New York Times, Wall Street Journal : revoilà le péril jaune

 

peril-jaune1

Compliquée la sécurité informatique ? Pas le moins du monde. D’ailleurs, pléthore de journalistes vous l’expliquent de long en large depuis hier. Le New York Times (NYT) et le Wall Street Journal (WSJ) se sont fait pirater. Comment ? Par qui ? Ils ont la réponse : ce sont les méchants pirates chinois, crypto communistes au service de leur pays qui ont fait le coup. A base d’APT.

Si vous avez lu les articles, vous savez que les APT sont des méchantes techniques de pirates super forts. Ce sont des Advanced Persistant Threats. En français dans le texte : des attaques avancées et persistantes. Sortons du jargon : ces attaques sophistiquées sont faites pour permettre au pirate de rester bien caché au sein d’un réseau pendant le plus longtemps possible. Le mode furtif des avions appliqué aux pirates. Et comme ils sont là longtemps, ils peuvent récolter une foule de logins et mots de passe, évoluer de machine en machine, explorer, piquer les contenus, modifier des choses…

Ça fout la trouille© hein ?

C’est fait pour.

Fear, Uncertainty and Doubt

Le secteur de la sécurité informatique qui n’a rien d’un philanthrope aime faire peur et proposer des solutions qui protègent « contre 100% des attaques connues et inconnues ». Du coup, les pauvres entreprises, les pauvres Etats qui paniquent à l’idée de se faire piquer leurs petits secrets par les méchants pirates chinois crypto-communistes achètent des solutions qui, pensent-ils, les protègent.

Ah, oui, mais non. Qui peut imaginer un instant que le NYT ou le WSJ n’ont pas mis en place de jolis outils de protection informatiques à plusieurs dizaines (centaines ?) de milliers de dollars ?

C’est juste. Mais, comme l’explique Jean-Marc Manach :  »

Entre autres particularités, ces « attaques complexes et récurrentes » ont pour point commun de ne pas être bloquées par les firewall, antivirus, politiques de gestion des mots de passe et autres mesures de sécurité informatique mises en place, ou achetées, par les responsables sécurité des entreprises ou administration ciblées.

Aïe…

Et pourquoi que la marmotte elle bloquerait pas les APT avec son papier alu ?

signs2

Personne ne vous le dit.

Ah, si, on vous dit que c’est parce que les les pirates crypto communistes jaunes sont vraiment très forts. C’est un tel péril d’ailleurs, qu’il serait temps de se prémunir contre un cyber-Pearl Harbor, un cyber-Armageddon, une cyber-guerre, le cyber-terrorisme, le cyber-espionnage, on en passe. Ce sont les militaires et les communautés du renseignement de tout l’occident, et des USA en premier lieu qui le disent. Ce sont des gens sérieux et carrés les militaires. C’est que ça doit être vrai. Non ?

La cyber-guerre, ça fait des cyber-morts

Non. Tout ça fait des cyber-morts et ça n’est pas bien grave. Mieux vaut perdre quelques serveurs que quelques vies.

Mais revenons au paragraphe de l’article de Jean-Marc Manach.

La sécurité informatique est un sujet un tantinet plus complexe que ce qu’en disent les journalistes qui, c’est une évidence, ne sont pas des experts en sécurité informatique (l’auteur de cet article non plus, bien entendu).

Les APT ne sont pas les seules attaques qui ne sont stoppées ni par les firewalls ou les antivirus. Dans sa liste, Jean-Marc Manach oublie par ailleurs les reverse proxies, les IDS, les IPS et les Application Firewall. C’est dommage car il y a tant à dire sur ces outils…

Détaillons (grosso modo) le rôle (et leurs limites) des outils qui font en général partie de la sécurité déployée par les institutions (entreprises, Etats, etc) :

Les Firewalls : ils s’intéressent au réseau (qui véhicule les données). Il interdit ou autorise le trafic. Exemple : j’ai le droit de faire passer du Web en entrée et en sortie sur le port 80. Mais rien d’autre. Ou encore, j’ai le droit de faire passer du trafic Web sur le port 45256 mais pas ailleurs. Ils ne peuvent ni repérer, ni bloquer un cheval de Troie. Surtout si celui-ci à prévu de faire passer son trafic en sortie (les infos qu’il récupère) sur le port 80, généralement toujours ouvert.

