mercredi 9 mars 2011

Bercy or not Bercy...

Edit : En fait, j'ai des éléments éventuellement intéressants suite aux éléments du dernier article de Paris Match...Ainsi, j'ai pu trouver quelques informations intéressantes en libre accès sur Internet : noms de domaines de serveurs mails du minefi, des adresses et des formats d'adresses correspondant à Bercy et enfin plusieurs noms de collaborateurs dont certains estampillés "cadre" ou "cabinet"...

Bref, de telles informations peuvent être utilisées pour préparer les attaques dont on parle et contrairement aux assertions un peu rapide de l'article en question, ces informations ne sont pas dissimulées !

Par discrétion, je tairais les moyens et les résultats dont j'ai usé pour trouver cela mais je pense que chaque spécialiste en sécurité et notamment les spécialistes en intrusion pourront confirmer si besoin ! Et surtout, ils n'ont rien d'exceptionnel

=====================================================================

desA tort peut-être, je ressens une certaine pression pour publier sur Bercy. J'avouerais que je n'ai pas grand chose à dire de plus aussi me permettrais-je d'orienter mes lecteurs sur des sources intéressantes ou "moins" intéressantes.

"Je n'aime pas" :

- l'article de Paris Match...Certains auteurs s'en sont d'ailleurs gentiment moqués en nous invitant à réfléchir : http://reflets.info/bercy-sept-cent-millions-de-chinois-et-moi-et-moi/

- une intervention sur BFM TV qui affirmait en substance qu'il fallait chercher à qui profite le crime et en déduisait la culpabilité des chinois...

"Je trouve intéressant" :

- l'article de SID qui constitue un très bon résumé et montre le niveau technique "moyen" de l'attaque : http://sid.rstack.org/blog/index.php/462-du-piratage-de-bercy

- l'article de M. Ventre qui rappelle quelques constantes en particulier que les États constituent des cibles de choix, que cette attaque est "classique" et qu'il faut se garder de toute analyse hâtive : http://pro.01net.com/editorial/529614/les-cyberattaques-nepargnent-personne-surtout-pas-letat/

- le communiqué de l'ANSSI : http://www.ssi.gouv.fr/site_article320.html

- le scénario alternatif, que je trouve très crédible, de M. E. Filiol sur l'implication des hacktivistes et de la mouvance altermondialiste (ex. des fanas de Wikileaks) : http://www.dedefensa.org/article-bercy_la_piste_de_l_altermondialisme_numerique_09_03_2011.html

Pour ma part, je n'ai rien à ajouter car tout me semble dit ! Je ne dirais pas que c'est un non-sujet car c'est peut-être une douche froide salutaire :D Rappelons toutefois une chose : les attaques réussies sont par nature très discrètes voire non repérables : combien alors d'attaques en cours et inconnues pour UNE détectée ?

10 commentaires:

  1. Fais-moi plaisir, rajoute Filliol dans les "j'aime pas" : http://owni.fr/2011/03/07/bercy-la-piste-de-laltermondialisme-numerique/

    RépondreSupprimer
  2. De toutes mes lectures j'ai cru voir que l'intrusion a été faite via un e-mail ciblé contenant un pdf exploitant un 0-day pour installer un trojan.
    En deuxième phase le trojan a pu récupérer le carnet de contact pour envoyer à nouveau un mail et se propager à plus grande échelle en interne.
    Dans le tas certains utilisateurs admin de leur poste ont été compromis.
    D'un côté l'ANSSI a mis en place du filtrage réseau, des sondes et du monitoring niveau infra et de l'autre ils ont mis en place un process de patch management et d'audit des droits d'admin.
    Bref rien de sorcier et pourtant on n'est loin de voir ça partout...

    De tous ces éléments, je n'ai pas l'impression que l'attaque se voulait furtive. Les e-mails laissent trop de traces à mon goût... Et ça devrait faire partie des "signaux faibles" que les utilisateurs devraient remonter au responsable sécurité.

    RépondreSupprimer
  3. Est-ce que cette médiatisation montre un changement des mentalités dans la façon d'aborder le problème des intrusions ?
    Fini les "Han on s'est fait pirater la honte sur nous, il faut surtout que personne ne le sâche !".
    Ou alors c'est un coup médiatique de l'ANSSI pour démontrer son utilité sur une réponse à incident bien gérée...

    D'ailleurs tout le monde devrait être persuadé qu'aucune entreprise n'est protégée à 100% et que ce n'est qu'une question de temps avant de se faire pirater... Donc aucune honte à avoir.
    Corollaire, vous allez vous faire pirater quelque soit votre niveau de défense, l'important c'est de le détecter et de réagir rapidement...

