Une étape supplémentaire a été franchie dans le cyberconflit larvaire opposant la Chine aux États-unis le 27 mars, avec l’accusation lancée par le directeur de la NSA lors d’une audition au Sénat américain.
Celui-ci a clairement accusé la Chine d’avoir volé de nombreux secrets industriels américains à l’occasion de l’attaque qu’ils auraient mené sur RSA et sa solution de sécurité SecurId. Cette attaque a permis l’obtention de données précieuses permettant ensuite de pénétrer illégalement dans les réseaux de Loockhed Martin et de ses nombreux secrets industrialo-militaires.
Cette affaire est intéressante non pas pour la révélation, qui n’en est pas une (on se doutait bien que la Chine était derrière cela), mais pour le contexte diplomatique particulier. En effet, pour que le directeur de la NSA, himself, fasse de telles déclarations il faut vraiment que les indices ne laissent pas la place à l’approximation. Il doit être clair que la Chine est bien à l’origine de cette attaque.
Et pourtant, diplomatiquement, aucune sanction n’est actuellement prise. Si il s’agissait d’espionnage dans le monde réel, on aurait sans aucun doute assisté à quelques renvois de diplomates, voir à l’arrestation manu military des espions agissants au sein du territoire américain (et on se souvient du destin connu par le couple Rosenberg lors de la guerre froide…).
Lorsqu’on parle de cyberespionnage la situation est plus compliquée. Obtenir des preuves irréfutables et directes est quasi impossible, tandis que les acteurs sont situés à des milliers de kilomètres de toute législation US.
Face à ce type d’actes, une seule réponse possible vient immédiatement à l’esprit (je ne dis pas que c’est la bonne…) : la réplique en terme de cyberespionnage. Montrer que nous sommes aussi fort et dangereux que l’adversaire peut l’aider à refroidir ses ardeurs : c’est le principal de la dissuasion nucléaire…
Et c’est pourquoi il est indispensable que les pays modernes possédant des ressources numériques vitales à préserver s’équipent autant en cyberdéfense qu’en cyberattaque !
Récemment, des experts en audit ont prouvé (rappelé) que les correctifs de sécurité distribués par les éditeurs ne suffisent parfois pas à combler les vulnérabilités de leurs logiciels. Cela d’ailleurs entraîne un effet pervers qui est que les entreprises se croient protégées via les correctifs alors même que ceux ci entraînent la création de 0 day, les éditeurs (et les logiciels de scan des vulnérabilités) étant convaincus que la vulnérabilité n’existe plus.
Est ce que les entreprises doivent se préoccuper de cette possibilité de maintien de vulnérabilité à l’issue des correctifs ? Mon premier sentiment est que non.
En effet, pour couvrir les 20 derniers pour cent de risques induits par ce phénomène, 80% de l’effort sera demandé (d’ou le titre). En effet, il s’agit pour se protéger de devoir inspecter précisément les effets du correctifs, voir de faire du reverse engeenering ce qui pour les entreprises est très rarement réaliste.
Personnellement, j’opte pour une démarche pragmatique, qui est qu’il est essentiel de d’abord s’attaquer aux 80% de risques (d’ou le titre du post…) en adoptant une politique efficace de gestion des correctifs (plus précisément de gestion des vulnérabilités pour être plus exhaustif) avant de chercher plus loin. Effectuer cela est déjà en soi un vrai défi pour de nombreuses entreprises possédant un parc hétérogène avec des gestions de configuration parfois assez laxistes (sans même parler de celles qui prônent le bring your device…)
Pour les entreprises qui sont effectivement très matures dans ce domaine, et qui ont des biens de hautes valeurs à protéger, alors oui l’investissement peut s’avérer nécessaire pour acquérir la capacité à critiquer les correctifs dans leur efficacité.
La société AMSC est une société américaine de haute technologique spécialisée dans les superconducteurs. Il y a quelques années, une opportunité s’est ouverte pour AMSC en Chine afin de fournir l’informatique chargée de contrôler le fonctionnement des éoliennes. Afin de fournir une solution d’ensemble sur le marché local, AMSC s’est allié avec Sinovel, société chinoise qui se chargeait de fournir la structure tandis que l’intelligence restait la propriété de l’américain.
Après des débuts enthousiasmant qui ont abouti à ce qu’une très large partie du chiffre d’affaire d’AMSC soit réalisé par ce partenariat, les commandes de Sinovel se sont soudain taries sans explications.
En fait, c’est lorsque des techniciens on inspecté une éolienne, qui aurait du arrêter de fonctionner suite à la non reconduction du contrat, que la société AMSC s’est rendu compte que l’informatique utilisait une copie pirate du logiciel de contrôle, permettant ainsi à Sinovel de continuer à exploiter les turbines.
Après enquête, il s’avère que Sinovel a recruté un développeur d’AMSC pour se développer sa propre version du logiciel en se basant sur des codes sources dérobés par l’employé.
