation details, Liam O Murchu, Symantec, 20/07/2010;
Vulnerability in Windows shell could allow remote code execution, Microsoft security advisory (2286198), 16/07/2010-20/07/2010;
.lnk vulnerability: Microsoft fix causes icon chaos, H-Online, 21/07/2010.

21 juillet 2010 by Éric Freyssinet Criminalistique numérique Cybercriminalité Sécurité 0

Faille de sécurité des raccourcis sous Windows (suite)

VirusBlokAda - Découvreur du ver

L’exploitation de la faille de sécurité des raccourcis (fichiers .LNK) de Windows se poursuit, comme cela était prévisible. ESET nous avertit ainsi de l’apparition d’un nouveau fichier lié à Win32/Stuxnet (dont je parlais dans mon article de dimanche). Il est cette fois signé avec le certificat de la société JMicron Technology Corp. (encore un fabricant Taïwanais de composants électroniques, après Realtek ciblé précédemment…) et aurait été compilé le 14/07/2010.

Cette démarche paraît logique, puisque le certificat attribué à Realtek a été révoqué, et semble indiquer qu’il s’agisse de la même équipe à l’origine de la première propagation. 21/07/2010: Toutefois, comme l’indique Chet Wisniewski, la révocation des certificats n’a aucun effet sur la reconnaissance des virus signés avant celle-ci.

Enfin, il nous est signalé (Wired) que des mots de passe de bases de données des systèmes SCADA qui seraient la cible de ces attaques sont souvent codées en dur dans les distributions et qu’on retrouve notamment ces mots de passe sur des forums en langue allemande et russe, et c’est d’ailleurs ce mot de passe qui aurait mis la puce à l’oreille de Frank Boldewin:

20/07/2010: Après des rapports de sa présence dans plusieurs pays asiatiques (Iran, Indonésie, Inde), le ver est identifié pour la première fois chez un client industriel Européen de Siemens en Allemagne, selon IDG News.

A suivre toujours !

Comment se protéger (suite)

20/07/2010: Une nouvelle méthode de protection est expliquée par Didier Stevens sur son blog. Elle consiste à créer une règle locale restreignant le démarrage d’applications (exécutables .EXE ou .DLL) depuis d’autres localisations que le disque système (normalement C:\…). De son côté, CERT-LEXSI (via @razy84) explique comment sous Windows 7 et 2008 R2 on peut aller plus loin que ces règles SRP grâce à AppLocker.

20/07/2010: Sophos, enfin, présente une page de synthèse sur cette vulnérabilité.

Articles en rapport :

The Stuxnet sting, Tareq Saade, Microsoft Malware Protection Center, 16/07/2010;
Verisign revokes certificate used to sign Stuxnet malware, Dennis Fisher, Threatpost Kaspersky Lab, 17/07/2010;
Win32/Stuxnet signed binaries, Pierre-Marc Bureau, ESET Threat blog, 19/07/2010;
SCADA system’s hard-coded password circulated online for years, Kim Zetter, Wired, 19/07/2010;
20/07/2010: After worm, Siemens says don’t change passwords, Robert McMillan, IDGNews, 19/07/2010;
20/07/2010: 0-day LNK: AppLocker à la Rescousse, Sylvain Sarmejeanne, CERT-LEXSI, 20/07/2010;
20/07/2010: Siemens: German customer hit by industrial worm, Robert McMillan, IDGNews, 20/07/2010;
20/07/2010: The CPLINK vulnerability, what you need to know, Sophos, 20/07/2010;
21/07/2010: Certified uncertainty, Chester Wisniewski, Sophos, 20/07/2010.

20 juillet 2010 by Éric Freyssinet Criminalistique numérique Cybercriminalité Sécurité 1

Faille de sécurité des raccourcis sous Windows

Une faille de sécurité qui toucherait l’ensemble des systèmes Windows de la société Microsoft a été révélée de façon assez brutale cette semaine. En effet, une exploitation particulièrement virulente de cette faille est dans la nature et elle semblerait avoir pour première cible des systèmes de contrôle industriels (SCADA).

