Je suis encore à l'aéroport de Nantes au moment où je rédige ces quelques lignes. En effet, j'étais à Nantes pour le Web2Day et c'était vraiment cool. J'ai pu rencontrer pas mal de gens qui font du web là bas et c'était très enrichissant. J'ai aussi participé à un panel pour causer sécurité et plus particulièrement de bug bounty (of course !).
Mais surtout, j'ai pu retrouver Gaël Musquet alias RatZillaS sur Twitter, que je croise souvent dans ce genre d'événement web, sécu ou libres. Et cette année, au Web2Day, Gaël est venu sensibiliser les gens sur l'importance du hacking en exposant pendant ces 3 jours, une Tesla Model X sur laquelle il a réussi à se connecter pour en extraire toutes sortes de données. L'objectif est de permettre à tout le monde de reprendre la main sur des ordinateurs roulants, qui bien que vous appartenant sur la carte grise, sont encore aux mains des constructeurs qui peuvent à tout moment effectuer des actions à distance sur votre véhicule.
Bref, je ne vais pas m'étendre sur le sujet, car Gaël parle de ça mieux que moi. Il est aussi à l'origine avec ses amis, de la création d'un lieu baptisé l'Hermitage où se mêlent le hacking, la permaculture, les initiatives de transition énergétique...etc. Bref, un véritable hacker space en pleine nature.
Encore merci à Gaël d'avoir pris le temps de partager tout cela avec nous.
Article rédigé dans le cadre de la Hacker's Challenge et sponsorisé par Radware
Avant de rentrer dans le vif du sujet, je vous propose de faire d'abord une petite plongée historique non douloureuse.
Dans la petite ville de Champaign et Urbana dans l'Illinois (aux États-Unis) se trouve le CERL, un laboratoire de recherche informatique. Et en face du CERL, il y a un lycée.
Et si vous vous étiez rendu dans ce lycée en 1974, vous auriez pu y rencontrer David Dennis, un garçon de 13 ans passionné d'informatique. David très curieux de nature avait entendu parler d'une commande pouvant s'exécuter sur les systèmes PLATO qui justement se trouvaient au CERL. PLATO était l'un des premiers systèmes multi-utilisateurs grand public destinés à l'éducation et la recherche.
Ce système a été à l'origine de nombreux concepts modernes liés à l'utilisation multi user comme l'email, les chats rooms, la messagerie instantanée, les jeux multijoueurs ou le partage d'écran.
La commande apprise par David était "external" ou "ext" qui permettait d'interagir directement avec un périphérique externe connecté au terminal. Le truc rigolo, c'est que si vous lanciez cette commande sur un terminal où rien n'était branché, cela faisait crasher totalement la machine. Un reboot complet était alors nécessaire pour faire refonctionner le terminal. C'était un peu la blague du moment et David était curieux de voir ce que ça pourrait donner si cette commande était lancée simultanément sur tous les terminaux d'une salle pleine d'utilisateurs.
La bonne blague quoi !
Il a donc mis au point un petit programme et s'est rendu au CERL pour le tester. Résultat, 31 utilisateurs éjectés de leur session et obligés de rebooter. C'était la première attaque DoS (Déni de Service) de l'histoire. Suite à ça, PLATO a été patché pour ne plus accepter "ext" comme une commande pouvant être exécuté à distance.
A la fin des années 90, le DoS était aussi régulièrement pratiqué sur l'IRC pour déconnecter tous les gens d'une room afin que l'attaquant puisse reprendre la main sur l'administration de celle-ci en étant le premier à s'y reconnecter.
Des années plus tard, en août 1999, un hacker a mis au point un outil baptisé "Trinoo" afin de paralyser les ordinateurs du réseau de l'Université du Minnesota. Trinoo était en réalité un réseau composé de quelques machines "maitres" auxquelles le hacker pouvait donner des instructions de DoS. Ces machines maitres faisaient ensuite suivre ces instructions à des centaines de machines "esclaves", floodant massivement l'adresse IP de la cible. Les propriétaires des machines esclaves n'avaient aucune idée que leur machine était compromise. Ce fut l'une des premières attaques DDoS à grande échelle.
