La cyber-sécurité au quotidien

Entre stratégie US de lutte dans le cyberespace et fuite de données

Enfin. Après des mois d’attente, le DoD, le ministère américain de la Défense, vient de dévoiler (le 14 juillet) sa stratégie de lutte dans le cyberespace. A télécharger ici. C’est évidemment la version déclassifiée du document. 

Le cyberespace y est officiellement désigné comme un espace à part entière (comme l’air, la terre, la mer ou l’espace). 

Though the networks and systems that make up cyberspace are man-made, often privately owned, and primarily civilian in use, treating cyberspace as a domain is a critical organizing concept for DoD’s national security missions. This allows DoD to organize, train, and equip for cyberspace as we do in air, land, maritime, and space to support national security interests.

La stratégie US (19 pages) se décline en 5 initiatives stratégiques.

La stratégie US met en avant, dans un premier temps, l’amélioration de ses défenses contre les cyber-attaques. Le DoD vise à mettre en place un système de défense dynamique qui passera par l’amélioration de sa “cyber-hygiène” en suivant les bonnes pratiques en matière de cyber-sécurité et par une amélioration gobale de sa capacité de prévention, de détection, de communication et de gestion des tentatives d’intrusions sans ses systèmes et réseaux militaires. 

The implementation of constantly evolving defense operating concepts is required to achieve DoD’s cyberspace mission today and in the future. As a first step, DoD is enhancing its cyber hygiene best practices to improve its cybersecurity. Second, to deter and mitigate insider threats, DoD will strengthen its workforce communications, workforce accountability, internal monitoring, and information management capabilities. Third, DoD will employ an active cyber defense capability to prevent intrusions onto DoD networks and systems. Fourth, DoD is developing new defense operating concepts and computing architectures. All of these components combine to form an adaptive and dynamic defense of DoD networks and systems

A noter que les personnels militaires sont considérés comme la première ligne de défense du DoD. Une véritable culture de la sécurité informatique doit animer les utilisateurs pour limiter le risque d’intrusions externes et internes.

People are the Department’s first line of defense in sustaining good cyber hygiene and reducing insider threats.

La stratégie insiste également sur la nécessité pour le DoD de travailler en étroite collaboration avec les autres agences gouvernementales américaines mais également avec le secteur privé car la cyber-sécurité est un challenge qui concerne tous les secteurs de l’économie américaine et qui va au-delà des administrations publiques. Le traditionnel refrain sur l’importance du partenariat est bien présent. On notera que le DoD insiste sur les risques liés à la délocalisation des entreprises de haute technologie américaines (hardware et software). 

Many U.S. technology firms outsource software and hardware factors of production, and in some cases their knowledge base, to firms overseas. Additionally, increases in the number of counterfeit products and components demand procedures to both reduce risk and increase quality. Dependence on technology from untrusted sources diminishes the predictability and assurance that DoD requires, and DoD will work with DHS and its interagency partners to better identify and address these risks.

La 4ème initiative stratégique de ce document revient sur l’effort qui devra être fait en matière de collaboration internationale à travers notamment des échanges d’informations avec ses alliés afin de renforcer leur capacité de dissuasion collective (mais également de légitime défense ?).

In support of the U.S. International Strategy for Cyberspace and in collaboration with its interagency partners, DoD will seek increasingly robust international relationships to reflect our core commitments and common interests in cyberspace. The development of international shared situational awareness and warning capabilities will enable collective self-defense and collective deterrence.

Enfin, la stratégie s’intéresse aux ressources humaines et à l’innovation. Le DoD se porte en catalyseur des ressources scientifiques américaines en matière de nouvelles technologies et d’innovation considérée comme indispensable pour garantir la sécurité nationale. La formation et le recrutement de personnel spécialisé en cyber-sécurité devient une nouvelle priorité. Les temps sont durs, le personnel qualifié et de qualité est rare. La concurrence entre secteur privé et administration est rude. A note que nous rencontrons le même problème en France. Nous avons un manque criant de personnel spécialisé en sécurité informatique. 

