Quand je disais que la protection des identités va devenir le point clef de la protection de la vie privée sur internet…..

Certains en font déjà un business, mais pas forcément comme on l’attend : ATTENTION, vous avez été vérifié !

Récemment aux Etat-Unis, j’ai été frappé par un spot de pub passant très régulièrement sur différents chaînes de télé. Il vente les mérites du site www.beenverified.com. On y propose de vérifier le passé de n’importe qui d’après de nombreuses sources publiques (!) et permettant ainsi de :

1. Rechercher des amis perdus de vue…(mouais…)
2. Faire des recherches dans les réseaux sociaux (plus de 40…)
3. utiliser un annuaire inversé
4. obtenir des informations judiciaires
5. Savoir si un délinquant sexuel habite près de chez vous !

Rassurez-vous, c’est uniquement aux USA, mais voyez plutôt :

Et ce n’est pas tout, car concernant la recherche de délinquants sexuels, une application Android et  iPhone est également disponible en réalité augmentée…(rien que ça !); le Sex Offender Tracker, voici le clip :

______________________________________________________________________________________________________

Pour finir cet article et commencer le week-end sur une note plus légère, le type étrange qui présente le clip, Antoine Dodson, a récement fait le « buzz » sur le net à la suite d’une tentative d’agression sexuelle envers sa soeur, qu’il commente de manière très personnelle et virulente sur les actualités locales, MAIS SURTOUT, parce que repris par les Gregory Brothers, champion de l’auto-tune et du « Songify » sur le net.

L’extrait du JT local :

La version des Gregory Brothers, visionnée plus de 41 millions de fois :

Mais jusqu’ou s’arrêteront-ils ?

Coluche.

Suite à l’aide sollicitée et apportée par des spécialistes du domaine des systèmes de programmation industriels (notamment PROFIBUS), les experts de l’équipe Security Response de Symantec travaillant sur Stuxnet on avancé sur le fonctionnement du code.

En effet, depuis sa découverte, il avait été impossible de déterminer quelle était la véritable cible de Stuxnet, parmi les nombreux systèmes de contrôle industriels potentiellement connectés.

Maintenant, il est clair que Stuxnet nécessite un convertisseur de fréquence provenant d’au moins 2 fabriquants différents, l’un basé en Finlande, l’autre en Iran. Un convertisseur de fréquence est une alimentation électrique qui permettant de modifier la puissance de sortie, contrôlant ainsi la vitesse d’un moteur. En gros, plus la fréquence est haute, plus le moteur tourne vite.

Les nouveaux éléments sont les suivants :

• Les fonctions de la totalité du code de Stuxnet sont désormais connues.
• Stuxnet a besoin de convertisseurs de fréquences très spécifiques
• Les fréquences doivent être très élevées, entre 807 et 1210 Hz, et bien que les convertisseurs de fréquence soient fréquemment utilisés dans de nombreuses applications industrielles, ce type de vitesse ne correspond qu’à un nombre limité d’usages.
• Stuxnet change les fréquences de sortie et donc la vitesse des moteurs pendant de courts instants sur des périodes de plusieurs mois. Les variations apportées au fonctionnement des moteurs sabotent l’opération normale du processus de contrôle industriel.
• La configuration spécifique de Stuxnet limite le nombre de possibilités quant aux cibles potentielles.

Stuxnet surveille la fréquence des moteurs, qui doit être entre 807 et 1210 Hz, avant que Stuxnet ne modifie leur comportement. Les cas d’utilisations de convertisseurs à de telles fréquences sont assez rares et notamment utilisés dans :

• l’enrichissement de l’uranium (les convertisseurs fonctionnant à des fréquences supérieures à 600hz sont restreints à l’exportation depuis les USA par la NRC – Nuclear Regulatory Commission)
• la recherche biologique (centrifugeuses rapides)
• les machines à commandes numériques
• certaines perceuses à très hautes vitesses
• d’autres applications ???

A ce propos, tout commentaire sur d’autres utilisations de convertisseurs à ce type de fréquence sera le bienvenu.

