27/06/2016

Vidéo d'un skimmer intégré

Inutile de regarder le distributeur sous toutes ses coutures, vous ne distinguerez pas ce skimmer !
Un skimmer est un appareil espion, caché dans un distributeur de billets et qui a pour objectif de copier la piste magnétique de votre CB.

11/04/2016

Protection des données personnelles : draft du règlement européen

Le draft en anglais et en français du règlement européen concernant la protection des données personnelles des citoyens est sorti.

Il est disponible sur le site de la CNIL.


Il s'agit de la version du texte du 7 avril 2016 revue par les juristes linguistes. Les textes finaux seront formellement adoptés par le Parlement européen et le Conseil courant avril 2016.

Le document est conséquent, mais rassurant dans le sens où il ne cherche pas à interdire le traitement des données, mais plus de poser les bases de la confiance pour les citoyens, dans la perspective d'une économie numérique forte.

Ce règlement est  la version 2 du texte fondateur 95/46/CE, mais 20 ans après.

2 extraits pour comprendre le sens du texte :

Si elle demeure satisfaisante en ce qui concerne ses objectifs et ses principes, la directive 95/46/CE n'a pas permis d'éviter une fragmentation de la mise en œuvre de la protection des données dans l'Union, une insécurité juridique ou le sentiment, largement répandu dans le public, que des risques importants pour la protection des personnes physiques subsistent, en particulier en ce qui concerne l'environnement en ligne.

Les technologies ont transformé à la fois l'économie et les rapports sociaux, et elles devraient encore faciliter le libre flux des données à caractère personnel au sein de l'Union et leur transfert vers des pays tiers et à des organisations internationales, tout en assurant un niveau élevé de protection des données à caractère personnel.

21/12/2015

Deadline SSL pour PCI DSS

La fameuse deadline au 30 juin 2016 qui a fait couler de l'encre ensanglantée dans les emails des QSA est finalement repoussée au 30 juin 2018.

Le PCI SSC a cédé face à la réalité ! Nous revenons enfin vers un peu de pragmatisme.





18/11/2015

Eviter l'échec d'un projet PCI DSS

Lorsque je présente les contraintes PCI DSS, je constate souvent réside que le client ne lit pas le standard et base ses actions sur des informations erronées.

Ces ont-dit sont diffusés par les vendeurs de logiciel/boitiers, admins, blogs, consultants, détracteurs du standard et même parfois par des QSAs qui imposent plus que le standard n'impose !

Je recommande au client de toujours se reporter au texte original pour discuter avec son QSA et ses collaborateurs sur des bases solides. La lecture détaillée du texte est l'un des moyens pour éviter l'échec d'un projet PCI DSS.

Je propose ici un petit exercice de lecture concernant le fameux patch-management :

Texte extrait du document PCI DSS 3.1 publié par le PCI SSC (Avril 2015) : Exigences 6.1 et 6.2

Applicable critical vendor-supplied security patches are installed within one month of release.

All applicable vendor-supplied security patches are installed within an appropriate time frame (for example, within three months).

Prioritizing patches for critical infrastructure ensures that high-priority systems and devices are protected from vulnerabilities as soon as possible after a patch is released. 

Note: Critical security patches should be identified according to the risk ranking process defined in Requirement 6.1.  Methods for evaluating vulnerabilities and assigning risk ratings will vary based on an organization’s environment and risk assessment strategy. 

Plusieurs mots me semblent très importants :

  • applicable : il s'agit donc des patchs pour des composants installés sur le système du CDE.
  • security patches : il s'agit des patchs de sécurité, ceux qui corrigent une faille, et non de tous les patchs et mises à jour diverses.
  • appropriate time frame : le client peut donc ici définir la période qui lui semble appropriée pour installer le patch.
  • as soon as possible after a patch is released : ASAP ne veut pas dire immédiatement.
  • for example : un exemple reste un exemple.
  • will vary based on an organization : la méthode de ré-évaluation de la criticité d'un patch varie donc entre les entreprises.

J'espère que cet exercice donnera l'envie d'adopter le reflex de lecture du standard.

12/11/2015

Fin du Safe Harbor ?

Qu'est-ce que le Safe Harbor ?

Le 6 octobre dernier, la Cour de justice européenne (CJUE) a invalidé l’accord « Safe Harbor » créé en 2002. Plus précisément, le G29 (pour groupe de l'article 29) donne une deadline du 31 janvier 2016 pour trouver une solution, sans quoi des mesures seront prises ! (le dernier exemple que j’ai en mémoire, une amende de 150.000€ à Google, ils ont dû tousser du côté de l’infinite loop).