The development and retention of an exceptional cyber workforce is central to DoD’s strategic success in cyberspace and each of the strategic initiatives outlined in this strategy. DoD will assess its cyber workforce, requirements, and capabilities on a regular basis. The development of the cyber workforce is of paramount importance to DoD.

La conclusion est sans équivoque. Le cyberespace est devenu un facteur clé de la sécurité nationale américaine. Les cyber-menaces et autres cyber-attaques sont devenus le quotidien du Pentagone qui se doit de faire face à ces nouvelles menaces en s’adaptant et en se transformant de plus en plus rapidement. Les cycles de vie militaires traditionnels (à5 ou 7 ans) sont dépassées par le cyberespace où tout évolue très rapidement : les menaces, les technologies, les compétences… 

Une fuite de données pour illustrer tout cela

Quoi qu’il en soit la publication de cette stratégie tant attendue a été accompagnée par l’annonce d’une importante fuite de données concernant… des documents militaires classifiés américains. Le Pentagone a révélé que 24 000 documents sensibles avaient été volés par… un gouvernement étranger en mars dernier via une intrusion sur les ordinateurs d’une entreprise de défense.

Difficile de ne pas faire le lien encore une fois avec le piratage de RSA qui a eu lieu au même moment. L’affaire Lockheed Martin avait ensuite confirmé les soupçons qui pesaient sur le rôle des token RSA dans cette attaque. D’autres rumeurs suggéraient que d’autres entreprises avaient été impactées par des intrusions exploitant le piratage de données concernant SecurID. Northrop Grumman faisait partie des potentielles victimes. Doit-on y voir un lien avec cette dernière révélation de fuites de données ? Les données volées concerneraient un projet d’arme encore secret qui nécessiterait d’être re-développé . 

The United States may be forced to redesign an unnamed new weapon system now under development – because tech specs and plans were stolen from a defence contractor’s databases.

Pour en savoir plus : 

• http://www.defense.gov/news/newsarticle.aspx?id=64682
• http://news.techworld.com/security/3291524/us-cyber-security-plans-full-of-holes-say-critics/?olo=rss
• http://www.politico.com/news/stories/0711/59035.html
• http://online.wsj.com/article/SB10001424052702304521304576446191468181966.html
• http://www.wired.com/dangerroom/2011/07/make-love-not-cyber-war/
• http://www.foxnews.com/us/2011/07/14/pentagon-discloses-largest-ever-cyber-theft/
• https://www.infosecisland.com/blogview/15155-Pentagon-Admits-Largest-Ever-Cyber-Theft-to-Date.html

[Infographie] Les arnaques sur les réseaux sociaux en images

Une infographie intéressante de Bitdefender qui nous présente les différents scams qui ont visé les accros aux réseaux sociaux durant ces derniers mois. 

Source : http://www.malwarecity.fr/blog/levolution-des-scams-sociales-1045.html

Les fraudes aux cartes bancaires en 2010

Il est tout chaud et il vient de sortir : le rapport annuel 2010 de l’Observatoire de la Sécurité des Cartes de Paiement (OSCP).

Ce rapport revient sur l’état de la fraude en France en matière des cartes bancaires, sur l’expérience des cartes prépayées, sur l’adoption progressive de 3DSecure et sur des propositions pour améliorer la sécurité de ces moyens de paiement (notamment supprimer [enfin] la piste magnétique ou utiliser des cartes virtuelles à données dynamiques). Petits extraits :

Le taux de fraude s’établit pour l’année 2010 à 0,074 %, correspondant à un montant de 368,9 millions d’euros (contre 0,072 % et 342,4 millions d’euros en 2009), ce qui recouvre des évolutions divergentes : 

• la fraude sur les paiements nationaux réalisés aux points de vente et sur automates continue de décroître et se situe à un niveau très faible (à 0,012 %, pour un montant de 36,2 millions d’euros) ; 
• en revanche, la fraude continue d’augmenter en valeur sur les paiements à distance (par Internet, téléphone ou courrier) : 

Pour les paiements nationaux effectués à distance, le taux de fraude est de 0,262 % et le montant de la fraude de 101,1 millions d’euros (contre 0,263 % et 82,2 millions d’euros en 2009) dans un contexte de croissance soutenue des paiements à distance (+ 23,8 % en 2010). Ces derniers, qui représentent 8,6 % de la valeur des transactions nationales, comptent désormais pour 62 % du montant de la fraude.