Et pour terminer de manière plus visuelle, voici une vidéo reprenant le fonctionnement de Stuxnet ainsi qu’une démonstration sur de vrais éléments PLC et avec un ballon…car il n’a pas été possible d’acheter une raffinerie pour l’occasion !

Pour plus de détails, vous trouverez ici l’article de Security Response :

http://www.symantec.com/connect/blogs/stuxnet-breakthrough

Et là, le document de synthèse, mis à jour:

http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/w32_stuxnet_dossier.pdf

Articles précédents :

http://www.helloblog.fr/index.php/un-maliciel-cible-les-systemes-industriels-critiques-scada/

http://www.helloblog.fr/index.php/hollywood-en-a-reve-stuxnet-la-fait/

L’idée est simple…

1. La photographie est prise par le radar
2. L’image est scannée pour en extraire le numéro de plaque
3. Le numéro de plaque est inséré dans la requête SQL qui interroge la base de données
4. Les coordonnées du contrevenant sont récupérées pour traitement

Mais dans ce cas, c’est la chaîne de caractères  ZU 0666′, 0,0) ; DROP DATABASE TABLICE;  - - qui est envoyée, et du coup supprime la base de données !

Bon, en fait, il n’y a quasiment aucune chance (risque ?) que cela ne fonctionne et cette voiture n’a probablement jamais roulée comme ça…bien que dans l’esprit c’est bien ainsi qu’une injection SQL fonctionne.

Et donc, tout système d’acquisition de données du même genre, mal protégé, pourrait être vulnérable à ce type d’attaques…

Mais là, c’est juste drôle !

Et pour info, c’est en Pologne…

(Merci a Sean…)

Vous êtes utilisateur(trice) assidu(e) ? Pour vos achats et ventes de Noël, ajoutez un mot de passe à votre mot de passe !

C’est ce que l’on nomme la double authentification; pas récent, mais simple, efficace et surtout pratique et gratuit via l’utilisation de son mobile.

Alors, comment renforcer de manière très significative la sécurité d’accès à votre compte avec un second mot de passe, qui change toute les 30 secondes ?

1) télécharger le module VIP de Verisign sur votre mobile (modèles supportés) depuis le site http://m.verisign.com ou iTunes puis suivez les instructions. Vous possédez désormais un « credential ID » qui restera le même (à conserver précieusement !!!), et un « security code » qui est modifié toutes les 30 secondes.

2) rendez-vous sur http://www.ebay.com/securitykey puis Activate it now! Visiblement, il faut passer par le site US…

(Au fait, vous n’avez pas besoin du petit bidule gris, le « token »…)

D’abord on entre le SECURITY KEY (ou Credential ID)

Puis, le code à 6 chiffres…

Enfin un second, dès que le précédent a changé.

Voilà, votre mot de passe est protégé par un autre mot de passe !

Lors de la prochaine connexion à votre compte eBay, vous rentrez votre identifiant, puis votre mot de passe suivi de celui fourni à ce moment par l’application VIP sur votre Smartphone (sans espace entre les 2, genre « motdepasse123456« ).

Quasiment impossible dès lors de se faire pirater son compte…mais, comme toujours, la vraie sécurité a un prix.

• En effet, lors d’une perte ou d’un vol du mobile, il faudra passer par une procédure spéciale et se faire appeler (sur un autre numéro of course…) par l’assistance commerciale eBay pour réactiver le tout (je n’ai pas testé la réactivité…)
• Dans le cas d’un changement de mobile, pensez à désactiver la double authentification AVANT, car vous aurez besoin du code une dernière fois. Ceci se fait dans la section « My ebay/Account/Personal information/Security information« , disponible UNIQUEMENT sur le site US, www.ebay.com (testé avec succès !) Puis redémarrez à l’étape 1 !

Au passage, c’est une vraie solution pour stopper le phishing, dont plus de 70% cible les activités financières…..alors j’aimerais que ma banque s’y mette !

Il est évident que l’utilisation du simple couple « identifiant/mot de passe » a vécu.