Cet accord « Safe Harbor » permettait d’élargir la directive 95/46/CE de 1995 interdisant le transfert de données personnelles de citoyens européens en dehors de la zone Europe (la version européenne de la loi informatique et Liberté de 1978 : finalités du traitement explicites et légitimes, droit de rectification/suppression).


Le principe de cet élargissement était qu'une entreprise américaine pouvait réaliser des traitements de données personnelles de citoyens européens dans la mesure où elle offrait des garanties de sécurité au moins équivalentes à celles prises en Europe. On parle ici des Google, Facebook, Dropbox et autres SalesForce, Microsoft 365, etc.


Le principe était donc une sorte de bulle de confiance en dehors du sol européen : la fameuse "safe harbor". 


Pourquoi faire sauter cette directive ?

Tout a commencé en 2011 quand un jeune activiste Autrichien, Maximilian Schrems, a demandé Facebook de lui rendre ses données personnelles.
Maximilian Schrems


Depuis les révélations de Edward Snowden sur surveillance de la NSA au sein des entreprises américaines, ces précautions ne sont plus considérées comme suffisantes.

Edward Snowden

Fun facts !

Pour obtenir une certification Safe Harbor, une entreprise américaine peut s'auto-auditer.

On peut voir partout référence aux termes « garanties de sécurité appropriées » , « mesures de sécurité appropriées », sans que personne ne se mouille en rédigeant un standard concret, comme peut l’être le PCI DSS. FaceBook a d’ailleurs demandé à l’Europe d’être explicite sur les mesures souhaitées.

Conséquences de cette décision ?

Les conséquences sont très floues pour le moment. Voici quelques points:

Chaque pays doit dorénavant négocier avec les États-Unis en direct, sans de protéger derrière le safe harbor : en France, la CNIL reprend la main.

La CNIL indique dans un communiqué du 16 octobre 2015 que les applications américaines peuvent encore être utilisées les citoyens et les entreprises européenes jusqu'à la deadline.

Le simple fait d'utiliser un datacenter en Europe ne suffit pas à une entreprise américaine à respecter les exigences européennes (puisque les données peuvent être consultées (ou transférées) depuis les USA.

Dans le cadre d'une relation B2B (ex: SalesForce), l'entreprise européenne et l'entreprise américaine peuvent signer un accord appelé Binding Corporate Rules sur l'utilisation des données, ce qui constitue une alternative au Safe Harbor.

Dans le cadre d'une relation B2C (ex: Facebook), il n'y a pas de solutions pour le moment. Mais il fort à parier que cela se solde avec une énième mise à jour des conditions d'utilisation de Facebook.

Cette décision m'apparaît comme un excès de zèle européen face à la domination des entreprises américaines. Même si le fond du sujet est tout à fait juste, l’Europe et les lois en générales sont complètement dépassées face aux échanges sur Internet, aux surveillances des états et aux pirates. 


14/10/2015

Une clé USB peut détruire un ordinateur !

Un hacker russe, nommé Dark Purple, a démontré qu'une clé USB pouvait littéralement cramer la carte mère d'un ordinateur en quelques secondes.
Cette clé (USB Killer version 2.0) va générer une surtension de 220 Volts sur la carte, qui ne peut pas résister. 
A priori, le disque dur n'est pas détruit (ouf !).
La démo en vidéo :

13/10/2015

Data privacy en Europe ? Une introduction

Le sujet de la protection des données personnelles dépasse les frontières françaises (frontières essentiellement tenues par la CNIL).

La commission européenne se place évidement du côté du citoyen :  organisations which collect and manage your personal information must protect it from misuse and must respect certain rights of the data owners which are guaranteed by EU law

La commission publie également une étude montrant l'interêt porté par les citoyens sur le contrôle qu'ils peuvent avoir sur leurs données personnelles conservées par des tiers : une majorité écrasante se sent totalement impuissante face à la collecte de ses données sur Internet.

Pour expliquer l'enjeu,  la commission publie cette vidéo :



Le sujet est important. Tout le monde se pose des questions, des mythes circulent, les RSSI ont peur de mal faire, mais aucun standard clair n'est publié.

Beaucoup de questions sont selon moi en suspens :

Les marchands e-commerce et surtout les agrégateurs de données personnelles (notamment les fournisseurs de Display Advertising, les plateformes de RTB) peuvent-ils conserver les IP, les emails, les noms ? 

