Conservation généralisée des données : un coup porté à la surveillance de masse!

Publié le 03/01/2016

La Cour de justice de l'Union européenne a rendu un arrêt très important le 21 décembre dernier, en condamnant le principe de conservation généralisée des données par les opérateurs, y compris lorsque ce sont les États qui souhaitent instaurer ce principe notamment pour des questions liées à la sécurité et à la lutte contre la criminalité.
La conservation de données doit rester l'exception et non la règle, et ne peut être pratiquée qu'avec de sérieux garde-fous, à cause de la violation très sérieuse du droit au respect de la vie privée que constitue cette conservation.
La Quadrature du Net salue cette décision extrêmement positive et demande au gouvernement français de prendre enfin acte des décisions européennes, en abrogeant l'ensemble des législations touchant à la conservation et à l'exploitation des données de connexion des internautes.
[...]
Cet arrêt de la CJUE va devoir poser les questions politiques indispensables à notre temps, après deux décennies de course à la surveillance via la conservation des données de connexion : comment reconstruire un système où l'équilibre des droits est respecté ? La plus haute juridiction européenne demande de stopper l'usage massif des données de connexion, y compris pour des motifs affichés de sécurité. Il y a donc de nouvelles méthodes à inventer, un nouvel équilibre à trouver, des choix politiques à faire sur la nécessité absolue du respect des droits fondamentaux, y compris lors de périodes troublées où les décideurs politiques ont tôt fait de sacrifier ces droits fondamentaux au profit de politiques sécuritaires dont il n'a pas non plus été prouvé qu'elles étaient plus efficaces grâce à la surveillance.[...]

Cet article est directement issu d'extrait du communiqué de la Quadrature du Net.

L'arrêt de la Cour de justice de l’Union européenneest consultable ICI.
Consulter l'article de la Quadrature du NEt ou celui des exégètes amateurs

FLASH STAT : Ransomware : une attaque toutes les 40 secondes contre les PME!

Publié le 03/01/2016

Entre janvier et septembre 2016, le nombre d'attaques de ransomware contre les entreprises a triplé.
En septembre 2016, Kaspersky Lab enregistrait une attaque de ce type toutes les 40 secondes contre une toutes les 2 minutes en début d'année.
Une entreprise sur cinq dans le monde est concernée...

Source : le monde informatique.

CNIL : Comprendre les grands principes de la cryptologie et du chiffrement

Publié le 03/11/2016

Historiquement, la cryptologie correspond à la science du secret, c'est-à-dire au chiffrement. Aujourd'hui, elle s’est élargie au fait de prouver qui est l'auteur d'un message et s'il a été modifié ou non, grâce aux signatures numériques et aux fonctions de hachage.
Element incontournable de la securité informatique, la CNIL en propose une explication simple et vous exposant ce que c'est et à quoi ça sert.

Suivez le guide!.

Claude Shannon, le père du binaire, aurait eu 100ans...

Publié le 03/11/2016

Pionnier de la théorie de l’information, Claude Shannon aurait eu 100 ans cette année.
L’acquisition, le traitement, le stockage et la transmission des données sous la forme numérique reposent sur la théorie de Claude Shannon : cette conversion depuis le monde analogique vers le monde numérique a façonné le début du XXIe siècle.
Parmi les nombreux hommages émaillant cet anniversaire, un site interactif du CNRS (qui a obtenu le CSS Design Award du 23 octobre 2016) relate son parcours.

Suivez le guide!.
consulter l'article source.

Ransomware : point sur un trafic facile.

Publié le 24/10/2016

Pas un jour ne se passe sans que l'on entende parler de Ransomware, rançongiciel ou autre crypto virus.
Mais de quoi parle-t-on vraiment? Pourquoi ce fléau est-il aujourd'hui considéré comme une des plus importantes menaces pesant sur les sociétés? (et sur les particuliers) : le rapport annuel sur la cybercriminalité de l’agence de police européenne Europol considérant même que le ransomware est désormais la cyber-menace la plus utilisée sur le continent!(source : rapport EUROPOL )

En effet, si les internautes américains sont les plus ciblés (21,21% de tous les e-mails infectés par des ransomwares dans le monde ciblent les États-Unis), le Royaume-Uni et la France arrivent en seconde et troisième position avec 9,1% et 3,85%!. La part des infections par des ransomwares par rapport au nombre total de malwares diffusés par e-mail est supérieure à 55,5% pour la France sur l'année 2015!
En France, 3,3 % de la population française, soit 2,2 millions de personnes, auraient été victimes de rançongiciels!

