Le PASSEPORT DE CONSEILS AUX VOYAGEURS est un excellent document réalisé par l’ANSSI (Agence Nationale de la sécurité des systèmes d’information) qui reprend les bonnes pratiques pour les voyages à l’étranger notamment. Rien d’exceptionnel car le sujet est déjà bien connu, mais l’avantage d’une mise en forme agréable, au format « passeport », et une liste exhaustive des précautions à prendre. Voici les « bullets points » comme on dit chez nous; je conseille vivement de télécharger la version papier pour se faire une vraie idée.
Avant de partir :
Relisez attentivement et respectez les règles de sécurité édictées par votre organisme.
Prenez connaissance de la législation locale.
Utilisez de préférence du matériel dédié aux missions (ordinateurs, téléphones, supports amovibles, etc.).
Sauvegardez les données que vous emportez.
Evitez de partir avec vos données sensibles.
Emportez un filtre de protection écran pour votre ordinateur si vous comptez profiter des trajets pour travailler vos dossiers, afin dʼéviter que des curieux lisent vos documents par-dessus votre épaule.
Mettez un signe distinctif sur vos appareils (comme une pastille de couleur).
Pendant votre déplacement :
En cas dʼinspection ou de saisie par les autorités, informez votre organisme.
En cas de perte ou de vol d’un équipement ou d’informations, informez immédiatement votre organisme et demandez conseil au consulat avant toute démarche auprès des autorités locales.
N’utilisez pas les équipements qui vous sont offerts avant de les avoir fait vérifier par votre service de sécurité. Ils peuvent contenir des logiciels malveillants.
Evitez de connecter vos équipements à des postes ou des périphériques informatiques qui ne sont pas de confiance.
Avant le retour :
Transférez vos données
Effacez votre historique de vos appels et de vos navigations.
Après le retour :
Changez les mots de passe que vous avez utilisés pendant votre voyage
Analysez ou faites analyser vos équipements.
Qui voyage avec du courage dans ses bagages apporte avec lui le passeport le plus sage.
Daniel Desbiens
Joyeux anniversaire Conficker ! Enfin, si l’on peut dire, car c’était bien en janvier 2009 que le « phénomène » commençait à prendre de l’ampleur. Une année plus tard, c’est « Hydraq » qui défraye la chronique. Même si entre temps d’autres programmes malveillants ont fait parler d’eux, les caractéristiques globales de Conficker et Hydraq sont intéressantes à confronter, car finalement très différentes.
Ceci reste une vision très simplifiée de la situation à fin janvier; plus de détails techniques sont disponibles en suivant les liens proposés plus bas.
NON La vulnérabilité a été révélée conjointement à la mise à disposition d’un correctif
OUI Diffusion du correctif une semaine environ après la découverte de la vulnérabilité
Command & Control
Complexe Communication vers de multiples domaines créés de manière aléatoire, parallèlement au P2P.
Simple Un seul domaine codé « en dur », rapidement identifié et fermé.
Diffusion
Large Conficker s’est rapidement propagé sur des millions de machines, et reste actif à ce jour.
Réduite Hydraq est utilisé pour des attaques très ciblées et de ce fait très peu répandu, pour l’instant.
Systèmes de défense
Considérable Conficker embarque de nombreuses techniques pour se protéger
Faible Utilisation de la technique du « code spaghetti »
Système de mise à jour
Intégré Le système de mise à jour est très sophistiqué et automatisé.
Manuel La mise à jour est théoriquement possible mais non automatique.
Variantes
Plusieurs 3 variantes majeures (A,B,C) puis d’autres mineures
Non-significatif Quelques infimes variations du code.
Fonctionnalités
Pauvres Conficker se comporte plus comme une plateforme de téléchargement ouverte à d’autres activités malveillantes (BotNet, Facticiels…), voire à la location.
Riches Les options disponibles dans Hydraq autour de la prise de contrôle à distance sont puissantes, avec notamment la possibilité de « voir » la machine infectée via des outils de type VNC.
Motivation principale
Profits financiers Approche cybercriminelle « classique » qui cherche des profits rapides.
Vol d’information Un « retour sur investissement » à plus long terme, en fonction des informations dérobées.
Détection
Facile
Facile
Suppression
Complexe A cause des mécanismes d’auto-défense et des ré-infections successives au sein d’un réseau local
Aisée Aucune technique de camouflage
Mesures de protection
Mise à jour OS, navigateurs et plug-ins les plus fréquentes possibles et suite de sécurité de dernière génération.
Mise à jour OS, navigateurs et plug-ins les plus fréquentes possibles et suite de sécurité de dernière génération.
Globalement, Conficker est un maliciel dont le développement à surtout porté sur les vecteurs de propagation, les techniques de mise à jour et les mécanismes de défense, mais sans réel potentiel d’attaque une fois en place, misant sur le téléchargement ultérieur d’autres menaces. Hydraq en revanche, s’il reste plus simple en matière d’installation et d’auto-défense, possède un large panel de fonctionnalités à disposition de l’attaquant, jusqu’au contrôle complet de la machine, écran, clavier souris compris.
Voici d’ailleurs une vidéo très explicite :
Alors, approches différentes ou évolution plus profonde ? Plus certainement une adéquation au besoin et au but recherché. En tout état de cause, le soin et le temps consacré au développement et « lancement » de ces « produits » (estimation grossière de 3 à 4 mois pour Conficker, la moitié pour Hydraq) démontre les capacités techniques, organisationnelles des auteurs et/ou donneurs d’ordres, qu’il serait particulièrement dangereux de sous-estimer.
Mais il est évident qu’un tel lancement planétaire ne sera pas ignoré par les cyber-vilains. Comme déjà évoqué précédement, l’actualité reste la source privilégiée d’inspirations pour les arnaqueurs du net. Certains sites étant même très utiles en la matière : la page d’accueil de Twitter présente par exemple et en permanence les sujets les plus traités par la communauté.
Les grands évènements (Elections US, JO de Vancouver, Coupe du monde de foot…à noter le site 2010NetThreat traite ce précisément du sujet )
Les « marronniers » comme on dit dans la presse pour les évènements récurrents (Voeux, soldes, Saint Valentin…)
ou même des fausses informations si l’actu est pauvre…
Attendons-nous donc aux arnaques en tout genre autour du bidule d’Apple :
Spam et phishing via des site proposant des « pré-commandes »
Informations sur l’objet dans des documents infectés
Vidéos bidons, dont bien entendu le bon « codec » doit être téléchargé
ou encore l’affichage en « tête de gondole » (SEO poisonning) des moteurs de recherches, des sites « soi-disant » à fond sur le sujet, mais qui, dès le premier clic, trouve votre machine infectée ! Heureusement, on propose de règler le problème grâce à l’acquisition d’un anti-saleté spécifique (voir Facticiels)…
Le PASSEPORT DE CONSEILS AUX VOYAGEURS est un excellent document réalisé par l’ANSSI (Agence Nationale de la sécurité des systèmes d’information) qui reprend les bonnes pratiques pour les voyages à l’étranger notamment. Rien d’exceptionnel car le sujet est déjà bien connu, mais l’avantage d’une mise en forme agréable, au format « passeport », et une liste exhaustive des précautions à prendre. Voici les « bullets points » comme on dit chez nous; je conseille vivement de télécharger la version papier pour se faire une vraie idée.
