Kim's Ranswormware 1.0
Cette fois ça y est, la NSA a identifié (ou pas) les auteurs de Wanacry, le rans"worm"ware qui a infecté plus de 300 000 machines et qui tire son code de la trousse à outils offensive de la NSA. La NSA a en toute logique mené son enquête pour identifier les auteurs de WanaCry, c'est toujours intéressant de savoir qui utilise les outils qu'on s'est fait dérober. Le rapport n'a pas été publié, mais quelques informations de son contenu ont été rendues publiques. Pour la National Security Agency, un faisceau de preuves convergerait vers la Corée du Nord, notamment un bloc d'addresses IP chinoises historiquement utilisé par le RGB (Reconnaissance General Bureau), plus précisément par le Bureau 121, la branche cyber du RGB.
Industroyer
Les SCADA) sont des systèmes d'acquisition et de contrôle de données. Souvent très anciens, rarement mis à jour, ils n'ont initialement pas été conçus pour être connectés à Internet et des très mauvaises pratiques dans leur conception ont été maintes fois pointées du doigt (backdoors, SQLI, mots de passes codés en dur...). La sécurité des SCADA s'est donc logiquement limitée à la sécurité physique, puisque dans l'esprit d'un CTO en milieu industriel, la sécurité informatique se limitait à fermer à clé la porte du site industriel. Le gros souci, c'est qu'en 2017, cette sécurité physique ne suffit plus et certains équipement industriels sensibles ont déjà été la cible d'attaques, dont la plus célèbre demeure l'opération Olympic Games sur la centrale nucléaire iranienne de Natanz.
Tout récemment des chercheurs de la société de sécurité informatique ESET ont tiré la sonnette d'alarme à propos d'un malware qui serait utilisé depuis au moins deux ans et serait à l'origine de l'attaque menée sur Blackenergy, une société Ukrainienne, bilan : une heure de blackout. Son petit nom : Industroyer. Il cible les interrupteurs et de disjoncteurs électriques et dispose selon les chercheurs d'un puissant mécanisme d'infection lui permettant de persister dans le temps sur ces systèmes de fournisseurs d'énérgie comme l'explique Zataz. Techniquement, il n'exploite pas de 0day, il s'agirait plutot d'une backdoor qui installe des composants permettant d'allumer et d'éteindre ces switchs industriels depuis le serveur CC (command and control) de l'attaquant. Lire aussi Analysis of the Threat to Electric Grid Operations.
Plus inquiétant maintenant, les chercheurs soulignent que ce malware pourrait très bien être modifié pour s'attaquer à des infrastructures encore plus sensibles comme un réseau de distribution de gaz.
La question n'est pas si une "scadastrophe" est susceptible d'arriver, mais quand elle va arriver.
Le forensic du piratage de TV5 Monde rendu public
Voici quelque chose que l'on aimerait voir plus souvent, l'ANSSI a décidé de concert avec TV5 Monde de communiquer sur l'analyse du piratage qui avait frappé la chaîne francophone la plus diffusée dans le monde en 2015. Fait marquant, la diffusion des programmes avait été interrompue. C'est donc à l'occasion du SSTIC de Rennes que l'ANSSI s'est livrée à cet exercice de transparence. On y apprenait donc que le piratage s'est déroulé sur plus de 3 mois, avec une longue phase de repérage. Les pirates sont arrivés sur le LAN de TV5 Monde, c'était bien le système de diffusion des images qui était ciblé. On se demande encore aujourd'hui pourquoi ce dernier n'était pas isolé du reste du LAN. Le piratage a été rendu possible par un ensemble de mauvaises pratiques en interne, couplé à une dilution des connaissances liée au recours de sous-traitants. Bilan financier pour la chaine : plus de 20 millions d'euros. Lire l'article de Pixel qui relate la conférence de l'ANSSI
Ukraine : le pays pilonné par Petya
Il n'est plus une doctrine militaire qui n'intègre pas son volet cyber. C'est un scénario assez terrifiant qui s'est joué tout récemment en Ukraine. Le pays a été la cible de violentes cyberattaques sur l'intégralité de ses infrastructures critiques (banques, médias, sites industriels, réseau énergétique, réseau postal, transports et même la centrale de Tchernobyl qui a vu son système de monitoring de la radioactivité affecté...), ces attaques accompagnaient (un hasard du calendrier ?) l'assasinat d'un haut gradé du renseignement ukrainien dans un attentat. Même si tous les regards convergent vers la Russie, les sources officielles ne citent pour le moment pas de coupable désigné... une sage retenue quand on connait la difficulté d'attribuer une attaque informatique. Différence notable avec ce que l'on pourrait attribuer dans la hâte à un état, ce n'est pas comme nous l'avions déjà vécu par le passé des attaques par déni de service, mais une variante de WanaCry, le rans"worm"ware. Evidemment, cette attaque, si elle semblait viser initialement l'Ukraine, se propage actuellement à d'autres pays, dont les USA, et l'Europe. La France est évidemment touchée et le parquet de Paris a ouvert une enquête. Une première analyse technique de Petya, cette variante de WanaCry, est disponible ici.
L'Australie mène une nouvelle fronde contre le chiffrement
Apporter des solutions pires que le mal, c'est le propre de décideurs mal avisés. L'Australie s'engouffre dans le piège des backdoors pour lutter contre le terrorisme, et surtout, le chiffrement. L'Australie entend convaincre ses alliés des Five Eyes et on sait déjà qu'elle pourrait trouver des oreilles attentives, notamment au Royaume Uni et aux USA. Même si l'Europe a récemment affirmé écarter totalement cette solution que tous les experts, ANSSI en tête, estiment dangereuse, puisqu'elle revient à affaiblir la sécurité de l'ensemble des systèmes d'information, on peut craindre que les éditeurs logiciels, souvent américains, ne se retrouvent contraints à introduire des portes dérobées imposées par l'administration. La bataille du chiffrement n'est donc pas terminée.
