d4 n3wS : La rétrospective 2010

Certes, l’année n’est pas encore terminée mais vous savez ce que c’est : arrivé l’époque des fêtes on est rapidement débordé, pas forcément dans l’état d’esprit ou dans l’état (tout court) pour ce genre d’exercice d’écriture.

Je prends donc tout de suite le temps de vous faire une petite rétrospective des événements liés à la sécu-info pour cette année 2010 en me basant sur les billets qui ont été postés sur ce blog. Le tout saupoudré d’une pointe d’humour et d’un zeste de subjectivité 😉

J’ai choisis de rassembler tout ça en catégories afin de mieux faire sortir les particularités de cette année.

Première partie : les attaques ciblés

L’année a commencé en trombe avec les révélations autour de l’opération Aurora.
Aurora c’est le nom de code qui a été choisi pour décrire les attaques lancées contre de grandes entreprises américaines et leur subtiliser des données.
Google a été la société la plus citée comme victimes de ces attaques qui se sont faites à l’aide de malware.
Le géant de l’informatique est allé demandé de l’aide à la NSA qui a remonté l’attaque à des universités chinoises sans aller jusqu’à accuser le gouvernement chinois.
Toutefois en fin d’année on apprend par Wikileaks que ces attaques ont été commandées par le Politburo chinois.
Enfin, tout récemment, on apprenait que les attaquants auraient profité de leur accès au code source de windows pour trouver des failles 0-day dans l’OS de Microsoft.

Actuellement c’est le ver Stuxnet qui est le sujet de toutes les controverses. Décrit (non sans raison) comme une bestiole hors-normes, ce malware fait l’innocent avec son certificat Verisign mais s’attaque aux systèmes SCADA et dispose de fonctionnalités trop spécialisées pour être honnête.
D’origine israélienne pour certains, américaine pour d’autres, voir même créé par Greenpeace (lol), l’objectif de ce ver informatique serait de retarder le programme nucléaire iranien…
Malgré les analyses effectuées, le mystère court toujours.

Stuxnet et Aurora ne sont pas les premiers cas d’attaques ciblées dans lesquelles des gouvernements sont impliqués. Vous vous souvenez de GhostNet ? Ces attaques avaient un point commun avec Aurora : obtenir des informations sur des dissidents chinois ou des partisans du Dalaï-lama.

La sophistication de ces attaques est toutefois à relativiser : au mois d’aout on apprenait que l’armée américaine a mis 14 mois à se débarasser d’un malware pourtant bien connu des logiciels antivirus !

Les cas d’attaques ciblées lancées par des gouvernements restent minoritaires. La majorité des cas sont le fait de cybercriminels organisés.
Ce type d’attaque vise généralement à voler des informations bancaires ou des identifiants comme des numéro de sécu : l’identité se monnaye.
A vrai dire ces cas sont tellement fréquents qu’un site c’est chargé de recenser tous les cas de vols de données : datalossdb.org compte aussi bien les attaques de pirates sur des serveurs bancaires que la perte d’un ordinateur portable par un employé tête en l’air.

Les peines endurées par les auteurs de ce type d’attaque sont à la hauteur de informations dérobées : 13 ans de prison pour MaxVision pour avoir volé 2 millions de numéro de carte de crédit qu’il revendait au marché noir.
20 ans de prison pour SoupNazi (Albert Gonzalez) dont le crime défit l’entendement : 90 millions de numéro de carte bancaire dérobés.
Leurs histoires sont tellement hors normes que des médias généralistes comme le Miami NewTimes ou le N.Y. Times écrivent des pages entières sur le sujet.
On peut s’attendre d’ici quelques années à ce que le monde du cinéma reprenndre ces histoires…

Ce type d’affaire ne se termine pas toujours de la même façon. D’abord les cyber-malfaiteurs ne sont pas toujours rattrapés. Ensuite les faits ne sont pas toujours détectés immédiatement ou encore la société victime du piratage cache l’attaque à ses clients ou du moins elle essaie.

On a aussi vu des cas où l’attaque était l’oeuvre d’invidus seuls qui voulaient faire tomber un concurrent ou s’en prennaient à leur propre société comme cet employé qui a inséré une backdoor dans des distributeurs de billets.

Pour terminer, l’argent n’est pas toujours l’objet de ces attaques : en septembre ont apprenait qu’un tabloid anglais piratait les messageries vocales de célébrités dans le but de découvrir des scoops…

Seconde partie : Le monde entier est une backdoor, il est imposssible de s’asseoir….

Tout au long de l’année on a eu droit à des backdoors (portes dérobées) retrouvées ici où là.
Dans un logiciel de type CMS, un serveur IRC ou le serveur ProFTPD suite à des intrusions.