A lire en intégralité sur http://www.banque-france.fr/observatoire/rap_act_fr_10.htm (disponible en PDF).

8 conseils pour sécuriser vos mots de passe

Attaquons nous aujourd’hui à la question épineuse des mots de passe qui reste aujourd’hui encore la methode d’authentification la plus utilisée malgré ses nombreuses faiblesses. Les affaires récentes (multiples piratages des sites de Sony, les LulzSec…) permettent en effet d’effectuer un rappel sur les faiblesses intrinsèques des mots de passe, l’inconscience de certains utilisateurs et administrateurs (mention spéciale aux responsables de Sony ces derniers temps). En effet, Les multiples fuites de données personnelles qui ont défrayées la chronique depuis le début de l’année nous ont montré et rappelé :

• La faiblesse des mots de passe utilisés par les internautes. On retrouve de nombreuses “études” statistiques sur le sujet et les résultats sont souvent effrayants. L’analyse d’un fichier de données personnelles (identifiant-mot de passe) publié par les LulzSec a ainsi montré que le top 3 des mots de passe les plus utilisés se composait de : ’123456′, ’123456789′ et ‘password’.
• La réutilisation des mots de passe. Les attaques menées par les LulzSec ont également montré (et confirmé) que la réutilisation du même mot de passe (aussi complexe soit-il) est un véritable fléau pour la sécurité. Combien de personnes réutilisent le même mot de passe pour leur compte GMail et leur compte Facebook en plus de leur compte de messagerie professionnelle ? Beaucoup trop…
• Le stockage en clair des mots de passe. Les piratages en série des sites du groupe Sony ont également montré que les équipes informatique et sécurité ont fait preuve d’énormes manquements pour la sécurité des données de leurs clients ou de leurs utilisateurs. Stocker les mots de passes en clair dans une base SQL ne semble en effet pas respecter l’état de l’art sécurité… Surtout quand en plus, les mêmes administrateurs laissent la porte de derrière de leurs sites Web ouvertes à des attaques par injection SQL (le menace n°1 pour les applications Web).

Je vous propose donc 8 conseils / rappels pour améliorer la sécurité de vos mots de passe :

1. Utiliser des mots de passe complexes. Mélanger chiffres, lettres, caractères spéciaux (avec modération). Fini les mots de passe comme 123456 ou azerty. Ne pas hésiter à utiliser des générateurs de mots de passe pour les applications et services les plus sensibles. Sinon quelques conseils sympathiques à lire sur ce forum informatique.
2. Ne jamais donner son mot de passe à quelqu’un. Même si c’est l’administrateur informatique qui vous le demande (attention aux attaques par social engineering) ou pour aider un collègue. Un mot de passe c’est comme le code de votre carte bancaire, il est personnel et vous en êtes responsable.
3. Changer régulièrement vos mots de passe les plus critiques. Il est toujours utile de renouveler son stock de mot de passe et c’est souvent exigé en entreprise . 
4. Eviter les questions secrètes… Ce sont des énormes failles de sécurité. Ou tout du moins créer des questions personnalisées qui ne permettent de pas de deviner la réponse en moins de 5 grâce à Facebook. Vous vous rappelez de “Hacker Croll” le fameux pirate auvergnat qui avait réussi accéder à des comptes administrateur et de célébrités sur Twitter en détournant les questions secrètes simplistes d’un responsable du réseau de microblogging…
5. Fini le Post-It, pense-bête de prédilection. Créer des mots de passe intelligents sous forme de phrases. Un bon mot de passe doit être à la fois assez complexe et facile à retenir (si si c’est possible).
6. Attention aux lieux publics : utiliser un mode de navigation privée ou penser à supprimer vos “cookies” avant de fermer votre navigateur. Et en cocher jamais la case “enregistrer mon mot de passe” quand vous relevez vos e-mails sur un ordinateur public.
7. Attention aux WIFI publics et aux accès non sécurisés à certains sites Internet. Privilégier les connexions en HTTPS (ou mieux en VPN) sur les sites sensibles. Personne n’a oublié “l’expérience” Firesheep, cette extension Firefox permettant de détourner le plus simplement du monde des sessions Twitter, Facebook, Wordpress…
8. Privilégier l’authentification forte (quand c’est possible). Cette dernière devrait “logiquement” se généraliser dans les années futures. Espérons le pour les applications bancaires notamment.

