La descendance s’annonce.

Voici donc w32.duqu, dont la principale caractéristique de reprendre plus de 50% du code de « Papa », comme tout bon fiston qui se respecte.En l’occurrence, il est certain que les auteurs ont eu accès au code source de Stuxnet, soit parce qu’il le possédait déjà (!), soit parce qu’ils ont pu se le procurer d’une manière ou d’une autre.

Cette fois, même si le type de cible ultime pourrait être assez proche (autour des systèmes de contrôles industriels), la fonction est bien différente puisque clairement orientée vers le vol d’informations confidentielles

En résumé :

• Nous avons découvert des exécutables utilisant le code de Stuxnet. Ils semblent avoir été développés après la dernière version de Stuxnet.
• Ces programmes sont conçus pour capturer des frappes clavier ainsi que des informations systèmes ou de design.
• L’analyse actuelle ne montre pas de code directement lié à des vulnérabilités de systèmes de contrôles industriels.
• Il ne se réplique pas.
• Ces exécutables ont été identifiés dans un nombre limité d’organisations, incluant notamment la fourniture de systèmes de contrôles industriels.
• Les données exfiltrées pourraient être utilisées par la suite pour lancer des attaques de type Stuxnet.

Des informations plus détaillées sont disponible sur le blog de Symantec Response :

http://www.symantec.com/connect/w32_duqu_precursor_next_stuxnet.

Ainsi qu’un « white paper » encore plus fouillé ici :

http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/w32_duqu_the_precursor_to_the_next_stuxnet.pdf.

Mais les analyses se poursuivent…donc à suivre.

En bref, un FAI doit dorénavant avertir la CNIL, et le cas échéant l’intéressé, en cas de « disparition » d’informations à caractère personnel.

Les paris sont ouverts : QUI sera le premier à passer au « 20 heures », pour expliquer que, bon, bah, euh, comment dire….on a paumé des trucs !

Les détails du texte : (notez au passage le « susvisée »…j’adore !)

Il est inséré, après l’article 34 de la loi du 6 janvier 1978 susvisée, un article 34 bis ainsi rédigé :

• I. ― Le présent article s’applique au traitement des données à caractère personnel mis en œuvre dans le cadre de la fourniture au public de services de communications électroniques sur les réseaux de communications électroniques ouverts au public, y compris ceux prenant en charge les dispositifs de collecte de données et d’identification. Pour l’application du présent article, on entend par violation de données à caractère personnel toute violation de la sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé à des données à caractère personnel faisant l’objet d’un traitement dans le cadre de la fourniture au public de services de communications électroniques.

• II. ― En cas de violation de données à caractère personnel, le fournisseur de services de communications électroniques accessibles au public avertit, sans délai, la Commission nationale de l’informatique et des libertés. Lorsque cette violation peut porter atteinte aux données à caractère personnel ou à la vie privée d’un abonné ou d’une autre personne physique, le fournisseur avertit également, sans délai, l’intéressé.
  La notification d’une violation des données à caractère personnel à l’intéressé n’est toutefois pas nécessaire si la Commission nationale de l’informatique et des libertés a constaté que des mesures de protection appropriées ont été mises en œuvre par le fournisseur afin de rendre les données incompréhensibles à toute personne non autorisée à y avoir accès et ont été appliquées aux données concernées par ladite violation.
  A défaut, la Commission nationale de l’informatique et des libertés peut, après avoir examiné la gravité de la violation, mettre en demeure le fournisseur d‘informer également les intéressés.

• III. ― Chaque fournisseur de services de communications électroniques tient à jour un inventaire des violations de données à caractère personnel, notamment de leurs modalités, de leur effet et des mesures prises pour y remédier et le conserve à la disposition de la commission.

A ce jour, cette ordonnance impacte essentiellement les fournisseurs d’accès à internet (pas seulement les telcos…), mais il faut s’attendre à un élargissement à d’autres secteurs d’activités (banque, grande distribution, santé…), comme l’annonçait récemment Vivian Reding devant un parterre de banquiers :

Je comprends que l’introduction d’une telle notification systématique serait un fardeau pour certains d’entre vous dans le secteur bancaire. Toutefois, l’obligation de rendre public une perte importante d’informations est nécessaire et améliorerait la confiance des consommateurs.

 

Bon, cela dit tout va bien, des solutions existent, qui doivent prendre en compte les aspects humains, procéduraux et technologiques.

Il faut juste prendre les choses au sérieux et traiter l’information à sa juste valeur…enfin.

Et pour ceux qui aurait oublié (!)…un rappel sur ce qu’est une ordonnance en droit constitutionnel.