Plus drôle encore, des cas où la backdoor a été insérée volontairement par stupidité : dans le logiciel LANrev, récemment dans du matériel HP et même dans les systèmes SCADA ! A quoi ça sert que Stuxnet se décarcasse ?

Parmis les cas involontaires on peut citer Debian, une distribution Linux habituée à insérer des failles dans les logiciels.

Ce qui a été moins drôle, c’est cette histoire de certificats inconnus présent dans Firefox. En fin de compte beaucoup de bruit pour peanuts.

Ca fait beaucoup de backdoors me direz-vous ! Pourtant le FBI en veut toujours plus !. Mais pas n’importe quoi, des backdoors cryptographiques monsieur ! Vous savez des modifications subtiles pour faire fuiter quelques bits d’information juste de quoi casser rapidement des communications secrètes. Un peu comme il aurait éventuellement fait pour OpenBSD.

Je crois qu’ils devraient aller recruter à la Defcon. Eux, ça les amuse.

Troisième partie : Qui est in, qui est out ?

Si il y a un phénomène qui s’est calmé récemment, c’est bien le RFID !
Avant on tombait sur un article dès qu’on ouvrait son lecteur de flux RSS ! Il faut dire qu’à force de se faire péter des protections par le Chaos Computer Club, certains ont préféré lacher l’affaire 😀

Plus sérieusement, cette année on a plus parlé de jailbreak, d’homebrew et autres mots destroy pour indiquer que des protections sur des consoles de jeux ou des smartphones ont été cassés. En général il ne faut pas très longtemps pour que ces protections soient sautées. L’iPad, la console PS3 de Sony, le Kinect de Microsoft et le HDCP de HDMI sont passés à la casserole.
Certains ont tellement pitié en voyants les protections existantes qu’ils en rajoutent !

En tout cas, il y en a un qui est bien out, c’est le GSM ! Lui il s’en est pris plein la gueule. Cassé, humilié publiquement dans des conférences de sécurité informatique…
On se demande pourquoi on l’utilise encore ? Ah oui ! Pour faire plaisir au FBI, faudrait pas qu’ils aient placé une backdoor cryptographique pour rien :p

Même un cousin éloigné du GSM s’est fait taper dessus. Triste époque :p

Quatrième partie : Faille = Fail

Qu’est-ce qu’on ferait sans Adobe ? Cette année on en a vu de toutes les couleurs avec les fichiers PDF.

Cela dis Sun Oracle n’est pas en reste avec Java.
Ah Oracle ! As-t-on déjà vu une société saloper aussi rapidement les réalisations qu’elle récupère ?
On a déjà un fork d’OpenOffice et un autre d’OpenSolaris créés par des personnes qui tentent de sauver les meubles. Quand à l’avenir de Java il semble incertain. C’est Microsoft qui doit être content.

Mais Microsoft aussi a eu droit à un bon gros exploit qui tache touchant différentes versions de son OS.
Les libristes ne sont pas en reste : le kernel Linux en a eu dont le fameux exploit RDS. Allo chérie ? … Ca va rooter !
Et puis si ce n’est pas votre kernel, vous avez peut-être la chance d’avoir un serveur Exim qui n’attend qu’un mail spécialement formaté pour donner les clés du royaume :p

Cinquième partie : Buzz, vers l’infini et l’au-délà !!!

Cette année ça a buzzé dans tous les sens ! Un vrai gonzo hardcore ! Certains ne se sont pas protégés, ils ont tout repris dans la gueule.
Vous vous rappelez de KHOBE ? La super-technique pour enfoncer les antivirus et introduire tranquillement ses microbes sans se faire choper ?
Ca a pas tardé avant que les boites antivirales et autres reversers reprennent le dessus.

Entre FAIL et BUZZ, on trouve la CNIL. Le site de la CNIL avait une faille de sécurité… mais pas trop !

Ca a pas mal buzzé avec ZoneAlarm qui a une façon étrange de vendre ses produits. Malgré ces pratiques ordurières, c’est toujours mieux que Microsoft qui s’attaque à OpenOffice. Là aussi Microsoft s’est pris un sacré retour de baton.

Certains auraient mieux fait de rester chez eux comme Thierry Lhermitte ou le label EMI.
Quand on est anti-piratage, il ne faut pas avouer que l’on pirate ou que l’on met à disposition des oeuvres sur le web :p

Et pour terminer, ça a surtout buzzé avec les failles de type DLL-Hijacking. C’est tellement bon qu’on a renommé ça binary planting pour pouvoir continuer.

Sixième partie : Le hack c’est ludique

Le hacking c’est pas seulement des gens qui en veulent à votre porte monnaie ! Certains hackent pour faire rire comme ce pirate qui a diffusé un film porno sur un panneau publicitaire au beau milieu de Moscou.
Malheureusement pour lui, ça n’a pas fait rire tout le monde… faudrait qu’ils dégivrent un peu par là-bas.