Internet n’est pas encore au coeur de la stratégie antiterroriste américaine

Jeudi dernier, l’administration américaine a dévoilé sa nouvelle stratégie antiterroriste pour “en finir avec Al-Qaïda”.

This Strategy is clear and precise in our ultimate objective: we will disrupt, dismantle, and ultimately defeat al-Qa’ida

Quel rapport avec ce blog me direz vous ? Comme l’a très bien souligné cet article du blog DangerRoom du site Wired, la stratégie américaine antiterroriste se concentre presque exclusivement sur la “monde réel” (envoyer des drones tirer leurs missiles HellFire au Pakistan…) en oubliant qu’Internet se présente désormais comme un nouveau champ de bataille pour la propagande, le recrutement, la communication et la planification des groupes terroristes. 

But it has practically nothing to say about one of the most important places al-Qaida inspires new adherents and spreads its propaganda: the internet. (Wired.com)

Mais une simple recherche dans les 19 pages qui composent cette stratégie montre qu’Internet y est cité… une seule fois.

Mass media and the Internet in particular have emerged as enablers for terrorist planning, facilitation, and communication, and we will continue to counter terrorists’ ability to exploit them  

Alors que l’on sait tous que les terroristes exploitent au mieux Internet pour communiquer, avec certaines précautions (Ben Laden, ses clés USB et ses cybercafés pour envoyer ses instructions par e-mail), pour recruter (les forums islamistes attaqués par dénis de services par “Jester” l’hacktiviste-justicier ou directement par Facebook) ou pour diffuser leur propagande au plus grand nombre (via Youtube).

Yet the internet is the primary mechanism through which al-Qaida communicates with its affiliates and tries to inspire new terrorists.

Si au niveau stratégique de la Maison Blanche, Internet n’a pas l’air de figurer parmi les lieux où lutter contre les mouvances terroristes, au niveau opérationnel c’est une autre histoire. En effet, le Central Command américain (commandement militaire américain pour la zone Moyen-Orient et une partie de l’Afrique) a mis en place des systèmes pour infiltrer et mener des opérations de propagande (ça marche dans les deux sens) sur les réseaux sociaux afin de lutter contre les groupes extrémistes sur leur propre terrain numérique et de renforcer l’influence américaine auprès des populations du Moyen-Orient.

Une société californienne, Ntrepid, a remporté un contrat de 2,76 millions de dollars avec l’United States Central Command (CENTCOM), un commandement américain chargé de gérer les opérations militaires au Moyen-Orient et dans la corne de l’Afrique. Le système mis au point par Ntrepid permet à un militaire américain de contrôler jusqu’à 10 identités distinctes. (source : numerama.com)

Leurs alliés britanniques (et le MI-6 en particulier après que la CIA se soit finalement défilée…) se sont également illustrés avec le piratage d’un magazine de propagande d’Al-Qaïda qui expliquait comment fabriquer une bombe artisanale. Les officiers britanniques ont “simplement” remplacé cette recette “explosive” par recette… de pâtisseries. “Operation Cupcake” était née. 

A Pentagon operation, backed by Gen Keith Alexander, the head of US Cyber Command, was blocked by the CIA which argued that it would expose sources and methods and disrupt an important source of intelligence, according to a report in America. (source : telegraph.co.uk)

Pour en savoir plus :

• La stratégie antiterrorisme américaine en PDF
• L’article original de Wired : Someone Tell Obama’s Counterterrorism Crew About the Internet