Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Philippe Humeau, NBS : Antisec, Lulzsec, Anonymous : la sécurité par la réalité Contexte

juin 2011 par Philippe Humeau, DG de NBS System

Pour tout vous avouer, nous sommes principalement étonnés que cela ne soit pas arrivé avant. Depuis des années, toutes les sociétés de sécurité qui essayent de protéger les ressources de l’État, des entreprises ou des associations, tous mes confrères et nous-mêmes, nous informons, tirons la sonnette d’alarme et prêchons dans le désert.

Ce qui se passe aujourd’hui est logique, inévitable. La plupart des entreprises ne se soucient pas de leur sécurité. Une partie des autres achètent « une boite », une appliance, qui « protège notre entreprise de tout ». Enfin vient la catégorie suivante, plus informée, plus sensible mais qui ne peut aller au bout de ses recommandations car la sécurité est supposée devenir une entrave à l’exploitabilité ou est « trop coûteuse ». Je suppose humblement que Sony n’a pas investi plusieurs centaines de millions de dollars dans sa sécurité et pourtant c’est bien ce que les pépins récents vont lui couter.

Enfin, nombre de sociétés ont fait « ce qu’on leur conseillait ». Elles ont écouté des consultants n’ayant aucune forme d’expertise terrain les rassurer sur le fait qu’elles étaient ISO 27001, PCI et compliant de partout et, qu’à ce titre, elle ne craignait rien. Comme si une norme protégeait les personnes dans la réalité ou qu’un mantra répété tous les matins en se levant suffisait à plier la réalité à la volonté.

Mais les entreprises qui se font attaquer aujourd’hui ont très largement été prévenues par les professionnels du milieu, par la presse par les experts et les cabinets d’audit ou de conseils. Ce qui se produit est donc logique, il est même étonnant que cela n’arrive que si tard. On peut même émettre l’hypothèse que ces entreprises aient déjà étés victimes d’attaques de la part d’individus qui ne s’en sont juste pas vantés publiquement.

Anonymous et Lulzsec ont ils le même but ?

Anonymous a une dimension politique indéniable. Après avoir contribué aux révolutions du printemps Arabe, après avoir soutenu le droit à la liberté d’information de Wikileaks et mené des dizaines d’opérations, ce groupe a pris une dimension sur la scène politique internationale. Les États unis ont investi des dizaines de milliards pour faire tomber le régime Irakien, les Anonymous ont contribué à la destitution de régimes dictatoriaux en quelques semaines avec un millionième de ce budget.

Lulzsec est un ovni d’un autre genre. La revendication politique ne semble pas être un moteur pour le groupe. Si j’interprète bien le nom, il semble que « lul » soit un dérivé de « lol » (loud on laugh) et « sec » de security. Il s’agit donc plus de montrer que la sécurité d’entreprises reconnue est ridiculement faible et de s’amuser à mettre des fessées à ces grandes entreprises. C’est donc plus du « Hack for fame & glory » à mon sens.

Les buts des deux entités ne sont donc pas les mêmes mais…

Antisec : une alliance de l’esprit

Mais parfois, les buts peuvent converger.

En effet si Anonymous est animé d’une volonté plus politisé et Lulzsec d’une vision plus « fun », il semble que les deux groupes aient quelques ennemis communs. Les institutions gouvernementales Américaines par exemple ou même certains systèmes d’informations utilisés par des cibles compatibles avec les deux objectifs. Si Anonymous souhaite s’attaquer à une cible, peu importe sa nature, il est donc probable que les membres de Lulzsec soient ravis de leur prêter main forte pour le plaisir.

C’est d’ailleurs une des motivations les plus dangereuses pour les autorités. Il est beaucoup plus simple de traquer, retourner ou faire changer de direction une personne intéressée par l’argent qu’une personne intéressée par un enjeu politique ou intellectuel. D’éventuels procès autour de ces activités vont être difficiles à mener car les « hacktivistes » vont avoir une tribune pour s’exprimer grâce au tribunal, ce qui n’est pas forcément du goût des autorités en général.

Il est peu probable que cette alliance occasionnelle aille au-delà du partage de la cible car mettre en commun des moyens de hacking est relativement complexe et diminue la discrétion de telles attaques mais ce milieu partage des valeurs et des idéaux communs, ce qui suffit en général à fédérer les esprits.

