La grande tendance au naturisme numérique d’un grande majorité de nos contemporains 2.0 ne suffisait-elle pas ?

ou a-t-elle simplement donné des idées ? (remember le fameux PLEASEROBME.COM)

L’utilisation (compulsive ?) de réseaux sociaux, ou autres outils de micro-blogging pour dévoiler en permanence ce que l’on fait, ou l’on est, avec qui et ce que l’on en pense était déjà une source d’informations personnelles (privées ?) incroyable…

Voici les nouvelles moissonneuses de données personnelles : les applications pour nos smartphones et autres tablettes !

Un nombre impressionnant d’applications qui « récupèrent » de manière plus ou moins explicite et agressive les informations disponibles sur les appareils mobiles connectés; un exemple très simple :

 Le but est évidement de d’utiliser ou de revendre ces informations, à des fins marketing, commerciales, voir malveillantes…

Comme démonstration, je recommande fortement de jeter un oeil à cette application développée par le Wall Street Journal, et qui présente de manière claire et synthétique, parmi les applications iPhone et Android les plus populaires, quelles données sont récupérées et vers qui elles sont envoyées !

Cliquer sur l’image pour tester en vrai :

Mais la vrai question reste : comment le savoir et comment réagir ?

Thèmes qui seront abordés (j’imagine…) lors du très prochain MOBILE WORLD CONGRESS de Barcelone…dont tous les participants vont sans nul doute contribuer eux-mêmes, en s’empressant de télécharger l’application de l’événement, non ?

Chaque année, à l’occasion de la petite semaine de sports d’hiver helvète réunissant le gratin mondial, un rapport sur les risques globaux est publié. Au delà du côté anxiogène de l’affaire, il reste toujours plus utile de savoir pour anticiper, que de rester dans l’ignorance… A noter cette année, un chapitre important dédié aux risques technologiques dont les « cyber-attaques » et « défaillances de systèmes critiques« .

Voici un court extrait :

Objectives of Cyber Attacks :

Sabotage

• Users may not realize when data has been maliciously, surreptitiously modified and make decisions based on the altered data. In the case of advanced military control systems, effects could be catastrophic. National critical infrastructures are increasingly connected to the Internet, often using bandwidth leased from private companies, outside of government protection and oversight.

Espionage

• Sufficiently skilled hackers can steal vast quantities of information remotely, including highly sensitive corporate, political and military communications.

Subversion

• The Internet can spread false information as easily as true. This can be achieved by hacking websites or by simply designing misinformation that spreads virally. Denial-of-service attacks can prevent people from accessing data, most commonly by using “botnets” to drown the target in requests for data, which leaves no spare capacity to respond to legitimate users.

Voici un des schémas associés :

Le mini-site en cliquant sur l’image :

Et le site du WORLD ECONOMIC FORUM en lui-même : http://www.weforum.org/issues/global-risks

On l’avait dit et répété, il y a un « avant » et un « après » Stuxnet.

La descendance s’annonce.

Voici donc w32.duqu, dont la principale caractéristique de reprendre plus de 50% du code de « Papa », comme tout bon fiston qui se respecte.En l’occurrence, il est certain que les auteurs ont eu accès au code source de Stuxnet, soit parce qu’il le possédait déjà (!), soit parce qu’ils ont pu se le procurer d’une manière ou d’une autre.

Cette fois, même si le type de cible ultime pourrait être assez proche (autour des systèmes de contrôles industriels), la fonction est bien différente puisque clairement orientée vers le vol d’informations confidentielles

En résumé :

• Nous avons découvert des exécutables utilisant le code de Stuxnet. Ils semblent avoir été développés après la dernière version de Stuxnet.
• Ces programmes sont conçus pour capturer des frappes clavier ainsi que des informations systèmes ou de design.
• L’analyse actuelle ne montre pas de code directement lié à des vulnérabilités de systèmes de contrôles industriels.
• Il ne se réplique pas.
• Ces exécutables ont été identifiés dans un nombre limité d’organisations, incluant notamment la fourniture de systèmes de contrôles industriels.
• Les données exfiltrées pourraient être utilisées par la suite pour lancer des attaques de type Stuxnet.

Des informations plus détaillées sont disponible sur le blog de Symantec Response :

http://www.symantec.com/connect/w32_duqu_precursor_next_stuxnet.

Ainsi qu’un « white paper » encore plus fouillé ici :

http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/w32_duqu_the_precursor_to_the_next_stuxnet.pdf.

Mais les analyses se poursuivent…donc à suivre.