Les anti-virus : ils cherchent à repérer des virus et autres chevaux de Troie lorsqu’ils s’installent sur une machine. Ils fonctionnent avec des listes de signatures de virus/malwares/chevaux de Troie connus. En clair, si le machin n’est pas créé par un bourrin, il y a des chances de passer au travers. Ne parlons pas des machines sophistiquées ne disposant pas d’anti-virus (souvent réservés aux postes bureautiques). Avez-vous pensé à protéger le serveur qui héberge votre central téléphonique avec un anti-virus ? Hum. Note : garder en tête pour plus tard, penser à consulter le marabout Dilo pour protéger aussi à base de Vaudou.

Les reverse-proxies : ils font office d’intermédiaire entre les visiteurs et le serveur Web. Ou inversement. Ils peuvent apporte un peu de sécurité, mais ce n’est pas leur rôle principal.

Les IDS : ils analysent en temps réel le trafic sur le réseau. Ils s’intéressent donc aux protocoles et repèrent une série d’attaques (souvent sur la base de listes à mettre à jour régulièrement). Leur rôle n’est pas forcément de bloquer ces attaques, mais de les repérer et de les signaler à un être humain qui est occupé à manger des pizzas, mettre à jour Office sur le poste d’un membre de l’équipe Marketing et à fournir les moyens nécessaires pour que le PDG puisse faire marcher son dernier iPad.

reverse_proxy

Les IPS : ils surveillent le trafic, alertent en cas d’attaque et peuvent bloquer du trafic, bloquer une IP. Mais ils ne sont pas très intelligents. En outre, comme ils ont tendance à bloquer de manière peu subtile, les administrateurs évitent de leur laisser une grande latitude dans ce domaine.

Les Application firewall : ils observent le trafic en direction d’une application Web, le filtrent s’ils perçoivent une attaque. Reste à savoir jusqu’à quel point leur connaissance des attaques est pointue. En outre, ils protègent des applications (HTTP) et donc pas les « ordinateurs ».

Mais alors ? Il n’y aurait aucune solution parfaite pour se protéger du péril jaune ? En son temps l’Hadopi avait envisagé un MMF, une sorte de bidule qui fait des trucs avec du XML dedans. Comme nous l’avions prédit, ce projet n’a jamais vu et ne verra jamais le jour.

La sécurité est un ensemble, une stratégie globale. On ne peut pas se protéger efficacement en installant l’une des solutions. Ni même plusieurs à la fois. En outre, plus on augmente la sécurité, plus on emmerde les utilisateurs en restreignant leurs possibilités d’utiliser les technologies. C’est donc un compromis qu’il faut rechercher. Ce compromis laissera toujours une part à un risque d’attaque réussie.

Le secteur de la sécurité, comme celui de la banque a son jargon. Il est difficilement déchiffrable par ses clients. Ceux-ci ont à gérer une série de contraintes qui n’aide pas. Les directions veulent de la sécurité (parfois) mais ne mettent pas en face les moyens financiers nécessaires. C’est cher et ça ne rapporte rien.

En outre, il y a d’un côté une volonté de sécuriser et de l’autre, une volonté de pouvoir utiliser l’ensemble des possibilités ouvertes par les nouvelles technologies.

Le « business » réclame des applications « tout de suite » qui sont codées avec les pieds et des outils notoirement troués.

Le développement des technologies s’accompagne d’une prolifération de « trucs » hétérogènes qui forment in fine un réseau composé de bric et de broc, souvent inconnu de l’entreprise elle-même, incapable de dresse un plan précis de celui-ci et des versions de logiciels installés.