    RépondreSupprimer
  4. Merci pour la rafale de commentaires :D !

    Pour M. Filiol, je t'accorde que le ton de l'article que je donne en source est pas terrible mais forcément complétement faux. En revanche, son hypothèse tient la route y compris et surtout si on souscrit au "cherchez à qui profite le crime de nos amis de BFM"...

    Input très intéressant dans ton second message : il est vrai que l'utilisation des mails comme moyen d'intrusion est bien plus "visible" qu'on ne pourrait le croire...J'y avais pas pensé ^^

    Sur ta question dans la 3ème partie, je dirais que "non", je pense pas que ça changera forcément beaucoup de choses au moins de suite mais la prise de conscience peut-être bénéfique à long-terme.

    Enfin, je suis "mitigé" sur ton dernier paragraphe : certains systèmes ou informations ne doivent tout simplement pas être piratées...Donc, OK sur la réactivité car elle est cohérente avec la défense en profondeur par exemple mais cette réactivité doit être conçue comme un moyen de protéger un éventuel "coeur" de système que l'on veut préserver..

    Un peu théorique hein :D ! Encore merci !

    RépondreSupprimer
  5. Disons que le côté non-furtif me fait aussi un peu penché du côté de l'idée de Filliol : Gros coup médiatique rapide du type hacktivisme...

    Il est vrai qu'un système réellement sensible type SCADA était jusqu'à maintenant encore "déconnecté" du réseau.
    D'un autre côté toute la paie, la messagerie et les serveurs de fichiers sont connectés...

    (Je contribue puisque je t'ai forcé à écrire l'article. :)

    RépondreSupprimer
  6. J'approuve, j'approuve la participation !

    Rassure-toi, la "pression" à laquelle je faisais référence était au moins autant "environnementale" (il faut tenir son rang dans le monde de blogs :D) que due à tes commentaires.

    Tout à fait d'accord avec ton analyse sur l'approche de M. Filiol. Par ailleurs, j'ai hésité à modifier l'article pour y inclure ton input sur les mails ! Je l'avais vraiment pas vu comme cela et c'est très intéressant !

    Sur la déconnexion des système sensibles, j'ai deux opinions :

    - soit le système est déconnecté complétement mais des "passerelles" existent : clés usb...ce qui renforce la probabilité que certains risques se produisent, notamment sur la disponibilité et l'intégrité. C'est le cas Conficker et Stuxnet.

    - soit le système est connecté, même indirectement : il existe un câble au minimum et parfois même un Niveau 2, même au travers de tunnels ou autres...Et là, c'est plus problématique encore :(...Je n'ai pas d'exemple en tête mais de là à affirmer que cela n'existe pas, je ne prendrais pas de risque !

    RépondreSupprimer
  7. J'avais clashé un client dans ma jeunesse sur un coup comme ça...
    Un magnifique système d'update qui lançait automatiquement un process lorsqu'on insérait le CD d'update. Dommage d'utiliser Trusted Solaris et de recréer des fonctions Windows =)
    J'ai gentillement demandé à retirer l'autoexec et à faire vérifier l'intégrité des données avec un hash...

    RépondreSupprimer
  8. J'ai réalisé également un article un peu plus technique sur l'attaque de Bercy avec quelques mises à jour post-rédaction liées à de nouvelles informations liées à l'attaque.

    L'article est disponible ici : http://blog.felix-aime.fr/cyberwarfare/bercy-victime-dun-piratage-informatique-retour-technique-et-tactique/

    Cordialement.

    RépondreSupprimer
  9. http://www.assemblee-nationale.fr/13/cr-cdef/10-11/c1011041.asp
    M. Patrick Pailloux.
    Premièrement, l’État ne donne pas encore suffisamment l’exemple. C’est pourquoi nous avons souhaité rendre publiques les attaques informatiques dirigées contre Bercy. Les réseaux sont très souvent attaqués. Or, faire la politique de l’autruche nous empêche de mobiliser les moyens nécessaires. Nous devons donc communiquer pour que les entreprises prennent conscience de la menace et se donnent les moyens d’investir dans leur sécurité informatique.

    RépondreSupprimer
  10. Décidément, le sujet t'inspire ^^

    Merci de faire l'effort des commentaires !

    Très intéressant encore une fois...Comme quoi, même dans le public, on peut mettre des coups de pied dans la fourmilière

    RépondreSupprimer