Le 17 juin dernier, des experts en sécurité de la société biélorusse VirusBlokAda signalent à la communauté des experts de la lutte antivirale avoir détecté la propagation d’un logiciel malveillant aux caractéristiques inquiétantes:

propagation par clés USB ou partages réseau (ce qui est un mode de propagation classique, mais dont on espère toujours être protégé);
contournement des protections contre le démarrage automatique (autorun de Windows) ou la restriction des droits de l’utilisateur UAC introduite dans Windows Vista et 7;
signature de l’exécutable avec la clé de la société Realtek;
installation d’un rootkit.

Une étude détaillée de ces codes malveillants a été publiée par VirusBlokAda (voir la pièce jointe). On peut voir le virus à l’œuvre dans une démonstration réalisée par SophosLabs:

[youtube=http://www.youtube.com/watch?v=1UxN7WJFTVg]

Le fonctionnement de la vulnérabilité est en effet assez bluffant, il suffit d’afficher l’icône du raccourci (un fichier à l’extension .LNK présent sur la clé USB attaquante) dans un navigateur pour que soit déclenchée l’exécution du logiciel malveillant, sans qu’aucun des dispositifs de sécurité actuels de Windows ne l’empêchent.

Microsoft confirme dans un avis de sécurité (2286198) que toutes les versions de Windows sont impactées. Chet Wisniewski de Sophos ajoute d’ailleurs que même les versions de Windows dont la sécurité n’est plus suivie par Microsoft sont impactés, à savoir Windows XP SP2 et Windows 2000.

Le logiciel malveillant détecté par les experts de VirusBlokAda aurait la particularité, selon Frank Boldewin, de chercher à se connecter sur des bases de données de systèmes de commande industriels (SCADA) de la société Siemens et on émet l’hypothèse d’un développement spécifique pour l’espionnage industriel. 19/07/2010: le CERTA détaille dans sa fiche CERTA-2010-ALE-009-002 un certain nombre d’autres comportements (création de fichiers et clés de registre) du rootkit dont des tentatives de connexions vers les sites www.mypremierfutbol.com et www.todaysfutbol.com.

Il n’en reste pas moins que tous les utilisateurs de systèmes Windows sont concernés actuellement et que de nouvelles variantes de cette attaque ne manqueront pas de se propager dans les jours qui viennent.

19/07/2010: En 2005, déjà, Microsoft avait dû corriger certains défauts des fichiers .LNK qui rendaient possible l’exécution de code malveillant (MS05-049). La différence cette fois-ci est que l’exploit est dans la nature avant qu’un correctif n’ait pu être développé. On peut aussi faire un rapprochement avec une faille signalée en 2003 par I2S-Lab (merci @MalwareScene).

Que faire pour se protéger ?

Outre les rappels courants en matière de sécurité et de manipulation de clés USB d’origine douteuse, Microsoft donne un certain nombre de premiers conseils pour empêcher la propagation de cette menace sur votre ordinateur:

la désactivation de l’affichage des icônes pour les raccourcis;
la désactivation du service WebClient.

Les deux sont expliquées sur le site de Microsoft (paragraphe Workarounds, en anglais), en attendant la publication d’une protection contre cette faille.

Dider Stevens explique sur son blog comment l’outil qu’il a développé (Ariad) permet aussi de se protéger contre cette attaque.

Articles qui évoquent ce dossier:

Wilders security Forum, Sergey Ulasen (VirusBlokAda), 12/07/2010;
Experts warn of new Windows shortcut flaw, Brian Krebs blog, 15/07/2010;
Trojan spreads via new Windows hole, H-online, 15/07/2010;
Microsoft investigating Windows security 0-day targeted by trojan, eWeek, 16/07/2010;
Windows zero-day attack works on all Windows systems, Chester Wisniewski, Sophos, 16/07/2010;
Vulnerability in Windows Shell Could Allow Remote Code Execution, Microsoft Security Advisory (2286198), 16/07/2010;
19/07/2010: 0-day flaw discovered in Microsoft Windows, Marco Giuliani, PrevX, 19/07/2010;
19/07/2010: Shortcut zero-day attack goes public, Graham Cluley, Sophos, 19/07/2010;
19/07/2010: Windows ‘shortcut’ attack code goes public, Gregg Keizer, ComputerWorld, 19/07/2010;
19/07/2010: USB Worm Exploits Windows Shortcut Vulnerability, JM Hipolito, TrendLabs Malware blog, 19/07/2010;
Référence CVE: CVE-2010-2568;
19/07/2010: Exploitation par un code malveillant d’une vulnérabilité Microsoft Windows non corrigée, CERTA-2010-ALE-009-002, 16/07/2010, 19/07/2010;
19/07/2010: Vulnérabilité dans le Shell de Microsoft Windows, CERTA-2010-ALE-010, 19/07/2010:
19/07/2010: Élévation du niveau d’alerte du SANS ISC au niveau Jaune
.