Le DDoS (Déni de Service Distribé) est devenu au fil des années la technique la plus utilisée pour paralyser des machines et le grand public a commencé à entendre ce terme en 2000 lorsque le site du FBI, eBay, Yahoo, Amazon ou encore le site de CNN en ont fait les frais lors d'une attaque d'une ampleur encore jamais observée à l'époque.
Maintenant la technique du DDoS est utilisée aussi bien par des cybercriminels réclamant des rançons que par des hacktivistes désireux de faire entre leur point de vue.
Types d'attaques DDoS
Il existe 3 catégories d'attaques DDoS :
Les attaques DDoS basées sur le volume
Les attaques DDoS ciblant les applications
Les attaques DDoS à bas volume (LDoS pour Low rate)
Attaques DDoS basées sur le volume
Le concept est assez classique. Il s'agit de flooder la cible avec une grande quantité des paquets ou de connexions pour saturer tous les équipements nécessaires ou pour mobiliser toute la bande passante. Elles nécessitent des botnets, c'est à dire des réseaux de machines zombies capables de flooder des machines de manière synchronisée.
Ces réseaux botnet sont contrôlés par des cybercriminels qui l'utilisent pour leur profit ou qui le louent à l'heure à leurs clients pour une somme abordable. Ainsi, sans compétences techniques particulières, des mafias, des employés mécontents ou des concurrents peuvent franchir le pas et paralyser un serveur.
Attaques DDoS ciblant les applications
Une attaque DDoS peut cibler différentes applications mais la plus commune consiste à flooder à l'aide de requêtes GET et POST, le serveur web de la cible. Surchargé par ce flood HTTP, le serveur web ne parvient plus à répondre et le site ou le service devient inaccessible. D'autres applications peuvent être ciblées comme les DNS.
Attaques à bas volume
Ces attaques tirent le plus souvent parti de défaut de conception dans les applications. Avec une très petite quantité de données et de bande passante, un attaquant peut paralyser un serveur. L'un des exemples les plus connus est celui de Slowloris, un outil développé par RSnake (Robert Hansen) qui maintient ouvertes des connexions sur le serveur cible en envoyant une requête partielle. Ces connexions non refermées qui s'accumulent saturent alors totalement le serveur.
Je vais maintenant vous détailler des méthodologies de DDoS très connues pour que vous ayez une idée du fonctionnement de celles-ci.
Le Flood ICMP fait partie des attaques les plus anciennes. L'attaquant sature la cible à l'aide de requêtes ICMP echo (un genre de ping) ou d'autres types, ce qui permet de mettre par terre l'infrastructure réseau de la victime.
Le Flood SYN est un autre grand classique. Il consiste à initier des connexions TCP vers le serveur à l'aide d'un message SYN. Le serveur prend en compte ce message et répond au client à l'aide du message SYN-ACK. Le client doit alors répondre par un nouveau message de type ACK pour signifier au serveur que la connexion est correctement établie. Seulement voilà, dans le cadre d'une attaque de type SYN, le client ne répond pas et le serveur garde alors la connexion ouverte. En multipliant ce genre de messages SYN il est possible de paralyser le serveur.
Le Flood UDP consiste à envoyer un grand nombre de paquets UDP vers des ports aléatoire de la machine cible. Cette dernière indique alors avec un message ICMP qu'aucune application ne répond sur ce port. Si la quantité de paquets UDP envoyés par l'attaquant est conséquente, le nombre de messages ICMP renvoyé par la victime le sera aussi, saturant les ressources de la machine.
Le Flood SIP INVITE touche les systèmes VoIP. Les messages de type SIP INVITE utilisé pour établir une session entre un appelant et un appelé sont envoyés massivement à la victime, provocant le déni de service.
Les attaques Smurf sont un autre type d'attaques basées sur ICMP qui consiste à spoofer l'adresse IP de la victime pour émettre un grand nombre de paquets ICMP. Les machines présentes sur le réseau répondent alors à ces requêtes ICMP, ce qui sature la machine cible.
Les attaques par amplification DNS consistent à envoyer, en spoofant l'adresse IP de la victime, de petites requêtes vers un serveur DNS et d'exiger de lui une réponse d'une taille beaucoup plus importante. Un botnet peut alors largement amplifier la taille d'une attaque en s'appuyant sur des infrastructures existantes légitimes comme les serveurs DNS.