Les vagues d’attaques des Anonymous ont considérablement changé la perception du monde en ce qui concerne la sécurité et le positionnement des hackers. Ce ne sont plus de joyeux geeks un peu inconscients, solitaires et boutonneux. Désormais, ce sont des bannières ralliant de nombreuses personnes, un peu plus organisée, avec des buts politiques ou de groupes et non plus individuels.

La portée de telles attaques ?

La vague de leaks (diffusion d’informations confidentielles) récemment opérée par Lulzsec sur Twitter est une manne d’information incroyable. Certes, dans l’ensemble, nous parlons ici de comptes d’utilisateurs. Mais ceux-ci utilisent souvent le même couple login / mot de passe sur de nombreux systèmes. Donc en ayant un couple login/pass sur un système et en faisant des recherches sur la personne concernée, il devient facile de rebondir vers son compte en banque, son gmail, ses accès VPN ou d’intranet.

L’information diffusée en soit peut être quelque peu problématique, pour l’utilisateur comme pour la société qui a laissé fuir ces données, mais le plus critique est peut-être l’usage de ces credentials sur d’autres systèmes à terme.

De plus, ces attaques ont valeur d’exemple. Depuis des années des sites recensent les « defacement » de sites web. Avec une simple attaque XSS (Cross Site Scripting), il est possible de changer des contenus, leur visualisation ou même de prendre partiellement le contrôle du navigateur du visiteur. Durant des années, ces hackings ont été considérés comme marginaux, beaucoup de sociétés ont eu le leur, l’ont dissimulé autant que possible ou on rapidement remit le site en ligne.

Mais avec l’avènement des leaks massifs, en général réalisés par des attaques SQLi (SQL Injection), la donne a changée. Ces attaques ne sont pas d’une complexité technique énorme mais pour autant elles sont très efficaces en termes de résultats et de contenus récupérés. Il n’y a pas de doute que les déboires de Sony, « l’exemple » donné par ces groupes et l’actualité brûlante va susciter des vocations.

Au-delà donc du mouvement actuel, demain il est probable que de nombreux « kids » se mettent à pirater, apprendre, se former et prennent la relève. Nous ne parlons jamais en années sur Internet mais en mois, voire en semaines. La vague suivante se prépare, tout comme les inscriptions des clubs de handball ont explosé depuis que l’équipe de France domine sur ce terrain de jeu, la réussite de ces groupes de hackers va susciter des vocations de politologues en herbe, d’activistes ou tout simplement de personnes souhaitant de la reconnaissance ou « s’amuser » en ligne.

La portée de ces attaques va donc bien au-delà du simple résultat, que ce soit pour l’usage de ce qui a été récupéré ou même en matière d’exemple donné au publique. On en est donc au tout début et non pas en haut de la crête, d’autant que les personnes qui ont soufferts des manipulations financières ayant causées la crise et qui déstabilisent de nombreuses économies actuellement vont avoir le temps de s’occuper avec ce nouvel artefact, les enfants de tous ces nouveaux chômeurs « parlent web » couramment. Le cas de ce jeune allemand qui avait créé un virus pour aider sa mère à vendre des antivirus ne va sûrement pas rester un cas isolé.

« On ne pouvait rien faire ». Ce discours est universel après un piratage.

L’attaque était imparable, de haut niveau, menée par des experts impitoyables…

L.O.I.C (l’outil des Anonymous pour faire des D.D.O.S) tient en quelques centaines de lignes de code très simple. Lulzsec utilise des injections SQL elles-mêmes très simples en général. La réalité du terrain c’est que les piratages complexes à mener sont rarissimes. Même nos experts ne rencontrent en général que peu de résistance lors de tests d’intrusion dans de grandes sociétés Françaises.

La légende qui veut donc que « c’était complexe et imparable » est, dans 99% des cas, totalement fausse. Ce sont des manques de rigueurs, des sociétés qui n’ont pas investi dans leur sécurité car « ça n’arrive qu’aux autres » et des erreurs simples de programmation car les développeurs ne sont pas formé à la sécurité. Nous parlons ici du premier échelon du manuel du hacker, pas de la fin du dernier chapitre.

