Sécurité, Réseaux et SI - Orange Business Services

   Les utilisateurs se sont tellement appropriés les outils mis à disposition par l'entreprise que la frontière entre les domaines pro/perso est de plus en plus floue. Ces mêmes utilisateurs sont de plus en plus mobiles et collaboratifs, ce qui rend les informations de l'entreprise de plus en plus vulnérables.

   Une récente étude à l'initiative de Cisco et menée par InsightExpress LLC, a mis en avant les comportements à risque des utilisateurs :

Courant 2001, un bogue a été rapporté à Microsoft. Il s'agissait d'une faiblesse dans SMBRelay, partie du protocole NTLM qui permet l'échange de données entre machines Windows, et qui permettait à une personne malveillante de prendre le contrôle d'une machine à la manière d'un débordement de pile.

Le 22 novembre, Microsoft a officiellement annonce le correctif MS08-068 qui corrige cette vulnérabilité. Bien sur, Microsoft avait fourni depuis longtemps des solutions de mitigation du risque aux clients concernés.

La raison d'un tel retard dans la résolution d'un problème qui pourrait paraître trivial est qu'il ne s'agissait pas ici d'un classique débordement de pile, mais d'une erreur de conception dans le protocole NTLM. Et la correction d'une telle erreur n'est non seulement pas simple, mais en plus sujette à provoquer des impacts sur des applications existantes. Il faut donc être très prudent mais tout de même...

Mieux vaut tard que jamais :-)

Pour plus d'information, voire le blog TechNet sur le sujet.

Dans son dernier rapport Symantec Report on the Underground Economy, la société Symantec confirme la tendance des cybercriminels à s'intéresser de plus en plus à la collecte des données bancaires. En piratant des sites qui stockent ce type d'informations, ils établissent ainsi des bases de données qu'ils revendent alors au travers d'IRC (Internet Relay Chat) au plus offrant.

Par chance, la France est un pays dans lequel, dans la plupart des cas, le paiement se fait directement par l'intermédiaire de l'établissement bancaire, ce qui fait que le commerçant ne stocke pas d'information bancaire, mais seulement un numéro d'accord pour la transaction.

Malheureusement, tous les commerçants, même français, ne suivent pas cette méthode, et le piratage de certains a déjà permis de collecter des dizaines de milliers de numéros de cartes bancaires dont celui de...Bill Gates. :-)

Dans ces périodes de turbulences financières qui semblent préparer de tristes lendemains, il est probable qu'il va y avoir une recrudescence de ce type de pratique. Aussi, il est plus que jamais recommandé, lors d'achats sur Internet, de s'assurer que le paiement se fait auprès d'une banque, établissement bien plus sensible à la sécurité qu'un simple commerçant.
De plus, JAMAIS votre banque (ou Paypal ou eBay) ne vous enverra de mail pour vous connecter sur son site pour telle ou telle raison en y joignant une URL dans le message. Si elle le fait, pensez à considérer un changement d'établissement.
Dans tous les cas, tapez par vous-même l'URL de votre établissement financier, en fermant tous les navigateurs déjà ouverts auparavant si vous avez vraiment peur d'une malveillance.