Les attaques chiffrées (basées sur SSL) sont de plus en plus courantes, car elles consomment beaucoup de CPU en enchainant les processus de chiffrement / déchiffrement sur le serveur cible mais aussi parce qu'elles sont plus difficilement détectables par les systèmes d'atténuation d'attaques qui ne sont pas toujours capables de déchiffrer du trafic SSL.
Les attaques 0day sont les plus difficiles à détecter et à stopper, car elles exploitent une faille non connue d'une application pour submerger la machine cible qui devient alors indisponible.
Mis à part Slowloris, des outils comme Low Orbit Ion Cannon (LOIC), High Orbit Ion Canon (HOIC), R.U. Dead Yet? (RUDY), #RefRef ou encore hping permettent aussi, sans grandes connaissances, d'effectuer des attaques DDoS sans avoir recours à d'immenses botnets. Par exemple, #RefRef exploite une vulnérabilité présente dans les bases SQL, et grâce à une injection SQL de quelques lignes, est capable d'enclencher un déni de service efficace.
Évidemment, personne n'est à l'abri d'une attaque DDoS. Heureusement, il existe des solutions techniques comme celles de Radware qui permettent de détecter et réduire l'impact de toutes ces attaques DDoS, qu'elles soient basées sur le volume, qu'elles exploitent un 0day ou qu'elles tentent de se dissimuler sous une couche de SSL.
Pour mieux vous rendre compte de la fréquence de ces attaques, le site digitalattackmap.com propose une carte animée. Vous pourrez voir la nature, l'origine et la destination de ces attaques DDoS qui se déroulent au moment où vous lisez ces lignes.
J'espère que cet article vous aura plu. La semaine prochaine, je vous parlerai des différents moyens que vous avez à votre disposition pour optimiser le chargement de vos pages web.
Cet article merveilleux et sans aucun égal intitulé : Les attaques DDoS ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.
Durant tout le mois de juin, aura lieu le traditionnel Forum Dell EMC et cette année, je me rendrai à celui de Lyon, pour à la fois y échanger (en live sur Periscope) avec les personnes présentes, mais aussi pour y animer une petite conf en compagnie de Bernard Montel de RSA, où nous ferons le le lien entre les solutions autour de la surveillance de la sécurité / l’intérêt d’un SOC et la threat intelligence pour tirer le meilleur des connaissances de la vulnérabilité grâce au bug bounty et à une communauté de chercheurs en sécurité.
Mais j'ai regardé aussi le programme de près et j'ai vu qu'il y avait une conférence sur la GDPR. Vous le savez, le sujet m'intéresse et avec Eric A. Caprioli, Avocat à la Cour, Docteur en droit, membre de la délégation française aux Nations Unies et Isabelle Cantero, Avocat associé (Caprioli & Associés), responsable du Pôle Vie privée et données personnelles, nous avons réalisé cet article qui explique tout ce qu'il y a à savoir sur la GDPR. Je vais donc pas revenir spécialement là-dessus, mais pensez bien à entourer en rouge la date du 25 mai 2018 sur votre agenda, car c'est à cette date qu'entrera en vigueur le texte.
Toutes les sociétés qu'elles soient petites ou grandes sont concernées. C'est un texte européen donc ça concerne d'abord les entreprises européennes, mais si votre entreprise fait du business en Europe, vous êtes aussi concernés.
Le deal est simple : Les sociétés doivent collecter, stocker et utiliser les données personnelles de leurs clients de manière sécurisée. En cas de fuite de ces données, si la protection n'était pas assez effective, l'entreprise peut être sanctionnée et je vous le dis tout de suite, les amendes vont être salées.
Alors en tant qu'entreprise, que devez-vous faire pour vous préparer à la GDPR ? Et bien voici une petite checklist qui je l'espère vous aidera a y voir plus clair.
Étape 1 : Informez-vous
Et quand je dis "vous", je ne parle pas uniquement des dirigeants, DSI, RSSI et du service juridique. Non, vous devez informer l'ensemble des employés à ce qu'est la GDPR d'abord pour que chacun prenne conscience du rôle qu'il aura à jouer vis-à-vis des données des clients, mais aussi pour faire remonter les process à risque.
