Louis-Serge Real del Sarte est un spécialiste des réseaux sociaux sur Internet, auxquels il a d’ailleurs consacré un ouvrage. Ce n’est pas pour autant un technophile éclairé; ce qu’il reconnaît volontiers. Et voilà, justement, qu’il a été victime d’une campagne de phishing, au début de ce mois d’octobre. Campagne qui a permis à ses auteurs de prendre le contrôle de la boîte de messagerie Gmail de Louis-Serge. Et d’arroser ses quelque 180 000 contacts de messages alarmistes de demandes de fonds. Certains seraient tombé dans le piège. Au printemps dernier, une mésaventure comparable avait frappé une député de la région Poitou-Charente, avec son compte de messagerie Yahoo. Le témoignage de Louis-Serge Real del Sarte est en vidéo, ci-dessous – une vidéo réalisée rapidement ce matin. Un témoignage en forme de message préventif à l’intention de ses (nombreux) contacts.
On ne le répètera jamais assez : le principal moyen d’éviter d’être piégé par un phishing, c’est de ne jamais s’authentifier sur une page Web à laquelle on aura accédé en suivant un lien dans un e-mail… Paypal, Gmail ou votre banque vous invite à vous connecter à son site Web ? Ne cliquez pas sur le lien dans le mèl; tapez l’adresse habituelle du site Web manuellement, dans votre navigateur. Simple et efficace.
Casualtek
Bric-à-brac high-tek
Category Archives: Sécurité
Userlock : sécuriser les accès et les infrastructures
La mode est au DLP, les gourous de la sécurité cherchent de plus en plus à sécuriser « l’information »… parfois au détriment de l’infrastructure. Il existe pourtant un outil simplissime qui, à la fois, facilite les « politiques d’accès » et, indirectement, résout les questions de fuite ou de modification d’informations.
Userlock d’IS Décisions en quelques mots ? Un logiciel de gestion des accès destiné à toute la gamme des serveurs Windows actuellement en service (nos essais se sont déroulés sous 2008 Server). Mais surtout un logiciel capable d’appliquer à des groupes entiers (d’utilisateurs, de stations, ou les deux associés) des restrictions ou autorisations d’accès à des ressources, des plages temporelles d’utilisation, le moyen de forcer un verrouillage ou une déconnexion à distance d’un utilisateur en particulier… le tout accompagné d’un solide outil de reporting.
En termes plus simples, les trois avantages principaux de Userlock sont :
– l’interdiction de login d’un utilisateur ou groupe sur deux consoles simultanées (ou en dehors de stations préalablement définies),
– l’application de règle « par groupe » (par défaut, les restrictions sous Windows s’appliquent fastidieusement « user par user ») et
– la possibilité de « jeter » rapidement un intrus d’un simple mouvement de souris depuis la console d’administration. Le tout avec un niveau de complexité proche de celui nécessaire à la maîtrise de Powerpoint. C’est dire.
A qui s’adresse-t-il ? Aux administrateurs souhaitant renforcer les politiques de logon sans avoir à écrire le moindre script ni modifier le plus petit service en place : Administrations, établissements hospitaliers, Lycées ou Universités, et entreprises constituées de plusieurs départements ou filiales exigeant un niveau minimum de cloisonnement entre fonctions et emplacements géographiques. Il n’existe strictement aucune limite haute ou basse du nombre d’administrés pris en compte. Si historiquement ce logiciel se destine surtout aux infrastructures de plusieurs centaines de postes, rien n’interdit de l’installer sur un petit système SBS appartenant à une entreprise « à données sensibles » et haute valeur ajoutée. Le tarif le plus élevé (configuration de 10 à 19 postes) ne dépasse pas 8 euros par station et chute à moins de 5 euros entre 100 et 200 postes.
Comment les cybergendarmes récupèrent l’irrécupérable
Récupération des données sur un disque dur.
Un portable ravagé par les flammes, un téléphone mobile verrouillé… comment récupérer leurs données dans le cadre d’une enquête criminelle ? Les gendarmes de l’Institut de Recherche Criminalistique de la Gendarmerie Nationale (IRCGN) disposent d’un laboratoire tout spécialement équipé pour cela (sorte de paradis du technophile aimant jouer du fer à souder). Une installation qui n’étonnera pas ceux qui sont habitués à la récupération de données en cas de défaillance matérielle sur un composant ou un contrôleur de disque dur.