18 juillet 2010 by Éric Freyssinet Criminalistique numérique Cybercriminalité Sécurité 4

Lendemain de SSTIC

J’ai eu la chance cette année de pouvoir préserver le début du mois de Juin et participer au Symposium sur la Sécurité des Technologies de l’Information et de la Communication / SSTIC 2010, dans les locaux de l’Université de Rennes.

Un grand bravo aux organisateurs qui relèvent le défi de rassembler plus de 400 personnes à des conditions financières très raisonnables (à comparer aux autres conférences sur la sécurité au niveau mondial). Merci enfin de leur accueil particulièrement chaleureux !

Blogging and tweeting

Le programme de la conférence était effectivement particulièrement riche et plusieurs d’entre nous ont fait l’effort de commenter chacune des présentations dans le détail (sid 1, 2, 3, n0secure, le micro-blogging de jpgaulier, Yvan VANHULLEBUS 1, 2, 3, Mat pentester).

Les hashtags à suivre sont évidemment #sstic et #sstic2010.

Quelques-unes des conférences

Sans faire la revue intégrale de toutes les interventions, voici ce qui a attiré mon attention:

DGSE et ANSSI en ouverture et clôture, pour mieux se faire connaître et clairement pour recruter (c’est un bon endroit pour le faire indéniablement);
Ph. Lagadec (OTAN/NC3A) qui présentait un démonstrateur d’une solution développée dans son laboratoire pour rassembler dans une interface opérationnelle (CIAP) l’ensemble des données de sécurité d’un réseau, sur la base d’un modèle de données commun et un projet connexe (DRA), pour l’analyse de risque en temps réel d’une alerte,
E. Barbry (avocat) a su présenter de façon simple et percutante l’environnement juridique en 2010 des RSSI,
Les parades contre les attaques physiques sont mises à l’épreuve avec une étude d’Intel VT-d (et une démonstration difficile d’une nouvelle attaque Firewire) et un retour sur les attaques contre les cartes réseaux et en particulier l’implémentation du protocole ASF (Alert Standard Format) par les petits gars de l’ANSSI (voir leur site à ce sujet).
Frédéric Connes (HSc) nous a fait partager les résultats de sa thèse sur un système de vote électronique basé sur la distribution d’un reçu à chaque votant et un processus de contrôle collaboratif. La communauté du SSTIC était un peu perplexe, car surtout peu habituée à discuter de ces sujets, mais comme j’avais pu l’évoquer avec G. Desgens dans notre livre L’identité à l’ère numérique, il est indispensable de développer une recherche poussée sur le vote électronique qui sera un outil incontournable de notre démocratie (Patrick Pailloux DG de l’ANSSI le répétait le lendemain),
F.-X. Bru et G. Fahrner (article par ici) nous ont fait une très sympathique et efficace présentation de leurs travaux sur la sécurité de Facebook et notamment la capacité de collecter rapidement des données personnelles grâce à la diffusion virale d’une application,
H. Welte (son blog) nous a présenté deux projets autour du GSM dans lesquels il est très actif, OpenBSC (plateforme expérimentale d’un contrôleur de station de base GSM) et OsmocomBB (une implémentation opensource de pile réseau de terminal mobile). Il a d’ailleurs été l’un des chanceux qui ont réussi leur démo cette semaine, avec une injection de code au démarrage d’un terminal GSM Nokia,
J’étais absent pendant la présentation de N. Ruff sur l’audit des applications .NET complexes, car convié à la présentation des technologies d’une entreprise locale,
C. Halbronn a fait un tour d’horizon des défauts de Windows Mobile et une démonstration des risques liés aux rootkits sur cette plateforme,
Une mention spéciale à Mathieu Baudet qui a été quelque peu chahuté par la salle, car il n’était pas préparé à ce type de public et donc avait une présentation trop peu technique et pas assez centrée sur son sujet principal. J’ai appris ensuite qu’en fait il remplaçait ici un autre orateur invité qui n’a pas pu venir. Le projet qu’il a présenté, OPA une plateforme de construction d’applications Web sensé améliorer la sécurité n’en est pas moins intéressant. Si les participants au SSTIC sont cohérents, j’espère que l’année prochaine on aura une présentation critique sur les failles éventuelles d’OPA 🙂 !