Si oui, quelles sont les protections attendues ?

Quels sont les moyens coercitifs ?

Quid des cookies ?

Quid des identifieurs de navigateurs ? (Google Ad ID pour Chrome)

Quid des identifieurs stables ? (authentification SSO Google, FaceBook....)

Quid des identifieurs statistiques ? (IPv4 + browser) ?

L'arrivée de IPv6 ne permettrait-elle pas de pister encore mieux les personnes par leur adresse IP statique ?




07/10/2015

Tests d'Intrusion Redteam : l'équipe XMCO en force dans le MISC hors-serie


Ce n'est pas un, ni deux, mais bien trois articles - signés par des membres de l'équipe d'intrusion XMCO - que vous pouvez lire dans le MISC Hors-Série n°12 spécial "Tests d'intrusion Redteam".


L'ensemble de ce super hors-série est publié sous la main de Renaud Feil de SynackTiv.

Un must read !


ps : Oui, j'avoue, j'ai écrit un article ;-)

18/08/2015

Les hackers s'attaquent aux voitures (Uconnect vulnerability)

Le groupe Fiat Chrysler Automobiles (FCA) déclare que son ordinateur de bord Uconnect souffre d'une vulnérabilité.


Cette vulnérabilité permettait à un pirate de prendre le contrôle du véhicule à distance !

L'attaque nécessite un accès 3G au réseau mobile de l'opérateur Sprint (réseau utilisé par l'ordinateur de bord pour communiquer avec le central Fiat Chrysler). L'opérateur a immédiatement bloqué l'utilisation du port TCP/IP incriminé.

Fiat Chrysler a déjà lancé un rappel de certaines de ses voitures :

  • Pickup RAM
  • Dodge Viper
  • Jeep Cherokee
  • Chrysler 300s
  • Dodge Charger


Nous entrons cette année dans une nouvelle ère, où les véhicules seront la cible des piratages, cela fait froid dans le dos.

17/06/2015

DRIDEX : la cyber-attaque qui mitraille l'Internet

Depuis plusieurs semaines, le monde entier essuie une gigantesque attaque de phishing.

Le phishing consiste à envoyer des emails avec des pièces jointes contenant un virus ou une backdoor.

Les attaquants s'améliorent et savent maintenant rédiger des emails dans toutes les langues et avec des accroches plutôt crédibles.



Il ne s'agit pas ici de "spear-phishing", car les emails ne sont pas ciblés contre ma personne et restent génériques.

Voici le dernier que j'ai reçu ce matin (j'ai reçois 3 ou 5 par jour !) :

Une facture d'un soi-disant fournisseur de backup
Notez que les pirates utilisent des centaines de modèle de mail différents. A chaque fois, le commun dénominateur est un fichier Word à ouvrir avec une facture, une remise, bref, un truc qui attire l'attention ou l'étonnement.

Le scénario est suffisamment plausible pour que les victimes ouvrent la pièce jointe (la fameuse facture au format Word).

Mais pourquoi l'antivirus ne détecte pas ce virus ? J'ai passé le Word dans VirusTotal et aucun résultat ! En fait, le Word ne contient pas de virus ! Il contient un document avec une macro Visual-Basic. Les attaquants reviennent aux basics ! Cette macro joue le rôle de "downloader" et va télécharger la vraie charge utile : un malware nommé DRIDEX.

Ce malware est relativement discret, il ne s'agit pas d'un ransomware, il s'agit d'un banker.

Son but : capter vos mots de passe bancaires et numéros de carte de crédit, et envoyer le tout sur des serveurs en Russie.

Nous sommes ici face à un véritable mitraillage de l'Internet, des millions d'utilisateurs sont déjà infectés.

Dridex est une évolution du malware Cridex et du botnet Zeus.

Un bon nettoyage de carte-mère s'impose ;-)




La cyber-surveillance XMCO : l'AWACS de la cyber-guerre

Une fois n'est pas coutume, je vous présente un service de ma société. Je ne parle jamais de nos offres ici, mais ce service est tellement utile aux entreprises qui souhaitent se protéger des cyber-attaques que je me suis dit qu'il fallait en parler.

La cyber-surveillance est l'AWACS de la cyber-guerre

Ce service est sans équivalent, il est donc difficile de le comparer à d'autres offres pour le décrire. Les termes cyber-surveillance ou threat intelligence sont tellement génériques, qu'ils ne suffisent pas.

