Un retour illustré sur 2012, en attendant l’Internet Security Threat Report – volume 18, qui arrive très bientôt !

Les détails sur ces attaques sont disponibles ici.

  …désolé, pas pu résister !

Plus sérieusement, nous apprenons via l’excellent site de Brian Krebs, que le DHS (Department of Homeland Security) et le FBI ont conjointement lancé une mise en garde sur de nombreuses attaques en déni de service téléphonique  (Telephony Denial of Service) perpétrés à l’encontre de numéros de sûreté publics d’urgence tels que les hopitaux ou les ambulanciers.

Le principe criminel est le suivant  :

• sous un prétexte fallacieux, un individu a fort accent [sic] réclame 5000$ à la cible, sinon…
• un très important volume d’appel vient encombrer le standard, rendant le numéro inaccessible,
• pendant plusieurs heures et par intermittence sur des périodes de plusieurs semaines ou mois !

A noter que ce type d’attaque est disponible “as a Service” pour 5$ de l’heure ou 40$ par jour…

Mais rien de vraiment nouveau ici, si ce n’est l’ampleur et le côté purement criminel, car ce type d’attaque a déjà été utilisé, notamment  contre l’Estonie, en conjonction avec le DDoS de 2007.

Pour bien comprendre, en 3 minutes :

En 2010, Symantec a révélé l’existence d’un maliciel particulièrement sophistiqué, dénommé STUXNET, premier logiciel utilisé comme “cyber-arme” visant un “cyber-sabotage“. Son but était très spécifiquement de prendre le contrôle de machines industrielles, de les faire opérer de manière détournée et ainsi causer des dommages lors des processus de fabrication.

En terme de cyber-menaces, il y a bien un AVANT et un APRES Stuxnet !

Mais certains indices dans le code amenaient à penser que d’autres versions du maliciel existaient, pouvant potentiellement avoir d’autres impacts. Ceci laissait des questions ouvertes sur Stuxnet et son émergence…

La recherche du chaînon manquant est maintenant terminée. Symantec a découvert une version plus ancienne de Stuxnet qui permet de répondre aux questions concernant son évolution.

Cette nouvelle variante a été disséquée et analysée en détail et en voici quelques points clés :

• Stuxnet 0.5 est la plus ancienne version connue de Stuxnet à avoir été analysée, en circulation depuis novembre 2007, mais en développement depuis novembre 2005.
• Il est en partie basé sur la plateforme « FLAMER »
• Il exploite une seule vulnerabilités zero-day contre 7 pour la version 1.001.
• Stuxnet 0.5 était moins agressif que les versions 1.x et se propageait uniquement à travers des projets STEP7 infectés, incluant les clefs USB.
• Stuxnet 0.5 utilise une stratégie d’attaque alternative : la fermeture des valves qui alimentent en gaz hexafluorure d’uranium les centrifugeuses utilisées pour l’enrichissement de l’uranium; une attaque de ce type a pour but d’endommager sérieusement les centrifugeuses concernées et le système d’enrichissement de l’uranium dans son ensemble.
• Des séquences du bon fonctionnement des systèmes étaient enregistrées sur les instruments de mesure, puis “rejouées” lors des perturbations, pour dissimuler l’opération en cours.
• Sa « fin de vie » était programmée au 4 juillet 2009.

Résumé de la stratégie :

Malgré l’âge de la menace, les sondes Symantec ont détecté un petit nombre d’infections « dormantes » , moins de 50, dans une vingtaine d’organisations, dont voici la distribution géographique sur l’année dernière :

Mais le niveau de « succès » de Stuxnet 0.5 reste flou. Les versions ultérieures ont bénéficié d’un cadre de développement différent, plus agressif, employant une autre stratégie d’attaque (modification de la vitesse de rotation des centrifugeuses), suggérant ainsi que la version 0.5 n’avait pas pleinement atteint les objectifs des attaquants.

La figure suivante présente l’impact des différentes versions de Stuxnet sur l’enrichissement de l’uranium à Natanz.

Toutes les informations sur les aspects clés de Stuxnet 0.5 (articles, video, …) sont disponibles ici :

• Stuxnet 0.5: The Missing Link
• Stuxnet 0.5: How it Evolved
• Stuxnet 0.5: Command and Control Capabilities
• Video: Stuxnet Timeline and Attack Strategy

Pour les details plus techniques, un “white paper” est disponible : Stuxnet 0.5 : the missing link

Symantec tient à remercier l’ISIS (Institute for Science and International Security) pour sonleur aide dans la compréhension des systèmes d’enrichissement de l’uranium.