J’avais aussi la chance d’être invité et donc de pouvoir m’exprimer sans passer par les fourches caudines du comité de programme, donc un grand merci pour cette occasion qui m’était offerte de partager quelques réflexions sur la lutte contre les botnets (mon papier). N’hésitez pas à me contacter (les commentaires sont modérés, donc non publiés par défaut) si vous avez toute idée sur l’action dans ce domaine.

La Rump Session

4 minutes, pas une seconde de plus pour présenter une idée, un projet, une découverte ou se moquer d’un camarade de la communauté… J’ai relevé en particulier:

Une démonstration d’attaque contre les cartes de fidélité de machines à café, présentée de façon humoristique et très efficace avec un petit film.
Un projet prometteur de Maltego-like intitulé netglub, basé sur un modèle d’agents distribués.
Les dernières évolutions d’ExeFilter une plateforme de nettoyage des contenus malveillants potentiels dans les flux Internet (PDF, pages Web, mail,…). Une approche complémentaire aux antivirus, particulièrement intéressante.

Le Challenge SSTIC

Les résultats du Challenge SSTIC 2010 ont été annoncés au début de la deuxième journée du symposium. Particulièrement complexe, il était basé sur l’analyse d’un dump mémoire de téléphone Android, la résolution d’une énigme et pour les plus audacieux, l’utilisation de techniques cryptographiques. Pour y répondre il fallait retrouver une adresse de courrier électronique @sstic.org. Merci à l’ANSSI d’avoir fabriqué le challenge et à tous ceux qui se sont acharnés pour découvrir la solution. Au passage, on note qu’il y a indéniablement du développement à réaliser dans le domaine de l’analyse de la mémoire des systèmes de type Linux !

Bilan

Le public présent au SSTIC 2010 était globalement très jeune et assez pointu. La communauté française de la sécurité numérique technique donne une image dynamique et j’ai noté un vif intérêt pour les sujets liés à l’investigation numérique et à la criminalistique (plus fort en tous cas que chez les RSSI français). Ce n’est clairement pas une conférence pour débuter sa formation dans le domaine de la sécurité, mais avant tout pour partager sur l’actualité de la recherche et de la réflexion sur la sécurité numérique aujourd’hui.

Rendez-vous donc à l’année prochaine, je l’espère, et amitiés à tous les contacts que j’ai pu avoir pendant ces trois jours.

12 juin 2010 by Éric Freyssinet Cybercriminalité Prospective Sécurité 7

4ème Forum International sur la Cybercriminalité – Un bilan

Le 4^ème Forum International sur la Cybercriminalité qui s’est déroulé les 31 mars et 1^er avril 2010 a tenu ses promesses, avec plus de 2200 participants, des dizaines d’exposants, 30 ateliers et conférences pour répondre aux attentes de tous. La reprise assez importante par la presse de cet événement dénote l’intérêt du grand public pour une plus grande sensibilisation sur ces sujets. La présence nombreuse de nos interlocuteurs dans les entreprises, régionales ou nationales montre aussi une véritable préoccupation.

Un public nombreux à l'ouverture du FIC 2010

Le FIC est aussi devenu un véritable événement Européen et International avec la présence de nos partenaires de dizaines de pays. J’ai ainsi pu rencontrer les collègues que j’y côtoie habituellement (Belges, Anglais, Allemands, …), mais par exemple un camarade de la gendarmerie royale du Maroc ou écouter l’exposé de Mohamed Chawki (Conseil d’Etat, Egypte) nous exposer la situation dans son pays et ailleurs en Afrique en matière de législation contre la cybercriminalité.