Quelle magnifique invention que les réseaux sociaux ! Grâce aux facebook, myspace, copainsdavant et autres linkedin nous pouvons mettre en vitrine notre vie, nos photos, nos avis sur le monde qui nous entoure, nos goûts, nos idées politiques ainsi que des informations sur notre parcours professionnel.
Quelle extraordinaire opportunité pour les pirates et les escrocs de toutes sortes.  Ces réseaux sociaux permettent en effet des attaques de social engineering plus élaborées, sur mesure et donc plus efficaces contrairement aux attaques classiques qui se basent sur des comportements psychologiques de masse.
Ces attaques sur mesure, jusque là réservées aux escrocs disposant de temps, d’argent, de savoir-faire et de moyens techniques sont désormais réalisables par tout à chacun grâce à la masse d’informations divulguées par ces réseaux sociaux.
Il est désormais simple d’identifier une victime et d’effectuer un environnement très complet, de façon rapide, gratuite et sans besoin de disposer de moyens techniques perfectionnés.
Cet environnement et ce ciblage permet de préparer et de crédibiliser son approche en prévoyant au mieux la réaction de la victime choisie.
Pour bien comprendre l'impact de ces réseaux dans ce type d'attaques, il faut comprendre les enjeux et les moyens liés à l'ingénierie sociale. Les enjeux sont importants : voler des secrets, corrompre ou faire chanter des collaborateurs de l'entreprise. Dans certaines conditions, ou dans certains pays, il est plus facile d'envisager ce type d'attaques que d'imaginer des attaques virtuelles passant par des réseaux et s'appuyant sur d'hypothétiques vulnérabilités techniques.

C'est assez inhabituel : La CNIL vient de mettre au pilori un site web permettant à des particuliers de vendre et d'acheter en direct des biens immobiliers.

Il est reproché au site de ne pas faire le "minimum syndical" pour sécuriser les informations de ces clients/membres, on retrouve aussi des défauts portants sur l'information des personnes et à l'utilisation abusive des coordonnées à des fins de prospections commerciales.

Cela met en regard, que les failles de sécurité de niveau applicatives (Bypass d'authentification, vol de cookies, injection SQL, Cross-Site Scripting, Cross-Site Request Forgery, etc...) sont enncore très méconnues. La multitude de sites qualifiés de "Web 2.0" développés et opérés parfois de façon "artisanale" ou tout du moins pourrait être considérée comme une petite bombe à mêche lente...

Attention, la CNIL veille au grain. Sécurisez vos sites web !

Jusqu'à maintenant, les cybercriminels s'étaient focalisés, pour extorquer des fonds, sur les entreprises qu'ils pensaient être un marché plus prometteur. Ainsi, nous avons vu défiler dans la presse des histoires de déni de service vers Yahoo ou eBay par exemple. Mais, avec l'amélioration de la sécurité des logiciels, la fourniture par défaut aux particuliers de logiciels antivirus, anti-spyware, ... mais aussi la prise de conscience de plus en plus forte des internautes concernant les risques liés à Internet, il devient pour ces personnes malveillantes de plus en plus difficile de disposer de botnets assez gros pour pouvoir réaliser ce type d'attaques.
Tout naturellement, les cybercriminels se sont donc tournés vers le particulier plus inexpérimenté et donc plus vulnérable par nature.

C'est ainsi que sont apparus, en 2005, les premiers 'spywares' dont la mission n'est pas à proprement d'espionner, mais plutôt d'extorquer de l'argent. Maintenant, après 3 ans, il est de très fréquent de tomber sur ce type de logiciel.

Comment fonctionnent de tels programmes?

L'internaute télécharge un logiciel, en général de très petite taille. Une fois fait, il l'exécute : la partie commence pour lui. Le logiciel va souvent s'appuyer sur le processus explorer.exe (donc indispensable à Windows et donc dur à tuer) pour s'installer au cœur du système.

Il va faire ce qu'il faut pour être lancé à chaque démarrage du système d'exploitation, et mettra également en place dans d'autres programmes, naturellement lancés par l'utilisateur par exemple, des systèmes de vérification destinés à s'assurer que sa survie n'est pas menacée. Par conséquent, lorsque l'utilisateur tentera de nettoyer le malware, celui-ci, plusieurs fois par minute, vérifiera que tout est bien présent pour son prochain démarrage normal et, dans le cas contraire, remettra tout en place.
Souvent, le malware changera la page de fond pour faire apparaitre une page WWW qui indiquera à l'utilisateur qu'il est victime d'un virus ou d'un malware quelconque mais que, heureusement, le logiciel X sait éradiquer. Lequel logiciel apparaitra prêt a être téléchargé via le fond d'écran bien sur. Lorsque l'utilisateur voudra lancer le dit logiciel salvateur, celui-ci n'étant pas gratuit, il faudra payer. Et voila, l'utilisateur s'est fait extorquer une somme pour réparer un problème provoqué par le concepteur du logiciel de nettoyage.