Créer un buffer overflow sur un service pour ensuite implanté une backdoor qui utilise un covert channel DNS ou ICMP, oui ÇA, c’est compliqué, ça demande des heures de travail et une équipe étoffée et de très haut niveau. Une SQL injection est à la portée de tous (ou presque) après avoir lu un howto correctement rédigé. Une personne seule peut en faire 10 en une soirée.

Ces groupes possèdent un bon niveau, là n’est pas la question, mais leur force technique est d’avoir industrialisé ces hacks, les avoir multiplié en peu de temps, la technique sous-jacent en soit n’est pas « indéfendable ». C’est d’ailleurs bien le message de Lulzsec, si je l’ai bien compris, qui se moque de la sécurité faiblarde de la majorité du Web. Certaines Injection SQL en aveugle (Blind Sqli) ou en time attack sont complexes à mener mais en général, la méthode employée est beaucoup plus simple.

Après avoir compromis un frontal web par une SQLi, il devient possible de prendre du temps pour explorer la suite du réseau, de la machine ou des équipements qui l’entourent. Rien ne dit d’ailleurs que les groupes comme Lulzsec ne le font pas. Ces opérations prennent plus de temps mais donnent accès à beaucoup plus d’informations encore plus sensibles, comme dans le cas de Sony. Une première compromission par une Sqli est une chose, mais la suite peut être considérablement plus dangereuse… La normalisation ça ne protège pas

Ce qui se produit en ce moment à l’encontre de société certifiées SoX, Iso27001 et/ou PCI/DSS montre brillamment la limite des normalisations et méthodes actuellement employées.

Si ces normes protégeaient de quoique ce soit, ces hacks ne seraient jamais arrivés. Incompétence des formateurs ou auditeurs ? Non, tout simplement ces référentiels ne sont pas des garanties de sécurité mais juste des bonnes pratiques. Ils ont au moins le mérite d’attirer l’attention sur certains points critiques. Mais en pratique, quand une procédure est contraignante, elle est « oubliée » au bout de quelques semaines. Le pragmatisme du terrain l’emporte sur la raison en général en sécurité.

L’exploitation n’est jamais contrainte par la sécurité, c’est toujours l’inverse que l’on constate.

Tous les marchands du temple ont vendu de l’audit PCI/DSS, de la mise en conformité, des audits, du suivi, des préconisations à ces sociétés qui aujourd’hui sont mise à nue sur le Net, mais ne vous inquiétez pas, leur responsabilité ne sera pas engagée car, souvenez-vous : « On ne pouvait rien faire, c’était un hack de très haut niveau et imparable »…

Vous comprenez mieux la position officielle je suis sûr maintenant !

Ce que ces hacks vont changer dans le paysage

À mon sens pas grand-chose.

Peu de personne sont prêtes à faire le sacrifice de bénéfices pour se protéger contre un hacking potentiel. Car oui, le souci de fond c’est bien que la sécurité est un poste de coût, sans contrepartie de recettes. Le monde étant régit par la finance, il est difficile de vendre un coût à sa direction.

Les RSSI et DSI qui s’intéressent à la sécurité sont considérés comme des moutons noirs budgétaires et quand ils ont leurs fonds, ils se font parfois rackettés par des sociétés peut scrupuleuses qui conseillent sans assumer, font des audits ou des tests sans les compétences, qui vendent des appliances mais ne s’intéressent pas à la sécurité de leurs clients car il faut vendre de la boite, faire du chiffre.

La sensibilisation à la hache faite par Lulzsec et Anonymous (comme d’autres d’ailleurs) devrait, en théorie, bénéficier à ces DSI/RSSI tout simplement car les primes d’assurance vont exploser sur le sujet informatique. Quand elles seront trop coûteuses, peut-être que les dirigeants réviseront leurs politiques en matière de sécurité mais, ne vous inquiétez pas, ces fonds n’iront pas à la sécurisation au final mais aux assureurs car jamais ces tarifs ne rebaisseront par la suite. Everything is under control !

Ce billet est un billet d’humeur quelque part car depuis 12 ans que nous évoluons dans cet univers de la sécurité et expliquons (avec nos confrères) à nos clients la réalité du terrain, bien peu d’entreprises ont pris conscience du danger, acté un changement de politique ou repris en main leur SI. Le résultat aujourd’hui est clairement aberrant. Des sociétés dépensent des millions dans des systèmes inutiles ou mal sécurisés, se font vendre des poules aux œufs d’or tous les quatre matins et des consultants au kilomètre qui pondent du rapport et de la procédure inexploitable.