Dans quelques jours, les photos et les compte-rendus des ateliers seront disponibles sur le site de la conférence.

Guides contre la cybercriminalité

Deux guides qui ont beaucoup contribué au succès du FIC ont été publiés dans une nouvelle édition, chacun à destination d’un public différent.

Le guide pratique du chef d’entreprise face au risque numérique (4° éd.)

Rédigé avec le soutien du Clusif et de l’association S@ntinel, ainsi que de nombreux partenaires publics et privés. Le guide est organisé en deux grands chapitres:

Douze études de cas (La divulgation de savoir-faire, Le vol d’ordinateur portable ou de PDA, La défiguration de site Web,…)
Les recommandations des institutions.

Il a été distribué au cours du salon et sera disponible en téléchargement très bientôt sur le site du FIC (mais on le trouve déjà en cherchant bien…). Indispensable !

Cybercrimin@lité, réflexes et bonnes pratiques (2° éd.)

Plus discret, car destiné au public des enquêteurs et des magistrats, ce guide en est déjà à sa deuxième édition. Il a été rédigé sous la houlette d’un comité rédactionnel régional trans-frontière: Eric Absil (RCCU Charleroi), David Cassel (NTECH à Arras), Serge Houtain (RCCU Tournai) et Laurent Frappart (NTECH à Arras) et le nombre de contributeurs est particulièrement nombreux.

Ce guide est organisé en cinq grandes parties:

Un chapitre d’introduction et de définitions
Vecteurs et supports de la cybercriminalité
Les constatations dans l’espace virtuel
Les cadres légaux belge et français
11 fiches réflexes

Bilan des conférences et ateliers

Tout d’abord un coup de chapeau à mes camarades de la Région de gendarmerie Nord Pas de Calais et à tous leurs partenaires pour la réussite de cet événement ! Je n’ai malheureusement pas pu assister à beaucoup des conférences et ateliers, mais un sujet était très présent cette année, jusque dans les conclusions du Général d’armée Marc Watin-Auguouard, la cyberdéfense.

La France et l’Europe sont-elles prêtes dans la lutte contre les nouvelles formes de conflit sur les réseaux et les risques les plus graves contre nos infrastructures vitales ? Le bilan de la table ronde dédiée à ce sujet est positif, même s’il reste des efforts à faire, notamment en termes de connaissance du dispositif par l’ensemble des acteurs concernés (comme le portail officiel sur la sécurité informatique).

A titre personnel j’indiquerais qu’il faut peut-être encore plus décloisonner les interactions public-privé (les partenariats public-privé dans la cyberdéfense étaient le thème de cette table ronde). On sent en effet, malgré les ouvertures et les projets communs qu’il manque une fluidité dans la circulation de l’information. Les OzSSI (observatoires zonaux de la sécurité des systèmes d’information) sont un outil de ce décloisonnement, peut-être faut-il attendre maintenant des entreprises qu’elles partagent plus facilement l’information, notamment au sein d’un même secteur économique, pour être ensemble mieux préparées aux risques.

Rendez-vous en 2011 !

4 avril 2010 by Éric Freyssinet Cybercriminalité Prospective Sécurité 2

Programme détaillé du FIC 2010

Le programme détaillé du 4^ème forum international sur la cybercriminalité 2010 est en ligne sur le site de la conférence. On y trouve notamment l’ensemble des intervenants qui ont accepté de participer aux différents ateliers ainsi que les horaires précis. Je rappelle que le FIC 2010 a lieu les 31 mars et 1^er avril prochains à Lille, Grand Palais.

Vous pouvez aussi télécharger le planning à conserver dans sa poche pour aller facilement d’une conférence à une autre.

Trois pôles d’ateliers et de conférences:

Justice, sécurité, défense ;
Entreprises ;
Collectivités.

J’interviendrai pour ma part dans la table ronde de clôture « Droit à l’oubli sur le Web : ultime protection de l’identité numérique » aux côtés de Mes. Blandine Poidevin et Martine Ricouart-Maillet, MM. les sénateurs Yves Detraigne et Alex Türk.