Tout un stock d'échantillons.
De fait, les gendarmes de l’IRGN disposent notamment d’une paillasse équipée d’une soufflerie laminaire sur laquelle démonter les disques durs sans crainte d’éventuelles poussières. Mais ça, c’est potentiellement pour les cas les plus lourds. Lorsque seul le contrôleur est endommagé, le plus simple est encore de le remplacer : les gendarmes disposent pour cela d’un stock de plusieurs centaines de références de disques durs qui pleur permet, le cas échéant, d’intervertir un contrôleur, le temps de connecter le disque à un PC pour en récupérer les données brutes par processus de création d’image. Le traitement des données est assuré par une autre équipe.
Fusion de la soudure par infrarouge pour extraction du module de mémoire Flash.
Il en va de même pour toutes les mémoires de type flash, et notamment pour celles des ordinateurs portables. Sauf que, là, il s’agit d’abord d’extraire le module mémoire de son support, en faisant fondre la soudure – sur un système de fusion infrarouge focalisé de type XT5 de PDR. La puce peut alors être installée sur un programmateur connecté à un PC pour extraction des données. Simple et redoutablement efficace. Sauf si les données du module sont chiffrées. Mais là, on sort de la partie matérielle pour toucher à la partie logique de la récupération des données. Et c’est le boulot de l’équipe suivante.
Lutte contre la pédopornographie : des moyens artisanaux qui tranchent avec la volonté politique affichée
Traque d'un pédophile sur un tchat
La pédopornographie, sur Internet, est une réalité difficile : discuter avec les gendarmes de l’Institut de Recherche Criminalistique de la Gerndarmerie Nationale (IRCGN) en donne un petit aperçu, troublant. En particulier en raison de ce que leurs moyens peuvent avoir de dérisoire. De fait, au-delà de la mobilisation affichée par les parlementaires, et notamment ceux de la majorité, la lutte, contre la pédopornographie, à l’IRCGN, doit se contenter, au quotidien de quatre à cinq personnes. Certes, leurs investigations génèrent environ 500 procédures par an. Mais cela n’en semble pas moins très artisanal.
En pratique, en effet, une part du travail de ces équipes de gendarmes consiste à se faire passer pour un mineur insouciant, utilisant un service tchat sur Internet, genre MSN ou réseau social. En utilisant environ 5 profils de mineur par gendarme, suivant des scénarios définis avec des criminologues. Un exercice que l’on imagine difficile, sur le plan personnel – le « poisson » à hameçonner peut engager un échange vidéo unilatéral, jusqu’à se masturber en direct.
Un client ed2k spécifique pour la traque sur le P2P
Les gendarmes en question doivent rentrer chez eux, le soir, avec ces images en tête. Ils bénéficient d’un suivi psychologique dit « régulier » – environ deux fois par ans. Heureusement, ils peuvent contacter une cellule de soutien à tout moment. Et l’on comprendra aisément que cela puisse arriver.
Ça, c’est pour l’identification directe de pédophiles. Pour les images – photos et vidéos – à caractère pédophile, le processus est une peu plus industrialisé. En fait, à l’observer on peut se demander si les pédophiles ne font pas tout pour se faire prendre…
L’outil principal des gendarmes n’est autre qu’un client eMule (eDonkey, ed2k, etc.) – y’a-t-il encore des contrevenants sérieux au droit d’auteur sur ces réseaux ?! – doté d’une interface Web. Comme l’expliquent les gendarmes de l’IRCGN, leur travail consiste à, d’abord, se connecter. Puis à lancer une recherche sur des mot-clés liés à pédopornographie.
Le PV intègre une liste complète des photos identifiées sur le noeud du réseau.
Leur outil leur donne alors une liste des serveurs ed2k auxquels sont connectés des utilisateurs diffusant des fichiers répondant à ces mots-clés. Il ne reste plus au gendarme qu’à interroger l’un de ces nœuds du réseau (en France) et a confronter la signature de ses fichiers à une impressionnante base de données (alimentée notamment par des fichiers saisis). Celle-ci recense plusieurs milliers de photos et de vidéos – ou plutôt de trames clé dans les vidéos – à caractère pédophile.