Mais, au fait, QU'EST CE QU'UN RANSOMWARE ?

Un RAMSOMWARE est un MALWARE créé pour que l'utilisateur infecté ne puisse plus utiliser son système d'information. Pour cela, le malware va chiffrer les données de l'utilisateur, quelle soient locales ou en réseau. La clef de déchiffrement ne sera fournie qu'après paiement d'une rançon, généralement en crypto monnaie (bitcoin, monero ou autres).
Et un malware, me direz-vous? Un MALWARE est logiciel créé dans le but de compromettre un système informatique sans l'accord du propriétaire de ce système (source : "Sécurité informatique et Malwares",P RASCAGNERES, Ed. ENI)
Quant au chiffrement d'un fichier, voici, par exemple, de quoi s'en faire une idée...

(Image2 : Exemple de fichier texte chiffré en RSA 4096.)

Cela signifie "les données de ce fichier sont très importantes!"... Mais cela reste assez peu lisible, non?

Ce type de malware est ce que l'on appelle un LOCKER.
Il en existe différentes formes :
=> Les Device Locker

- Les bloqueur de navigateur internet, une simple page web qui s'affiche en lieu et place de tout site web demandé (exemple : Browlock ), souvent très simple à supprimer.
- Les virus type "Gendarmerie", "ANSSI", qui bloque l'ordinateur de la victime via une simple fenêtre modale lancée au démarrage de la machine (et accessoirement le blocage de l'appel au gestionnaire de tache). Globalement, ce type de locker a disparu des radars (ils étaient surtout "populaire" entre 2011 et début 2015)

=>Les fameux Crypto-ransomware qui chiffrent les données

Ceux-ci peuvent être à chiffrement symétrique (c.-à-d. et pour faire simple avec une seule clef) ou à chiffrement asymétrique (avec 2 clefs) : on retrouve notamment dans cette famille les TeslaCrypt, CTB-Locker, Cryptowall, Cerber et autre Locki...
(NB : le sheriff de nomoreransom, section "types of ransomware" explique très bien tout cela).
Et, contrairement à ce que l'on pourrait penser, ce type de ransomware n'est pas récent : le POC datant de... 1996!

(Source : White paper MacAfee LAbs, "Understanding Ransomware and Strategies to Defeat it")

Si les attaques de ce type ne cessent d'augmenter depuis 2015, c'est aussi le cas de variante de ce type de malware :

( source : rapport ENDGAME )

COMMENT SE DIFFUSE UN RANSOMWARE ?

Plusieurs scenarii d'infection sont possibles :

1 Exécution d'une pièce jointe
2 Page web piégée
3 Document infecté
4 Attaques informatiques
5 infection par media extractible : DVD, clef USB etc.
6 Autres?

Même si le mode principal de diffusion reste aujourd'hui l'infection par document ou d'une pièce jointe infecté, généralement reçu par email, il ne faut pas oublier que d'autres modes d'infection sont possible. Ainsi, les attaques dites par "force brute" (c.-à-d. par essaie de toutes les combinaisons possibles pour le couple nom utilisateur/ mot de passe) sur les tunnels des bureaux à distance, par exemple, peut potentiellement se solder par un ransomware : à ce sujet, on peut se référer à l'article sur teamxrat, partie "How they attack", publié notamment par la Kaspersky Lab's Global Research & Analysis Team.

QUELS FICHIERS SONT SUCEPTIBLES D'ETRE CHIFFRES ?

Potentiellement tous.
Ainsi, le RANSOMWARE "Jigsaw" peut chiffrer toutes les extensions suivantes :

. ( source : KORBEN ) A noter : des chercheurs en sécurité ont mis au point un déchiffreur pour Jigsaw.
Certains des derniers RANSOMWARE, non déchiffré pour le moment, sont aujourd'hui capable de chiffré... l'intégralité du disque dur d'une machine!

Avant de rentrer plus avant dans le fonctionnement de ce type de malware, posons la question...

POURQUOI LES RANSOMWARE SONT ILS DEVENUS AUSSI OMNIPRESENTS ?