16 mars 2010 by Éric Freyssinet Cybercriminalité Prospective Sécurité 0

Quand le mail de phishing contient le formulaire

Je ne fais ici que retranscrire une information de MXLab qui m’a semblé particulièrement intéressante. Ainsi dans cet article de leur blog, ils notent une recrudescence des emails de phishing qui intègrent le formulaire dans leur contenu.

En pièce attachée au courriel illicite, une page Web. Trois exemples sont donnés par MXLab:

le premier s’en prend à Western Union et récupère les pages de styles, javascript et bannières directement sur le site Web de Western Union, tant qu’à faire !
le second s’attaque à Paypal, et semble reposer sur le même principe ;
le troisième s’en prend encore à Paypal mais parait vouloir utiliser un autre type de page HTML, le MIME HTML dont l’extension est .mht et qui a la particularité de regrouper dans un même conteneur la page Web au format HTML et les images et autres fichiers à incorporer pour l’affichage de la page.

La conséquence évidente de ce développement est que dans la détection des mails de phishing il faut prendre en compte ce nouveau format, qui ne contient plus de liens URL éventuellement masqués.

Ensuite, cela simplifie le travail de l’hébergement du site de phishing qui ne fait que recevoir le résultat des formulaires, donc est particulièrement discret (au passage le site Web de phishing ne commet pas en tant que tel de contrefaçon des marques attaquées – telles que Paypal et Western Union), rendant d’autant plus complexe et difficile la fermeture de ces sites. En effet, pour expliquer à l’hébergeur qu’il doit fermer le site de phishing, il faudra lui montrer les mails de phishing, ce que fait le formulaire, etc… sans pouvoir lui montrer de page de phishing qui apparaissait jusqu’à présent de façon évidente !

13 mars 2010 by Éric Freyssinet Cybercriminalité Sécurité 0

Comment on vous attire presque automatiquement vers les faux antivirus

Régulièrement la presse en ligne se fait l’écho de l’exploitation des événements de l’actualité par les délinquants… Deux articles du 4 et du 5 mars derniers sur le blog de F-Secure ont attiré mon attention. Ils décrivent quelques techniques utilisées pour amener de futures victimes à télécharger de faux antivirus.

Dans les deux cas décrits, les moteurs de recherche (Google en l’espèce) sont abusés pour référencer les documents qui vont piéger leurs victimes. Ainsi des fichiers PDF sont publiés, avec du contenu intéressant et à l’intérieur pour inciter le visiteur à les télécharger. En réalité, les attaques réalisées grâce à des PDF malveillants ne sont pas nouvelles (voir cet article), elles ont été le phénomène massif de l’année 2009.

Ainsi, des fichiers PDF sont diffusés (sur des sites piratés, par des reprises de contenus, etc.). Le contenu de ces fichiers PDF est inspiré de l’actualité, contient des liens, des mots clés qui vont attirer l’attention des visiteurs, comme des moteurs de recherche. Ainsi, lors de chaque événement récent on a vu apparaître des tentatives basées sur le tremblement de terre au Chili, la mort d’un chanteur. D’ailleurs à la vitesse où se répandent ces manœuvres frauduleuses, on peut raisonnablement soupçonner qu’elles sont fabriquées automatiquement à partir des flux d’actualité. Les articles de presse en ligne qui annoncent que c’est événements sont « déjà » exploités se trompent donc de conclusion: ce n’est pas une vivacité particulière des délinquants numériques dont ils sont témoins, mais une preuve de l’existence de véritables plateformes automatisées de services criminels.

Ce que décrivait F-Secure vendredi est qu’ensuite, les fichiers PDF disparaissent pour être remplacés par de simples pages HTML qui contiennent des animations Flash. Bien entendu, Google n’a pas eu le temps de repasser sur la page et de voir que le contenu avait changé et le référence encore comme un fichier PDF; et le contenu ressemble diablement à une page PDF. Et ce sont ces animations Flash qui contiennent des scripts malveillants qui vont vous amener à installer de faux antivirus:

Fausse détection de virus (F-Secure)

Le plus perturbant dans tout ça c’est que normalement votre véritable antivirus, s’il le détecte, va déclencher une alerte… pour peu que cette fausse alerte lui ressemble vous risquez d’être piégé ! Soyez donc particulièrement attentifs lors de votre navigation.

7 mars 2010 by Éric Freyssinet Cybercriminalité Sécurité 1