Une arrestation ou deux pour la forme, quelques lignes dans les blogs spécialisés sur le sujet et tout le monde se sentira de nouveau en sécurité derrière sa boite avec des sites toujours aussi vulnérables aux XSS et SQLi. Actuellement, ce que les entreprises souhaitent c’est qu’on puisse leur dire : « vous pouvez retourner à vos anciennes pratiques, rien ne va changer, on a stoppé le danger ». Mais la réalité du terrain est tout autre.

Le plus amusant dans cette histoire c’est que LulzSec et Anonymous ne sont que la partie visible d’un immense iceberg. Vous avez entendu parler de Sony, d’HBGary, de RSA et de tout ce qui a été rendu publique mais quid des autres… ? Sincèrement il semble plus qu’improbable (et j’ai d’ailleurs la preuve formelle du contraire) que seules ces sociétés aient été hackées sur les dernières années. Mais l’omerta du monde des sociétés qui se sont faites hackées est totale. Ne jamais avouer, ne jamais demander d’aide à un tiers pour se défendre après un hack ou retrouver les auteurs. A mon avis, moins d’un pour cent des piratages sont connus et mis à jour ou publiés. Pire, une grande majorité restent in-détectés pendant des années, ce qui permet aux hackers de rester dans ces systèmes et de continuer à piller les données en toute tranquillité.

Car, au moins de ce qui est perceptible, il ne semble pas qu’Anonymous ou Lulzsec fassent des actions dans le but de gagner de l’argent, d’où aussi leur facilité à communiquer sur leurs exploits. Par contre un groupe de black hat qui va se fournir un plan industriel, détourner de l’argent ou encore préparer un take down, ne se fait que rarement de la publicité.

Dans un iceberg, 90% du volume est sous l’eau, je pense que dans le monde de la sécurité, on parle d’un pourcentage considérablement plus élevé. D’autant que certains pays ont érigé en institution le hacking étatique, l’infiltration des sociétés de premier plan et l’espionnage industriel.

Ceci va changer prochainement en France car bientôt, une entreprise qui sera victime d’une fuite d’information avec des données à caractère personnel sera légalement tenue d’informer les utilisateurs qui sont sur ces listes et la CNIL. Forcément, l’omerta va en prendre un coup.

L’intraçabilité, ça existe

En fait, contrairement aux vaches dans un troupeau, on ne marque pas les hackers. Ils sont même plutôt discrets et prudents, en général. Les annonces fracassantes du type « on les attraperas jusqu’au dernier » ou « les personnes responsables seront traduites en Justice » sont bien souvent de vaines vantardises.

Depuis des années les pirates ont fait le rapprochement entre intraçabilité et impunité. Si on ne peut vous identifier et vous retrouver, on ne peut vous traduire en justice. De ce simple constat sont nés les réseaux en « Onion ring » comme Tor et les réseaux peer to peer décentralisés. Les canaux IRC sur des serveurs underground sont légions, les dispositifs d’anonymisation de surf ont aussi une clientèle qui ne cessent de croitre. Certains chiffrements restent également inviolés.

Ceci allié aux bonnes vieilles recettes comme les rebonds par de multiples pays forme un bouclier quasi inviolable. Rebondir consiste, par exemple, à prendre position dans un serveur vulnérable en Asie, un autre en Russie et un troisième en Indes. Au final la connexion rebondit par de multiples IP, sous des juridictions différentes, rendant la connexion difficile à tracer et les actions juridiques quasi impossible à mener.

Ceci allier aux cryptage, aux réseaux anonyme et en oignon, il devient quasi impossible de localiser l’assaillant. Afin de compléter le dispositif, la plupart du temps, les attaques sont menées depuis un access point Wifi non protégé, loin de chez soi. Ce premier rebond est clef, prendre la borne wifi d’un lycée, d’un commissariat ou d’un centre de convention est un cas classique, le dernier permettant en plus que le dispositif utilisé soit temporaire (car lié à la durée de la convention).