La protection des identités sera le prochain « BIG THING » de l’internet, et ce à très court terme.

…il est dans l’état ou le dernier utilisateur l’a laissé.

Et là je dis : BEURK !!! Car certes, l’idée n’est pas ragoûtante, mais malheureusement proche de la réalité.

Dans ce cas, il s’agit de machines que l’on trouve à disposition dans les grands aéroports pour que les passagers puissent surfer, consulter leur messagerie, ou pire leur banque en ligne.

Sur l’image ci-dessus, on aperçoit le fameux « DEFENSE CENTER« , facticiel s’il en est, mais pas n’importe lequel :

TROP FORT !!!

Je rappelle à tout hasard, que si vous avez malencontreusement installé ce type de « produits » (dans 93% des cas les facticiels sont installés volontairement – étude Symantec d’octobre 2009), NORTON POWER ERASER, outil gratuit, peut vous aider.

Télécharger ici : http://security.symantec.com/nbrt/npe.asp?lcid=1036

Moralité : ne JAMAIS faire quoi que ce soit de confidentiel sur des machines en libre service.

De source sûre, en l’occurrence l’agence de presse « S.P.A.M. » (Specialized Press Agency Messenger*), l’été aurait été fatal à nombre de célèbrités

En effet, de nombreuses d’informations en provenance de cette officine spécialisée (!) tombées sur nos téléscripteurs, annonceraient le décès tragique de :

• Beyonce Knowles
• Bon Jovi
• Brad Pitt
• Cameron Diaz
• David Beckham
• Gwen Stefani
• Jay-Z
• Jennifer Aniston
• Jennifer Lopez
• Johnny Depp
• Justin Timberlake
• Kanye West
• Miley Cyrus
• Nicole Kidman
• Ronaldinho
• Tiger Woods
• Tom Cruise
• …..

Dont certains même tout près de chez nous, voyez plus tôt  :

Notons au passage la cohérence de noms entre le titre et le corps du message….Pas très pro pour une agence si sérieuse….pffff !

Bon, évidement, si l’envie vous prend de télécharger le ficher en question, vous aurez l’honneur et l’avantage de faire connaissance avec une autre célébrité, le très pernicieux cheval de Troie ZBOT.

* : Certains, en fait une, qui se reconnaîtra, parle volontiers du Service Pour l’Amitié par Mail

Derniers développements sur la vie et l’oeuvre de Stuxnet, basé sur le travail de l’équipe Security Response de Symantec.

Après analyse plus poussée du code, il s’avère qu’il cherchait à communiquer avec 2 serveurs « Command&Control », qui jusqu’à la semaine dernière pointaient vers un autre serveur en Malaisie (Je rappelle à toutes fins utiles que la localisation d’une machine ne donne aucunes informations sur l’origine de l’attaque, encore moins de l’attaquant). Nous avons pu dérouter et intercepter le trafic vers ces serveurs, les empêchant ainsi de contrôler les machines infectées et d’en récupérer les informations.

Durant la première partie de la semaine dernière, nous avons identifié près de 14.000 adresses IP distinctes tenter de contacter les dits serveurs. A noter que compte tenu de l’utilisation fréquente d’adressage NAT, le nombre réel de machines infectées est vraisemblablement beaucoup plus important, comme en témoignent certaines données récoltées.

Voici la ventilation des détections par pays :

A souligner concernant les « auteurs/commanditaires/bénéficiaires » :

• - Nous n’avons aucune idée de qui est derrière cette attaque. Ce qui est extrêmement rare à notre niveau d’information.
• - Si l’architecture de l’attaque se dessine (technologies, cibles, géographie…), la motivation reste très floue.
• - Si l’on nous avait présenté ce schéma d’attaque il y quelques semaines, bien que théoriquement possible, nous aurions plutôt pensé à un scénario à la « 24 Heures »…
• - Mais il est clair que ce sont loin d’être des amateurs.

