Sécurité des réseaux et des SI - Orange Business Services

Continuons le jeu

Les données sont devenues la cible de toutes les convoitises. L'une des grandes tendances de ces dernières années porte sur le "glissement" de la sécurité depuis les couches bases (réseau/OS) vers les couches applicatives (développements en PHP, Java, ...).

Sécuriser ses applications web contre les attaques est un réel challenge pour de très nombreuses entreprises. On pourrait dire que ce problème commence uniquement à montrer le bout de son nez et encore. Une écrasante majorité des directions métiers en charge du développement des applications ne sont même pas conscientes de la signification de base d'expression comme "SQL Injection", "Cross-Site Scripting" ou encore "Cross-Site Requests Forgeries". Les plus pessimistes diront que ça sent le sapin : Quelque part ils ont raison car tôt ou tard ca pétera au nez de quelqu'un : les plus habiles sauront s'écarter au bon moment. :-)

Au même titre que des firewalls permettent de contrôler les flux réseaux et de bloquer les flux non-autorisés ; les serveurs de base de données peuvent être protégés contre des requêtes malicieuses visant à voler leurs précieuses données. Bienvenue dans le monde des "database firewall" ou "firewall applicatifs pour bases de données".

Pour des moteurs de base de données commerciaux comme Microsoft SQL Server ou Oracle, il existe sur le marché des logiciels comme ceux proposés par Imperva et Guardium (pour n'en citer que quelques-uns).

Si au contraire votre choix s'est porté sur des moteurs OpenSource comme MySQL ou PostgreSQL, hormis des solutions "intrusives" nécessitant une mise à jour du code applicatif, c'était un peu la traversée du désert sans gourde ni chameau... Mais depuis environ un an, les choses ont changé : La solution GreenSQL compatible avec MySQL (avec PostgreSQL dans la roadmap) semble particulièrement intéressante comme solution de "database firewall"

   J'avais laissé la porte ouverte à cette idée dans mon précédent article Réseaux sociaux : mieux connaitre son ennemi. Et bien nous y sommes!
   Nous avons parlé jusqu'ici de l'incursion faite de l'univers professionnel dans l'univers personnel au sein des réseaux sociaux (l'utilisateur renseigne son profil "personnel" avec des données professionnelles). Or une nouvelle vague commence à apparaitre : utiliser les réseaux sociaux comme outil de communication au sein de l'entreprise.

Comme nous l'avons vu précédemment il existe différents types d'attaques de deni de service. Nous rappellerons  que le but du jeu est de mettre la cible hors ligne. Commençons le jeu.

   L'élaboration d'une bonne protection passe par la connaissance de son environnement et des menaces auxquelles nous sommes exposés, aussi je vous propose de nous intéresser un instant à quelques-unes des façons dont les pirates utilisent les réseaux sociaux pour accéder aux systèmes des victimes.

C'est mathématique (et systématique), lorsque plusieurs personnes sont ensembles, il y a toujours conflit, c'est dans la nature humaine. Celui-ci peut prendre différente forme : insulte, bagarre, départ,...et être causé par n'importe quoi. En restant dans le monde physique, cela peut être de crever les pneus, mettre du sucre dans le réservoir, et que sais je encore.. Ces exemples sont des formes de DOT (Deni de transport).

   Comme le relayait Jean François au début du mois, des listes contenant plus de 30 000 login/password utilisés pour accéder aux mails de Yahoo and AOL... ont été rendues publiques.
   Bogdan Calin a réalisé des statistiques sur environ 10 000 comptes Hotmail et ses résultats laissent songeur :

• 42% des mots de passe ne contient que des lettres minuscules,
• 19% des mots de passe ne contient que des chiffres...

   Partant de ce constat, peut on dire que les utilisateurs attachent moins d'importance au service de messagerie en ligne qu'aux autres services auxquels ils ont accès? Les autres comptes dont ils disposent sont-ils pourvus de mots de passe plus robustes?

Le marché noir du crime informatique fait dans le "low-cost" : Comme indiqué dans l'article de CSOOnline.com intitulé "With Botnets Everywhere, DDoS Attacks Get Cheaper", les prix de location d'un réseau de machines zombies est en chute libre.

Selon des informations collectées depuis des forums et sites privés, les prix de location d'un botnet auraient subis une baisse de prix assez conséquente : De quelques centaines de dollars pour une journée d'utilisation, il serait désormais possible de louer un botnet pour 100$ ou même entre 30$ et 40$ USD.

