Derniers développements sur la vie et l’oeuvre de Stuxnet, basé sur le travail de l’équipe Security Response de Symantec.

Après analyse plus poussée du code, il s’avère qu’il cherchait à communiquer avec 2 serveurs « Command&Control », qui jusqu’à la semaine dernière pointaient vers un autre serveur en Malaisie (Je rappelle à toutes fins utiles que la localisation d’une machine ne donne aucunes informations sur l’origine de l’attaque, encore moins de l’attaquant). Nous avons pu dérouter et intercepter le trafic vers ces serveurs, les empêchant ainsi de contrôler les machines infectées et d’en récupérer les informations.

Durant la première partie de la semaine dernière, nous avons identifié près de 14.000 adresses IP distinctes tenter de contacter les dits serveurs. A noter que compte tenu de l’utilisation fréquente d’adressage NAT, le nombre réel de machines infectées est vraisemblablement beaucoup plus important, comme en témoignent certaines données récoltées.

Voici la ventilation des détections par pays :

A souligner concernant les « auteurs/commanditaires/bénéficiaires » :

• - Nous n’avons aucune idée de qui est derrière cette attaque. Ce qui est extrêmement rare à notre niveau d’information.
• - Si l’architecture de l’attaque se dessine (technologies, cibles, géographie…), la motivation reste très floue.
• - Si l’on nous avait présenté ce schéma d’attaque il y quelques semaines, bien que théoriquement possible, nous aurions plutôt pensé à un scénario à la « 24 Heures »…
• - Mais il est clair que ce sont loin d’être des amateurs.

En effet, revenons sur les faits majeurs :

• Les attaquants ont découvert et utilisé une vulnérabilité zero-day affectant toutes les versions de Windows
• Ils ont développé et mis en place une technologie de type rootkit pour dissimuler leur présence
• Ils ciblent des logiciels utilisés pour contrôler des processus et éléments industriels SCADA; démontrant au passage une profonde connaissance de ces outils.
• Ils ont été capables de signer leurs fichiers en utilisant des certificats volés à des tiers innocents.
• L’attaque n’est pas ciblée. La menace se réplique en utilisant des périphériques USB et peut infecter n’importe quelle machine Windows.

Vulnérabilité zero-day, rootkit, vols de certificats, connaissance détaillée des logiciels SCADA…la combinaison de tous ces facteurs d’attaques, particulièrement sophistiqués, est extrêmement rare, voire même totalement inédite.

Alors, imaginons quelques scénarii et leur possibles acteurs :

Le solitaire

Une possibilité est que cette attaque est perpétrée par l’archétype du « hacker », depuis sa chambre, chez Pôpa et Môman. Sa motivation peut être basée sur la soif de notoriété, le vol de propriété intellectuelle lui permet de démontrer ses capacités, se faire remarquer et peut-être même en tirer bénéfice…Cela dit, bien que possible, voler 2 certificats, découvrir/utiliser une vulnérabilité zero-day, mettre en place un rootkit, maîtriser des technologies SCADA font beaucoup pour un seul individu, même très déterminé. Cette option est donc à écarter.

L’employé mécontent (ou menacé…)
La connaissance approfondie de produits SCADA pourrait amener à conclure que l’attaque aurait été conduite par un employé (mécontent ou manipulé) d’une entreprise utilisant ce type de logiciel. Cependant, la probabilité qu’une telle personne soit également capable de découvrir une vulnérabilité zero -day et de voler deux certificats est très faible. 

Des concurrents

Une autre possibilité est qu’un concurrent des organisations ciblées essaye de prendre l’avantage par tous les moyens possibles. Il pourrait utiliser les documents subtilisés pour comprendre et compromettre des processus industriels secrets ou même lancer une attaque en déni de service à l’encontre de ses compétiteurs. Mais les attaques de cette nature sont généralement plus ciblées. Ici, le maliciel se propage largement, à l’aveugle, sur n’importe quelle machine Windows, quelle appartienne à l’entreprise visée ou non, qu’un logiciel SCADA soit installé ou pas, rendant de ce fait la détection par les entreprises de sécurité plus rapide.

L’espionnage d’état

Récemment, certains gouvernements ont pu être accusés de favoriser le « hacking » à l’extérieur de leurs frontières (vols de secrets d’état, militaires…) et dans ce cas les motivations sont proches du cas précédent, l’aspect commercial en moins. La complexité et la qualité des éléments utilisé dans l’attaque pourrait amener certains à penser que seul un état pourrait avoir les ressources nécessaires. Mais des éléments comme notamment la gestion maladroite du vols des certificats ont alerté les spécialistes de la sécurité, et ainsi dévoilé définitivement ce modus operandi.