Il fallait s’y attendre, le remplacement progressif des vrais claviers par des écrans tactiles sur les bidules connectés va mettre au rencard les bons vieux keyloggers…mais alors, serait-ce la fin de la piraterie dactylographique?

Que nenni  !

Des chercheurs de l’Université de Californie ont démontré la possibilité de localiser et d’enregistrer les tapotages et autres glissades dorénavant usuelles sur nos écrans tactiles avec un taux de réussite de près de 72%, dans le cas d’un pavé numérique.

Pas de preuve d’existence de maliciels pour mobiles utilisant ce type de technique dans la nature à ce jour; mais bon… :-/

Pour les amateurs matheux les détails sont ici.

Les grandes attaques virales ou méga campagnes de spam ont clairement tendance à se raréfier. Différentes raisons à cela : meilleur niveau de protection globale (mais encore loin d’être parfait…), un embryon de prise de conscience des risques du net, plus vraisemblablement une baisse des retours sur investissements pour les cyber-criminels et reports vers d’autres médias comme les réseaux sociaux et bien entendu, les smartphones.

Mais les choses évoluent, notamment vers des attaques très ciblées, ayant un but précis.

Et côté cyber-espionnage, on fait plutôt dans le furtif !

Ce n’est cependant pas une nouveauté. Depuis quelques années, nous voyons bien cette tendance s’affirmer et avons pu en dégager un modus operandi générique, qui se présente comme suit, avec quelques contre-mesures associées :

Etape 1, l’INCURSION :

Après avoir rassemblé suffisamment d’éléments, sur l’individu visé (parfois plusieurs), un message est envoyé, en provenance d’un émetteur plausible, sur un sujet du moment, poussant à ouvrir une pièce jointe ou cliquer sur un lien. Il est alors probable que le maliciel recherche et utilise une vulnérabilité existante sur le système (rare en effet sont les systèmes totalement à jour…) ou plus exceptionnellement une faille « 0Day ».

Dans la mesure ou la charge utile (et malveillante…) a été développée spécifiquement pour cette attaque, il y a très peu de chance qu’un anti-virus classique (donc essentiellement basé sur la détection de maliciels connus via leur « signature« ) ne détecte l’intru.

Contre-mesure : une technologie de détection basée sur la réputation sera beaucoup plus efficace contre ce genre de menaces : l’unicité d’un programme le rendant particulièrement suspect; une gestion fine des configurations limitera le nombre des vulnérabilités disponibles.

Etape 2, La DECOUVERTE :

Une fois derrière les murs, il s’agit d’identifier l’environnement et ainsi cartographier les accès, les serveurs, les réseaux, les systèmes de stockage…etc…etc…pour savoir comment progresser dans l’infrastructure et accéder à un maximum d’informations.

Contre-mesure : Le chiffrement des données, de répertoires rassemblant les informations sensibles, la gestion des accès aux documents, compliqueront considérablement ces opérations.

Etape 3, la CAPTURE :

Deux options ici, copier purement et simplement les documents présents et/ou mettre en place un autre maliciel (catégorie des APT : Advanced Persistant Threats), utilisant souvent des techniques de camouflages (rookits) pour rester en activité le plus longtemps possible. Leur travail va être de capturer, au fil de l’eau, différents types de données : ce qui est tapé au clavier, ce qui est envoyé par mail, ce qui est imprimé, et même en déclenchant le microphone de l’ordinateur (portable…) enregistrer les conversations alentour.

Contre-mesure : les technologies de détections de rootkits, un moteur de détection comportemental de dernière génération pourront identifier des activités étranges et la surveillance et la corrélation des évènements de sécurité à l’intérieur du réseau pourra identifier des incidents inhabituels.

Etape 4, l’EXFILTRATION :

Les informations copiées ou capturées doivent être « sorties » du réseau, sans attirer l’attention, et vers un ou plusieurs sites, pas forcément impliqués mais contrôlés à distance par les attaquants : ce n’est pas parce que l’adresse IP est au Groenland que le voleur est un ours blanc !

Contre-mesure : le filtrage de contenu en sortie de réseau permettra de détecter trafics et contenus étranges, chiffrés induement, vers des destinations nouvelles.

Bon, évidement, en vrai c’est largement plus compliqué, mais les moyens existent. Dès lors que l’on aborde le projet globalement, en prenant en compte les dimensions humaines, procédurales et technologiques, avec les moyens nécessaires, on peut arriver à un niveau de protection substantiel qui compliquera sérieusement la vie des cyber-barbouzes.

« Les ordres sont les suivants : on courtise, on séduit, on enlève et en cas d’urgence…on épouse ! »

Michel Audiard – Les Barbouzes.