Anthony E. Zuiker, le créateur visionnaire de la franchise Les Experts, et son studio de production Dare to Pass, soutenus par la société Dolphin Digital Media, annoncent la date de diffusion mondiale de Cybergeddon, le nouveau blockbuster digital sur la cybercriminalité avec dans les rôles principaux Olivier Martinez et Missy Peregrym.

Cybergeddon raconte l’histoire de Chloe Jocelyn, un agent chargé d’enquêter sur une série de cyber-attaques apparemment sans lien, et de son coéquipier Frank Parker. Tous deux sont épaulés par Chase Rosen, dit «Rabbit», un virtuose du hacking placé derrière les barreaux. Chloe et son équipe ont pour mission de démanteler, avant qu’il ne soit trop tard, le réseau mondial de cybercriminels dirigé par Gustov Dobreff. Dans un monde où nous sommes tous connectés par le Web, tout le monde court un risque…

Le film Cybergeddon sera diffusé exclusivement dans 25 pays et 10 langues dans une suite de 9 épisodes – 3 épisodes par jour les 25, 26 et 27 septembre.

Pour la bande annonce en français, just push the button !

En France, Cybergeddon sera diffusé sur Yahoo! Cinéma le 25 septembre et la chaîne proposera, en plus des épisodes du film, des scènes inédites retraçant le passé des personnages, des photos exclusives du tournage, des vidéos des coulisses ainsi que des interviews des acteurs et de l’équipe de réalisation. Un dossier spécial sera également consacré à la sensibilisation du grand public à la cybercriminalité.

Anthony E. Zuiker, Bill O’Dowd, PDG des studios Dolphin Digital, et l’équipe de réalisation se sont employés à rendre l’intrigue de Cybergeddon la plus réaliste possible. L’équipe d’Anthony E. Zuiker s’est ainsi associée avec les experts en criminalité chez Norton by Symantec tout au long du processus créatif afin de bénéficier de leur expertise et d’assurer la crédibilité et la cohérence technique du scénario au service de la pédagogie.

« Cybergeddon est une expérience cinématographique qui brise les règles du cinéma traditionnel », affirme Anthony E. Zuiker. « Grâce à Yahoo!, nous allons offrir aux spectateurs la possibilité d’aller plus loin ! Après avoir visionné les neuf épisodes, ils pourront en savoir davantage tout en étant immergés dans l’histoire et la vie des personnages. »

L’équipe :

• Réalisateur: Diego Velasco (La Hora Cero)
• Scénariste: Miles Chapman (The Tomb)
• Producteurs exécutifs: Anthony E. Zuiker, Matthew Weinberg (Président, Dare to Pass) et Bill O’Dowd, (PDG, Dolphin Digital Studios)
• Olivier Martinez (Infidèle) dans le rôle de Gustov Dobreff
• Missy Peregrym (Rookie Blue) dans le rôle de Chloe Jocelyn
• Manny Montana (Breakout Kings) dans le rôle de Franck Parker
• Kick Gurry (Speed Racer) dans le rôle de Chase ‘Rabbit’ Rosen

Pour mémoire, les 10 priorités parmi 50 recommandations proposées par le Sénateur Bockel dans son rapport sur la cyber-défense : un nouvel enjeu de sécurité nationale.
De très bonnes choses dans l’ensemble, et surtout l’espoir d’une VRAIE prise de conscience générale.

Comme le rapport du Député Lasbordes il y a 6 ans, celui du Sénateur Romani il y a 4 ans…

Alors bonne lecture !