Enfin, Internet est devenu le centre de toutes les attentions. Le reste est oublié. Qui se soucie de la téléphonie ? Qui se soucie des vieux modems, des accès d’administration à distance pour telle ou telle machine, tel ou tel outil ? Pas grand monde.

New York Times : ce n’est pas une première

Il est douteux de se fier et de véhiculer les explications d’une entreprise qui vient de se faire trouer. Elle a tout à gagner à minimiser l’étendue des dégâts. Mais aussi à désigner un ennemi invisible et extrêmement puissant. Sans quoi, elle serait contrainte d’avouer que son réseau est un gruyère, qu’elle est incapable de le protéger. Et ça ce n’est pas bon pour la confiance et le business. Au moins doit-on questionner les explication post-piratage émises par les victimes.

Le New York Times s’est donc fait pirater par des super-pirates chinois.

Ce n’est pas la première fois que le réseau de ce journal en prend plein la tronche. Ainsi fin des années 90, un groupe de hackers, les « Hacking for Girliez » avait pris la main sur les serveurs Web du NYT pendant plusieurs heures.

Les moins curieux se seront contentés de lire la page Web affichée sur le site avec ses jolies images. Les autres auront lu le code source pour une franche tranche de rire.

Extraits :

F1RST 0FF, WE HAVE T0 SAY.. WE 0WN YER DUMB ASS.  
4ND R3MEMB3R, DUMB ASS 1S OFT3N CUTE 4SS.  AND WE L1KE CUTE ASS.

<!-- Just because we type in all caps and use 'elite' speak doesn't mean   -->
<!-- we are kids, or we don't own your dumb ass.  For everyone who calls   -->
<!-- us immature kids, it shows one more person has underestimated us.     -->
<!-- And worse, what does that say about their security?  That "immature   -->
<!-- kids" were able to bypass their 25,000 dollar firewalls, bypass       -->
<!-- the security put there by admins with XX years of experience or a     -->
<!-- XXX degree from some college.  Nyah Nyah.                             -->
<!--                                                                       -->
<!--    "The best is the enemy of the good."                               -->
<!--                    - Voltaire                                         -->

ou :

S1NC3 WE AR3 N0W INTERN3T TERR0RISTZ, W3 F1GURE WE SH0ULD DEMAND
S0ME RANSOM OR SOMETHING.  SO, PAY US 104 GIRLIEZ, 6 BILLION IN
N3WSPAP3R SUBSCRI1PTIONZ, AND MAYBE A PR1NT1NG PR3SS 0R S0M3TH1NG.
N0T L1K3 Y0U GUYS KN0W WHAT FA1R J0URNALIZM IS ANYWAY.  DUMB WH0R3Z.

<!-- Labeling us as such is not constructive.  If we find the time and     -->
<!-- effort to hack a few pages, labeling us "terrorists" will only        -->
<!-- further annoy us and provoke us since it is absurd to make            -->
<!-- such parallels between two disparate groups.  The real reason         -->
<!-- we put any blame on Carolyn Meinel is because of her obtuse           -->
<!-- over-dramatizations of our actions.  Did we hold anyone hostage?      -->
<!-- No.  Did we 'terrorize' anyone?  No.  Did we point out the            -->
<!-- inadequacy of her ISP?  Hell yes.  End of story.                      -->

Ou encore :
HFG 1S PROUD TO 0FFER OUR N3W S3CURITY TRAIN1NG SEMINARZ 1N
A PR1NT1NG PR3SS N3AR YOU.  F0R 9969.99 +TAX, YOUR ADM1NZ
CAN L3ARN H0W N0T T0 G1VE UP R00T SO 3ASILY.  TOO G00D TO B3
TRUE YOU ASK?  C0NSIDER WE R00TED TH1S B0X OFF 0DAY WAR3Z ST0L3N
FR0M TSUT0MU SH1M0MURA'S SYST3M IN .04 SEC0NDS.  NOT BAD HUH?