Les résultats arrivent en un clin d’œil. Le fruit d’une infrastructure technique prodigieuse ? Non… tout au plus, une poigné de gendarmes sont susceptibles de lancer simultanément une requête sur la base de données. De quoi renvoyer, une fois de plus, à la question des moyens. Humains, certes, mais aussi techniques. (Bon, il faut le reconnaître, la dite base de données est associée à des algorithmes plutôt impressionnants de reconnaissance de formes ; mais ça ne fait pas tout.)
À ce jour, les gendarmes de l’IRCGN m’ont l’air chanceux de pouvoir continuer à exhiber les chiffres qu’ils affichent : leurs outils ne leur permettent pas de traquer les pédophiles qui ont migré vers des technologies « protégées » : VPN, tunnel SSH, newsgroups SSL…
Un carton de CD de photo à caractère pédophiles en attente de traitement par la base de données
En fait, leurs outils ne leur permettent même pas, pour l’heure, de traquer ceux qui préfèrent BitTorrent à ed2k… Bref, on serait presque tenter de croire qu’ils ont une guerre de retard. Que nenni assurent-ils néanmoins : ils assurent ne pas observer de baisse de trafic (à caractère pédophile) sur ed2k et en déduisent l’absence de fuite vers d’autres solutions technologiques. Espérons qu’ils ont raison. Mais pour combien de temps ? Selon certains, les mesures de filtrages ne feront qu’accélérer la surenchère technologique.
Et c’est sans compter avec la problématique de procédures transfrontalières contraintes par la bonne volonté des autorités tierces.
Scada : le temps de la panique est-il venu ?
Cette année, à Davos, la sécurité du monde numérique s’est invitée au menu des débats des dirigeants de la planète. En témoigne, si c’était nécessaire, l’entretien publié par nos confrères du Monde avec Hamadoun Touré, secrétaire général de l’Union Internationale des Télécommunications (l’impréparation de l’Inde face à cette menace a d’ailleurs l’objet d’un article aujourd’hui dans le Business Standard). Mais ce qui a fait le plus de bruit, c’est probablement cette étude conduite par McAfee le think tank américain CSIS mettant en garde contre les lacunes de sécurité des systèmes Scada, publiée la semaine dernière. Bon, cette question commence à prendre à des airs de marronnier chez McAfee : en novembre dernier, l’éditeur l’avait déjà évoqué dans son étude sur la cyberguerre. Certes, l’éditeur peut s’appuyer sur des exemples concrets, comme l’intrusion, en avril dernier, dont a été victime le réseau électrique américain. Quelques semaines plus tôt, Leif Kremkow, directeur technique de Qualys, avait d’ailleurs souhaité alerter, dans les colonnes du MagIT, sur les vulnérabilités des infrastructures industrielles automatisées de type Scada. Reste que, pour certains, ces menaces restent surestimées. Et si, lors d’une conférence de presse organisée en amont d’Infosecurity Europe, qui se déroulera à Londres, du 27 au 29 avril prochain, IOActive est revenu sur la question du hacking des éléments d’infrastructure SmartGrid, le sujet fait clairement débat. D’autant plus, en fait, que l’essentiel des vulnérabilités ne semble pas venir des protocoles utilisés en eux-mêmes mais plutôt de leurs diverses implémentations.
En fait, pour Rik Ferguson, expert menaces et solutions chez Trend Micro, rencontré en décembre dernier à Londres, la menace sur les Scada est avant tout « théorique. » Pour lui, « oui, il est possible de compromettre un réseau Scada, d’en prendre le contrôle, et de conduire des activités malicieuses. » En quoi, alors, la menace ne serait-elle que théorique ? Parce qui lui « ne pense pas que les réseaux Scada soient interconnectés et ne croit pas qu’il y ait, à ce jour, de réel besoin pour cela. » Bref, l’absence d’ouverture, « c’est probablement la meilleure protection que l’on puisse imaginer. » Quid alors de l’ouverture des infrastructures Scada pour, par exemple, permettre les astreintes à distance ou encore la sous-traitance ? « Si l’on fait une analyse de risque sérieuse, les bénéfices pour l’entreprise à autoriser le personnel à faire du contrôle à distance sont plus faibles que les risques. Quand vous considérez en plus le potentiel des actions malicieuses dans ce contexte… » Et pour la sous-traitance ? Même son de cloche : « là encore, plus on ouvre, plus on expose. C’est à intégrer dans le calcul de risque. » Bref, un discours qui tranche avec les doctrines en vogue. Un peu trop ?