27 juillet 2016. La matinée a commencé comme nous l’avions imaginée : un chat évolutif derrière les coulisses, prêt à lancer la première tentative au monde de Ask Me Anything (AMA) sur Reddit avec Costin Raiu, Vicente Diaz, Vitaly Kamluk, Ryan Naraine, Brian Bartholomew, Juan Andres Guerrero-Saade de l’Équipe Internationale de recherche et d’analyse (GreAT).
Nous avions publié les liens, afin de nous assurer que tout le monde puisse se connecter et ensuite avons appuyé sur le bouton pour lancer le chat, sans vraiment savoir ce que les participants allaient nous demander. Il s’agissait d’un espace de discussion libre après tout, où toutes les questions étaient permises. L’idée était de répondre aux questions pendant environ 1h30 lors du chat qui débutait à 9h (heure locale à Boston). J’étais loin de me douter que ça durerait autant de temps et qu’il serait beaucoup plus captivant que prévu (la dernière question fut posée à 13h28 heure locale).
Au total, le chat a rassemblé 855 commentaires (y compris nos réponses), allant des émissions de télé à pourquoi l’attribution d’une APT est difficile pour les chercheurs en sécurité. Ont participé des fans, des trolls, des journalistes, et d’autres personnes qui souhaitaient s’intéresser au secteur en posant des questions à notre équipe. Durant plus de quatre heures, les chercheurs ont donné des réponses instructives et sincères en répondant vraiment à tout…
We did say ask us anything: If you could be stuck on an island w #Jesus or @POTUS which 1 would it be? https://t.co/86GMv68yBF
— Kaspersky (@kaspersky) July 27, 2016
Je suis sûr que si on demande aux six participants quelle est leur question préférée, ils répondront tous une chose différente, et auront probablement du mal à n’en choisir qu’une seule. Pour ma part, difficile de choisir, j’ai dû me résoudre à six questions (sans ordre de préférence). Ci-dessous, vous trouverez mes préférées (PS : les erreurs ont été corrigées du texte original) ainsi que quelques commentaires qui expliquent pourquoi elles m’ont marqué.
Attribution
Commençons par celle-ci. Elle fait beaucoup référence à pourquoi nous ne voyons pas d’attribution dans de nombreux rapports de chercheurs en sécurité lorsqu’il s’agit de savoir qui en est l’auteur. Cette question a été rapidement traitée, en réalité deux fois, en espérant qu’avec un peu de chance, elle aura été résolue une bonne fois pour toutes.
Pourriez-vous nous expliquer, à nous, qui ne sommes pas des pros de l’informatique, comment les métadonnées et autres données peuvent-elles être utilisées pour commettre des piratages informatiques, tels qu’une attaque par déni de service ou Stuxnet ? Qu’est-ce qui peut être ou pas modifié afin que des entreprises comme Kaspersky puissent les attribuer correctement ?
Brian et Juan : Il s’agit d’une très bonne question, qui est très rarement traitée en détail, principalement parce qu’en laissant les adversaires connaître ce que vous utilisez en attribution, cela leur permet de manipuler les mêmes données. Il en existe très peu qui puissent être contrefaites ou manipulées. C’est la raison pour laquelle l’industrie informatique a parfois de vifs débats concernant l’attribution.
Les principaux éléments qui semblent être beaucoup utilisés dans l’attribution d’attaques se concentrent en général autour des langages utilisés dans le code, toutes les fois où le malware a été compilé, la motivation des attaques, les types de cibles, les adresses IP utilisées durant l’attaque, où les données ont été envoyées par la suite, etc. Tout ceci est utilisé dans une sorte de « matrice » afin de déterminer les acteurs potentiels lorsqu’on parle d’attribution. Dans le cas des attaques par déni de service par exemple, beaucoup d’experts s’accordent à dire que le malware utilisé dans ces attaques, tout comme ceux de l’infrastructure, appartiennent seulement à deux « groupes ».
Bonjour Kaspersky Lab,
Je sais que vous évitez l’attribution en tant que politique, mais il paraît assez évident que la plupart des attaques ciblées au niveau national soient réalisées par des soi-disant puissances informatiques (Etats-Unis, Royaume-Uni, Russie, Chine, Iran, etc.). Pour l’intérêt de cette question, supposons que ces indicateurs attributionnels reflètent la réalité. Pourquoi ne voit-on pas d’autres piratages informatiques au niveau national, menés par des nations en voie de développement ou sous-développées ? Il semblerait que le jeu du cyberespionnage soit complètement démocratique avec une grande disponibilité de l’accès à distance et d’outils d’exploitation disponibles et bon marché.