La réponse est simple : Parce que cela génère beaucoup argent très facilement! Tout simplement!
Je vous laisse calculer la rentabilité de la chose : selon les données Bitdefender, le ransomware cryptolocker et ses variantes ont généré 900 K€ de dommages MENSUEL pour un prix d'achat du Kit sur le DARKWEB de ... 2700€!!!

Une rapide recherche sur le DARK Web et l'on obtient ...

Que démontres ces exemples? Plusieurs choses :
D'une part, pas besoin d'être informaticien pour pratiquer le ransomware : le DARK Web regorge de ce type de produit, on y trouve même - comme déjà précisé- des kits de construction complet, à l'instar de Tox!
D'autre part, l'investissement initial est faible.

Nous sommes donc bel et bien entré dans l'ère du "Crime-as-a-service", comme nous le confirme la Revue CREOGN dans sa parution de mai 2016 :
"Le blog Knowledge de l'INSEAD a mis en ligne le 11 avril 2016 un article sur la professionnalisation des cybercriminels. Son auteur,[...], explique que l'activité criminelle sur Internet a pris un tour professionnel notamment grâce aux facilités offertes par le dark net. Véritable marché guidé par la demande, le crime s'est organisé en adaptant la qualité et la diversité de ses offres de service. Pour reprendre les termes du langage économique, le crime en tant que service (« crime as a service ») fonctionne aussi bien en Business-to-Business (entre professionnels) qu'en Business-to-Consumer (relation professionnel-consommateur). Ainsi, des criminels proposent à d'autres criminels des services tels que la fourniture de logiciels malicieux, la mise à disposition d'outils de développement de logiciels ou encore de capacités matérielles, voire des prestations d'ingénierie sociale destinées à commettre des arnaques. S'agissant des offres « grand public », la qualité croissante des produits proposés et le niveau d'auto régulation de ce marché parallèle sont soulignés : dans ce business trouble comme sur l'Internet « normal », la confiance est nécessaire pour faire des affaires…
En conclusion, l'auteur rappelle que si les grandes firmes peuvent s'offrir des systèmes de protection de bon niveau, la situation des petites et moyennes entreprises est souvent précaire en termes de sécurité informatique et de protection contre la cybercriminalité, quelque forme qu'elle puisse revêtir."

Et, alors que la cybercriminalité se 'professionnalise', la plupart des entreprises infestées préfère payer!

Ainsi, selon Sasha Romanosky, de la RAND Corporation, "[..] les coûts induits par les incidents de sécurité apparaissent « relativement modestes », rapportés à d’autres pertes, comme celles générées par la fraude, la corruption ou encore des dettes toxiques, par exemple, et en conséquence pas assez élevés pour réellement inciter aux investissements."
Et l'étude menée par TREND Micro sur les entreprises françaises face aux rançongiciels renforce ces assertions : 50% des entreprises interrogées affectées par un RANSOMWARE paient la rançon. Pourquoi? Parce que, dans 40% des cas, le coût n'est pas jugé insupportable (en général autour de 1 bitcoin, soit, au cours actuel environ 590€) et que cela va souvent plus vite !( source : le mag IT )
Ils encouragent donc, indirectement certes, ce type de trafic... qui n'est donc pas prêt de s'arrêter!

Une préconisation s'impose donc : NE PAS PAYER!

COMMENT FONCTIONNE UN RANSOMWARE ?
(Partie un peu plus technique...)

Les exemples cités ici ne le sont qu'a titre d'information et pour favoriser la compréhension d'un malware. En aucun cas ces informations ne sont destinées à écrire un malware. Ne soyez pas idiot : l'utilisation d'un tel produit est prohibée par la loi! Vous risquez amende et peine de prison.

La principale fonctionnalité d'un ransomware est le chiffrement des données.
Il convient donc d'aborder - de manière pratique, rassurez-vous - la "cryptographie"

Chiffrement des données

Exemple de chiffrement asymétrique avec RSA
"Publié en 1977 par Ron Rivest, Adi Shamir et Leonard Adleman de l'Institut de technologie du Massachusetts (MIT), le RSA est fondé sur la difficulté de factoriser des grands nombres, et la fonction à sens unique utilisée est une fonction "puissance"." (Source, cyptage.org)
RSA va donc nous permettre de générer une paire de clef : l'une publique, pour effectuer le chiffrement et l'autre privée, pour assurer le déchiffrement.