Motivations politiques, nationalistes, religieuses…

Souvent, des attaques attribués à des états sont le fait d’individus motivés et liés par des causes politiques, nationalistes, religieuses ou autres. Ils peuvent décider d’attaquer tout pays ou organisation qu’ils estiment ennemi. Ces groupes ont la patience et l’expertise nécessaire pour faire évoluer leurs « outils » en fonction des contre-mesures mises en place.

Le terrorisme

L’option la plus sombre est celle à motivation terroriste. Si un attaquant arrivait à contrôler une centrale électrique ou toute autre infrastructure critique, les dommages pourraient être importants. Et même si, jusqu’à présent, ce type de scénario restait plutôt au niveau hollywoodien, force est de reconnaître que c’est dans le domaine du possible.

 Conclusion

Lorsqu’ils regardent ces de films, ou un « hacker » génial rançonne une organisation ou même un état, la plupart des professionnels de sécurité informatique sourient (grimacent ?) et savent bien qu’il ne s’agit que de fiction. Cependant bien que le cas STUXNET puisse se lire comme la bande annonce du dernier blockbuster hollowoodien, c’est clairement la première fois qu’une menace, diffusée largement, montre la possibilité de prendre le contrôle de processus industriels.

Cela démontre également que dans ce monde interconnecté, vigilance et sécurité sont plus importantes que jamais et se préparer, même au pire, est toujours d’actualité.

Le pire n’est jamais certain.

Calderon (1600-1681)

Découvert ces jours-ci, TMPHIDER est intéressant et inquiétant à la fois  :

Nouvelle méthode de propagation furtive :

• Il exploite une vunérabilité jamais détectée auparavant (donc zero-day) pour se répandre via des clefs ou des disques USB (via les extension .lnk), et utilise un composant « rootkit » pour se dissimuler. (Nouveau mais rien de vraiment boulversifiant…)

Nouveau type de cible :

• Parmi les nombreuses fonctions (toujours à l’étude…) figure l’utilisation de certaines DLL du produit Siemens Step 7 permettant l’accès à des systèmes SCADA. (C’est la partie inquiétante…)

Comme chacun sait, SCADA est l’acronyme anglais pour Supervisory Control And Data Acquisition et comme indiqué dans l’article Wikipedia :

Exemple d'automatisme dans le traitement de l'eau

• surveillance de processus industriels
  
  
• transport de produits chimiques
  
  
• systèmes municipaux d’approvisionnement en eau
  
  
• commande de la production d’énergie électrique
  
  
• distribution électrique
  
  
• canalisations de gaz et de pétrole

A l’origine bien sûr, ces systèmes n’étaient pas connectés à l’internet et utilisaient leur propose réseau….à l’origine…

Compris le danger du truc ???

Un certain nombre de « proof of concept » et d’incidents avaient été démontrés ou relevés jusque là,(voir le document du CLUSIF http://www.clusif.asso.fr/fr/production/ouvrages/pdf/CLUSIF-SCADA-Intro.pdf) mais pas à cette échelle…

Alors, ou trouve-t-on TMPHIDER à ce jour ?

Sur quelles plateformes voit-on ces attaques :

A savoir que Microsoft ne fournit plus de correctifs de sécurité pour Windows XP Service pack 2 depuis le 13 juillet 2010… :-/

Affaire à suivre donc…

Le danger que l’on pressent, mais que l’on ne voit pas, est celui qui trouble le plus.

Jules César.

PS : les « bons » systèmes de protection détectent déjà cette menace…

Voir aussi l'article sur www.journaldunet.com

Le jeudi 24 juin (oui, le jour de la grève), se tenait, à l’Assemblée Nationale, un colloque parlementaire sur le thème suivant :   »Peut-on faire confiance au Cloud Computing ? », sujet ô combien d’actualité…

Quelques éléments de réflexion :

Grâce au progrès technique et aux innovations, l’informatique a connu au cours de ces cinquante dernières années une véritable révolution. Selon Louis Naugès, co-fondateur de Revevol, tous les dix ans, des innovations de rupture ont déclenché une vague de profonds changements dans les usages de l’informatique, que ce soit en 1990 avec la démocratisation des ordinateurs ou en 2000 avec le boom d’Internet. Les années 2010 voient quant à elle l’avènement du Cloud Computing, « l’informatique dans les nuages », une avancée technologique fondée sur la virtualisation et qui permet à des utilisateurs d’accéder à distance à des applications ou à des capacités de stockage mutualisées.