D’autres font ça… En réalité on ne sait pas pourquoi ils le font, mais ils le font comme ce scientifique qui s’est implanté un virus informatique dans le corps.

Heureusement certains sont moins à côté de la plaque et ont su montrer que le bidouillage était ludique et ouvert à tous.

Hackitoergosum, Breizh Entropy Congress, Pas Sage en Seine, make art : des Hacker Spaces qui montrent que les hackers sont ouverts.
Des nouvelles associations comme Le Localhost apparaissent et tentent l’aventure.
Le mouvement Do It Yourself et attire des bidouilleurs comme au Plastic Hacker Festival.

Ailleurs, des initiatives revoient le mode de diffusion de l’information et invent les Dead Drops.

Enfin je ne pouvais pas ne pas parler de Random, une manière peu commune (en tout cas dans notre vieux pays) de partager la cyber-culture.

Septième partie : Wikileaks

Avril 2010 : début de l’explosion Wikileaks. A cette époque a été rendue publique la vidéo où des journalistes de Reuters sont tués par des militaires US.
La couverture médiatique de Wikileaks et de Julian Assange n’a pas cessé de grandir depuis.
Entre temps on a appris que certains documents étaient sniffés sur des nodes de sortie Tor ou que d’autres avaient été donnés par un militaire nommé Manning qui a été dénoncé par un ancien hacker.

Depuis Wikileaks est considéré comme nocif par différents gouvernements.
L’armée US cherche à tous prix à empècher la fuite de ses informations : bloquer l’accès à Wikileaks bien sûr ou embaucher des hackers pour mettre le réseau militaire sous surveillance.
C’est la guerre ouverte entre un groupe qui veut révéler la vérité à tout prix et des services secrets qui ont leurs raisons de cacher des informations.
Des accusations contre le fondateur de Wikileaks amèneront à sa détention en Angleterre.
Le site lui-même subit des déconvenues entre attaques DDoS et hébergeurs qui ne veulent pas se mouiller.

En France c’est l’occasion pour nos ministres de relancer le débat autour de LOPPSI sur le controle de l’Internet

Huitième partie : Anonymous et 4chan

A l’origine un groupe qui a fait parler de lui en protestant contre l’Eglise de Scientologie et en utilisant des techniques « modernes » comme du DDoS ou du flood de forums, Anonymous est très contreversé.
Quand à 4chan c’est le forum où la plupart des Anonymous se retrouvent, le forum permettant de poster des messages anonymement.

Différentes attaques ont été organisées pour faire tomber les sites de la MPAA et de la RIAA, ACS:Law a été piraté, le site d’un équivalent de TMG rendu indisponible et le chanteur de KISS réduit au silence virtuel.

Anonymous s’est ensuite donné pour mission de défendre Julian Assange et lançant des attaques DDoS sur les banques qui ont bloqué les comptes de Wikileaks ou stopé l’hébergement ou le DNS du site.

Le principal intéressé, Julian Assange, ne s’est pas à ma connaissance prononcé sur les Anonymous mais je ne suis pas sûr que leurs actions aillent dans son intérêt personnel (il a déjà à s’occuper de ses problèmes).

Techniquement les Anonymous utilisent un logiciel très sommaire qui s’appelle LOIC qui requiert une action de l’utilisateur à moins de fonctionner dans un mode particulier qui transforme le PC en zombie de botnet. ArborSERT a étudié les attaques et comme on s’y attendait le logiciel est très peu technique (de simples requêtes HTTP) qui montrent que le créateur du soft a peu de connaissances sur le sujet (de nouvelles techniques simples ont pourtant fait leur apparition l’année dernière).
Qui plus est le logiciel en question n’a rien d’anonyme et les participants qui ont leur minute d’adrénaline en cliquant sur un bouton sont aisément retrouvables.

En bref Anonymous serait un noyau dur de quelques personnes avec un bon niveau technique et un bon paquet de moutons prêt à lancer aveuglément n’importe quel exécutable sur leurs PCs.
La guerre de DDoS entre Tumblr et 4chan illustre bien le niveau de ces participants qui donnent là encore des arguments à des démagos pour cloisonner un Internet de plus en plus surveillé.

C’est sans doute les même guignols en manque de célébrité qui nous piratent des sites comme Cryptome ou lancent des attaques contre Wikileaks… pour raison politique ? Et mon cul c’est du téflon ?

Ce dernier pirate affirme utiliser un outil home-made nommé XerXeS dont il a mis des vidéos sur la toile.
Quelle est l’utilité de faire une GUI pour un soft de DoS en dehors de se toucher la queue ? De plus qui dit GUI dit probablement pas d’utilisation en remote donc probablement aucune technique d’anonymisation.

