Entre 14h et 15h aujourd'hui, les serveurs DNS utilisés pour gérer la zone .DE (Allemagne) ont été victimes d’une grosse panne d’origine encore non identifiée. Côté allemand, sur les 6 serveurs DNS de DENIC, 4 auraient été hors service ; les seuls sites en extension .DE accessibles étaient les sites pour lesquels les fournisseurs d’accès à Internet possédaient encore en cache leur adresse IP.

Cette panne a été visible de ce côté de la frontière, puisque bon nombre de sites majeurs allemands étaient inaccessibles (comme par exemple, Google.de). A noter que les premières victimes de cette panne étaient les domaines qui possèdent une durée maximale de mise en cache faible (la fameuse valeur TTL, ou « Time-to-live »).

Effet de bord important : les domaines sur d'autres extensions qui n'ont rien à voir (.AT, .COM, .NET, etc.), et gérés par un serveur DNS d'autorité en extension .DE, ont été aussi affectés.

Si une telle panne s'était prolongée dans la durée, ses conséquences auraient pu être très importantes, bien plus graves que les dénis de service qu’ont connu l’Estonie ou la Géorgie. Rien n’indique à l’heure actuelle qu’il s’agisse d’autre chose que d’un accident.

Mise à jour du 17/05 : le problème affectant certains domaines en .AT n'était pas de même nature : il s'agissait d'effets de bord consécutifs à la panne en Allemagne, en raison du fait que des domaines .AT étaient gérés par des serveurs sur l'extension allemande.

Les médias spécialisés focalisent depuis plus d'un an leur attention sur les nouvelles formes de risques apportés par le « Web 2.0 » - à savoir, micro-blogging (Twitter), et réseaux sociaux personnels (Facebook, MySpace...) et professionnels (LinkedIn, Viadeo, etc.). Attention d'ailleurs focalisée à juste titre sur les risques de fuites d'information, certains salariés se rendant coupables d'indiscrétions parfois catastrophiques dans leurs profils, révélant par exemple :

• L'identité de leurs clients et les montants des contrats associés ;
• Des informations sur les projets informatiques actuellement en cours : développements internes, choix technologiques réalisés, déploiements en cours, budgets, etc. ;
• Des détails extrêmement précis sur l'environnement technique du système d'information de l'entreprise : versions de logiciels, d'OS, type de navigateur web employé, etc.

Mais bien que le risque soit parfaitement réel - une société de sécurité, SnoSoft, a d'ailleurs démontré le piratage du SI d'une banque uniquement à travers des informations issues des réseaux sociaux - il semble surévalué. Et surtout, comme tout risque « Ã  la mode », il occulte un autre risque encore plus important : le risque de voir des documents internes fuiter à travers le bon vieux Web 1.0.

En effet, nous réalisons pour nos clients depuis plusieurs années le recensement des fuites d'information avérées les affectant sur Internet. Les informations les plus sensibles que nous identifions ne se trouvent pas forcément sur les réseaux sociaux : cela peut surprendre, mais on trouve systématiquement des documents internes en libre accès, sur les sites web légitimes des sociétés concernées ; documents souvent estampillés « confidentiel » ou « Ã  usage interne », et qui n'ont de toute évidence rien à faire sur le Web.

La deuxième source principale de fuites d'information est constituée par les salariés eux-mêmes, stagiaires, personnels temporaires et consultants externes, qui utilisent des espaces de stockage personnels extérieurs à l'entreprise (sites web personnels, FTP ouverts, sites de partage de documents...) pour pouvoir travailler le week-end ou le soir. De même, beaucoup de stagiaires travaillent sur leur rapport de stage pendant leur temps libre, et mettent ce document en ligne sur leur site personnel. L'ennui est que ces comportements à risque sont permanents, la présence de ces documents perdurant bien au-delà de leur usage initial.

Ce phénomène est tellement commun que la question n'est plus de savoir si de telles fuites affectent ou non les entreprises du CAC40, dont le SI très complexe offre autant de points de fuite potentiels : la vraie question, c'est combien de documents internes sensibles concernant l'entreprise sont disponibles sur Google, à la vue de tout le monde à un instant donné. Et contrairement aux réseaux sociaux, qui requièrent la mise en oeuvre de moyens conséquents pour exploiter les fuites découvertes (les attaques par agrégation nécessitant un recoupement, minutieux et exhaustif, des bribes d'information se trouvant dans les profils), un seul document interne « fuité » peut gravement porter préjudice à l'entreprise.

Les moyens pour maîtriser les fuites de documents internes sont assez simples à mettre en oeuvre :

• Sur le système d'informations, il s'agira de vérifier le niveau de visibilité externe des sites web légitimes, ainsi que la présence de documents de travail sur ces sites ;
• Lorsque la fuite est occasionnée sur un site externe au SI, il s'agira de détecter cette fuite par une surveillance des moteurs de recherche, et en guise d'intervention correctrice, d'obtenir la suppression des documents concernés auprès de leur hébergeur.