En effet, revenons sur les faits majeurs :

• Les attaquants ont découvert et utilisé une vulnérabilité zero-day affectant toutes les versions de Windows
• Ils ont développé et mis en place une technologie de type rootkit pour dissimuler leur présence
• Ils ciblent des logiciels utilisés pour contrôler des processus et éléments industriels SCADA; démontrant au passage une profonde connaissance de ces outils.
• Ils ont été capables de signer leurs fichiers en utilisant des certificats volés à des tiers innocents.
• L’attaque n’est pas ciblée. La menace se réplique en utilisant des périphériques USB et peut infecter n’importe quelle machine Windows.

Vulnérabilité zero-day, rootkit, vols de certificats, connaissance détaillée des logiciels SCADA…la combinaison de tous ces facteurs d’attaques, particulièrement sophistiqués, est extrêmement rare, voire même totalement inédite.

Alors, imaginons quelques scénarii et leur possibles acteurs :

Le solitaire

Une possibilité est que cette attaque est perpétrée par l’archétype du « hacker », depuis sa chambre, chez Pôpa et Môman. Sa motivation peut être basée sur la soif de notoriété, le vol de propriété intellectuelle lui permet de démontrer ses capacités, se faire remarquer et peut-être même en tirer bénéfice…Cela dit, bien que possible, voler 2 certificats, découvrir/utiliser une vulnérabilité zero-day, mettre en place un rootkit, maîtriser des technologies SCADA font beaucoup pour un seul individu, même très déterminé. Cette option est donc à écarter.

L’employé mécontent (ou menacé…)
La connaissance approfondie de produits SCADA pourrait amener à conclure que l’attaque aurait été conduite par un employé (mécontent ou manipulé) d’une entreprise utilisant ce type de logiciel. Cependant, la probabilité qu’une telle personne soit également capable de découvrir une vulnérabilité zero -day et de voler deux certificats est très faible. 

Des concurrents

Une autre possibilité est qu’un concurrent des organisations ciblées essaye de prendre l’avantage par tous les moyens possibles. Il pourrait utiliser les documents subtilisés pour comprendre et compromettre des processus industriels secrets ou même lancer une attaque en déni de service à l’encontre de ses compétiteurs. Mais les attaques de cette nature sont généralement plus ciblées. Ici, le maliciel se propage largement, à l’aveugle, sur n’importe quelle machine Windows, quelle appartienne à l’entreprise visée ou non, qu’un logiciel SCADA soit installé ou pas, rendant de ce fait la détection par les entreprises de sécurité plus rapide.

L’espionnage d’état

Récemment, certains gouvernements ont pu être accusés de favoriser le « hacking » à l’extérieur de leurs frontières (vols de secrets d’état, militaires…) et dans ce cas les motivations sont proches du cas précédent, l’aspect commercial en moins. La complexité et la qualité des éléments utilisé dans l’attaque pourrait amener certains à penser que seul un état pourrait avoir les ressources nécessaires. Mais des éléments comme notamment la gestion maladroite du vols des certificats ont alerté les spécialistes de la sécurité, et ainsi dévoilé définitivement ce modus operandi.

Motivations politiques, nationalistes, religieuses…

Souvent, des attaques attribués à des états sont le fait d’individus motivés et liés par des causes politiques, nationalistes, religieuses ou autres. Ils peuvent décider d’attaquer tout pays ou organisation qu’ils estiment ennemi. Ces groupes ont la patience et l’expertise nécessaire pour faire évoluer leurs « outils » en fonction des contre-mesures mises en place.

Le terrorisme

L’option la plus sombre est celle à motivation terroriste. Si un attaquant arrivait à contrôler une centrale électrique ou toute autre infrastructure critique, les dommages pourraient être importants. Et même si, jusqu’à présent, ce type de scénario restait plutôt au niveau hollywoodien, force est de reconnaître que c’est dans le domaine du possible.

 Conclusion

Lorsqu’ils regardent ces de films, ou un « hacker » génial rançonne une organisation ou même un état, la plupart des professionnels de sécurité informatique sourient (grimacent ?) et savent bien qu’il ne s’agit que de fiction. Cependant bien que le cas STUXNET puisse se lire comme la bande annonce du dernier blockbuster hollowoodien, c’est clairement la première fois qu’une menace, diffusée largement, montre la possibilité de prendre le contrôle de processus industriels.