<!-- Obviously we don't really offer training seminars, but                -->
<!-- damn well we should.  Look at how many clueless admins are            -->
<!-- out there.  Look at what kind of proprietary data they are            -->
<!-- tasked to guard.  Think of how easy it is to get past their           -->
<!-- pathetic defenses and compromise their security.  I knew              -->
<!-- working as a Taco Bell manager wouldn't cut it.                       -->

Alors… Les HFG étaient-ils des pirates chinois ? Pas le moins du monde. Etaient-ils forts ? Oui.

Si l’on en croit quelques sources bien informées, à l’époque, ils étaient même choyés, sous un autre nom par les autorités américaines. Ils n’ont jamais été démasqués. Et pour cause.

 Les Nakeurs chinois de la mort qui tue

La presse qui répercute sans questionner les déclarations des gouvernements, du secteur de la sécurité informatique et des entreprises qui se sont fait pirater ne cesse de nous présenter les auteurs des piratages un peu en vue comme des pirates chinois.

Premier point, « sur Internet, personne ne sait que tu es chien ».

dog

Le fait qu’une attaque provienne de chine ne veut pas dire que son auteur soit chinois. La machine utilisée peut être compromise, il peut s’agir d’un relai parmi beaucoup d’autres.

La plupart des hackers/pirates les plus pointus qui sont experts dans les APT et savent s’enterrer pendant des années au coeur de réseaux importants sont tout sauf chinois.

Les meilleurs en création d’exploits (les programmes permettant de pirater les serveurs), dans l’offensif vendu à des gouvernements (sur le mode VUPen, mais en bons) ne sont pas Chinois. Ils sont européens, canadiens, russes, américains…

Et justement… Puisque l’on parle de gouvernements…

Alors que tout le monde pointe les méchants pirates chinois, personne ne se demande si les piratages pourraient être le fait de gouvernements. Ne sombrons pas dans le complotisme, mais ceux qui ont développé ou acheté le développement des Chevaux de Troie les plus sophistiqués ces derniers temps sont, nous dit-on, les gouvernements. On a vu sous l’ère Sarkozy une multiplication des vols d’ordinateurs dans les rédactions des journaux, l’obtention de fadettes de journalistes pour identifier des sources… Bref, c’est devenu monnaie courante.

Souvenons-nous aussi du vol d’un ordinateur dans les locaux des Dossiers du Canard. Le Canard avait remonté la piste et était tombé sur… L’armée…

Quoi qu’il en soit, rien n’a changé depuis 17 ans, il y aura toujours des gens talentueux pour coder du zero day et des réseaux super protégés à coup de centaines de milliers de dollars ou d’euros pour se faire trouer.

Par des chinois, ou pas.

Peu importe, le résultat sera le même.

 

 

Twitter Facebook Google Plus email

Auteur: Antoine Champagne - kitetoa

Dinosaure du Net, journaliste à ses heures. A commis deux trois trucs (Kitetoa.com, Aporismes.com et Reflets.info).

15 thoughts on “New York Times, Wall Street Journal : revoilà le péril jaune”

  1. sont tordus, les crypto-pirates-chinois …
    suffirait de faire embaucher un petit chinois au bureau des objets trouvés de n’importe quel international airport ou de n’importe quelle compagnie de taxi pour pécho des milliards d’infos , et de financer l’emploi par la revente sur ebay des laptops oubliés par des tas de cadres sups …
    pffff …
    ah , mais comme le boss s’est fait refiler « the cloud maitrisé » by SFR, faut bien l’utiliser …

  2. Pour ajouter au flip général, on a beau avoir la politique la plus réfléchie et la plus pointue en matière de sécurité d’accès à un réseau d’entreprise, si un directeur quelconque pousse une gueulante pour qu’on lui ré-ouvre ses accès, et que son ancien mot de passe il était trop compliqué, le gentil informaticien va le faire et lui redonner.

    Comment obtenir des codes d’accès en 1 ou 2 coups de fil…

  3. Oui, mais en même temps, qui a suffisamment d’argent et de petites mains pour pratiquer la cyber-guerre ? Lest USA, la Chine, l’Inde et, peut-être la Russie.