Étape 2 : Faites l'inventaire
Quelles sont les données personnelles que vous stockez, où sont-elles conservées, comment les obtenez-vous, qui y a accès, combien de temps les conservez-vous, sont-elles chiffrées, les partagez-vous avec des tiers ? etc. Posez-vous toutes les questions et plus encore pour obtenir un inventaire précis des données en votre possession, mais aussi de ce que vous en faites.
Étape 3 : Passez en revue vos conditions générales
Passez en revue l'intégralité de vos CGV et textes relatifs à la collecte des données personnelles de vos utilisateurs. Identifiez les faiblesses de ces textes, complétez-les, renforcez-les et faites en sorte que vos utilisateurs soient informés comme il se doit de vos processus de collecte de données personnelles, de la manière la plus réaliste et précise qui est. Cela vous permettra d'isoler certaines faiblesses pour retravailler ensuite sur vos process internes.
Étape 4 : Soyez le garant de la vie privée de vos utilisateurs
Assurez-vous que vous respectez bien les droits relatifs à la vie privée et aux données personnelles de vos utilisateurs et validez bien la présence de processus de suppression de ces données, de modification ou d'export de ces données à la demande de l'utilisateur.
Étape 5 : Ajustez les délais
Passez en revue et mettez à jour vos procédures pour qu'elles soient réalisables dans les nouveaux délais exigés par la GDPR. Une requête en provenance de l'un de vos utilisateurs doit maintenant être traitée en moins d'un mois.
Étape 6 : Mettez-vous au droit
Le but est de comprendre l'ensemble des processus liés aux données personnelles dont vous disposez et d'identifier et documenter pour chacun d'entre eux vos droits (légalement parlant) à les obtenir, les conserver et les exploiter. Une fois encore, c'est la transparence qui est de mise et c'est ce travail de documentation qui vous permettra de détecter d'éventuels abus de votre côté. Abus pouvant être sanctionnés comme je le disais en début d'articles.
Étape 7 : Assurez-vous que le consentement de vos utilisateurs est sans faille
C'est le moment de vérifier la façon dont vos utilisateurs donnent leur consentement lorsque vous leur demandez des données personnelles. Assurez-vous qu'il n'y a pas d'entourloupe ni de tromperie de votre part qui puisse ensuite vous être reprochée.
Étape 8 : Attention aux mineurs
Si vous proposez des services à destination des enfants et que vous collectez des données sur des mineurs, assurez-vous d'obtenir l'autorisation des parents et mettez en place un mécanisme de vérification d'âge.
Étape 9 : Préparez un plan d'action pour gérer les fuites de données personnelles
Mettez en place des procédures pour détecter, reporter et enquêter sur d'éventuelles fuites de données de vos utilisateurs. Et en cas de faille, assumez-la systématiquement et oeuvrez pour résoudre le problème.
Étape 10 : Apprenez à mener une Étude d'impact sur la vie privée
En anglais, ça se dit DPIA et c'est une méthodologie permettant d'évaluer l'impact potentiel qu'un projet ou une initiative sur la vie privée des gens. L'objectif c'est de permettre aux sociétés d'identifier d'éventuels problèmes liés à la vie privée avant qu'ils émergent et de savoir comment les régler. La CNIL a publié un fascicule sur le sujet que je vous invite à lire.
Étape 11 : Nommez un responsable chargé de la protection des données
C'est le genre de nouveaux jobs qui vont de plus en plus se démocratiser. En anglais ça se dit DPO pour Data Protection Officier. C'est cette personne qui est en charge de veiller sur les données personnelles que vous avez en votre possession. Il joue un rôle transversal dans l'entreprise en aidant chacun à faire sa part pour être carré dans la gestion de ces données et il veille à la sécurité de celles-ci.
Étape 12 : Faites-vous accompagner
Que vous soyez une entreprise mono pays ou établi dans plusieurs pays de l'Union européenne, vous pouvez vous rapprocher des organismes en charge localement de faire respecter la GDPR. En France c'est la CNIL qui est en charge de ça. Dites-leur que vous venez de ma part.
J'espère que ces 12 points de départ vous aideront à y voir plus clair. Je me suis largement inspiré de ce document réalisé par la CNIL irlandaise, mais sachez qu'il y a beaucoup de ressources sur la toile concernant la GDPR et je suis certain qu'en cherchant un peu, vous trouverez la réponse à toutes vos questions. En tout cas, je sais que la CNIL a pas mal de ressources à ce sujet donc allez voir ça.