Mais les choses évoluent, notamment vers des attaques très ciblées, ayant un but précis.

Et côté cyber-espionnage, on fait plutôt dans le furtif !

Ce n’est cependant pas une nouveauté. Depuis quelques années, nous voyons bien cette tendance s’affirmer et avons pu en dégager un modus operandi générique, qui se présente comme suit, avec quelques contre-mesures associées :

Etape 1, l’INCURSION :

Après avoir rassemblé suffisamment d’éléments, sur l’individu visé (parfois plusieurs), un message est envoyé, en provenance d’un émetteur plausible, sur un sujet du moment, poussant à ouvrir une pièce jointe ou cliquer sur un lien. Il est alors probable que le maliciel recherche et utilise une vulnérabilité existante sur le système (rare en effet sont les systèmes totalement à jour…) ou plus exceptionnellement une faille « 0Day ».

Dans la mesure ou la charge utile (et malveillante…) a été développée spécifiquement pour cette attaque, il y a très peu de chance qu’un anti-virus classique (donc essentiellement basé sur la détection de maliciels connus via leur « signature« ) ne détecte l’intru.

Contre-mesure : une technologie de détection basée sur la réputation sera beaucoup plus efficace contre ce genre de menaces : l’unicité d’un programme le rendant particulièrement suspect; une gestion fine des configurations limitera le nombre des vulnérabilités disponibles.

Etape 2, La DECOUVERTE :

Une fois derrière les murs, il s’agit d’identifier l’environnement et ainsi cartographier les accès, les serveurs, les réseaux, les systèmes de stockage…etc…etc…pour savoir comment progresser dans l’infrastructure et accéder à un maximum d’informations.

Contre-mesure : Le chiffrement des données, de répertoires rassemblant les informations sensibles, la gestion des accès aux documents, compliqueront considérablement ces opérations.

Etape 3, la CAPTURE :

Deux options ici, copier purement et simplement les documents présents et/ou mettre en place un autre maliciel (catégorie des APT : Advanced Persistant Threats), utilisant souvent des techniques de camouflages (rookits) pour rester en activité le plus longtemps possible. Leur travail va être de capturer, au fil de l’eau, différents types de données : ce qui est tapé au clavier, ce qui est envoyé par mail, ce qui est imprimé, et même en déclenchant le microphone de l’ordinateur (portable…) enregistrer les conversations alentour.

Contre-mesure : les technologies de détections de rootkits, un moteur de détection comportemental de dernière génération pourront identifier des activités étranges et la surveillance et la corrélation des évènements de sécurité à l’intérieur du réseau pourra identifier des incidents inhabituels.

Etape 4, l’EXFILTRATION :

Les informations copiées ou capturées doivent être « sorties » du réseau, sans attirer l’attention, et vers un ou plusieurs sites, pas forcément impliqués mais contrôlés à distance par les attaquants : ce n’est pas parce que l’adresse IP est au Groenland que le voleur est un ours blanc !

Contre-mesure : le filtrage de contenu en sortie de réseau permettra de détecter trafics et contenus étranges, chiffrés induement, vers des destinations nouvelles.

Bon, évidement, en vrai c’est largement plus compliqué, mais les moyens existent. Dès lors que l’on aborde le projet globalement, en prenant en compte les dimensions humaines, procédurales et technologiques, avec les moyens nécessaires, on peut arriver à un niveau de protection substantiel qui compliquera sérieusement la vie des cyber-barbouzes.

« Les ordres sont les suivants : on courtise, on séduit, on enlève et en cas d’urgence…on épouse ! »

Michel Audiard – Les Barbouzes.

Avant de partir :

1. Relisez attentivement et respectez les règles de sécurité édictées par votre organisme.
2. Prenez connaissance de la législation locale.
3. Utilisez de préférence du matériel dédié aux missions (ordinateurs, téléphones, supports amovibles, etc.).
4. Sauvegardez les données que vous emportez.
5. Evitez de partir avec vos données sensibles.
6. Emportez un filtre de protection écran pour votre ordinateur si vous comptez profiter des trajets pour travailler vos dossiers, afin dʼéviter que des curieux lisent vos documents par-dessus votre épaule.
7.  Mettez un signe distinctif sur vos appareils (comme une pastille de couleur). 

Pendant votre déplacement : 

1. En cas dʼinspection ou de saisie par les autorités, informez votre organisme. 
2.  En cas de perte ou de vol d’un équipement ou d’informations, informez immédiatement votre organisme et demandez conseil au consulat avant toute démarche auprès des autorités locales.
3.  N’utilisez pas les équipements qui vous sont offerts avant de les avoir fait vérifier par votre service de sécurité. Ils peuvent contenir des logiciels malveillants.
4.  Evitez de connecter vos équipements à des postes ou des périphériques informatiques qui ne sont pas de confiance.