Il faut dire que je suis agacé de voir des grandes entreprises proposer des services de centralisation de logs en appelant cela de la "cyber-surveillance". Ces sociétés collectent des téra-octets de vos logs et le font analyser par des ingénieurs débutants, qui ne maîtrisent pas votre contexte et qui ne font que vous faire statistiques d'attaque sous couvert de la sacro-sainte "corrélation des logs" ! 

Je vous parle ici d'un service réellement utile pour anticiper les attaques et réagir avant que le mal ne soit fait : il s'agit du service de Cyber-Surveillance XMCO.

Ce n'est pas un service comme Cybelangel qui se focalise sur les bruits de couloir du DarkWeb ou un service de type CERT qui fournit les bulletins de patch de sécurité. Ce service est une surveillance permanente de votre exposition sur Internet, à la manière d'un pirate qui attendrait l'ouverture d'une brèche ou d'une fuite d'information pour commencer son attaque.

Nous avons mélangé des techniques de tests d'intrusion en phase de "information gathering", d'audit redteam, de scans et de surveillance de fuite d'informations.

- Par exemple, la cyber-surveillance détectera si la Direction Communication a mis en ligne (sur un hébergeur type OVH) un nouveau site web (disons avec un WordPress vulnérable) fait par une web agency, sans que cela n'ait été validé par la sécurité...

- Le service détectera si votre prestataire de développement publie - par maladresse - du code source sur des sites de partages ou encore l'apparition d'une interface back-office qui se retrouve par erreur sur Internet, avec un mot de passe par défaut.

- Le service vous alertera également si des pirates se vantent sur des forums spécialisés d'avoir trouvé une faille sur l'un de vos sites.

Nous avons plus de 50 axes de surveillance divers, que je ne peux citer, il s'agit de véritables secrets de fabrication ;-)

Le service de Cyber-Surveillance XMCO est issu de plusieurs années de développement et de plus de temps d'expérience en intrusion. Le logiciel remonte les alertes, mais celles-ci sont ensuite analysées par un cyber-analyste qui éclaire le problème remonté dans votre contexte et dans le paysage cyber-sécurité du moment.

Le cocktail parfait entre un logiciel qui travaille non-stop et un expert sécurité.
Ce service est tellement pertinent que la phrase que j'entends le plus actuellement c'est "mais comment on faisait avant ?" ou encore "mais pourquoi ces choses n'ont jamais été détectées par les différents audits que l'on a faits ?". La réponse est simple : le service de cyber-surveillance XMCO travaille sur un spectre plus large qu'un périmètre d'audit, il travaille comme les pirates.

Bref, venez le tester, nous en sommes très fiers !

16/04/2015

Thalès piraté

Lorsque l'on clame être le grand acteur européen en cybersécurité, on commence par sécuriser son propre système.

Le Canard révèle que Thalès a été piraté. 

Tout comme avec TV5 Monde avec son "firewall quasi neuf" et la "puissance d'attaque inouïe", Thalès - un peu honteux - ne peut que déclarer "Cela a tapé très dur ".

Nous sommes est en plein dans le "we are secure, we have a firewall".

Il faut arrêter là : une attaque informatique ne tape pas "dur". Stoppons les analogies douteuses avec les guerres sur le terrain et les bombardiers de 39-45.

Une attaque informatique, c'est fin.  Les pirates exploitent les failles des serveurs, mais aussi le manque de discernement des employées lorsqu'ils ouvrent des pièces jointes (spear phishing).

Pour justifier une telle incompétence de la part de Thalès, on ne peut que se résigner à qualifier l'attaque de "surpuissante" pour tenter de justifier qu'ils n'ont pas su protéger leur infrastructure.

Le pire, c'est que cela n'empêchera pas beaucoup d'entreprises et d'administrations françaises de confier leur sécurité à Thalès, on reste toujours dans la famille.


http://tempsreel.nouvelobs.com/en-direct/a-chaud/458-piratage.html

http://www.silicon.fr/thales-specialiste-cybersecurite-pirate-113964.html



10/04/2015

La cyber attaque de TV5 Monde

Avec la cyber-attaque de TV5 Monde, nous avons pu assister à une avalanche de déclarations usant des superlatifs pour qualifer l'attaque subie:


"Agression fulgurante, qui a probablement été très bien préparée"
"L’attaque est spectaculaire et bien coordonnée"
 "Puissance inouïe"

On a l'impression en lisant cela qu'il s'agit d'un bombardement menée par une armée. Alors qu'en réalité, il s'agit d'une poignée d'étudiants apprentis hackers avec des ordinateurs portables dans un cyber-café.  