Cela démontre également que dans ce monde interconnecté, vigilance et sécurité sont plus importantes que jamais et se préparer, même au pire, est toujours d’actualité.

Le pire n’est jamais certain.

Calderon (1600-1681)

Découvert ces jours-ci, STUXNET (précédement dénomé Temphid) est intéressant et inquiétant à la fois  :

Nouvelle méthode de propagation furtive :

• Il exploite une vunérabilité jamais détectée auparavant (donc zero-day) pour se répandre via des clefs ou des disques USB (via les extension .lnk), et utilise un composant « rootkit » pour se dissimuler. (Nouveau mais rien de vraiment boulversifiant…)

Nouveau type de cible :

• Parmi les nombreuses fonctions (toujours à l’étude…) figure l’utilisation de certaines DLL du produit Siemens Step 7 permettant l’accès à des systèmes SCADA. (C’est la partie inquiétante…)

Comme chacun sait, SCADA est l’acronyme anglais pour Supervisory Control And Data Acquisition et comme indiqué dans l’article Wikipedia :

Exemple d'automatisme dans le traitement de l'eau

• surveillance de processus industriels
  
  
• transport de produits chimiques
  
  
• systèmes municipaux d’approvisionnement en eau
  
  
• commande de la production d’énergie électrique
  
  
• distribution électrique
  
  
• canalisations de gaz et de pétrole

A l’origine bien sûr, ces systèmes n’étaient pas connectés à l’internet et utilisaient leur propose réseau….à l’origine…

Compris le danger du truc ???

Un certain nombre de « proof of concept » et d’incidents avaient été démontrés ou relevés jusque là,(voir le document du CLUSIF http://www.clusif.asso.fr/fr/production/ouvrages/pdf/CLUSIF-SCADA-Intro.pdf) mais pas à cette échelle…

Alors, ou trouve-t-on TMPHIDER à ce jour ?

Sur quelles plateformes voit-on ces attaques :

A savoir que Microsoft ne fournit plus de correctifs de sécurité pour Windows XP Service pack 2 depuis le 13 juillet 2010… :-/

Affaire à suivre donc…

Le danger que l’on pressent, mais que l’on ne voit pas, est celui qui trouble le plus.

Jules César.

PS : les « bons » systèmes de protection détectent déjà cette menace…

Difficile à dire sans essayer…et surtout lorsqu’il s’agit d‘URL raccourcies comme dans Twitter…

Il existe maintenant une réponse (en bêta et gratuite) avec la version Facebook de Norton SafeWeb.

Tous les liens postés par des « Amis » ou des applications sont scannés en temps-réel :

Que vous trouverez ici : http://www.facebook.com/apps/application.php?id=310877173418

Avoir beaucoup d’amis, c’est n’avoir point d’amis.

Aristote.

Ou encore le « CLOUD-GAMING » …

Le principe est bien de jouer, sans acheter ni installer le jeu, sans la machine et la carte graphique dernier cri…voire même directement sur son téléviseur.

Les spéculations vont bon train et bien évidement, tous les inconvénients liés au Cloud Computing sont évoqués :

• Gestion des accès
• Protection des données
• Disponibilité du service
• Clauses de sortie
• Etc…Etc…

Mais forcément les avantages aussi, avec, entre autre, l’aspect tarifaire qui devra savoir être très attractif.

Je reste cependant assez optimiste sur le modèle.

Comme l’écrivait Jacques Attali, dès 2006, dans son excellent bien qu’effrayant ouvrage « Une brève histoire de l’avenir » :

Par ce temps marchand, deux industries domineront (dominent déjà) l’économie mondiale : l’assurance et la distraction.

Pour ce qui est de l’assurance, je suis très loin de savoir de quoi je parle, en revanche, concernant la distraction, et surtout la e-distraction, je suis, disons, plus au point…

L’info sur OnLive vient entre autre du non moins excellent KORBEN, sur son volcan perché…