dimanche 9 juillet 2017

Cyberespace : « Le champ de bataille est partout »


A l’ère pré-numérique, le lieu du combat demeurait relativement codifié et encadré. Le champ de bataille, en est l’illustration pendant plusieurs siècles et il faut attendre la révolution industrielle et l’apparition d’armes à capacité létales accrues et dont la portée pouvait dépasser l’horizon visible pour que la dilatation du champ de bataille atteigne son paroxysme. En devenant « totale », la guerre est également « mondiale ». Mais cet élargissement n’est pas exclusivement la conséquence de l’amélioration technique des armements utilisés, sans quoi le guérillero en serait exclu, c’est la nature même des causes et des buts de guerre qui provoque cette expansion. Lorsque l’on combat une « idéologie », le monde devient alors un champ de bataille. L’insurgé ne cherche pas à dominer physiquement un espace, ni même à l’occuper (du moins dans les premières phases de développement du mouvement) son combat ne le conduit pas à viser un territoire ou un lieu en particulier. D’essence offensive au niveau tactique, le combat de l’insurrection ne connait aucunes limites géographiques, il cherchera à frapper son adversaire et ses intérêts partout où il peut les atteindre. Dans un élan prophétique, Qia Liang et Wang Xiangsui anticipaient déjà l’effacement des démarcations entre les espaces de combat conventionnels et les espaces « techniques » (donc ce que l’on comprend aujourd’hui par cyberespace). 
« L’humanité confère à tout espace le sens d’un champ de bataille. Il suffit que sur tel espace on dispose de la capacité de lancer telle attaque avec tels moyens pour que le champ de bataille soit partout[1]. » 

Le combat de guérilla a toujours intégré cet effacement des limites physiques, le guérillero 2.0 doit aujourd’hui lui ajouter les spécificités des terrains numériques et plus encore les possibilités d’interactions et de chevauchement entre espaces conventionnels et techniques. Pour autant, l’éclatement des limites antérieures des terrains d’affrontement, la dissolution de certaines frontières ne signifie pas une uniformisation des lieux d’action. 
S’il n’a pas de frontières, le terrain sur lequel le combat de l’insurrection se déroule demeure fragmenté et tout développement tactique devra en tenir compte.

La segmentation des terrains numériques

Que l’on se place du côté de l’insurgé ou de celui qui le combat, la segmentation des terrains de l’affrontement est une constante historique. Le rapport au terrain et pour le guérillero 2.0 peut ainsi être schématisé en fonction du combat qu’il souhaite conduire. Il aura, dans le cyberespace, à opérer dans des espaces très fragmentés et totalement distincts. Il sera « ouvert » et marqué par la prédominance des réseaux sociaux s’il veut conduire des opérations d’information ou  « fermés » et s’apparenteront alors à des systèmes d’exploitation, des réseaux métier, des bases de données, s’il souhaite conduire des attaques informatiques ciblées (destructrices ou de renseignement).

samedi 13 mai 2017

Wanna Cry : la bourse ou les données ?

Depuis le 12 mai, les rédactions suivent les développements d'une "cyberattaque massive". Après s'être propagé rapidement dans plus de 90 pays (dont de nombreux pays européens) le ransomware (baptisé WannaCry ou WannaCryptor) semble en perte de vitesse après la mise en place rapide dans la nuit de vendredi à samedi d'un premier patch par Microsoft ainsi que par l'action d'un chercheur en sécurité qui aurait activé un mécanisme de secours du malware (lire ici la démarche). Retour sur un phénomène en forte expansion qui est totalement intégré dans l'arsenal de la "guerre numérique".


Le ransomware : l'arme ultime ?
Un ransomware ou rançongiciel (en fr) est un programme malveillant qui provoque le chiffrement de tous les fichiers d'un ordinateur (et des fichiers accessibles en écriture sur les dossiers partagés). Le pirate propose alors une clef de déchiffrement contre le versement d'une somme d'argent (variable suivant la cible). 
Mode d'action connu depuis au moins 1989 et en forte expansion depuis 2011, le rançongiciel compte  en France plus de deux millions de victimes, soit 3,3% de la population, pour l'année 2016. Ce chiffre est dans la lignée des pays européens où le pourcentage de population ayant déjà été infectée oscille entre 2 et 4%.(source ici). La moyenne des rançons versées est de 179 € (en France contre 500€ au Royaume-Unis) et plus de 30% des victimes payent. Le ransomware est donc un outils à fort "effet de levier", facile à réaliser, il permet de gagner vite de l'argent. 

Les faits (au 13 mai 17h00):
Dans la journée du vendredi 12 mai 2017, on constate l'apparition et la diffusion rapide d'un nouveau rançongiciel qui exploite des vulnérabilités d'exécution de code à distance pour se propager. Ces vulnérabilités sont celles décrites dans le bulletin de sécurité MS17-010

Dès la fin de matinée les première victimes apparaissent au Maroc (Voir la carte animée du New-York Times). Les autorités américaines et les entreprises de sécurité informatique s'alarment rapidement. Kaspersky détecte l'attaque et analyse "WannaCry" comme étant en lien avec l'exploit "EternalBlue" (qui permet le déploiement d'une backdoor sur la cible) qui avait été rendu public le 14 avril dernier par les fuites du groupe Shadowbrokers et patché par Microsoft un mois avant le 14 mars 2017 (voir Hackers Hit Dozens of Countries Exploiting Stolen N.S.A. Tool). Face à la propagation rapide, les agences de sécurité recommandent de mettre à jour rapidement les systèmes (ça tombe bien on est vendredi soir...). De façon exceptionnelle, Microsoft publiera même dans la nuit un correctif pour des versions qui ne sont plus soutenues (Windows XP par exemple) mais qui demeurent très répandues dans les administrations et les entreprises. C'est ainsi la première fois,depuis le 8 avril 2014 date de l'arrêt du support, que Microsoft diffuse un patch pour Winndows XP soulignant ainsi l'aspect hautement critique de cette vulnérabilité.