Des mesures aisées et peu coûteuses, possédant un retour sur investissement rapide, et qui contrastent avec les réseaux sociaux, où la maîtrise du risque est coûteuse, tant du point de vue de la surveillance exhaustive des réseaux - inatteignable et inutile - que par rapport à la fragilisation de la relation entre l'entreprise et le salarié, ce dernier pouvant réagir très négativement à une telle démarche. Sans compter les recommandations bancales, pratiquement inapplicables qui ont pu être données ça et là, comme par exemple :

• Ne pas accepter de mise en relation sans vérifier au préalable l'identité du demandeur : si cette recommandation peut à la limite avoir un sens sur les réseaux purement professionnels, en revanche sur les réseaux personnels, elle se vide de toute substance. Les réseaux sociaux sont précisément un lieu primaire de prise de contact : désormais, on se rencontre d'abord en ligne à travers un point d'ancrage virtuel, puis ensuite seulement la rencontre se matérialise « in real life ». impossible donc de vérifier a priori l'identité du demandeur - de nombreux professionnels de la sécurité en ont d'ailleurs fait les frais ;
• Ne pas donner trop d'informations à caractère personnel sur son profil : encore une contradiction fondamentale avec le principe même des réseaux sociaux, qui cristallisent et dopent l'égo - voire l'exhibitionnisme - de ses membres, en incitant toujours à publier davantage et plus vite : photos de vacances, vidéos, etc. La majorité des utilisateurs s'inscrivent sur ces sites précisément pour parler d'eux-mêmes, leur demander de ne plus le faire serait voué à l'échec ;
• Ne pas partager sa liste de contacts sans restriction : que cette liste soit partagée ou pas, aucune différence, puisqu'une mise en relation effective suffit à la dévoiler.

Autant de recommandations qui aimeraient plutôt dire « n'utilisez pas les réseaux sociaux », mais sans trop l'assumer.

En conclusion, gardons un oeil sur le bon vieux web 1.0, qui n'a pas fini de nous jouer des tours !

Au beau milieu des acteurs de la réponse à incident de sécurité informatique se trouvent les services "Abuse". La quasi-totalité des hébergeurs disposent d'un tel service, généralement joignable exclusivement par e-mail à "abuse@nomduFAI". Ces services travaillent sur des aspects techniques afin de faire respecter le bon usage de leurs services et de protéger les internautes de certaines menaces. Ainsi, parmi leurs missions les plus fréquentes on trouve en particulier le traitement des signalements des cas :

• de sites illicites hébergés au sein de leur parc (qu'ils feront fermer/désactiveront) ;
• de malware hébergés sur les sites web de leurs utilisateurs (qu'ils retireront) ;
• de spams envoyés ou reçus ;
• de compromission de serveurs ;
• etc.

Ces services collaborent étroitement avec les équipes CERT ainsi qu'avec les services judiciaires afin de faire cesser au plus vite toute infraction.

Seulement voilà, il s'agit de...la théorie. Dans la pratique, les services abuse sont souvent lents, et relativement opaques. Malgré le fait qu'en France, ils aient l'OBLIGATION de faire retirer les contenus illicites dès qu'ils en ont connaissance, les délais d'intervention de ces services sont très variables. Les services abuse répondent souvent à un mail par un message automatisé, ou ne répondent pas du tout, et vous envoient un mail (ou pas) lorsqu'un incident est résolu. Parfois ils agissent sans fournir aucun retour, ou n'agissent tout simplement pas.

Du coup, le meilleur moyen de savoir s'il y a eu une action de leur côté est souvent de consulter régulièrement la page web à problème (dans le cas d'un site de phishing par exemple) jusqu'à la voir disparaître.

Les services abuse sont également les ennemis des cybercriminels. C'est le jeu, et ces derniers ont pour habitude de faire héberger leurs contenus frauduleux sur plusieurs serveurs différents, sachant pertinemment qu'ils seront fermés au fur et à mesure.

Récemment cependant, nous avons pu observer un nouveau type d'attaque ciblée de la part de certains cybercriminels. Ces derniers écrivent au service Abuse en se faisant passer pour un internaute ayant un problème de sécurité, un mail parmi tant d'autres à traiter... Ils prétextent avoir vu un site de phishing, et indiquent un lien vers une page frauduleuse que l'équipe de réponse à incident va consulter afin de vérifier la véracité des dires de l'internaute. Mais ce lien les dirige directement sur une page dont le seul but est... d'infecter le service Abuse avec un cheval de Troie !

Voici un exemple d'un tel e-mail :

--

To: abuse@bank.com

Cc: fraud@bank.com; scams@bank.com; customersupport@bank.com; security@bank.com

Subject: Possible Fake Web Site

Hello, I just received an email stating it was from your bank and since I don't have any accounts with you I think this is a fake site. I just thought you might like to know someone is trying to scam your customers.

The email had the following link to your bank [LINK]

Thanks, I hope you catch the scammers.

--

Les intérêts d'une infection d'un service abuse sont multiples mais je vois surtout les possibilités de :

• disposer d'une porte dérobée au sein de l'entreprise, pour ensuite rebondir et compromettre d'autres machines de l'entreprise. Le fait qu'une adresse mail "abuse@fournisseurdacces" existe presque toujours y contribue ;
• observer le mode de fonctionnement du service ;
• usurper l'identité du service abuse afin de contacter d'autres services ou clients et les infecter avec des malware ;
• espionner les mails parvenant au service abuse pour obtenir de l'information utile transmise par les clients (numéros de cartes bancaires, identifiants et mots de passe d'accès à des services, etc.).

Dans l'exemple réel que nous avons cité, et dans lequel nous avons évidemment changé les adresses pour respecter l'anonymat de l'établissement bancaire ciblé, vous pouvez voir en plus que les fraudeurs ont envoyé leur e-mail vers plusieurs services "à l'aveugle" : des adresses ayant des chances d'exister ont été ajoutées (security@, fraud@, customersupport@ ...).

Comme toujours donc, que vous soyez un particulier ou un professionnel de la sécurité informatique, la prudence est de mise. Favorisez les navigateurs exotiques, soyez toujours à jour au niveau de votre logiciel anti-virus, et soyez préparés à rétablir un système sain rapidement en cas d'infection.