Le plus ironique

Mais ça n'est pas tout. En effet, le plus ironique dans tout ça, c'est que ce type de logiciel ne se trouve pas sur une page WWW quelconque ou sur le site d'un vendeur. La population visée est celle...des téléchargeurs illégaux. Avec l'explosion de cette pratique, les cybercriminels ont trouvé bien moins risqué de placer de tels logiciels dans les réseaux peer to peer (type eMule ou Torrent), ou sur des sites fournisseurs de 'keygenz' et autres 'crackz'.

Ainsi, tel est pris qui croyait prendre et au final, vouloir télécharger un logiciel pour ne pas le payer peut couter...de payer un cybercriminel. Mais avec en plus, pour le cybercriminel, un faible risque de voir une plainte déposée contre lui pour avoir mis un malware dans un logiciel...illégal.

Le réseau mondial d'Orange Business Services utilisé par les entreprises internationales est certifié sécurité selon la procédure des Critères Communs de la norme ISO 15408.

Qui va relever le challenge ?

Téléchargement certification_iso_15408_communiqu_de_presse.pdf

Téléchargement certification_iso_15408_dossier_de_presse.pdf

Il y a quelques jours, une annonce dans les mailing-lists 'underground' a fait grand bruit car elle indiquait que WPA n'était plus fiable comme système de protection de la confidentialité d'un accès WiFi.

Nous savions déjà que WEP (Wired Equivalent Privacy), par la faiblesse de son algorithme, permet le décodage de l'IV (Initialization Vector) et, après avoir capturé une grande quantité de paquets particuliers entre une session valide en cours et le hot spot Wi-fi, de déduire la clé WEP et ainsi d'accéder au hotspot. Une grande partie du succès de cette technique reposait sur le fait que le point d'accès répondait systématiquement à tout paquet sans limite de quantité, permettant ainsi une meilleure efficacité avec l'augmentation des vitesses des points d'accès.

Heureusement, il restait encore WPA (WiFi Protected Access) comme protection. WPA repose lui sur la qualité de la PSK (Pre-Shared Key), sorte de clé/mot de passe que le client et le serveur doit connaitre pour pouvoir dialoguer.

Cette clé n'était alors cassable que par les méthodes traditionnelles d'attaque par force brutale (essai itératif de chaque possibilité jusqu'à obtention de la bonne), ce qui pouvait prendre des centaines d'années au regard du nombre de possibilités liées à la taille de cette clé WPA, et ceci même en s'appuyant sur des processeurs graphiques NVidia, contrairement à ce que laissait entendre une récente annonce de la société ElcomSoft qui vend cette technique.

C'en est maintenant fini avec WPA suite à la découverte des chercheurs Erik Tews et Martin Beck, qui ont trouvé une faiblesse au niveau de TKIP (Temporal Key Integrity Protocol). Cette faiblesse a été expliquée pendant la conférence PacSec qui s'est déroulée à Tokyo les 12 et 13 novembre 2008.

TKIP ajoute par rapport à WEP une seconde couche d'intégrité au travers d'un Message Integrity Code (MIC), également appelé Michael, qui s'appuie sur un checksum qui est en plus chiffré. En effet, la faiblesse principale de WEP était la faiblesse de l'algorithme utilisé pour générer le checksum.

De plus, la technique d'attaque WEP basée sur la modification d'un paquet et le renvoi massif vers le point d'accès qui répondra systématiquement, avait bien été apprise par Michael qui, lui, place un délai de réponse afin de ralentir l'efficacité de ce type de technique. Ainsi, lors de la réception de deux paquets avec un mauvais checksum, Michael attend 60 secondes avant de demander la renégociation d'un nouvelle clé avec le point d'accès, remettant la tentative à zéro.