Neuvième partie : la cyber-jungle Birmane… bousillée par un cyber-Rambo

Orange l’a dis : Il y a Internet et Internet.
Par exemple en Biélorussie vous avez vraiment une box : Internet est mis dans une boite noire où tous vos faits et gestes sont surveillés et conservés.

En Australie c’est bien connu, la version d’Internet n’a pas de pornos ni de jeux vidéos. Ca fait déjà un moment que RSF a sonné l’alarme mais il faut croire que ça motive le gouvernement australien.
Grace à Wikileaks ont a pu obtenir la liste noire des sites bloqués et voir que e gov se permettait certaines libertés question filtrage par rapport à son discours officiel.
L’Australiepremière sur les idées qui puent !.

Surtout qu’en France ça doit en faire saliver certains qui veulent déjà pouvoir faire des écoutes Internet et fermer des sites sans que ce soit trop controlé.

Quand à la Birmanie ? Et bien c’est simple, eux ils ont Internet seulement quand aucune élection présidentielle est en cours.

En Russie… pas besoin de surveiller Internet. Il suffit de trouver une pécadille pour faire emprisonner des opposants politique comme une utilisation d’une copie illégale de Windows ou MS Office.

Dixième partie : A New Hope

Il ne faut pas compter sur les gouvernements pour défendre nos libertés d’expression ? Détrompez-vous, l’exemple de l’Islande devrait être repris à travers le monde !

La surprise est aussi venue de Google qui a lancé un outil qui liste les demandes de censure faites par les govs et a aussi enfin proposé le HTTPS pour les recherches.

On peut se féliciter aussi de la création d’un hidden service TOR par le moteur DuckDuckGo.

Comme chaque année Big Brother Awards France a dénoncé ceux qui s’attaquent à nos libertés… ils ont du boulot 🙁

Enfin Amazon est malgré lui un défendeur de la vue privée : son Kindle permet aux chinois de passer outre le firewall mis en place par le gouvernement.

Onzième partie : 3615 malife

Dès le début de l’année, une affaire incroyable a eu lieu aux Etats-Unis : des élèves d’un collège étaient surveillés chez eux depuis la webcam de leurs ordinateurs par des personnes de l’établissement.
Cela se faisait grace au logiciel LANrev (qui en plus a une backdoor comme vu plus tôt).
Cette affaire a vu plusieurs rebondissements qui laissaient songeur mais ça s’est terminé pas trop mal.

Cryptome a mis la main sur un document de Microsoft expliquant quelles informations il peut rendre aux autorités sur demande judiciaire et a récidivé pour d’autres sociétés. Instructif.

Facebook, Facebook… quand on sait que son créateur est la « personnalité de l’année » on ne sait pas si on doit vomir ou pleurer… Il s’en passe des choses sur ce site, comme cet ado qui a poursuit sa mère en justice pour piratage de compte.
Mais avec les produits d’Apple on savait déjà que les consommateurs aiment bien payer la corde avec laquel on va les pendre, les mettres dans des cages… alors que d’autres se battent pour des formats ouverts, des logiciels libres et des sites où l’on ne met pas ses données personnelles dans les mains de commerciaux.

Douzième partie : Fear a HADOPI planet !

J’avoue ! HADOPI et LOPPSI j’ai un peu décroché du débat. Il faut dire aussi que ça ne me fait pas vraiment peur et je n’ai pas changé mes habitudes de téléchargement. Quand on s’y connait un peu en réseaux, qu’on connait des logiciels alternatifs, que l’on sait chiffrer ses données… c’est pas des mecs qui savent pas ce qu’est un Whois qui vont me faire peur :p

Certains ont bien tenté de surfer sur la vague de l’HADOPI et de vendre un Big Brother en boite. Raté ! Ca leur est retombé dessus 🙂
Il faut dire qu’ils n’ont pas les talents commerciaux de Steve Jobs.
Moi ce que j’en retiens ? HADOPI ca sert à rien et ça coute des sous.
Il faudrait qu’ils utilisent les méthodes de certains et qu’ils s’inscrivent sur 4chan pour être un peu à la page…

Conclusion

Je crois que j’ai fait le tour… Mais soyez vigilants, sur les quelques jours avant l’année 2011 pourrait bien avoir lieu le plus gros hack du siècle ou une tentative de faire passer une nouvelle loi liberticide comme seul certains en ont le secret (papa noel leur donne pas de cadeaux à ceux là ?)
Tout peut arriver.

sb

5 réflexions au sujet de « d4 n3wS : La rétrospective 2010 »

  1. Bravo pour ce blog très intéressant et tout le travail accompli.
    Bonne continuation et une bonne année 2011 malgré cette saleté de LOPSI

Les commentaires sont fermés.