Merci !
Vicente : En suivant votre raisonnement, il paraît logique que des pays qui disposent de plus de ressources à dépenser dans de telles opérations soient les plus actifs, ce qui refléterait la liste que vous venez de mentionner. Cela ne veut pas dire que les pays en voie de développement ne participent pas à de telles opérations, cependant ils utilisent de nombreuses fois des ressources externes étant donné que cela coûte moins cher que de développer d’importants « moyens informatiques ». Ceci, parmi d’autres facteurs, rend l’attribution plus difficile (ce n’est pas la même chose de développer une arme unique et avancée que d’utiliser une qui soit commune).
Vous devriez également prendre en compte que l' »épuisement médiatique » peut également restreindre les informations diffusées pour certaines campagnes. Si quelqu’un découvre une attaque d’un tout petit pays visant le peu de ses habitants, il est peu probable que vous en entendiez parler dans les gros médias.
Failles de sécurité… Le gouvernement peut-il aider ?
N’importe quel lecteur de Kaspersky Daily sait que nous parlons tout le temps des piratages informatiques et des failles de sécurité. « Que puis-je faire pour me protéger ? est la question qui revient le plus souvent de la part des utilisateurs sur les réseaux sociaux. Elle n’a d’ailleurs pas échappé au chat AMA :
Les failles de sécurité ne sont pas prêtes d’aller n’importe où dans la mesure où les Etats-Unis ont désormais mis en place un plan sur la gravité des incidents informatiques. Ma question est la suivante : quel est votre avis concernant la manière dont le gouvernement peut s’attaquer au problème ? Ou au contraire, ne devrait-il pas s’en mêler ?
Juan : Difficile comme question. Le gouvernement a certainement un rôle important à jouer pour venir à bout de ce problème. Qui plus est, c’est d’une certaine manière le gouvernement qui doit s’en occuper. Par exemple, le débat sur le « hacking back » est une des raisons pour lesquelles je préfèrerais ne pas m’étendre sur les pouvoirs du secteur public (ce qu’on pourrait appeler une extension du gouvernement « le monopole sur l’emploi légitime de la violence »). A une époque où l’attribution est artisanale et que l’attribution fiable demeure presque impossible, je laisserais beaucoup plus certaines agences gouvernementales recourir totalement au hacking back.
Concernant sur ce que doit faire le gouvernement, deux choses me viennent à l’esprit :
1. La collaboration du secteur privé avec les autorités policières est fondamentale pour éradiquer certains types de malwares inquiétants, tels que les ransomwares. Lorsque le chiffrement est bien implanté, la meilleure chose qui puisse arriver est de compter sur la collaboration des autorités policières pour s’emparer des serveurs de commande et contrôle afin de concevoir des logiciels de déchiffrement et des services pour les victimes. Nous ne pouvons pas saisir les serveurs nous-mêmes, ce pourquoi une collaboration ouverte et autorisée s’avère importante.
2. Le partage d’informations sur les initiatives à prendre est quelque chose d’extraordinaire qui n’est pas assez développé dans des secteurs clés, tels que le secteur financier, celui de la santé, et même certains secteurs spécialisés dans la technologie. Ces derniers ont besoin de connaissances mais souvent pensent qu’ils ne peuvent pas ou ne devraient pas les partager par peur des stigmates d’un piratage informatique ou des possibles répercussions juridiques. Il est bon de voir que les gouvernements s’investissent et prévoient un lieu sûr pour les entreprises, en partageant leurs connaissances, sur ce qui les inquiète, et en recevant l’aide dont elles ont besoin.
Qui aurait imaginé que Costin aimait Mr. Robot ?
Mes collègues des réseaux sociaux et ceux du bureau, parlent souvent de la série Mr. Robot. Etant donné le style de cette dernière, ça ne me surprend pas. Je dois toutefois regarder un épisode. Mais ne vous inquiétez pas, nos courageux experts ainsi que Juan, sont là pour vous répondre.
Sur une échelle de 1 à 10, quelle note mettriez-vous à Mr.Robot sur la façon dont la série représente la réalité dans le domaine informatique et du piratage ?
Costin : Pour moi, Mr.Robot vaut largement un 9,5. La plupart des scènes sont de haut niveau. L’emploi des outils, des systèmes d’exploitation et autres petits détails, de l’ingénierie sociale à la sécurité opérationnelle sont vraiment bons. J’ai particulièrement apprécié certaines scènes plutôt réalistes, telles que le pauvre développeur incapable de réparer des bitcoins et les attaques de clés USB.
Juan : Je dois admettre qu’en ayant seulement regarder la première saison, certaines représentations du piratage informatique sont étonnamment bien décrites. J’ai particulièrement bien aimé la description de la vitesse à laquelle un téléphone pouvait être détourné avec une bonne préparation (qui prend moins de temps que prendre une douche).
Quatre questions en une
L’utilisatrice qui nous a posé cette question était une des plus enthousiastes sur Twitter avec le hashtag #ASKGReAT. Lorsque je lui ai donné le lien ce matin, elle était toujours aussi enchantée et avait fait remarqué la pertinence de sa question. En réalité, il y en avait quatre.
1) Si votre système a été piraté, utiliser un service de messagerie électronique chiffré ne vous aidera pas, n’est-ce pas ?
2) Comment peut-on utiliser les appareils Android en toute sécurité, si on veut préserver sa vie privée et qu’on doit les connecter à notre compte Gmail ? (sachant que Google collecte les données)
3) Existe-t-il une application de messagerie pour Android que vous utilisez et dont vous avez connaissance qu’elle ne collecte pas de données ?
4) La sécurité informatique me fascine mais je n’ai pas les compétences. Comment peut-on, nous les utilisateurs de tous les jours, contribuer à un Internet plus sûr et plus accessible ?
Juan : Waouh ! Merci pour toutes vos questions.
1. J’aime vraiment votre première question parce qu’elle réaffirme pourquoi je pense que nous travaillons sur l’aspect le plus important du « problème de la sécurité informatique ». Je vais court : Non, si votre système est piraté, utiliser un service de messagerie chiffré ne vous sauvera pas en soi. La réponse la plus nuancée est qu’il ne vous sauvera pas d’un hacker utilisant un malware sur votre appareil, cela n’empêchera pas que votre messagerie chiffrée (PGP par exemple) permette qu’on puisse lire vos e-mails dans votre boîte d’envoi ou d’une violation de votre boite de réception ou celle du destinataire. Je dis que nous travaillons sur une importante partie de la sécurité informatique puisque les solutions de sécurité tendent à être fondées sur l’hypothèse d’un piratage tellement astucieux que le renforcement d’un logiciel censé sécuriser vos appareils n’est pas chose facile.
#KSN #Report: #Mobile ransomware in 2014-2016 https://t.co/zmvSlscN0X #klreport pic.twitter.com/mxDUxrnIJe
— Securelist (@Securelist) June 29, 2016
2. Je vais essayer d’être le plus bref et précis possible, étant donné qu’il y a beaucoup de choses à dire : Android est une plateforme difficile à sécuriser. Si vous vous préoccupez de votre vie privée, la plupart du temps, vos problèmes sont liés aux permissions excessives des applications tiers et des « jeux » prenant la liberté d’obtenir n’importe quelles informations comme bon leur semble. Personnellement, ces derniers me préoccupent plus que l’intégration de Gmail.
3. Comme pour les boites de messagerie, on a tendance à vouloir tester différentes messageries « sécurisées ». Je ne suis pas en position de vérifier le chiffrement ou l’exécution de ces dernières mais certains d’entre nous testent actuellement des services tels que Wire. SilentText, Signal, Threema et Wick. Je ne peux pas vous garantir qu’ils ne collectent pas de données, pour cela, vous devez vous renseigner auprès d’eux directement.
4. Je vous en prie, protégez vos comptes !!! Utilisez un gestionnaire de mots de passe et l’authentification à deux facteurs. Les hackers sont impitoyables.
Pokémon – GO ou PAS GO ?
Comme vous le savez, nous en avons écrit pas mal sur le phénomène de mode de Pokémon GO. Une question a été posée à ce sujet, impossible de ne pas la mettre donc…
Avez-vous le temps de jouer aux Pokémon 🙂 ou à d’autres jeux ? Aimez-vous les jeux de rôle en ligne massivement multi-joueurs ?
Juan : Je suis sûr qu’il y a des gens de l’Équipe internationale de recherche et d’analyse qui jouent à Pokémon GO, plus particulièrement, ceux qui sont des fans inconditionnels. Je n’ai pas beaucoup de temps pour jouer mais j’aime SC2 et Destiny. Brian et moi avons joué pas mal de fois à Overwatch sur Xbox. Et j’ai doucement essayé de faire mes preuves à Zelda (A Link Between Worlds) en 3D dans différents halls d’aéroport…
Brian : Je joue aux Pokémon de temps en temps J. Ma femme déteste ça, et honnêtement je suis une sorte de joueur discret. Je me promène dans le supermarché et cache mon téléphone lorsque je fais mes courses. En ce qui concerne d’autres jeux, quand j’ai le temps, je joue à Overwatch. Auparavant, j’étais à fond sur Fallout 4 ! On peut dire que je suis plutôt jeux sur console que sur PC.
Costin : Je ne joue pas à Pokémon GO, mais je joue à EVE Online. Minmatar, un jour, Minmatar toujours ! 🙂
Vincente : Je suis fan de Big Street Fighter IV, pas trop SFV, un joueur occasionnel de SC2 et en attente du nouvel effet de masse : https://app.appsflyer.com/com.kms.free?pid=smm&c=ww_kdaily
Mon boulot représente mon jeu vidéo. Très réaliste, un monde ouvert en 3D avec des tournants inattendus et de gros problèmes à résoudre.
Sécurité d’Android
La plateforme d’Android est populaire (petite parenthèse : un de mes téléphones est un Android et dispose de Kaspersky Internet Security for Android), pas seulement chez les utilisateurs, mais aussi parmi les escrocs. Restez vigilant, il suffit de regarder les chiffres. Merci pour cette question qui a fait d’une pierre deux coups.
Devrais-je installer un antivirus sur mon smartphone Android ? Les virus et malwares sont-ils une réelle menace pour les mobiles ?
Costin : Je pense que le malware mobile peut être comparé à un iceberg, il y a sans doute beaucoup de choses que nous n’ayons pas encore vu. Même si le nombre de programmes malveillants sur Android a grimpé en flèche ces dernières années, la plupart d’entre eux sont des adwares ou des lockers. Nos analyses de haut niveau des APT (menaces persistantes avancées) comme celle de l’Equation, semble révéler que plusieurs acteurs de menaces ont développé des implants mobiles, ce qui veut dire que tôt ou tard, de telles menaces seront découvertes, tout comme lorsqu’on avait trouvé par exemple les implants mobiles d’HackingTeam. Exécuter une solution de sécurité sur votre dispositif Android vous permettra non pas seulement de vous protéger contre des menaces connues mais également, avec un peu de chance, d’en détecter de nouvelles.
A l’heure actuelle, quelles sont vos prédictions/intuitions ?
De ce que je sais, le malware Android se propage principalement via des boutiques de tierce partie. Google fait réellement du bon boulot en maintenant le Play Store clair et net. Des tonnes de téléphones Android sont désormais démodés (mais grâce aux fabricants, qui font un travail merveilleux, ils fonctionnent toujours) : pensez-vous qu’on assistera à des infections massives un jour parce que quelqu’un aura décidé d’abuser du bug Stagefright et d’envoyer un MMS à tout le monde sur Terre ?
Vous avez également parlé de l’APT Equation : représente-t-elle une menace pour un utilisateur aléatoire d’Android ?
Costin : Ce qui me préoccupe le plus c’est l’usage incontrôlable des boutiques en ligne sur des logiciels libres d’Android. Vous pensez que l’application Flashlight requiert la connexion internet, n’est-ce pas ? De nos jours, trop d’applications sont associées à des boutiques en ligne qui permettent aux développeurs de se faire de l’argent facile. La plupart des entreprises qui conçoivent ce genre de boutiques en ligne disponibles en vente libre, d’apparence inoffensives peuvent soudainement devenir le point d’entrée d’une attaque sophistiquée de dizaines de milliers de téléphones. A l’avenir, je pense que les acteurs de menaces achèteront des entreprises qui créeront des boutiques en ligne et les infecteront avec des chevaux de Troie par le biais d’un code malveillant. Cela peut être une solution moins chère pour pirater des cibles ne nécessitant aucune vulnérabilité Zero day.
D’un autre côté, des attaques massives telles que Stagefright ne sont pas complètement impossibles. Cependant, ce qu’on voit de nos jours semble indiquer que les attaques les plus importantes proviennent des Etats-nations, qui préfèrent des approches bien ciblées.
Voici donc mes 6 moments préférés du chat AMA de notre Équipe internationale de recherche et d’analyse (GReAT). Qu’en avez-vous pensé ? Y’aurait-il des choses à ajouter ? A enlever ? J’attends vos commentaires sur vos comptes Facebook et Twitter. Au nom de tous les membres de Kaspersky Lab et de l’Équipe internationale de recherche et d’analyse (GReAT), nous voulons vous remercier pour votre participation.
https://www.instagram.com/p/BIYNiObgc5U/