    On peut se souvenir des attaques chinoises contre la communauté tibétaine en exil et l’entourage du Dalaï Lama (les sites Phayul et TCHRD sont d’ailleurs régulièrement descendus par de mystérieux hackers), et je peux vous dire que des sites comme celui de Capital on été massacrés en 2008 suite à des articles « à charge » contre la Chine.

    Alors, c’est peut-être bien beau de dire « c’est les pirates chinois » mais c’est peut-être plus productif que de dire « oui, encore eux, on connait la chanson » ou « la cyber-guerre, ça ne fait pas de morts ».

    Si votre société se fait voler ses secrets industriels, si une panne électrique a lieu, si un certain nombre de mensonges ou autres manipulations sont postées sur Internet contre un individu ou un groupe, oui, cela peut faire quelques morts, ou au moins ruiner la vie d’un certain nombre.

    Réel et virtuel sont interdépendants depuis un bon moment déjà.

  4. L’article donne une perspective « historique », franchement bravo ! C’est pour ça qu’on vient sur reflets, profiter de la culture des dinos :p

    Mais, quid de l’hypothèse d’une concurrent du NYT ? cf affaire Murdoch.

  5. j’ai beaucoup aimé le « que le PDG puisse faire marcher son dernier iPad »… que de souvenirs :’s
    Mais Comme TZ, je comprend pas bien le « la cyber-guerre, ça ne fait pas de morts ». C’est bien chez reflets qu’on nous parle de Amesys et de l’affaire libyenne?

  6. « Le fait qu’une attaque provienne de chine ne veut pas dire que son auteur soit chinois. La machine utilisée peut être compromise, il peut s’agir d’un relai parmi beaucoup d’autres. »
    Sauf que moi je ne suis ni le wall street ni new-york mais 90% des attaques analysées par mon pare-feu proviennent de Chine. Que la seule fois où l’adresse e-mail d’un de mes amis a été compromise, c’était par une ip chinoise.
    Si ce sont juste de machines compromises pourquoi elles le sont toujours en Chine ? Pourquoi pas en Inde, en Europe, aux USA ?
    Est-ce que les chinois sont plus faciles à pirater ? Avec le grand pare-feu chinois, ce serait plutôt le contraire, non ?
    Pourquoi vouloir à tout prix qu’à chaque fois qu’une attaque provient de chine, ce soit forcément faux ? Pourquoi chercher midi à 14h ?
    Désolé mais pour le coup c’est vous qui êtes naïf. Si vous croyez que le gouvernement chinois des gentils communistes n’entretient pas des groupes de hackers, ne se livre pas à l’espionnage informatique avec plus d’ardeur encore que les États-Unis, vous vous fourez le doigt où je pense.
    NCPH, ça vous dit quelque chose ? Huawei, ZTE, ça vous rappelle rien ?
    Vous dites que ce ne sont pas des chinois mais vous n’apportez aucune preuve.
    Et puis une dernière chose : oui c’est bon, on a compris que vous êtes sur internet depuis les années 90, que vous avez fréquentez Lopht, Wiretrip, ADM et tous ces gentils groupes disparus depuis 10 ans.
    Ça devient lourd, les gloires d’antan.

    Mais je vous aime quand même, hein ?

    1. Euhhhh il est pas dit que les attaques ne sont pas l’oeuvre de chinois.
      Il est dit le mythe du « hackers chinois » a pour objectif de jouer sur les fantasmes et les peurs…. et que ça fontionne assez bien.

  7. une petite remarque par rapport à ca :
    « Tout ça fait des cyber-morts et ça n’est pas bien grave. »
    C’est pas du même style que « une arme ça ne tue pas c’est le mec derrière qui tue » ?
    Parce que sur reflets vous avez démontrez plus d’une fois qu’une cyber-action / cyber-flicage pouvait avoir des conséquences bien réelles…
    Alors je comprends bien que c’est pas le but de l’article mais je tique à chaque fois que ce genre de phrase est écrit sur reflets.

