https://www.lemagit.fr/actualites/2240191258/Special-securite-le-blues-de-lidentite-volee
1) Le blues de l’identité volée
La « capitalisation de l’utilisateur » est très exactement ce que
les spéculateurs aventureux de la bulle internet ont manqué par excès de cupidité, et ce que les
organisations mafieuses commencent aujourd’hui à faire fructifier. Une capitalisation qui débute
avec la constitution de fichiers clients, eux-mêmes construits pierre après pierre, nom après
prénom, numéro de carte de crédit après immatriculation de sécurité sociale, dans le cadre
d’immenses campagnes de phishing, scam, escroqueries à l’identité diverses. La semaine écoulée fut
riche en études conduites sur ce sujet. Tour du monde d’une carte d’identité virtuelle :
Tout commence dans le bac à sable des jeux en ligne et des mondes virtuels. Une
superbe étude conduite par McAfee revient sur les épidémies de vols de mot de passe (les troyens PWS ou PassWord
Stealers), qui donnent aux pirates accès aux comptes des joueurs, dans le but de leur dérober des
objets virtuels qui, à leur tour, seront convertis en monnaie virtuelle, puis, quelques temps plus
tard, en argent sonnant et trébuchant. Le marché parallèle des « biens virtuels », l’esclavagisme
de jeunes joueurs chargés de glaner, 15 heures par jour, des trésors totalement numériques, pour le
compte de groupes mafieux, tout çà constitue une sorte d’école du crime trop négligée jusqu’à
présent car associée à son origine ludique.
Le stade suivant, c’est celui de la vraie vie, du monde réel, de l’email émis par
une banque prévenant un client du non versement d’une coquette somme. L’affaire débute donc comme
une sorte de « scam nigérian », nous explique Mikko Hippönen
de F-Secure, mais bifurque rapidement en une attaque virale, dont la « charge utile »
est… un troyen récupérateur de crédences, un autre « password stealer ». Ce qui dérange,
dans ce genre de roman noir, c’est l’absence totale de suspens ou de rebondissement.
Bon, faut tout de même admettre que parfois, les truands ont de la suite dans les
idées. Un correspondant du Sans est tombé sur un phishing d’un genre nouveau. Ou plus exactement
d’un assemblage nouveau utilisant des composants usés jusqu’à la trame. Tout commence avec un email
avertissant son lecteur qu’une suspension de compte le menace. Jusque là, l’affaire est banale à
bailler. Mais, tente de convaincre le courriel en question, d’élémentaires mesures de prudence
interdisent à la banque de résoudre ce problème en ligne... seule une conversation téléphonique est
à même d’éviter les risques d’infection, de PWS, d’attaque XSS et autres redoutables dangers
internetesques. Et l’usager de tomber sur un répondeur de « phoning » automatisé qui,
après quelques phrases de mise en confiance et manipulations DTMF totalement inutiles, demande à la
victime… un numéro de carte de crédit, numéro PIN et autres marques d’identité.
Le même jour, le journal du Sans revenait sur les mille et une méthodes de vol
d’identité employées par les scammers. On y retrouve le phishing VoIP, mais également certaines manœuvres nées d’un
esprit particulièrement retord. Ainsi ce courriel émis par un très
hypothétique service Nigérian de dédommagement des victimes de scam Nigérian
. Ce serait risible si des victimes ne s’y faisaient régulièrement plumer.
Légèrement en marge de cette grande épopée du vol d’identité, cette étude très «
statisticienne », travail de Richard Clayton de l’Université de Cambridge* qui nous explique par le
menu pourquoi certains alias email débutant par A , M ou P ont plus de
chances de se faire spammer que des internautes baptisés Zoé ou Zarathoustra. C’est
là, nous explique le chercheur, le fruit du travail des attaques par dictionnaire et de la
fréquence des noms courants. Le vol d’identité débute parfois par une opération de passage en «
brute force ».
Les spécialistes du marketing le savent bien, les prénoms suivent généralement
des modes. Un Anselme ou une Cunégonde fleurent bon le troisième âge… un terreau fructifiant pour
les ventes de couvertures chauffantes et rocking-chair confortables. Ce qui est nettement moins le
cas des Kevin et des Sue-Helen… Le marché du vêtement bon-chic-bon-genre aurait plutôt tendance à
s’adresser à des Marie-Béatrix et autres Louis-Amédée. Ce profilage sociologique n’est pas encore
une arme utilisée par les spammeurs et voleurs d’identité. Mais il semblerait qu’ils s’en
rapprochent dangereusement.
Nous finirons ce tour du monde du vol d’identité avec une toute nouvelle approche
: le bookmarklet de la mort. Sans le moindre « zeroday », et avec
deux doigts de persuasion –forme antique du Social Engineering-, n’importe qui peut exploiter un «
bookmarklet » à finalité néfaste. Car un bookmarklet n’est rien d’autre qu’un javascript inséré
dans les « signets » stockés par le navigateur. Selon que l’on est optimiste ou pessimiste, l’on
appellera cette caractéristique soit un « puissant outil d’automatisation et générateur
d’appliquettes sympathiques », soit « une dangereuse injection de scripts ». Et il existe notamment
un lien entre les bookmarklet, les navigateurs et le vol d’identité : la capacité desdits
navigateurs de stocker des crédences, identifiant et mot de passe, afin de les restituer
automatiquement lorsque le besoin s’en fait sentir. L’on possède, grâce au bookmarklet, le moyen
d’émettre ces crédences, il ne reste plus qu’à penser la partie amont du piège, celle qui simulera
le serveur nécessitant l’injection de ces identifiants. Certes, ce n’est pas Armageddon. Les
attaques de ce type sont assez complexes, nécessitent un peu d’ingénierie sociale. Mais il y a
matière à réflexion pour que, au moins dès le premier lancement, le navigateur prévienne l’usager
de la présence de ces automates incontrôlables.