Reprenons le cas de notre fichier test.txt.
RSA étant implémenté dans le très célèbre "openssl", boîte à outils de chiffrement accessible en ligne de commande, il va donc est facile de générer une paire de clef RSA puis d'en extraire la partie publique...

afin de chiffrer le fichier test.txt avec celle ci!

Le résultat? Le fameux fichier devenu inexploitable en l'etat!

Cela est donc parfait pour en assurer la confidentialité et la sécurité, des lors que l'on possède la clef privée pour le décrypter! Mais si on ne possède pas cette dernière... il va être quasiment impossible de récupérer la donnée contenue dans le fichier!!

VOILA POURQUOI LES RANSOMWARES UTILISENT UN SYSTEME DE CLE ASYMETRIQUE!

NB : En fait, les deux types de chiffrement sont souvent utilisés (Cryptographie hybride) :
Les fichiers de la cible sont chiffrés en utilisant un cryptage symétrique (plus rapide) mais la clef utilisée par le chiffrement symétrique est elle-même chiffrée via un cryptage asymétrique, à l'exemple du ransomware TESLACrypt. Pour l'anecdote, la MasterKey de TESLACrypt a été révélée... par les pirates eux même! ( source ESET )
NB2 : Un nouveau RANSOMWARE, CRYPY , récemment apparu, possède plusieurs particularités : d'abord, il est écrit entièrement en Python! Ensuite, et surtout, il possède la capacité de chiffrer chaque fichiers avec une clef de chiffrement différente!!! Enfin, à l'instar de Jigsaw, il est capable de supprimer des fichiers si la rançon n'est pas payée au bout de quelques heures (6, en l'occurrence)!!

Pour chiffrer, il est nécessaire d'utiliser un programme ou une librairie particulière. Alors, qu'en est-il?
de la facilité à réaliser le chiffrement...
Effectivement, dans notre exemple, nous avons utilisé un utilitaire externe, openssl, pour chiffrer notre fichier de test. CTB Locker utilise ce type de pratique mais, en fait, l'outil ou la librairie utilisée dépend de la famille du ransomware... on constate cependant que les libraires de chiffrement utilisées peuvent être -et sont souvent- native au système d'exploitation ciblé!

Voici, par exemple, la lecture d'une Dll Windows et de ses fonctions exposées,

Ou du contenu d'une librairie de cryptographie fournie avec visualstudio, la fameuse "Wincrypt.h"

A noter que toutes ces fonctions sont largement explicitées sur MSDN, par exemple! Merci Microsoft...

Si l'on veut entrer un peu plus dans le code, cela pourrait donner, par exemple, ceci :
Parcours des répertoires

Parcours des fichiers ...

A l'aide de l'algorithme Rijndael (NB : algorithme de chiffrement symétrique employé par le standard AES)

Ce code est issu du travail d'un chercheur en sécurité étranger que l'on ne nommera pas, celui-ci ayant publié l'intégralité du code nécessaire à la création d'un ransomware fonctionnel sur le web public!!
Heureusement, le code accessible en ligne est aujourd'hui détecté par plusieurs antivirus...

Bien. Alors reprenons : la clef de chiffrement est elle-même chiffrée, pour que cette dernière ne soit pas lisible par « retro ingeniering »,...OK...soit...mais alors : comment le RANSOMWARE fonctionne s'il ne peut déchiffrer sa clef de chiffrement?!! Et bien c'est là qu'intervient le C&C!
Hein? Quoi? Comment? le...? Mais qu'est-ce donc qu'un C&C?

Serveur "Command & Control"

Le serveur C&C -ou C2- est simplement un serveur accessible depuis Internet : serveur IRC, serveur web ou autre. Ce serveur constitue le nœud central et la principale vulnérabilité des infections. Donc les développeurs de ransomware, inventifs, ont développés des techniques particulières pour renforcer la disponibilité et l'accessibilité de leur serveur (fast flux, double fast flux, DGA etc.), tout en utilisant des protocoles de communication sécurisés : https, TOR...
Lorsque l'on pense que certains "informaticiens" estiment encore que cela ne sert rien... :(

CryptoLocker : dialogue entre une machine infestée et le C&C source : report "Understanding Crypto-Ransomware", Bromium)

Donc, le virus s'exécute sur la machine infestée, connecte son serveur C&C pour récupérer, selon la version, la clef de déchiffrement de la clef de cryptage ou directement la clef de cryptage. Puis il scan le poste et chiffre les documents dont les extensions lui sont connus, scan le réseau pour, au choix et selon le malware, se propager et répéter l'opération ou bien directement chiffrer à partir du poste infesté.
Quoiqu'il en soit, on comprend aisément pourquoi COUPER la liaison Internet est particulièrement important dans le cas d'une attaque constatée.

