décembre, 2011

Ce sera le seul et dernier correctif « out of band ». Les derniers correctifs devrait-on préciser. Car ce cadeau attendu colmate en fait 4 trous : le redoutable défaut « HashDos », mais également d’autres problèmes détectés sur la plateforme .NET. Plus exactement les bugs répertoriés CVE-2011-3414, CVE-2011-3415 CVSS, CVE-2011-3416 et CVE-2011-3417. La rustine affiche une numérotation « binaire » en diable : MS11-100… Il fallait bien çà pour achever l’année.

SSL Audit est un outil gratuit destiné à inventorier et auditer les services SSL. Son auteur, le chercheur Luxembourgeois Thierry Zoller, signale la sortie d’une édition « revue et augmentée ».

Deux faits divers amusants viennent égailler, en cette veille de la Saint Sylvestre, le calendrier cybersécuritaire du Gouvernement. Le premier nous est offert une fois de plus par le blog Nikopik, et nous apprend que le Ministère de la Culture serait coupable de téléchargement illégal si l’on en croit les relevés du site Russe You Have Downloaded. Tout semble prouver, explique l’auteur du billet, que des contenus ont été effectivement récupérés par une station de travail se situant dans un pool DHCP appartenant au dit Ministère. La source technique assurant la recevabilité de la preuve (autrement dit l’acte de délation) n’étant pas Française et dûment mandatée par le Ministère, il est peu probable que la Rue du Texel envisage de poursuivre les fonctionnaires et autres grands commis de l’Etat pour « négligence caractérisée ».

Le même jour, cette même Hadopi publiait sur son site une alerte signalant une série de tentatives d’escroqueries commises par de prétendus gendarmes. Les pirates utilisent une technique de « drive by download », injectent un code de type « randsomware » bloquant l’ordinateur de la victime, et affichent au passage un message intimant aux internautes de régler une amende par virement « en ligne ». Motif d’infraction invoqué : téléchargement illégal de contenus vidéo ou de fichiers pédopornographiques. L’association est intéressante.

La Gendarmerie Nationale (la vraie) fournit quelques liens permettant de désinfecter les machines frappées par ce virus bloquant et rappelle que si amende il y a, elle n’est jamais à verser par le biais d’un mécanisme de paiement en ligne, et qu’elle n’est collecté que par un seul et unique organisme, le Trésor Public.

Nos confrères de France Info indiquaient que plusieurs personnes, sous le coup de l’affolement, avaient accepté de payer.

Bruce Schneier s’en amuse, le « Reg » ironise, le site PhysOrg en parle très sérieusement, de cette nouvelle technique d’identification biométrique par mesure de l’empreinte du postérieur. L’invention est Japonaise, et intéresse grandement les constructeurs de l’industrie automobile. L’article précise que cette méthode serait considérée par le publique comme étant l’une des moins stressantes. Après la reconnaissance d’empreinte digitale (mon doigt), d’iris (mon œil), voici venir le temps de la posture du postérieur (censuré)

Notre rigueur et sens de l’équité scientifique nous pousse à rappeler que le fondement de l’usage du fondement fut, à une époque, un moyen économique et écologique destiné à remplacer l’air conditionné, accessoire polluant et énergivore équipant bon nombre d’automobiles. La preuve est indiscutablement apportée par Mademoiselle Jeanne Aubert. C’est probablement en hommage à cette charmante inventrice du Moulin Rouge que Pierre Dac répliquait « Par-là, je n’entends rien ».

Le protocole de configuration automatique des routeurs WiFi WPS, Wifi Protected Setup (un mécanisme essentiellement grand public sensé libérer l’usager des affres du paramétrage WPA), a été hacké par le chercheur Stephan. L’alerte, la notification faite au Cert/CC, l’article explicatif et enfin le code de l’attaque ont été publiés.

En attendant l’émission d’une avalanche de correctifs pour les mille et un bios de routeurs (voir une refonte de WPS), il semble sage d’utiliser la console d’administration du routeur sans-fil.

Encore un « zero day » Microsoft, affectant cette fois asp.net. L’attaquant pourrait provoquer un déni de service en expédiant une requête http POST forgée. Les « facteurs de mitigation » de Microsoft signalent que IIS n’est pas actif par défaut, ce qui rend cette attaque moins critique, puisque ne visant pas des configurations par défaut. Secunia ne s’émeut quasiment pas, et donne à cette alerte le grade de « less critical »… C’est dire.

Rappelons qu’une faille légèrement plus critique avait été signalée en fin de semaine passée.