NdlC Note de la Correctrice : Il existe en Grande Bretagne trois grandes universités : Cambridge, Oxford et Eaton. La dernière serait le lieu de naissance du terme « snob », contraction de la formule « sine nobilitatis » (sans quartier de noblesse) qui devait émailler les en-têtes des copies des étudiants roturiers. Oxford est mondialement connu pour avoir compté dans ses rangs William Archibald Spooner, professeur de philo et d’histoire antique et père du contrepet d’expression anglaise –Contrepet en Grand Breton se dit spoonerism-. Reste Cambridge, qui connu quelques heures de gloire dans le domaine de la batellerie à rames et dans la production industrielle d’espions soviétiques (Burgess, Maclean, Philby, Blunt, Cairncross…)
2) VMWare, téléchargement de rustines massives
L’application de correctifs sur des machines virtuelles (quelque soit la
marque considérée) est rarement un processus simple et léger. L’équipe de CNIS-Mag souhaite donc
bon courage aux administrateurs d’outils VMWare qui devront appliquer les rustines colmatant des
séries de failles sur
ACE
Player
Server
Et Workstation
Chaque jeu de correctifs concerne plusieurs versions à chaque fois.
3) Qui veut la peau d’IPv6 ?
Johan Denoyer, sur son blog francophone « la vie et les nouvelles technologies
», pousse un véritable « coup de gueule » intitulé « IPv6 or not IPv6 », un billet en forme de questions
qui dit en substance « faudra-t-il attendre les ultimes secondes avant la saturation d’IPv4 avant
que de passer à v6 ? ». Questions bien entendu accompagnées de remarques prouvant, comme si cela
était encore nécessaire, l’utilité de cette évolution. L’on peut remarquer également la réaction
d’un lecteur attentif, François Ropert répond par un « oui mais » nuançant un peu la nécessité
d’une migration rapide.
Indépendamment de toute considération technique, le passage à v6 se heurte avant
tout à un obstacle essentiellement psychologique. V4, c’est l’immatriculation apprise à l’école ou
à l’occasion d’une formation certifiante. V4, c’est un « machin » robuste dont on annonce la mort
imminente depuis plus d’une vingtaine d’années… et qui continue à tenir bon. Et, plus grave encore,
v4 est un mécanisme d’identification de ports qui est parvenu à se frayer un chemin jusque dans les
habitudes d’utilisation du grand public client des fournisseurs d’accès Internet. Or, il est plus
simple de parvenir à convaincre des techniciens d’adopter de nouvelles règles à grand renfort
d’arguments scientifiques que d’expliquer à des millions d’usagers-clients le bien-fondé d’une
modification délicate des paramètres d’un ordinateur. V6 souffre également d’une forme d’élitisme
science-fictionnesque qui n’est pas pour rassurer l’homo-primo-informaticus. Les exemples japonais
de réfrigérateurs ou de téléviseurs communicants v6 imposent la vision d’une intrusion croissante
du silicium dans nos vies privées qui peut éventuellement séduire une clientèle asiatique, mais qui
fait encore frémir les esprits européens, dont la culture romantique garde en mémoire les chimères
de Frankenstein et de Prométhée.
4) Le petit Kaminsky en kit
« Sorry Dave, I’m afraid I can’t do that ». Combien
d’informatisés des années 80 ont émaillé leurs messages d’erreur avec la bande son de 2001… les
charmes d’une informatique futuriste, les balbutiements des premiers logiciels de stupidité
artificielle…. L’heure est aux choses plus sérieuses : les générateurs automatiques de remarques émises par des gourous
sécurité. Le premier expert à faire les frais de ce cadavre exquis sonore n’est autre
que le grand Dan Kaminsky, celui du trou DNS, celui du plus grand « buzz » de l’été. Un
contributeur du HackerWebZine s’est donc amusé à échantillonner une succession d’expressions
proférées par « big Dan » au cours d’une de ses conférences. L’usage desdits morceaux de phrase
peut, à loisir, servir de message sonore remplaçant agréablement les « sound schemes » prédéfinis
des systèmes d’exploitation actuels. L’on peut également imaginer quelques amateurs de sensations
fortes se lancer dans la reconstitution d’un speech alarmiste prévenant la communauté de
l’imminence d’une faille sous I.E. 8.x (banal), d’un écroulement d’IPv4 (rebattu), d’une brèche
dans la gestion des ventilateurs USB (moins fréquent) ou d’un hack mondial des appareils
électroménagers pilotés par ordinateur. Les lecteurs les plus perspicaces y verront également une
nouvelle forme de vol d’identité –car la reconnaissance vocale fait partie des voies exploratoires
de l’identification biométrique-.
Il ne reste plus à espérer que la bibliothèque s’agrandira, avec les voix de
Bruce Schneier, des frères Litchfield, de Cédric Blancher, de Joanna Rutkowska, d’Ivan le Fou, de
Liu Die Yu, d’Hervé Schauer, de Davide Del Vecchio, de Cesare Cerruto… avec un tantinet de
persévérance, l’on pourrait ainsi se fabriquer la plus fantastique et la plus belle des Devcon
Virtuelles.
02 sept. 2008