Les nombreuses protections TI mises en place par AMSC pour protéger son code source n’ont pas résisté aux dollars promis à l’employé…
Le consultant en sécurité est par définition un être cynique, voir blasé. Il constate tous les jours de nombreuses lacunes dans la protection des systèmes d’information sans que les dirigeants ne se sentent particulièrement concernés.
Aussi à chaque exploit médiatisé, on ne peut s’empêcher d’espérer que cela fera peut être réfléchir quelques décideurs. Tiens, Stuxnet par exemple, exploitant une vulnérabilité dans un SCADA Siemens nous a amené à croire que la sécurité “TI” des SCADA prendrait de l’ampleur et que des moyens conséquents seraient déployés afin que la prochaine fois ce ne soit pas l’alimentation électrique ou le contrôle des barrages fluviaux d’un pays occidental qui ne soit visé….
Et bien non.
Plusieurs années après Stuxnet, les lobbys industriels du secteur sont suffisamment fort et aveuglés par l’appât du gain à court terme pour qu’ils continuent à ne pas vouloir patcher leurs équipements. Et le pire, c’est que le congrès américain n’a pas réussi à imposer aux infrastructures sensibles d’arrêter d’utiliser ces équipements vulnérables connus et identifiés dans le framework Metasploit (on croit rêver..), se heurtant à la résistance de ces lobbys. Je ne parle évidemment même pas des gouvernements européens qui en sont encore à réfléchir sur la manière de coincer M. machin qui a téléchargé une centaine de pauvres MP3 ou vidéos sur son ordinateur….
Des listes de ce genre il en existe plein, mais comme il faut bien commencer par quelque part, je vous recommande la lecture de celle-ci.
Elle se doit d’être objective et sans préjugée. Si on écoute l’actualité du moment, la menace géostratégique est essentiellement définie comme venant de plus en plus de l’Iran. Il est bon de se souvenir que le cyberespace ne se définit pas selon les stratégies politiques du moment mais est basée sur des investissements et des attitudes du long terme.
En considérant cela, on comprend mieux pourquoi certains analystes nous rappellent que la menace est largement aussi élevée en Russie par exemple qu’en Iran.
Que je m’abonne à un site de porn en ligne ! Non parce qu’après youporn puis Brazzers et enfin Videosz, c’est au tour du plus important site du genre US, Digital Playground, de se faire hacker… Et pas qu’un peu, puisque c’est au final 70 000 comptes clients avec 40 000 coordonnées de cartes de crédit qui ont été dérobées en plain text…
Le plus drôle dans l’histoire c’est le commentaire du groupe de hacker “The Consortium” à l’origine de l’exploit qui explique qu’au début du hack (phase d’identification des vulnérabilités) ils pensaient être dans un Honeypot tant le nombre de failles était important 
Voila qui est de mauvais augure pour tous les sites Porn sur le Net, la publicité des dernières attaques allant sans aucun doute inciter les hackeurs en herbe et autres cybercriminels à s’intéresser à ces sites a priori peu sécurisés.
Nexter, l’ex Giat Industrie, s’est fait dérober un disque dur contenant pour 2 millions d’euros de logiciels spécialisés en intelligence artificielle pour l’armement. A priori, l’origine de la faille provient de travaux menés en période de fête durant lesquels les locaux étaient librement accessibles.
Il est sur prenant de découvrir à quel point une société avertie des dangers de l’espionnage industriel et réunissant de nombreuses compétences en sécurité informatique oublie l’importance de la gestion continue de la protection physique au sein de tout SMSI qui se respecte…
Il est certain que c’est moins tendance et vendeur que les APT ou les Botnets !
Après avoir été découvert en septembre 2011 et attribué à tort ou à raison à l’équipe à l’origine de Stuxnet, il semble que le Trojan Duqu est parti pour connaitre une longue carrière. En effet, Kaspersky a aujourd’hui découvert que ce Trojan implémentait son propre Framework de programmation afin d’effectuer les tâches de synchronisation/communication avec son botnet.
Cela est extrêmement révélateur de la puissance en ingénierie qui a été mis en oeuvre derrière ce code malveillant, et par conséquent laisse présager des effets encore certainement sous-estimés.
Il ne faut pas oublier que derrière la phase de contamination des cibles qui peut parfois se révéler assez silencieuse doit survenir une phase de délivrance de payload qui sera alors beaucoup plus visible et sujette à conséquences qu’on ne mesure certainement pas encore.
Si jamais vous êtes un jeune développeur ambitieux sous Android, désirant monter son entreprise et cherchant un secteur d’activité porteur en sécurité informatique, ne cherchez plus !
La société AV-TEST a mis en avant le nombre exponentiel de Malware qui touchent cette plate-forme logicielle. Rien de nouveau certes, mais ce qui est plus intéressant est de constater qu’une large majorité des anti-virus testés ont détectés moins de 65% des codes malveillants.
Derniers commentaires