             Pour Pierre Lasbordes, député de l’Essonne et vice-président de l’Office Parlementaire d’Évaluation des Choix Scientifiques et Technologiques, le Cloud Computing est une innovation de rupture dans le paysage informatique actuel. Concept lancé en 2002 et repris progressivement par les principaux acteurs du monde IT, de plus en plus d’intérêt est porté au Cloud Computing. Il s’opère progressivement une véritable prise de conscience de la part des différents acteurs, même si en France peu de développements lui sont encore consacrés. Bien que le Cloud Computing marque l’avènement d’une ère nouvelle où l’utilisation des outils numériques sera optimisée et significative d’efficience et de progrès, les différents intervenants présents à ce colloque s’accordent à penser que le Cloud représente une évolution d’usage. Seul Louis Naugès voit dans le Cloud Computing une révolution, une revanche de l’infrastructure informatique.

             Le 18 janvier dernier, lors de son discours sur le très haut débit et l’économie numérique, le Premier ministre, M. François Fillon, a insisté sur l’enjeu absolument majeur que représentait le Cloud Computing pour la compétitivité de nos économies, le développement durable et même pour la souveraineté de nos pays. Selon Bruno Ménard, président du CIGREF, le marché mondial du Cloud Computing avoisine les 60 milliards de dollars et il connaît une progression annuelle à deux chiffres. Néanmoins, l’Europe et la France sont largement derrière puisque le marché est estimé pour 2010 à 4,5 milliards d’euros. Loïc Rivière, délégué général de l’AFDEL, rappelle que le Cloud Computing est un des chapitres les plus importants du Grand Emprunt National et que celui-ci, en tant que « vecteur d’économie », devrait bénéficier d’un peu plus de 500 millions d’euros d’investissement. Alors, entre fascination et craintes, peut-on faire confiance au Cloud Computing ?

Et ci-dessous, l’intervention remarquée de Christophe Badot de Symantec :

Si vous l’aviez raté, la bêta de Norton Internet Security 2011 est disponible ici (cliquez sur l’image):

CITIUS, ALTIUS, FORTIUS !!! comme on dit à Fort Boyard…

En (très) résumé :

Plus vite : à la limite de l’excès de vitesse…

• des scans plus rapides car seuls les fichiers potentiellement risqués sont sélectionnés
• des alertes concernant les problèmes de performance et des infos sur les applications qui ralentissent (vraiment) la machine
• des mises à jour légères et très fréquentes

Plus haut : niveau de protection de l’identité et des données personnelles accru.

• le renforcement de SafeWeb pour un blocage pro-actif des sites malveillants
• l’extension de la protection des téléchargements

Plus fort : rempart contre les maliciels et facticiels en tous genre

• l’utilisation systématique des technologies de réputation
• un moteur de détection comportementale plus puissant
• des outils de nettoyage et de récupération avancés

Et plein d’autres trucs dont nous parlerons en détail bientôt…

Pour mémoire, le forum de la communauté Norton est là :

Le PASSEPORT DE CONSEILS AUX VOYAGEURS est un excellent document réalisé par l’ANSSI (Agence Nationale de la sécurité des systèmes d’information) qui reprend les bonnes pratiques pour les voyages à l’étranger notamment. Rien d’exceptionnel car le sujet est déjà bien connu, mais l’avantage d’une mise en forme agréable, au format « passeport », et une liste exhaustive des précautions à prendre. Voici les « bullets points » comme on dit chez nous; je conseille vivement de télécharger la version papier pour se faire une vraie idée.

Avant de partir :

1. Relisez attentivement et respectez les règles de sécurité édictées par votre organisme.
2. Prenez connaissance de la législation locale.
3. Utilisez de préférence du matériel dédié aux missions (ordinateurs, téléphones, supports amovibles, etc.).
4. Sauvegardez les données que vous emportez.
5. Evitez de partir avec vos données sensibles.
6. Emportez un filtre de protection écran pour votre ordinateur si vous comptez profiter des trajets pour travailler vos dossiers, afin dʼéviter que des curieux lisent vos documents par-dessus votre épaule.
7.  Mettez un signe distinctif sur vos appareils (comme une pastille de couleur). 