Plusieurs raisons sont évoquées pour expliquer ce phénomène

Les attaques visant les clients d'Orange sont légion : Les attaques sont quasi quotidiennes et se renouvèlent sans cesse. Si je reprends ma plume sur le sujet c'est que j'ai pu constater que celles-ci s'améliorent sans cesse : Nous sommes passés de messages à l'orthographe ou à la grammaire très approximative à des attaques de qualité pleinement professionnelles.

C'est le cas de l'attaque qui a été portée à mon attention ce Lundi 19 Octobre 2009.

Comme d'habitude, tout commence par un mail qui arrive dans la boite de réception d'une personne possédant une adresse email en @orange.fr.

Le mail de phishing est assez classique. Il reste simple et clair. Il n'est pas truffé de fautes d'orthographes ni d'erreurs typographiques : A la lecture d'un tel message, il y a fort à parier que nombre de personnes vont faire le pas et cliquer sur le client indiqué. Bien évidemment, le lien donné est un leurre : On ne retrouve pas sur un site dont l'url commence par  http://verification.orange.fr/... mais quelque chose de bien différent. dans le cas présent on arrive sur un site hébergé derrière un nom de domaine qui n'a rien à voir hormis qu'il se termine en ".fr".

Comme c'est très souvent le cas pour les attaques de phishing, l'attaque de phishing visant les clients ayant des adresses en @dial.oleane.com a subit quelques évolutions depuis mon article du vendredi 15 octobre.

Clairement, on peut voir que la présentation des messages envoyés dans les boites aux lettres s'est grandement améliorée : D'un simple message en texte brut contenant un lien ; les messages envoyés sont désormais visuellement "aguichants" avec un cadre en couleurs et un texte lui aussi mis en forme. Le contenu ne changeant pas : Sous le prétexte d'une hypothétique mise à jour de paramètres de messagerie, l'attaquant incite sa cible a cliquer sur un lien afin de télécharger une mise à jour de ses paramètres.

Contrairement à Vendredi, j'ai été en mesure d'approfondir l'analyse : Le site indiqué dans le message était toujours fonctionnel. J'ai donc cliqué sur le lien proposé... et là, petite surprise. Je m'attendais à trouver un quelconque formulaire mais non, il s'agissait d'un autre classique dans son genre.

Le but ultime d'une attaque DOS est d'interrompre l'activité légitime, comme de naviguer sur le web, utiliser une application, ou être en communication avec un de vos clients. Elle est en cela très différente d'une attaque « classique » préférant casser le système pour voler des données. Mais elle peut par contre cacher le mobile de l'attaque.

Vous êtes plutôt fier de votre site web, bien que vous ne fassiez pas d'e-commerce, il aide à faire connaitre votre entreprise au mode extérieur. D'un seul coup, les leds des disques durs commencent à s'affoler, rien de bien grave pensez vous. Vous essayez d'atteindre Internet... Rien, et c'est un peu dommage, vous aviez mis certaines de vos applications métiers en mode cloud.

Je viens d'être informé d'une attaque de phishing ciblant les clients Orange Business Services utilisant des adresses emails en @dial.oleane.com

Au regard des informations collectées, celle-ci est assez classique et ne représente pas un risque trop important :
- Les mails sont identifiés comme SPAM et taggés comme tels.
- Le texte du message est rédigé en anglais.
- L'hameçon est assez gros : Sous le prétexte d'une mise à jour d'un paramètre sur la messagerie on invite l'utilisateur à confirmer la prise en compte des réglages...
- Pas d'images, de logo ou de mise en forme spécifique. On reste sur sur texte brut.
- Pas de référence à une quelconque adresse adresse email connue ni point de contact.
- Le site de phishing a été désactivé, il est d'ailleurs automatiquement bloqué via le filtrage Google SafeBrowing intégré à FireFox. Cf mon précédent bulletin pour ceux qui voudrait en savoir plus sur le sujet "Filtre anti-phishing des navigateurs".

Un petit screenshot d'un des mails de phishing

Important
- Nous ne communiquons jamais de cette façon : Si il advenait qu'une action d'un utlisateur soit nécessaire, cette information serait uniquement adressée à l'administrateur du compte via son espace web d'administration. En cas de doute, contactez votre service client.