Il ne reste donc plus au malware qu'à laisser un message demandant la rançon... :

(Le célèbre JohnyCryptor, malheureusement bien connu en Béarn)

Evidemment, chaque ransomware diffère et l'on ne peut donc que décrire de grands principes de fonctionnement, pas nécessairement limité à ce type de malware. Par ailleurs, il manque à notre analyse un certain nombre d'élément technique : offuscation du code, résilience du code...etc...
to be continue...?

BIBLIOgraphie lacunaire :

"Sécurité informatique et Malwares, analyse des menaces et mise en oeuvre des contre-mesures", P Rascagneres, Ed. ENI, Avril 2016
"PRACTICAL MALWARE ANALYSIS, The Hands-On Guide to Dissecting Malicious Software", M Sikorski & A Honig, Ed No starch press, 2012

"Understanding the Depth of the Global Ransomware Problem, An Osterman Research Survey Report", August 2016 (sponsored by MalwareBytes)
"RANSOMWARE: UNLOCKING THE LUCRATIVE CRIMINAL BUSINESS MODEL", Bryan Lee (sponsored by paloAlto report)
"Russian Underground Revisited" Max Goncharov, A Trend Micro Research Paper

WEBographie lacunaire :

http://villemin.gerard.free.fr/Crypto/RSA.htm
http://www.cryptage.org/cle-publique.html
http://forum.malekal.com/crypto-ransomware-rancongiciels-chiffreurs-fichiers-t49834.html
http://blog.talosintel.com/2016/04/ransomware.html
https://www.endgame.com/blog/your-package-has-been-successfully-encrypted-teslacrypt-41a-and-malware-attack-chain
https://blogs.technet.microsoft.com/mmpc/2016/05/18/the-5ws-and-1h-of-ransomware/

https://www.clubnix.fr/page/cl%C3%A9s-rsa-chiffrement-et-d%C3%A9chiffrement-avec-openssl
http://www.lifl.fr/~wegrzyno/portail/PAC/Doc/TP5/tp-certif003.html
http://security.stackexchange.com/questions/10949/encryption-should-i-be-using-rsa-or-aes

http://www.sophosfranceblog.fr/ransomware-teslacrypt-master-key-dechiffrer-fichiers-devoilee/
http://www.welivesecurity.com/2016/05/18/eset-releases-decryptor-recent-variants-teslacrypt-ransomware/
http://support.eset.com/kb6051/

http://www.huffingtonpost.fr/laurent-heslault/cyberattaques-pme-pas-une-fatalite_b_9365864.html
http://www.huffingtonpost.fr/laurent-heslault/comment-et-pourquoi-se-developpent-les-ransomware-et-comment-se/
https://fr.wikipedia.org/wiki/Crypto-verrouilleur
http://www.commentcamarche.net/faq/33278-trojan-winlock-virus-gendarmerie-anssi-police-interpol
http://www.commentcamarche.net/faq/1057-differents-types-de-malveillants
http://wiki.signal-arnaques.com/arnaque-type
http://www.touteleurope.eu/l-union-europeenne/autres-institutions/synthese/europol-office-europeen-de-police.html

http://www.lemagit.fr/actualites/450401221/Rancongiciel-un-cout-suffisamment-faible-pour-beaucoup https://stopransomware.fr
http://www.gendarmerie.interieur.gouv.fr/crgn/CREOGN ( numero de mai 2016)
Au sujet du Bitcoin et des monnairs cryptographiques, l'INRIA propose une video expliquative et...plus! (Le bitcoin et les monnaies cryptographiques)

Actualités

Conservation généralisée des données : un coup porté à la surveillance de masse!

Publié le 03/01/2016

FLASH STAT : Ransomware : une attaque toutes les 40 secondes contre les PME!

Publié le 03/01/2016

CNIL : Comprendre les grands principes de la cryptologie et du chiffrement

Publié le 03/11/2016

Claude Shannon, le père du binaire, aurait eu 100ans...

Publié le 03/11/2016

Ransomware : point sur un trafic facile.

Publié le 24/10/2016