Pendant votre déplacement : 

1. En cas dʼinspection ou de saisie par les autorités, informez votre organisme. 
2.  En cas de perte ou de vol d’un équipement ou d’informations, informez immédiatement votre organisme et demandez conseil au consulat avant toute démarche auprès des autorités locales.
3.  N’utilisez pas les équipements qui vous sont offerts avant de les avoir fait vérifier par votre service de sécurité. Ils peuvent contenir des logiciels malveillants.
4.  Evitez de connecter vos équipements à des postes ou des périphériques informatiques qui ne sont pas de confiance.

 Avant le retour :  

1. Transférez vos données
2. Effacez votre historique de vos appels et de vos navigations. 

 Après le retour :  

1. Changez les mots de passe que vous avez utilisés pendant votre voyage
2. Analysez ou faites analyser vos équipements.

Qui voyage avec du courage dans ses bagages apporte avec lui le passeport le plus sage.

Daniel Desbiens

Joyeux anniversaire Conficker ! Enfin, si l’on peut dire, car c’était bien en janvier 2009 que le « phénomène » commençait à prendre de l’ampleur. Une année plus tard, c’est « Hydraq » qui défraye la chronique. Même si entre temps d’autres programmes malveillants ont fait parler d’eux, les caractéristiques globales de Conficker et Hydraq sont intéressantes à confronter, car finalement très différentes.

Ceci reste une vision très simplifiée de la situation à fin janvier; plus de détails techniques sont disponibles en suivant les liens proposés plus bas.

Globalement, Conficker est un maliciel dont le développement à surtout porté sur les vecteurs de propagation, les techniques de mise à jour et les mécanismes de défense, mais sans réel potentiel d’attaque une fois en place, misant sur le téléchargement ultérieur d’autres menaces. Hydraq en revanche, s’il reste plus simple en matière d’installation et d’auto-défense, possède un large panel de fonctionnalités à disposition de l’attaquant, jusqu’au contrôle complet de la machine, écran, clavier souris compris.

Voici d’ailleurs une vidéo très explicite :

Alors, approches différentes ou évolution plus profonde ? Plus certainement une adéquation au besoin et au but recherché. En tout état de cause, le soin et le temps consacré au développement et « lancement » de ces « produits » (estimation grossière de 3 à 4 mois pour Conficker, la moitié pour Hydraq) démontre les capacités techniques, organisationnelles des auteurs et/ou donneurs d’ordres, qu’il serait particulièrement dangereux de sous-estimer.

Conficker/Downadup :

http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/the_downadup_codex_ed2.pdf

Hydraq :

http://www.symantec.com/connect/blogs/trojanhydraq-incident

http://www.symantec.com/connect/blogs/hydraq-vnc-connection

PS : un grand MERCI à Nicolas pour son aide !

…TOP OF THE LIST, KING OF THE HILL, A NUMBER ONE !

Voilà, c’est fait, AV-COMPARATIVE, testeur indépendant d’anti-virus, dévoile la liste des meilleurs produits 2009.

« And the oscar goes to » : Symantec, avec Norton Internet Security 2010 !

Et donc, voici le palmarès 2009 :

1. GOLD : Norton

2. Silver : Kaspersky

3. Bronze : Eset

Tout les détails sont là : http://www.av-comparatives.org/images/stories/test/summary/summary2009.pdf

Et pour :

• les sceptiques, les grincheux…
• les envieux, les jaloux, les mal-lunés, les trolls des cavernes…
• ceux qui n’ont pas testé Norton depuis 3 ans
• ceux qui n’aiment pas les premiers par ce qu’ils sont premiers
• ceux qui pensent toujours que « c’est-nous-qu’on-fait-les-virus »
• …j’en passe et des meilleurs…enfin, meilleurs….

Voici les résultats des 6 éditions précédentes :

• 2009 : Symantec
• 2008 : Avira
• 2007 : Eset
• 2006 : Eset
• 2005 : Kaspersky
• 2004 : Kaspersky

Je rappelle à toutes fins utiles qu’AV-COMPARATIVE, est membre de l’AMTSO  (Anti-Malware Testing Standards Organisation), du sérieux en somme.

Pourvou qué sa doure !!!

Laetitia Ramolino (Maman de Napoléon Bonaparte)