C'est quoi MS17-010 ?
Le 14 mars 2017, Microsoft publie un bulletin de sécurité pour signaler une vulnérabilité "critique", le MS17-010 et publie donc une mise à jour de sécurité pour ses produits. 
Cette mise à jour de sécurité corrige des vulnérabilités dans Microsoft Windows. La plus grave de ces vulnérabilités pourrait permettre l'exécution de code à distance si un attaquant envoyait des messages spécialement conçus à un serveur Windows SMBv1.
Il est donc conseillé de rapidement mettre à jour son système... vu qu'il s'agit d'une vulnérabilité "critique". Par ailleurs, un mois plus tard, la publication par le groupe ShadowBrokers d'un ensemble d'outils développés par la NSA relance l'intérêt pour cette vulnérabilité (qui n'est plus un ZéroDay puisqu’elle est patchée). Plusieurs outils d'exploitation sont ainsi rendus disponible soulignant au passage que l'agence américaine connaissait de longue date cette "vuln" et l’exploitait sans aucun doute. Ainsi, pour beaucoup MS17-010 s'annonce comme le digne successeur de MS08-067 qui avait entrainé l'infection de plusieurs millions d'ordinateur par le ver Conficker. Dès le mois d'avril 2017, les premiers ransomwares exploitent la vulnérabilité.


Le bulletin de sécurité MS17-010 s’annonce tout aussi intéressant et permet la prise de contrôle à distance d’un poste de travail ou d’un serveur utilisant le système d’exploitation Windows. La vulnérabilité est déjà exploitée par des ransomwares.
Les exploits sont alors intégrés dans les bibliothèques des attaquants et le framework Metasploit propose rapidement un outils permettant d'effectuer un scan (donc de détecter les machines vulnérables - smb_ms17_010).  L'exploitation s'avère tout aussi simple et la combinaison d'outils disponibles assurent la prise de contrôle des victimes (voir le tutoriel ici).

Impact et retour d'expérience
L'attaque touche rapidement plusieurs milliers de machines, mais c'est les hôpitaux britanniques qui vont révéler au grand jour l'effet "domino" de ce type d'opération.
Ces attaques informatiques ont notamment touché le service public de santé britannique (NHS), bloquant les ordinateurs de nombreux hôpitaux du pays, et le géant des télécoms espagnol Telefonica.


Même si les données des patients ne semblent pas touchées, il faut "isoler" les ordinateurs infectés du réseau pour limiter la propagation. Ainsi, en quelques heures, les hôpitaux doivent ré-apprendre à fonctionner sans informatique. Au-delà de l'aspect financier, c'est le pouvoir de désorganisation induit qui nous semble à relever.  Ainsi, en France, l'entreprise Renault semble touchée et plusieurs sites de production ont été arrêtés [1]. On évoque également l'opérateur de téléphonie espagnol Téléfonica et les chemins de fer allemands.
L'arrêt de la production "fait partie des mesures de protection qui ont été prises pour éviter la propagation du virus", a déclaré à l'AFP une porte-parole de la marque au losange, sans préciser le nom des sites concernés. Selon une source syndicale, l'usine de Sandouville (Seine-Maritime), serait notamment concernée.[2]

Ainsi, trois mois après la publication d'une vulnérabilité critique, et son exploitation facilitée par des "fuites" d'outils, un ransomware peut paralyser la production d'une multinationale et parallèlement désorganiser les services hospitaliers à l'échelle d'un pays. Paradoxalement à cette heure, seul 22 000 € ont été récoltés sur les trois portefeuilles en bitcoins des attaquants.




Au niveau tactique qu'en retenir ? 
  • Il n'y a pas de corrélation entre le niveau technique des attaquants et l'impact d'une attaque;
  • L'effet indirect est parfois plus impactant que l'effet premier de l'attaque. Ici, il s'agissait d'un simple acte de malveillance pour extorquer de l'argent (au passage les hôpitaux semblent être des cibles de premiers choix car ils ont tendance à payer pour garantir leur fonctionnement);
  • Nous sommes d'autant plus fragiles que les mesures élémentaires de sécurité informatique ne sont pas appliquées (correctifs, vigilance anti-phising..);
  • Il est malheureusement à craindre que l'hybridation entre "crime-organisé" et "terrorisme" ne débouche à moyen terme sur l'utilisation de ce type d'outils dans le cadre plus général d'une attaque terroriste. 



[1] http://www.lemonde.fr/pixels/article/2017/05/13/la-propagation-du-virus-informatique-qui-a-touche-plus-de-70-pays-quasi-stoppee_5127291_4408996.html?utm_campaign=Echobox&utm_medium=Social&utm_source=Facebook#link_time=1494674947
[2]        http://www.tendanceouest.com/actualite-226537-attaque-informatique-massive-le-site-renault-de-sandouville-a-l-arret.html