Quelques recommandations
- Si vous avez reçu ce type de message : Détruisez-le.
- Si vous êtes tombé dans le panneau : Contactez votre service client et faites changer le mot de passe associé à votre compte. On se fait avoir une fois mais très rarement deux !

Pour une analyse un peu plus complète sur les techniques utilisées dans les attaques de phishing et des recommandations plus détaillées sur comment détecter ce type d'attaque, je vous invite à consulter un autre de mes précédents bulletins .

Les cybercriminels utilisent l'ingénierie sociale afin d'inciter les utilisateurs à communiquer des informations personnelles (phishing) ou à installer sur leurs machines différents logiciels malicieux (espions, robots à spam, ...). A chaque fois, le navigateur Internet est le principal "ingrédient" : Il sert à établir la connexion avec le site de phishing ou à télécharger le logiciel qui va compromettre la machine de l'utilisateur.

Update, Vendredi 16/10/2009, 13h48:
Suite à ce commentaire, je viens d'effectuer quelques recherches. Effectivement, ce rapport a été commandité par Microsoft. Pour plus de détails, je vous invite à consulter cet article ArsTechnica, Microsoft-sponsored reports find IE8 most secure browser (Updated), October 13, 2009
Il convient donc d'en pondérer les résultats, même si il est indiqué que celui-ci a été demandé l'ingénierie de Microsoft et non pas la division du Marketing (cf l'update en base de page). On veux bien y croire un peu...mais pas trop quand même.

Les laboratoires "NSS Labs" ont récemment publiés deux comparatifs sur le niveau de protection des navigateurs Internet concernant la protection contre le phishing et la celle contre les malwares.
Les deux rapports sont disponibles en téléchargement depuis le site de NSS Labs :
NSS Labs, Socially Engineered Malware Report, Q3 2009
NSS Labs, Phishing Test Report, Q3 2009

A chaque fois, le navigateur Microsoft Internet Explorer 8 est sorti 1er avec en challenger direct Mozilla Firefox.

Sur la protection contre le phishing, l'écart entre IE 8 et FireFox est minime (3%) on peut donc dire que le niveau de protection est équivalent.



Par contre pour la protection contre le téléchargement de logiciels infectieux, IE est clairement au dessus (81% de protection) alors que Firefox est loin derrière avec un 27%.... Opera et Chrome ayant des scores frisant le fond avec respectivement 1% et 7% de protection : Pas de quoi claironner !

Après le contrôle technique automobile, voici venir le contrôle de conformité CNIL des systèmes d'information des entreprises. Lors des dernières Assises de la Sécurité, Alex Türk (Président de la Commission nationale de l'informatique et des libertés) a évoqué son projet de labellisation des systèmes d'information. L'idée est assez simple : Le système d'information de l'entreprise serait audité par la CNIL en regard des principes de traitement des données personnelles : proportionnalité, protection, droit de consultation et de rectification... 

La taille n'est pas le plus important. Sans faire dans le sous-entendu, c'est visiblement le cas concernant ces réseaux de machines compromises (botnet) utilisés pour inonder les messageries de publicité pour des médicaments, des jeux de casino, etc...

Les chiffres du dernier rapport de Symantec MessageLabs (PDF) ont de quoi donner le vertige à certains. Selon MessageLabs, 87.9% du spam sur Internet est généré via ces machines zombies, pour un total d'environ 151 milliards (!) de spam émis quotidiennement.

Le plus important de ces réseaux de machines s'appelle "Rustock" : Il regrouperait entre 1,3 millions et 1,9 millions de machines. Mais ce n'est pas lui qui génère le plus de spam : Il ne "contribue" que pour environ 10% des spam émis quotidiennement.

Dans le peloton de tête on peut trouver les botnets "Grum" (23,2% du spam quotidien) et "Bobax" (15,7% du spam quotidien). Dans ce classement, Rustock arrive en 4ième position avec "Cutwall" devant (11,1% du spam quotidien).

On peut constater que les botnets émettant quotidiennement le plus de spam ne sont pas ceux ayant le plus de machines : Le botnet "Grum", 1er du classement, ne regrouperait que 580.000 et 840.000 machines alors "Rustock" (4ième) en regroupe près de 2 fois plus (entre 1.300.000 et 1.900.000 machines).