• Priorité n°1 : Faire de la cyberdéfense et de la protection des systèmes d’information une priorité nationale, portée au plus haut niveau de l’Etat, notamment dans le contexte du nouveau Livre blanc. S’interroger sur la pertinence de formuler une doctrine publique sur les capacités offensives ;
• Priorité n°2 : Renforcer les effectifs, les moyens et les prérogatives de l’Agence
  nationale de sécurité des systèmes d’information, ainsi que les effectifs et les moyens
  dédiés au sein des armées, de la direction générale de l’armement et des services
  spécialisés, et développer une véritable politique des ressources humaines ;
• Priorité n°3 : Introduire des modifications législatives pour donner les moyens à
  l’ANSSI d’exercer ses missions et instituer un pôle juridictionnel spécialisé à
  compétence nationale pour réprimer les atteintes graves aux systèmes d’information ;
• Priorité n°4 : Améliorer la prise en compte de la protection des systèmes
  d’information dans l’action de chaque ministère, en renforçant la sensibilisation à tous
  les niveaux, en réduisant le nombre de passerelles entre les réseaux et l’Internet, en
  développant les systèmes d’analyse permettant de détecter les attaques, ainsi qu’en
  rehaussant l’autorité des fonctionnaires de sécurité des systèmes d’information ;
• Priorité n°5 : Rendre obligatoire pour les entreprises et les opérateurs d’importance
  vitale une déclaration d’incident à l’ANSSI en cas d’attaque importante contre les
  systèmes d’information et encourager les mesures de protection par des mesures
  incitatives ;
• Priorité n°6 : Renforcer la protection des systèmes d’information des opérateurs
  d’importance vitale, en réduisant le nombre de passerelles entre les réseaux et
  l’Internet, en développant les systèmes d’analyse, en généralisant les audits, en rendant
  obligatoire la déclaration des processus et automates industriels connectés à Internet et
  en favorisant la mise en place, de manière sectorielle, de centres de détection communs ;
• Priorité n°7 : Soutenir par une politique industrielle volontariste, à l’échelle nationale
  et européenne, le tissu des entreprises françaises, notamment des PME, spécialisées
  dans la conception de certains produits ou services importants pour la sécurité
  informatique et, plus largement, du secteur des technologies de l’information et de la
  communication, et renforcer la coopération entre l’Etat et le secteur privé ;
• Priorité n°8 : Encourager la formation d’ingénieurs spécialisés dans la protection des
  systèmes d’information, développer la recherche et les activités de conseil, et
  accentuer la sensibilisation du public, notamment au moyen d’une campagne de
  communication inspirée de la prévention routière ;
• Priorité n°9 : Poursuivre la coopération bilatérale avec nos principaux alliés, soutenir
  l’action de l’OTAN et de l’Union européenne, engager un dialogue avec la Chine et la
  Russie et promouvoir l’adoption au niveau international de mesures de confiance ;
• Priorité n°10 : Interdire sur le territoire national et à l’échelle européenne le déploiement
  et l’utilisation de « routeurs » ou d’autres équipements de cœur de réseaux qui
  présentent un risque pour la sécurité nationale, en particulier les « routeurs » et
  certains équipements d’origine chinoise.

Bon, on revient dans un an pour un point sur l’avancement des travaux  ?

Ah, j’oubliais un détail : Flamer n’est pas 20 fois plus puissant que Stuxnet, il est juste 20 fois plus GROS (je dis ça, je dis rien…)

Alors que ce matin le Sénateur Bockel remettait son rapport sur la cyber-défense, voici pour information, ce qu’il faut savoir sur “Madi” (Trojan.Madi), campagne d’attaque ciblées visant notamment le moyen-orient et s’appuyant sur de l’ingénierie sociale.

Ce maliciel est capable de dérober de l’information, y compris les frappes clavier, mais sait également se mettre à jour et communiquer avec des serveurs de Command&Control hébergés en Iran, et plus récemment en Azerbaïdjan.

Alors que Flamer, Duqu ou encore Stuxnet utilisaient des techniques évoluées pour pénétrer les systèmes (telles que les vulnérabilités 0-day), l’attaque “Madi” repose sur de l’ingénierie sociale pour accéder aux machines visées.

Les cibles de cette campagne sont nombreuses, et incluent :

• des compagnies pétrolières
• des “think tanks” américains
• un consulat
• des agences gouvernementales
• des agences dans le secteur de l’énergie

Voici un exemple de message ciblé, qui contient un fichier Powerpoint (PPS) infecté :

Dans cet exemple, le lancement du fichier attaché affiche une série d’images provenant d’une vidéo montrant la destruction d’un jet par un missile. Le dernier slide ouvre une fenêtre de dialogue qui demande l’autorisation au destinataire d’exécuter un programme !

Bien que “Madi” ait été détecté un peu partout dans le monde, il cible clairement le moyen-orient, et notamment Israel (chiffres au 18 juillet) :

Si des cibles comme Israël ou l’Arabie Saoudite pourraient suggérer l’implication d’un état, les recherches n’ont rien pu mettre en évidence à ce stade. Les éléments trouvés indiquent plutôt que ces attaques seraient œuvre d’un attaquant inconnu (pour l’instant…), parlant le persan.