« Ouf, çà baisse enfin » clament nos confrères de ComputerWorld en parlant du prix des disques durs. Lourdement affectée par les inondations qui ont frappé la Thaïlande, l’industrie du disque dur a subi et fait subir une crise qui a connu de nombreux précédents. En concentrant leurs fabrications dans les pays émergeants, les géants de l’industrie électronique réalisent de formidables économies en matière de salaire, mais deviennent vulnérables au moindre coup du sort. L’inondation du pays Thaï n’est que la répétition de l’incendie de l’usine d’epoxy Sumimoto en 1996, qui fit également s’enflammer (si l’on ose dire) les prix des barrettes mémoire.

Les OEM et équipementiers de l’industrie grand public ont très mal encaissé ce coup du sort, d’autant plus qu’en période de fête, les cadeaux « high tech » sont de plus en plus prisés. L’ordinateur portable à 300 euros qui prend d’un coup 100 euros d’augmentation pour raison de pénurie et absence de « stock tampon », voilà qui contrarie le secteur de la distribution et les producteurs de biens de consommation.

Mais derrière cette mini-crise passagère s’en profile une autre, que dénonce notre confrère Jean-Jacques Maleval, fondateur et Rédacteur en Chef de Storage Newsletter. Nous assistons peut-être, écrit-il, à la fin de toute concurrence dans le domaine des disques durs, et la compétition qui opposait les acteurs et jouait en faveur d’une guerre des prix est sur le point de s’achever. Malgré les tentatives de modération imposées par les différentes instances du commerce international (et notamment le Ministère du Commerce Chinois), le monde du disque dur se réduit à un duopole, celui de Western Digital et de Seagate. Après avoir éliminé leurs principaux concurrents, plus rien n’oppose ces deux géants à réguler les prix des unités de stockage. D’ailleurs, note Maleval, le changement de cap a déjà commencé. De 5 ans, la garantie portant sur certains modèles de disques a été réduite à un an, et ce chez les deux constructeurs et peu ou prou à la même date. L’histoire du monopole Intel/AMD est en train de se répéter, estime l’auteur de l’article.

Un long papier de Joanna Rutkowska sur les risques de l’hébergement dans le Cloud et sur les possibilités ou impossibilités de liens de confiance entre la chaise et le nuage.

Une personne répondant à l’alias Twitter « w3bd3vil » vient de publier, à l’heure où nous rédigeons ces lignes, un lien raccourci dont l’activation sous Safari provoque un Ecran Bleu de la Mort. Le problème serait lié non pas au navigateur mais à un défaut dans win32k.sys. Secunia qualifie l’attaque de « hautement critique ». Si l’on excepte le Bsod radical, l’url du lien Twitter ne semble pas autrement infectieuse. S’il fallait, pour ce jour de l’an, que le Response Team nous offre un « correctif hors calendrier » dans le but de se rappeler à notre bon souvenir, voilà une occasion rêvée.

Après un « guide du bien savoir programmer sur plateforme mobile », l’Enisa s’attaque à un gros morceau : la cybersécurité des transports maritimes. Des transports maritimes, précise le rapport, qui constituent plus de la moitié des biens de consommation en Europe, ce qui en fait une infrastructure de communication et d’échange stratégique (Scada). Depuis la haute époque des radiotélégraphistes embarqués sur les navires hauturiers dans les années 50 ou 60 et du déploiement du système Loran au lendemain de la dernière guerre mondiale, puis Syledis dans les années 90, les outils de communication, de géopositionnement, de pilotage de flotte se sont considérablement modernisés et automatisés. Sans pour autant gagner en sécurité. La faute au fait que 80 % des infrastructures numériques reposent sur des technologies sans fil (radio HF ou satellites), outils longtemps considérés comme « inattaquables car trop complexes à pirater ».

Pourtant, avec moins de 30 euros d’électronique et un ordinateur, il est possible de récupérer le connaissement d’un navire avant qu’il touche au port. Avec 300 euros d’électronique, un ordinateur et une coque de noix, il est possible de dérouter un tanker de plusieurs milliers de tonneaux (l’armée Iranienne parvient bien à le faire avec un drone). Ceci sans aborder les problèmes de piraterie traditionnelle (qui utilise elle-même parfois ces nouvelles technologies pour planifier ses attaques) ou d’espionnage industrie. Et l’on ne mentionnera pas le risque d’une attaque Scada conduite par un Etat-Nation en guerre dans telle ou telle partie du globe.

Le document de l’Enisa n’est pour l’heure qu’une ébauche générale, une sorte mémorandum des choses à envisager. Mais il révèle l’importance du chantier à mettre en œuvre et la quasi-absence de mesures de protection ou de règlementation en matière de cybersécurité qui semble affecter la majorité des entreprises de transport et infrastructures associées.