La différence tiens dans le nombre de spams émis par bot : Une machine appartenant au botnet "Grum" envoie environ 311 spams par minute alors que "Rustock" n'envoie "que" 118 spams sur la même période. Mais celui qui fait fort, c'est "Bobax" : 1402 spams envoyés par minutes et par machine ! Par jour, c'est près de 27 milliards de spams qui sont émis par "Bobax"...

Pour remettre ces chiffres dans un contexte plus proche, considérons le réseau local d'une PME classique pour lequel une seule machine a été compromise et fait donc partie de l'un de ces botnets.
Cette machine pourrait émettre entre 130.000 et 2 millions de spams dans une seule journée. Clairement de quoi se faire appeler par la cellule Abuse de votre fournisseur d'accès.

Soudain, votre serveur web devient indisponible. Lorsque vous y regardez de plus près, vous vous apercevez que vous recevez des tonnes et des tonnes de paquets, un véritable déluge. Vous avez gagné, vous êtes la Nième victime d'une attaque en déni de service, La menace Internet du moment. Que faire à part prier ? Il existe heureusement des solutions pour prévenir ce type d'attaque (renforcer ses serveurs, son réseau), ou réactive (technique du trou noir, ou du « clean pipe »).

C'est enfoncer une porte ouverte que de dire que la société est de plus en plus dépendante d'Internet. C'est le lien qui relie les entreprises à leurs clients ou fournisseurs, ou bien à leurs applications de travail s'ils utilisent le mode cloud. (Remarquez que je n'ai pas écrit la mode cloud !)

Protéger ses communications en les chiffrant, ou protéger son infrastructure des virus ne suffit plus. L'attaque DOS peut être très dévastatrice, et peut mettre une entreprise hors course, simplement pour cause de concurrence ou bien pour avoir une rançon. Il y a de cela bien longtemps une attaque DOS se limitait à un duel de bande passante entre l'attaquant et l'attaqué.

Depuis les attaques se sont sophistiquées, et ce n'est plus un duel machine contre machine, mais machine contre 10 000 ou plus machines (on appelle cela le DDOS Distributed DOS).
Les machines attaquantes peuvent être n'importe quelles machines ayant une connexion à Internet, pourquoi pas la vôtre ! Peut être que votre machine fait partie d'un de ces botnets regroupant des milliers de machines, et loués ou sous loués au plus offrant.

Comme d'habitude, il est très tentant de blâmer l'utilisateur qui n'a pas mis à jour son anti-virus ou patché sa machine. Réellement ? Pas si sûr, les malwares devenant au fil des temps de plus en plus sophistiqués, ils savent assez facilement passer les différentes barrières de sécurité.
A titre d'exemple, il est assez simple de bloquer l'exécution des scripts sur le browser, mais malheureusement, vous ne pouvez plus naviguer correctement sur la plupart des sites.
Les malwares jadis faciles à détecter, deviennent de plus en plus indétectables et savent rester sous le radar.

Depuis la généralisation (grosso-modo) des fonctions de mise à jour intégrées au niveau des systèmes d'exploitation (cf le fameux Windows Update) et de ceux intégrés aux navigateurs Internet, les failles de sécurité concernant les extensions des navigateurs Internet sont devenues des cibles de choix pour les hackers de tout poil.

Les extensions Adobe reader/acrobat qui permettent de lire les fichiers PDF sont ; avec Adobe Flash ou Winzip ; parmi les plus ciblées car sont quasiment systématiquement installées et très rarement mises à jour.

La faille qui vient de tomber (Secunia, SA36983, Adobe Reader/Acrobat Arbitrary Code Execution Vulnerability, October 9, 2009 - Qualifiée de "Extremely Critical") est particulièrement dangeureuse : Sur un système non protégé, il suffit d'ouvrir un document PDF malicieux ou d'accéder à une page Internet intégrant un tel fichier pour que du code malicieux soit exécuté.... Et il n'y a pour le moment aucun correctif officiel... du moins jusqu'au 13 octobre selon Adobe.

Particulièrement dangereux quand on sait que pour la majorité des personnes, les fichiers PDF sont "sécurisé", c'est à dire ne pouvant véhiculer de codes malicieux. Il y a donc danger imminent si vous recevez un mail d'un inconnu pour incitant à ouvrir le fichier PDF en attachement... Ce que malheureusement ne manquerons pas de faire un (trop) grand nombre de personnes....qui verront leur PC rejoindre l'un nombreux botnets actifs sur Internet.