A suivre…

Le très sérieux ICS-CERT vient de publier un rapport détaillé sur les “cyber-incidents” qui ont impacté des organisations possédant et gérant des systèmes de contrôles industriels et faisant partie d’infrastructures critiques, de 2009 à fin 2011 aux USA. De nombreux cas (anonymisés) sont présentés ainsi qu’un état des lieux sans concession (c’est le moins que l’on puisse dire…) des niveaux de sécurité constatés et des mesures à prendre.

Bel effort de transparence en tous les cas…

Voici quelques morceaux choisis, avec pour commencer la “légère” évolution du nombre d’incidents :

Et la ventilation des incidents 2011 par secteur :

Très logiquement, le constat des manques s'étend aux 3 dimensions classiques : PERSONNES, PROCESSUS et TECHNOLOGIE.

PERSONNES :

1. Manque de compréhension globale des risques de sécurité sur les systèmes de contrôle.
2. Manque de considération de l'impact technique de politiques de sécurité inadéquates ou mal implémentées
3. Manque de compétences cyber-sécurité nécessaires à la protection du réseau contre les attaques

PROCESSUS :

1. Manque ou insuffisance de planning concernant la réponse aux incidents (prévention, détection, préservations des preuves, stratégies de reprise)
2. Manque de politiques ou processus pour faire évoluer la sécurité d'un niveau tactique à un niveau business
3. Manque ou insuffisance de stratégies et de politiques de sécurité nécessaire à la mise en œuvre d'une sécurité adéquate et mature (notamment concernant les médias amovibles)
4. Manque de standard et fonctions sécurité basiques.

TECHNOLOGIE :

1. L'évaluation des risques n'identifie ni ne prioritise les risques techniques les plus importants et les impacts potentiels sur les opérations démontrant la nécessité d'investir en cyber-sécurité
2. Manque d'un cadre de travail autour du management de la sécurité dont résulte une posture de protection inconsistante, notamment au niveau du réseau.
3. Manque de politique de gestion des correctifs et des configuration, permettant d'adresser les vulnérabilités connues et d'offrir une protection à jour contre les cyber-menaces les plus communes.
4. Manque de gestion des contrôles d'accès (mots de passe par défaut, accès privilégiés...)
5. Manque de surveillance des communications réseau entrantes et sortantes, et architecture non adaptée aux besoins de sécurité
6. Les systèmes intégrés ou embarqués (firmware) ne supportent pas les évolutions de sécurité
7. Manque d'expertise en sécurité intégrée autour des systèmes d'exploitation ( Systèmes de contrôle, sécurité opérationnelle, opérations IT, processus...)
8. Manque de système de cycle de développement de produits des vendeurs, intégrateurs ou opérateurs aboutissant à la non mise en place des contrôles de sécurité adéquats.

Voilà voilà...

Le rapport in extenso est ici :

• http://www.us-cert.gov/control_systems/pdf/ICS-CERT_Incident_Response_Summary_Report_09_11.pdf

A noter aussi un guide de bonnes pratiques en la matière :

• http://www.us-cert.gov/control_systems/pdf/ICS-TIP-12-146-01.pdf

Et toujours, le guide de l’ANSSI sur la protection des systèmes industriels :

Deux ans bientôt après sa découverte, l’émission “60 MINUTES” de CBSNEWS, revient sur le “phénomène”…

Le lien complet ici.

A voir également “60minutesOvertime“, 5 minutes d’informations complémentaires, comme notamment le producteur de l’émission, qui a pu mettre la main sur le code, après une semaine de recherche…

Et pour mieux se préparer à de tels risques, voici le récent guide de l’ANSSI sur la protection des systèmes industriels :

En français, il s’agit du brouillage de système Guidage Par Satellite (ou GPS). Il existe déjà de nombreux systèmes de brouillage à rayon d’action limité disponible sur le net, bien que la vente et l’utilisation en soit prohibées. A lire à ce propos des articles récents du Monde ou de la BBC, qui donnent des éléments sur la situation…

Cette fois, il s’agit d’une attaque lancée par la Corée du Nord contre la Corée du Sud ces derniers jours, avec un brouillage à grande échelle ayant impacté 337 vols commerciaux, 122 cargos, un paquebot de croisière et un tanker. Des GPS de voitures ont été également touchés.

Même si de nombreux points restent obscurs, on peut aisément imaginer l’intérêt de perturber la géo-localisation des smartphones aux avions de lignes, en passant par les missiles ou autres drones…

Prêts pour la guerre des objets ?

“Je ne sais pas comment la Troisième Guerre Mondiale sera menée, mais je sais comment le sera la quatrième: avec des bâtons et des pierres.”

Albert Einstein.

L’article in extenso ici.