Infowar une menace mal cernée

La semaine dernière fût riche en évennements sécurité: Linkedin piraté (l’ensemble des comptes dans la nature), e-harmony piraté, Last.fm powned, les googles app mis à mal (piratage de 4chan au travers de Cloudfare), rumeur comme comme quoi Vupen aurait eu aussi de la visite ayant comme conséquence 130 0days dans la nature, Lexsi mis à mal aussi. Plus des relents de malware comme flame, ou on se dit que finalement, l’infowar, nous sommes en plein dedans. Alors effectivement, cela n’a rien de nouveau…Mais ici où là on voit se dessiner les stratégies oppérationnelles de chaque état,(déclaration de l’allemagne cette semaine sur le sujet, la France l’année dernière,…) et on se dit que ce n’est que le commencement. Mais lorsque l’on voit la multiplicité des attaques, ça fait un moment que cela a commencé. Alors qu’est ce que cela change réellement d’un point de vue sécurité informatique.

Je vais faire une réponse à la normande: tout et rien. D’un point de vue technique, a part Stuxnet sur la partie scada, embarquer des 0days, se propager dans le réseau, voler des données, maintenir des canaux de contrôle depuis l’extérieur, beaucoup de marketeux de la sécurité veulent nous faire croire que ce sont des nouvelles de menaces (le terme consacrée est soit APT,soit AET). Mais finalement toutes ces techniques sont bien connues de tout pentester chevronné. Donc les problématiques de détection et d’analyses postmortem restent finalement les mêmes depuis maintenant presque 10 ans. La question qu’on peut se poser est: Pourquoi il y a multiplication d’attaques réussies, car comme dit l’adage on apprend de nos erreurs. Pour le coup, je vais répondre non…Car lorsqu’on regarde le niveau moyen de sécurité des systèmes informatiques, il est bien plus facile de rentrer aujourd’hui au sein d’un système d’informations qu’il y a 10 ans. Les architectures sont devenues tentaculaires, les boitiers ont pris la place de personnes qualifiées et aujourd’hui faire de la sécurité,pour beaucoup, consiste au déploiement de l’antivirus dernier cri…En parrallèle, il est bien plus facile de se procurer des « armes » pour entrer. Donc forcément, le résultat est castastrophique. Déjà face à des attaques classiques, les responsables en sécurité sont démunis alors si on y ajoute une dimension tactique et oppérationnelle, là tout le monde est perdu.

Et oui, le réel changement, c’est celui ci. C’est à dire non content de faire face aux menaces qui ont dix ans, il faut en plus faire face à des groupes organisés. Aujourd’hui deux types de groupes se dessinent: les mafias qui veulent gagner de l’argent, et les armées qui se font la guerre par web interposé.

Chacune a sa manière utilise les mêmes méthodes: il faut que l’attaque soit efficace et rentable. C’est ainsi qu’on trouve des kits complets comme Blackhole ou Crimepack, utiliser pour récuperer des données personnelles, des coordonnées bancaires , prendre en otage les documents d’une machine. Bref on est dans l’extorsion.
Mais lorsqu’on regarde d’un peu plus près ces packs, ou des codes malveillants approchant, ils restent en userland, ont une durée limitée(trois semaines souvent avant la détection des antivirus) et volent tout ce qui peuvent. Ou des codes malveillants comme Flame utilisé à l’espionage (même si on peut se poser la question de la manière dont il a été codée avec ces 20 Mo tout mouillé « Qui a dit en .bat ?! « ), voir la destruction physique de materiels stratégiques comme Stuxnet.

Maintenant si on analyse les attaques comme RSA/Bercy ou même Google (Opération Aurora), on a affaire à des attaques ciblées. Le cas de RSA est le plus interressant. Car la récuppération des tokens n’étaient qu’un premier pas pour une attaque de plus grande ampleur visant les équimentiers de l’armement américaine. De plus si on regarde comment l’attaque a été coordonnée, on a affaire à une réelle stratégie militaire. Et le but final de l’opération est l’espionage industriel.

Pour Bercy, ce qui est remarquable aussi, est la somme d’informations qu’avait été recueillie par les attaquants sur les cibles humaines visées pour rentrer dans le système d’informations. L’opération a eu en gros trois phases: récupération d’informations et cartographie humaine, attaque et intrusion puis extorsion d’information.

Aujourd’hui un des gros problèmes, c’est que les sociétés ou les institutions publiques n’ont pas l’habitude de ce genre d’attaque. Pendant longtemps, cela était réservé à quelques corps de métiers. Maintenant cela touche tout le monde. Il faut donc pallier déjà au problèmes d’un existant castatrophique à l’ajout d’une nouvelle dimension qui est tactique.

L’attaque de Linkedin n’est pas anodine. Non content de voler des comptes et des informations personnelles, cela permet d’avoir accès de manière indirecte à d’autres comptes, car les gens, de manière générale, vont utiliser le même mots de passe ou un dérivé. Si Vupen a été attaqué, le but est clairement de voler de l' »armement » informatique.

Maintenant, il faut donc que l’ensemble de la communauté infosec en prenne conscience et pas uniquement quelques experts où finalement tout le monde tombe d’accord. Il faut multiplier le rapprochement des autorités et des sociétés dans un premier temps, les particuliers dans un second temps, pour sensibiliser, se protéger et remettre l’humain au centre des systèmes, puisque c’est clairement l’humain qui est visé par ce « nouveau » vecteur. Parce que finalement, il n’y a réellement rien de nouveau, seul le territoire a changé. Les doctrines militaires et les stratégies associées restent finalement les mêmes et si on ne veut pas voir se dessiner un Internet à l’image du réel (des frontières et des papiers dans tous les sens pour se déplacer), il faut mettre en place des contre mesures adéquates. Il serait drôle qu’un jour, les générations futures nous accusent de crime contre l’humanité après avoir laisser pourrir la situation du cyberspace avec les milliards de possibilités qui nous était offertes.