    Bonne continuation

  8. @E__E, @TZ et @pookie sur « La cyber guerre, ça fait des cyber morts »:

    Sans vouloir répondre pour l’équipe de Reflets, je veux bien avancer un début d’explication (que bluetooth ou kitetoa corrigeront si ça ne leur plaît pas) car j’avais eu les mêmes hésitations que E__E ou TZ sur la formule, avant de l’adopter complètement:

    1- Ca ne veut évidemment pas dire « Il n’y a pas de problèmes de sécurité informatique ». Nous avons sans doute tous commencé à lire reflet sur des problèmes de sécurité informatique. Ça parle de la caractérisation assez systématique de tout acte de piratage comme de partie émergée d’un énorme iceberg de criminalité informatique organisée par un des puissants pays de l’axe du mal, notamment celui que combattaient Black et Mortimer.

    Suite à cette terrible menace, on en profite souvent pour nous imposer l’achat/la mise en place/la recherche sur des solutions soit disant de sécurisation du réseau qui sont en fait des outils d’espionnage ou de censure des populations sans discrimination.

    2- Ça veut aussi dire que le terme de guerre est hélas employé à toutes les sauces, en particulier ici pour caractériser une intrusion informatique, ce qui est sans commune mesure avec de vrais acteq de guerre. C’est d’autant plus pénible comme comportement qu’au même moment, on essaye de parler des vraies guerres (Afghanistan, Irak, Mali) en terme très fleuris (Opération ou opex, Frappe Chirurgicale, maintient de l’ordre, restauration de la démocratie, tior (c’est un tout neuf celui là: « technique d’intervention opérationnelle rapprochée »)…). Appelons un chat un chat.

    Je m’éloigne un peu du terme de cyber-guerre. Le fait de faire toujours porter ça sur des forces étrangères me gène particulièrement sur deux points: D’abord, le fait que les principaux prédateurs de nos propres libertés civiles (dont informatique) est probablement nos propres états. A quoi servent les RG? Qui a envoyé les plombiers dépanner le Canard? Les vols récents de portables rédactionnels sont-ils des coups fait au hasards? Ensuite, que ça permet aussi de masquer la motivation d’une partie des opérations de piratage en leur attribuant une origine et une motivation qui sont erronées.

    @pookie: tu remarqueras que ceux qui parlent de cybercriminalité et de cyber-guerre (voire de cyber-terrorisme) ne nous parlent JAMAIS de cyber-flicage ou de cyber-censure, alors que c’est en effet le danger immédiat le plus probable pour chacun d’entre nous. Je pense que ça aussi agace Kitetoa et Bluetooth.

    Et merci pour l’article :)

  9. > Désolé mais pour le coup c’est vous qui êtes naïf. Si vous croyez que le gouvernement chinois des gentils communistes n’entretient pas de groupes de hackers, ne se livre pas à l’espionnage informatique ***avec plus d’ardeur*** encore que les États-Unis, vous vous fourez le doigt où je pense.

    Joli défi: comparer les envies d’espionnage états-uniennes et chinoises! Le match va être serré…
    Mes trois centimes sur le problème:

    – En termes de backdoor, il est probable que les USA aient une longueur d’avance, au moins jusqu’à ce que les composants réseau actifs soient devenus ce qu’ils sont. Ceci dit, vu les grands efforts d’outsourcing de plein de boites américaines, nul doute que la chine et l’inde vont bien les rattraper :)

    – En terme d’interception, je trouve qu’Echelon reste encore un must du genre (mais bon, on va rien dire, on a le même genre de station en plus minable).

    – J’ai toujours du mal a croire que google soit fidèle à sa devise…

    En matière de tentative d’intrusions, j’aurais tendance à différencier celles d’amateurs (celles que toi et moi voyons dans les logs de nos machines et honeypots) de celles de réels professionnels, que je ne verrais hélas sans doute même pas passer si ils leur prenait envie de s’attaquer à une de mes modestes machines.

    Plus sérieusement, la réponse de kholl est très bien: le hacker chinois, c’est le cyber-épouvantail !

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *