Punta Cana – Des professionnels de la sécurité, des responsables de l’application de la loi et des journalistes se sont tous réunis à Punta Cana en République Dominicaine pour l’événement annuel de Kaspersky Lab : le Security Analysts Summit, qui est ensuite suivi par deux autres événements importants. Pendant la journée, les participants ont pu assister à plusieurs conférences sur la sécurité qu’ils ont choisies parmi trois parcours différents. Le soir, tous ont été conviés à profiter de nos soirées sur la plage.
Si l’hôtel de l’île tropicale et ensoleillée était magnifique, le contenu de la conférence elle-même était encore mieux. La Global Research and Analysis Team (GReAT) ont révélé les détails d’une nouvelle campagne de menace persistante avancée connue sous le nom de « Careto », un mot espagnol dont la signification est source de discordes. Selon certains hispaniques, « careto » n’est pas un mot alors que d’autres affirment qu’il s’agit d’un mot qui signifie « visage laid » ou « masque ». Ce qui explique pourquoi vous avez peut-être entendu parlé de cette campagne sous le nom de The Mask. Au moins une personne m’a dit qu’il s’agissait d’une expression péjorative de Madrid pour dire « visage ».
Costin Raiu, le directeur de la GReAT, a réalisé une présentation fascinante sur la découverte de la campagne APT The Mask et a affirmé qu’il s’agissait de la campagne la plus sophistiquée qu’il ait vu ces dernières années. Et ce n’est pas peu dire si l’on considère la liste de campagnes de ce genre que Raiu et ses collègues ont découvert ces dernières années.
Comme il l’a expliqué lundi, celle-ci est inhabituelle pour deux raisons principales : la première est que les malwares et les exploits utilisés dans la campagne semblent avoir été développés en espagnol. La deuxième est qu’ils ne semblent pas du tout avoir un rapport avec la Chine, le foyer des APT et autres piratages sponsorisés par des agences gouvernementales. The Mask ciblait des agences gouvernementales et des entreprises énergétiques dans plus de 30 pays hispanophones. Elle peut cibler aussi bien Windows que Mac et le trafic qui entre dans le serveur de commande et de contrôle (dont les chercheurs de Kaspersky Lab ont depuis pris le contrôle) suggère que The Mask pourrait bien disposer de modules capables de cibler également les systèmes d’exploitations Linux, iOS et Android.
Les responsables de la campagne ont tout fermé en quelques heures juste après le communiqué de presse de Kaspersky Lab effectué la semaine dernière. Néanmoins, Raiu a expliqué qu’ils pourraient redémarrer la campagne très facilement s’ils le souhaitaient.
La conférence a également accueilli une solide liste d’intervenants, y compris la stratégiste en sécurité chez Microsoft, Katie Moussouris, qui a presque à elle toute seule mis des bâtons dans les roues du marché de la vente de vulnérabilités en augmentant de manière conséquente le champ d’action ainsi que la somme d’argent versée aux chercheurs chargés de détecter les bugs dans les programmes de Microsoft.
Comme à son habitude, Chris Soghoian de l’American Civil Liberties Union, a parlé ouvertement de l’impact et des conséquences des révélations d’Edward Snowden. Soghoian a délivré un discours très en faveur de Snowden et contre la surveillance gouvernementale, bien que la majorité du public ne semblait pas partager son opinion.
Steve Adegbite (Wells Fargo) a abordé un thème bien moins controversé en insistant sur l’importance de la gestion des risques. Adegbite a affirmé qu’un solide plan d’évaluation des risques est certainement l’élément le plus important pour une société. « Votre modèle de risques ne va jamais marcher à tous les coups », a-t-il déclaré, en expliquant qu’il fallait toujours garder cette éventualité à l’esprit.
Les chercheurs de Kaspersky Lab, Vitaly Kamluk et Sergey Belov, accompagnés par Anibal Sacco de Cubica Labs ont ensuite présenté une attaque potentiellement dévastatrice qui pouvait effacer à distance toutes les données de l’ordinateur de la victime. Belov a découvert la vulnérabilité qui permet cet exploit dans un mystérieux logiciel installé sur l’ordinateur de sa femme. Et pas n’importe où dans l’ordinateur de sa femme : le logiciel était situé dans le BIOS de l’ordinateur dont la tâche est essentiellement de lancer le démarrage de l’ordinateur. Le programme appelé Computrace agissait comme un malware : il injectait de nouveaux processus, déployait des protections anti-bug pour se cacher et était très difficile à supprimer. Bizarrement, le programme est légitime. Il sert normalement à pister les ordinateurs perdus ce qui, comme l’a souligné Kamluk, semble plutôt bien. Mais ni Belov ni sa femme ne l’ont activé ce qui suggère qu’il pourrait être activé sur des millions de machines à travers le monde, à l’insu des utilisateurs. Évidemment, cela voudrait dire que des millions d’utilisateurs sont susceptibles d’être attaqués par un malware qui pourraient supprimer toutes les données de leur ordinateur si un pirate réussissait à compromettre leur connexion Internet. Bien évidemment, la suppression à distance n’est pas très intéressante pour les pirates de nos jours, néanmoins, n’importe quel autre type d’exploit à distance est possible en utilisant la vulnérabilité Absolute Computrace.
L’expert en cryptographie et légende de l’industrie, Bruce Schneier, a ensuite participé à un débat enflammé avec la Baronne Pauline Neville-Jones, ancienne ministre d’État du Royaume-Uni chargée de la sécurité et de la lutte contre le terrorisme. Tout deux ont eu une discussion houleuse alors qu’ils essayaient de définir s’il était possible, dans l’ère de l’Internet, d’utiliser la surveillance gouvernementale afin d’assurer la sécurité d’une nation sans entraver la liberté des citoyens. Schneier, connu pour sa fervente critique de la surveillance généralisée, a exprimé un sentiment presque universel : la surveillance ciblée utilisée par les autorités dans des opérations bien précises afin de mener l’enquête sur de mauvais acteurs est une bonne chose. Cependant, il a également expliqué que la surveillance généralisée était inacceptable et mauvaise pour tout le monde. Il a ensuite dit que le terrorisme, un concept généralement utilisé pour justifier l’espionnage illimité, est un risque auquel il faut s’attendre. La Baronne Neville-Jones a répondu à ce dernier en déclarant que lorsque la vie de personnes est en danger, aucun risque ne peut être laissé au hasard.
Eugène Kaspersky a ensuite rejoint la Baronne Neville-Jones, Latha Reddy (ancienne conseillère adjointe à la sécurité nationale de l’Inde) et Jae Woo Lee de l’Université de Dongguk et de l’Association des professionnels de la cybercriminalité à Séoul pour parler de l’état déplorable de la sécurité des infrastructures critiques.
« Il y a seulement deux choses qui me réveillent la nuit », a déclaré Eugène Kaspersky, « l’insécurité des infrastructures critiques et les turbulences ».
Le modérateur de ce débat fut Howard Schmidt, l’ancien coordinateur de la sécurité informatique dans l’administration d’Obama. Celui-ci a demandé aux intervenants ce que l’on pouvait faire face aux sérieux problèmes des systèmes qui contrôlent des éléments vitaux comme les centrales énergétiques.
« Prier », a alors répondu Eugène Kaspersky avec un sourire amer.
Suivez notre blog pour découvrir ce qu’il s’est passé le deuxième jour de SAS.