 Avant le retour :  

1. Transférez vos données
2. Effacez votre historique de vos appels et de vos navigations. 

 Après le retour :  

1. Changez les mots de passe que vous avez utilisés pendant votre voyage
2. Analysez ou faites analyser vos équipements.

Qui voyage avec du courage dans ses bagages apporte avec lui le passeport le plus sage.

Daniel Desbiens

C’est justement lorsqu’ils créaient des logiciels pour centres d’appels que les fondateurs de la société VONTU (acquise par Symantec en 2007) ont eu l’idée de développer des solutions permettant la prévention des fuites d’informations…

Rien à voir avec l’actualité… « Le compte de Sarkozy piraté via son abonnement Canal+ » 

Pour mémoire, quelques lignes concernant l’obligation légale de confidentialité :

Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher quelles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.

Le sous-traitant doit présenter des garanties suffisantes pour assurer la mise en oeuvre des mesures de sécurité et de confidentialité mentionnées à l’article 34. Cette exigence ne décharge pas le responsable du traitement de son obligation de veiller au respect de ces mesures.

Loi n°78-17 du 6 Janvier 1978 relative à l’informatique, aux fichiers et aux libertés – art.34 & 35

Risques encourus :

Le fait, par toute personne qui a recueilli, à l’occasion de leur enregistrement, de leur classement, de leur transmission ou d’une autre forme de traitement, des données à caractère personnel dont la divulgation aurait pour effet de porter atteinte à la considération de l’intéressé ou à l’intimité de sa vie privée, de porter, sans autorisation de l’intéressé, ces données à la connaissance d’un tiers qui n’a pas qualité pour les recevoir est puni de cinq ans d’emprisonnement et de 300 000 € d’amende.

Art. 226-22 du code pénal 

Sinon, pour la petite histoire, et rapport à la photo, le nom « Vontu », venait du « mont Ventoux », les entrepreneurs en question étant de grands fans de cyclisme…

Mais heureusement, pas de ça chez nous ! (cf image ci-jointe…vous reconnaissez ?*)

Pas de portables volés, pas de clefs USB perdues, pas de bandes ou autres supports égarés… tant mieux !

En même temps, si c’était le cas, je suis sûr que ma banque, mon médecin ou mon réseau social me le signalerait immédiatement, que je puisse prendre les mesures nécessaires !

A moins…que l’on ne me le cache ? Mais pourquoi ferait-on cela ? Finalement, les divers coûts engendrés par une perte de données ne représentent qu’environ 150€…par enregistrement. Enfin d’après la dernière étude de l’Institut Ponemon…

Après tout, cela ne représenterait qu’un peu plus d’1 milliard d’euro !

Ah…..quand même…mais pourquoi autant ?

Peut-être parce que, pour bien faire, si une brèche était découverte, il y aurait 2 ou 3 trucs à faire…

Citons, à la volée :

1. Analyser la fuite/perte pour en déterminer la cause
2. Identifier les informations perdues/dérobées
3. S’il y a lieu, supprimer tous les accès à la source immédiatement
4. Si les informations sont chez un tiers, faire en sorte qu’il fasse de même
5. Mobiliser l’équipe de crise (préalablement constituée) qui rassemblera :
   • Les équipes informatiques, des membres du marketing,  de la communication, des relations presse,  des représentants des départements impactés, des membres de la Direction Générale, des ressources humaines…..
6. Prévenir les forces de l’ordre (interlocuteurs préalablement identifiés) et autorités idoines
7. Préparer les éléments tels que pages web, communiqués de presse, questions et réponses
8. Avertir les centres d’appels et leur fournir les messages appropriés
9. Faire remonter en permanence toutes les informations vers la cellule de crise
10. Tenir des réunions quotidiennes sur l’avancement, les problèmes rencontrés
11. Evaluer les potentielles implications financières immédiates (déblocage d’une ligne de crédit)
12. Avertir les personnes ou collaborateurs touchés, par messagerie ou voie postale
    • Récolter les adresses, préparer le courrier, le mettre  sous pli, affranchir, et poster…
    • Gérer les NPAI
13. Etc…etc…

Ceci, sans compter le déficit d’image, les pertes commerciales, l’impact sur l’action…

C’est pour ça que je suis tranquille, si on perdait des informations sensibles, cela ce saurait… 

* : Voilà ce que l’on pouvait voir au journal de 20h, lors du dramatique « incident » de Tchernobyl