En attendant, je vous souhaite une excellente journée et j'espère qu'on se croisera lors du DELL EMC forum de Lyon.
Amazon.fr: Petits prix et livraison gratuite dès 25 euros d'achat sur les produits Philips. Commandez Philips Détecteur de mouvement Hue Motion Sensor.
Cet article merveilleux et sans aucun égal intitulé : Comment se préparer au GDPR ? ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.
Les Néerlandais ont sorti une application plutôt cool qui s'appelle Gulden et qui permet de transférer de l'argent ou de payer ses achats sans avoir recours à un intermédiaire bancaire. Cela ne vous rappelle rien ?
Oui c'est aussi une blockchain et, vous l'aurez deviné totalement inspiré du Bitcoin et d'autres monnaies virtuelles.
Mais si le Gulden a retenu mon attention, c'est pour plusieurs raisons. Tout d'abord en termes de développement, l'équipe est super active depuis 2014 et des wallets (porte-feuilles électronique) sont déjà disponibles pour Windows, Linux et Mac (Pas encore iOS). Et à la création de votre wallet, vous obtiendrez une clé secrète qu'il faudra noter dans un coin et conserver en lieu sûr pour être certain de récupérer votre argent même si vous perdez votre appareil sur lequel sont stockés vos Guldens.
Fini les histoires à la con, genre "J'ai jeté mon disque dur et j'ai paumé les 350 Bitcoins que j'avais minés en 2012, ouin."
Ensuite, c'est qu'ils sont pas mal actifs en termes de partenariats et même si ça reste très limité aux Pays Bas, cela montre bien leur envie d'en faire une monnaie de tous les jours qu'on pourra utiliser aussi bien en ligne que chez les commerçants du coin.
L'autre truc c'est que se procurer des Guldens (nom de code : NLG) c'est possible assez facilement chez des brokers comme Litebit ou Changelly. Actuellement, le Gulden vaut dans les 0.057 €. On est encore loin des 2000€ du Bitcoin, mais comme pour le Bitcoin, le Gulden subit aussi l'inflation et en gros (sauf pépin majeur) plus le temps passera, plus vos Guldens vaudront cher.
Bon, tout ça c'est très bien, mais ce n'est pas ce qui différencie vraiment le Gulden d'autres monnaies virtuelles. Si à mon avis, ce projet à de l'avenir, c'est parce que leur blockchain PoW² (Proof of Work 2) est vraiment bien pensée. Les transactions sont ultra rapides et ne nécessitent que 1 ou 2 confirmations pour être approuvées, il est possible de faire travailler son argent pour faire du profit (un peu comme avec votre Livret A, mais en mieux ) et pour le moment, c'est encore raisonnablement "minable" (du verbe "miner") pour ceux qui veulent.
Enfin, l'équipe derrière le Gulden s'est sérieusement penchée sur les faiblesses des blockchains en matière de sécurité et a réussi à régler pas mal de problèmes. Ça dépasse un peu mes compétences techniques, mais je vous invite à consulter leur livre blanc à ce sujet.
Ce qu'il faut en retenir, c'est que le Gulden, bien qu'encore au stade du développement, est évolutif dans le temps, sera capable d'encaisser jusqu'à 4 fois plus de transactions que le Bitcoin, propose une sécurité renforcée et surtout est conçu pour du paiement rapide. À terme il sera aussi possible directement depuis l'application, de faire des virements sur des comptes IBAN ou vers des marchands qui ne veulent que du Bitcoin.
Bref, un projet de cryptomonnaie à surveiller de prêt qui sera peut-être un jour en mesure de concurrencer le Bitcoin. Qui sait ?
Si vous êtes une entreprise ou une association qui a parmi ses valeurs le respect de la vie privée et de la liberté sur Internet, j'ai une excellente nouvelle pour vous.
Le moteur de recherche européen QWANT lance en partenariat avec ma plateforme Européenne BountyFactory.io, un fond de 10 000 euros afin de vous aider à sécuriser votre site ou vos services.
L'objectif est d'aider à soutenir et faire progresser le respect de la vie privée sur Internet et d'améliorer la sécurité des entreprises, startups et associations pour qui ça compte, à travers le lancement d'un programme de bug bounty.