Avec un tel masque de fumé, et encore les techniques décrites sont partielles pour des raisons évidentes, il est pour ainsi dire impossible de tracer un attaquant. La bonne nouvelle, c’est qu’il n’en va pas de même pour l’argent. En effet, notre société désintéressée à fortement protégé les virements et méthodes de transferts d’argent. Dès qu’un hack implique des manipulations d’argent, il devient plus complexe de passer sous le radar, enfin c’était au moins vrai avant l’avènement de multiples systèmes de micro-paiement. Que faire alors ?

Prendre la sécurité au sérieux, confier celle-ci à des experts techniques et organisationnels et non pas à des opportunistes, des cabinets de conseils « génériques » ou des cabinets de commissaires aux comptes. Éviter les cas où les juges sont aussi les parties, vous vendant un VPN d’un côté et vous promettant de l’auditer de l’autre. Combien de société sont encore auditées par les mêmes sociétés qui leur fournissent matériels et services informatiques ?

Arrêter de croire que le rapport avec des feux verts partout est une aubaine. Obtenir un tel rapport est une bonne nouvelle après des mois de travail et de contre audit, de vérifications et de sécurisation. Dans tous les autres cas, ce sont des rapports de complaisance et ils ne protègent en rien l’entreprise, ne permettront même pas à celle-ci de se retourner en Justice contre les auteurs en cas de problèmes.

Arrêtez également de penser que le produit apporte la sécurité. Bruce Schneier a résumé ce propos avec une phrase célèbre « Security is a process, not a product ». Le produit est utile mais ce n’est pas lui qui garantit la sécurité, c’est l’organisation de la défense, son paramétrage, sa mise à jour, les procédures de surveillance et d’exploitation.

La sécurité doit arrêter d’être le parent pauvre du SI. Tant que les entreprises considéreront la sécurité comme un poste de coût au lieu d’un poste d’anti-coût (l’argent qu’on ne perd pas en dédommagement, en procédure juridique et en opérations d’urgence), le constat restera le même.

La plupart des désastres récents en termes de sécurité sont liés à des attaques Web. XSS, CSRF, SQL Injection et ces vulnérabilités sont possibles à détecter et corriger facilement. Il est donc très regrettable que de si petites causes produisent de si grands effets.

Enfin, la sécurité se base sur un socle de technologies et de procédures. La rigueur et le systématisme sont la clef de la protection réussie. Que l’entreprise ne puisse se défendre contre toutes les attaques c’est une chose, que des géants tombent sous les coups d’attaques aussi simples que les Sqli et les XSS, ce n’est pas acceptable.

Conclusion

Loin de faire l’apologie du hacking, cet article vise juste à dire tout haut ce que tous les experts savent et ce que tout le monde peut constater : la sécurité est une utopie actuellement. Les systèmes sont peu protégés, les plus grands ne maîtrisent plus leurs périmètres, les populations s’éduquent à la sécurité et le nombre de personnes qui maîtrisent certaines attaques augmente rapidement. C’est donc le bon moment pour vérifier, auditer, remettre à plat les dispositifs et les méthodes avant qu’il ne soit trop tard.

La sagesse et la clairvoyance ne sont pas un moteur naturel chez l’humain alors gageons que la réalité économique sera une meilleure conseillère, la sécurité à postériori coûte toujours plus cher que celle faite en amont… Toujours et beaucoup plus cher.

Même si TeamPoison a décidé d’attaquer de son coté Lulzsec et que beaucoup d’alliance naissent et meurent rapidement dans ce monde de hacking, le mouvement de fond est là, les populations sont beaucoup plus éduquées, le nombre de personnes qui peuvent attaquer un site ou un serveur grandit chaque jour un peu plus. Le fait que certains groupes décident de s’affronter montre plusieurs choses, les enjeux, le nombre de personnes et l’étendu des enjeux tout au moins.

La fin de Lulzsec n’est pas écrite mais ce moment de visibilité, peut importe sa durée, aura révélé que la scène underground est beaucoup plus active qu’il n’y parait pour les médias et le grand publique. Cette scène va continuer à amplifier le mouvement, les piratages pour le profit, pour une communauté ou une cause, ou encore pour des revendications politiques…

Peut importe le but, la cause, les moyens ou le moment, les allumettes sont maintenant rangées au même endroit que la poudre !

Le blog : http://www.nbs-system.com/blog/anti...


Voir les articles précédents

    

Voir les articles suivants