Une fois n'étant pas coutume, un petit screenshot de l'échange que j'ai pu avoir en interne sur le sujet. C'est plutot "brut de fonderie" mais résume bien la situation. J'ai "flouté" le nom de mon interlocuteur afin de protéger la vierge et l'innocent. Ce dernier se reconnaitra. :-)

Si vous avez un compte webmail sur Gmail, Yahoo! ou Hotmail, il est urgent de changer votre mot de passe.

En effet, plusieurs dizaines de milliers de comptes auraient été compromis : Tout a commencé par la publication d'une liste de près de 10.000 comptes Hotmail sur le site pastebin.com pour ensuite apprendre que le problème concerne aussi des comptes Gmail et Yahoo!.

Plusieurs services étant simultanément touchés, il est raisonnable de supposer qu'il ne s'agit pas d'une faille au niveau de l'un d'entre eux mais que le problème se situerait plus du coté de l'utilisateur (faille au niveau d'un navigateur Internet, keyloggeur, phishing, ... ). Pour le moment, peu d'explications concrètes sont disponibles : Nous n'en somme qu'aux suppositions.

Si, dans le cadre de vos activités professionnelles, vous utilisez ces services (genre ceux de Google ou ceux de Microsoft) alors le risque potentiel est grand : Vos données et informations sont potentiellement exposées... Comme quoi les mots de passe sont inadaptés pour les services "In the Cloud", cf l'un de mes précédents bulletins.

Quelques liens

C'est vrai qu'à la lecture de mes précédents articles sur les logiciels anti virus, on pourrait d'une déduction un peu rapide penser que ces logiciels ne servent pas à grand-chose. Mais, il n'en est rien. Savez vous, qu'il est important de rire au moins cinq minutes par jour, si nous n'avions pas ces « funwares », il serait difficile d'atteindre ce quota de gaité. La technologie de ces logiciels a atteint depuis longtemps l'impasse de la mort qui tue, l'utilisation d'une base de « connaissance » « statique » qu'elle soit locale (base de signatures) ou en mode cloud (réputation) n'est voué à aucun avenir. Et pourtant, les éditeurs de ces logiciels ont très souvent des solutions très performantes pour traquer toutes formes de malwares, étonnant non ?

   Depuis de nombreuses années un certain nombre de règles de sécurité se sont imposées de fait. L'exemple le plus caricatural est celui de la gestion des mots de passe : il faut utiliser un mot de passe long et complexe. Ce mot de passe doit être connu de l'utilisateur et de lui seul et ne jamais être consigné par écrit... Nombreux sont les utilisateurs qui se plaignent de devoir constituer des mots de passe (un par application) de plus en plus complexes et de ne plus arriver à les retenir ou à les gérer convenablement.
   Ces règles qui semblent aller de soi sur le papier sont-elles pour autant efficaces dans la réalité? Faisons nous un instant l'avocat du diable et tentons de remettre en question ces règles.

Si vous êtes un lecteur assidu de ce blog... Non, je reformule, si vous êtes LE lecteur assidu de ce blog, vous n'êtes pas sans savoir que le protocole clef de voute, DNS (Domain Name System) de l'Internet comporte quelques failles. Le DNS poisoning cela vous dit quelque chose ? Naturellement, ce problème vous empêche de dormir depuis un bon moment car vous n'avez pas attendu Dan  Kaminsky pour savoir que ce protocole n'avait pas était fait dans un réel souci de sécurité. Comment vous ne savez pas qu'une solution existe ?

Et oui, le phishing est un vrai business : Pour ce que je peux encore voir arriver en interne, les clients d'Orange sont assez sollicités.

A des fins d'illustration, voici ce qui a été reçu hier : Un bon Look&Feel et surtout un discours qui, contrairement à ce que l'on peu voir habituellement, est plutôt fait pour mettre en confiance la personne. A noter que le message est d'un bon niveau avec très peu de fautes d'orthographe ou de grammaire...

Le mail de phishing

Pour ceux qui cliqueraient sur le lien, il se retrouveront sur une page du service no-ip.com indiquant que ce site a été fermé pour activité malicieuse... Plus de risque, pour ce mail et cette URL du moins, que des personnes assez peu méfiantes se fassent prendre au piège.

La page vers laquelle point l'URL (bloquée suite action de no-ip)