Mais cette nouvelle faiblesse découle de la manière dont a été architecturé WPA, à savoir en s'appuyant sur WEP plutôt que par une implémentation a partir de zéro. Ainsi, TKIP se met en place après le WEP et le code Michael est contenu dans le paquet WEP facilement décodable, ce qui débouche sur le succès de cette nouvelle technique.

Cette nouvelle technique ne nécessite de capturer qu'un seul paquet, d'y faire de modifications mineures afin que son checksum soit affecté, puis d'analyser la réponse du point d'accès lorsqu'il reçoit ce paquet. Elle est particulièrement efficace avec les paquets ARP car le contenu de ceux-ci est connu, hormis les deux octets de l'adresse IP. Les autres octets étant huit octets pour le code Michael et quatre pour le checksum ICV. Il suffit alors de déduire ces deux octets par l'envoi d'un paquet toutes les soixante secondes, ce qui prend au total entre douze et quinze minutes pour toutes les possibilités.

Mais il ne faut pas paranoier. Ici, le risque reste encore faible et la rémédiation simple. Il suffit en effet de forcer la renégociation des clés toutes les deux minutes pour que l'attaque ne dispose plus du temps matériel pour réussir.

Dans cet article, le sujet a été très simplifié. Les puristes de la technique pourront avoir le détail complet de la technique utilisée sur en lisant le document "Practical attacks against WEP and WPA", de Martin Beck, TU-Dresden, Germany et  Erik Tews, TU-Darmstadt, Germany - November 8, 2008.

L'information date un petit peu mais elle reste intéressante : Le 6 novembre, le site web de la BBC a été la cible d'attaques en déni de service (DDoS) (ITPRO, BBC website hit by Denial of Service attack, 12 novembre 2008).
Les motivations de cette attaques sont pour le moment inconnues mais montrent encore une fois qu'il s'agit d'un risque devant être intégré dans la stratégie sécurité de services sur Internet.

J'en profite pour vous informer que le dernier rapport d'analyse d'Arbor Networks a été récemment publié, celui-ci est disponible ici: ArborNetworks, Worldwide Worldwide Infrastructure Security Report, November 2008
Il présente une vision globale des problématiques sécurité pour les opérateurs de réseaux et plateformes IP. Le déni de service (DDoS) est en plein boom et l'actualité de ces derniers mois est bien au coeur des préoccupations via des sujets comme DNS-Poisoning et BGP-Hijacking. Les attaques en déni de service ciblent de plus en plus les couches applicatives.

témoignage de Messieurs Alexandre CORIC & Mathieu DOTTIN de Mercedes Benz France :

à Comment Mercedes Benz France a déployé un PRA/PCA en 12 mois ?

Mr Alexandre Coric - Directeur Infrastructure Informatique & Telecoms – Mercedes Benz France

Mr Mathieu Dottin – Responsable Infrastructure Informatique & Telecoms (régie société Owentis)

Mr Hervé Cretin – Responsable Marketing – Orange Business Services

Au cours de ce témoignage client fort pertinent, venez découvrir une conduite de projet PRA/PCA exemplaire !

• Mercedes-Benz en France
• la problématique ayant conduit Mercedes Benz à ce projet de PRA/PCA exemplaire
• le processus ayant conduit au choix de la solution i-SAN d'Orange Business Services
• le déroulement du projet & le schéma de votre architecture technique mise en œuvre
• les résultats : bénéfices pour les utilisateurs / pour l'entreprise / pour le service informatique
• l'étape prochaine et les développements complémentaires envisagés

Retrouvez nous sur notre stand sur ce témoignage et téléchargez le publireportage sur notre nouvelle offre innovante i-SAN dédiée aux Plans de Reprise d’Activité.