On nous fait croire que les attaques sont menées avec des moyens techniques impressionnants, alors qu'en fait, ce sont des amateurs.

Tous ces firewalls et ces investissements sont totalement inutiles face à quelques mecs qui reflechissent. 

On a tellement honte qu'on préfère dire que l'attaque était surpuissante, que nos super-protections n'ont pas tenues ! C'est ridicule.

Les pirates ont certainement récupéré les comptes Twitter avec une backdoor envoyée par email. De source sûre, ils avaient piraté 15 jours avant un serveur web très vulnérable. Ce n'est pas que l'attaque a été bien préparée, c'est que TV5 Monde a négligé une première attaque : la première percée qui a permis aux pirates de préparer leur attaque principale. TV5 Monde était au courant, l'ANSSI aussi. Rien n'a été fait.

C'est une belle démonstration de la vision française de la sécurité informatique : négligence et archaïsme.

Dans les 3/4 des cas, la direction d'une entreprise voit la sécurité selon les 3 biais suivants:

- Nous n'interressons pas les pirates, nous ne sommes pas une banque !
- Ils ne nous ai jamais rien arrivé, pourquoi s'inquieter ?
- Nous sommes très sécurisés, les gens du réseau nous ont installé un firewall très cher !

 

Dans le cas TV5 Monde, c'est malheureusement le dernier biais. TV5 Monde a déclaré qu'ils avaient un firewall dernier cri, très bien configuré. 

La déclaration exacte :
"TV5 Monde dispose d’un  firewall  quasi neuf. Notre système de sécurité est plutôt situé dans la moyenne haute de ce qui peut se faire"

Ils se sentaient en sécurité, ils faisaient confiance à leur firewall. C'est ici que je souffle : ils pensent encore, en 2015, que la sécurité de leurs systèmes d'information est assurée par un boitier firewall et des logiciels antivirus.


Cette vision archaique de la sécurité m'agace au plus haut point: on pense qu'il s'agit d'une guerre de tranchée, d'une guerre de positions où il faut construire des murailles pour se protéger, alors qu'en face, il y a des petits groupes de pirates avec peu de moyens et très malins. Les pirates exploitent des failles simples, ils passent par derrière, ils s'attaquent au maillon le plus faible. N'a-t-on rien retenu de la ligne Maginot ?


C'est la même erreur que la guerre en Afghanistan. Des bombardiers contre des mecs qui se cachent dans des montagnes.  

La cyber-guerre est une guerre asymétrique. Il faut penser autrement qu'un général de la guerre 14-18 pour la gagner. 

Comment penser justement ? C'est simple, le précepte de Sun Tzu : "Know your enemy". Il faut comprendre les méthodes des pirates, penser comme un hacker. Rien ne sert de créer des structures par des reconvertis de l'armement français, d'embaucher des centaines d'ingénieurs et de les installer derrière des écrans de contrôle, si ce n'est pour faire des belles photos marketing.

09/04/2015

Neil Moore s'évade de la prison de Wandsworth (Londres) avec un email

Le prisonnier Neil Moore a été écroué pour avoir commis des fraudes avec des techniques de social engineering. 

Un arnaqueur professionnel. 

Et, c'est justement avec ces mêmes compétences, que Neil Moore s'est évadé de prison.

Avec un smartphone caché dans sa cellule, il a créé un faux site de l'administration judiciaire avec un nom de domaine proche (typosquatting) et a simplement envoyé un mail à la prison pour déclarer qu'il était libéré.

Il a usurpé l'identité du policier qui l'avait arrêté ! Un scénario digne de Kevin Mitnick.

http://www.scmagazineuk.com/prison-escape-via-mobile-phone-highlights-social-engineering-vulnerability/article/406063/

Cela rappelle l'évasion en Corse en 2001 où les complices du prisonnier avait fait libérer leur ami en envoyant un simple fax à la prison ! (en usurpant le numéro de téléphone SDA du cabinet du juge).

08/04/2015

No SSL ?

Erratum, mon article était précipité.

Si vous avez constaté des alertes de votre navigateur vous indiquant que le certificat SSL Banque Populaire CyberPlus était auto-signé, c'est que certainement, comme moi, vous utilisez Mac OS X et que Apple est parfois en retard pour intégrer les nouvelles autorités de certification.

Notez également que certains antivirus se positionnent en proxy entre votre navigateur et le site visité, afin de détecter les éventuels malwares ; mais cela peut générer des alertes similaires.