janvier, 2012

Sale temps pour les deux ténors des antivirus Outre Atlantique, Symantec et McAfee. Symantec, tout d’abord, qui vient d’admettre officiellement qu’après tout, leurs serveurs avaient effectivement été piratés. Pourtant, lorsque l’affaire avait été révélée par des hackers Indiens, portions de code à l’appui, l’entreprise avait affirmé que la faute devait incomber à l’un de ses partenaires « Symantec’s own network was not breached, but rather that of a third party entity » était-il écrit sur la page Facebook (http://www.facebook.com/Symantec/posts/10150465997682876) de l’éditeur. Bref, on nie en bloc. D’ailleurs, quelle importance puisque le vol ne portait que sur de vieux codes datant de 2006, certains des programmes les utilisant étant d’ailleurs retirés de la circulation.

Quelques jours plus tard, le discours change du tout au tout. Le réseau Symantec a bel et bien été « intrusé » et la liste des produits affectés s’avère plus longue qu’annoncée initialement : Norton Antivirus Corporate Edition, Internet Security, les « Utilities », GoBack et pcAnywhere. Or, de tous ces logiciels, pcAnywhere (logiciel d’échange de fichiers et de prise de contrôle à distance) pourrait bien être le plus vulnérable, puisque offrant accès directement au cœur de l’ordinateur distant. Les voleurs de code ne s’y sont pas trompés, qui promettent la divulgation de ces sources.

Chez McAfee, l’ambiance n’est guère meilleure. L’éditeur prévient ses clients de la disponibilité d’un correctif de sécurité concernant l’un de ses produits, SaaS for Total Protection. Deux défauts affectent ce programme, dont l’un qui transforme le poste « protégé » en relais smtp. Un défaut découvert et manifestement exploité par quelques grands spammers comme en témoignent des clients blacklistés par SpamHaus « à l’insu de leur plein gré ». Là, le troyen a bel et bien été écrit par McAfee, qui tente de minimiser l’importance de l’affaire en précisant que ces failles ne permettaient pas aux « mécréants » de pénétrer sur les serveurs protégés par ce fameux SaaS for Total Protection. Les entreprises dont les IP ont été bloquées apprécieront.

Megapuload fermé par le FBI au moment même où s’achevait la journée de protestation contre les propositions « Sopa-Pipa » ( Stop Online Piracy Act et de Protect intellectual property Act), la limite entre les hasards du calendrier et le message subliminal est assez floue. Pour les « Anonymes », cet acte est considéré comme une provocation… et comme ce mouvement qui n’en est pas un réagit à la moindre provocation, les sites du FBI, du Département de la Justice, d’Universal, de Warner, du RIAA et du MPAA sont tombés sous les coups d’attaques en déni de service nous apprend RT. Les différentes associations qui luttent contre les tentatives de mainmise des professionnels de l’industrie du divertissement (dont le Parti Pirate) ont immédiatement protesté : le business model de l’hébergeur de fichier n’est pas directement responsable du contenu qu’y placent ses clients et, depuis que temps déjà, l’entreprise avait entamé un vaste programme de « nettoyage » et d’expurgation.

Si la fermeture de Megaupload a permis d’amuser quelques amateurs de L.o.i.c., il provoque également le bonheur de certains éditeurs. C’est notamment le cas de LifeHacker qui, du jour au lendemain, publie un article intitulé « Cinq alternatives intéressantes à Megaupload »… Article situé en première page du site, immédiatement au-dessus d’un autre papier intitulé « que sont les magnet-link et comment puis-je les utiliser pour télécharger un torrent ». Provocation ? Il s’agit là d’un autre article opportuniste qui suit la décision du site Pirate Bay de ne plus diffuser de fichiers .torrent.

Opportunisme également en France, où l’évènement a permis aux radios et aux quotidiens de revenir sur la question du piratage des contenus de variétés et de divertissement audiovisuel, et de mettre en perspective l’avenir d’Hadopi en cette période pré-électorale. Entre les « bravo » de l’actuelle Présidence et le couplet sur la licence globale défendue par certains ténors de l’opposition, tout ça permet de faire des titres et des phrases.

Folklore américain des certifications SSAE/SOC des datacenter : Mike Klein, President et COO de Online Tech, décrypte le fouillis et la fantaisie de ces certifications pourtant brandies par bon nombre de prestataires internationaux …

A lire cet article de 6 pages , six !, de nos confrères d’InfoWorld, qui nous explique que le monde Oracle a failli disparaître dans un formidable champignon numérique. En cause, un numéro d’identification de transaction, le SCN (System Change Number) qui effectue une sorte d’horodatage des opérations effectuées sur une base de données. Sans ce fil conducteur de l’historique de la base de données, impossible de maintenir une synchronisation et un suivi des évènements. Mais lorsque l’on découvre que ce même SCN peut être forgé, et ainsi faire s’écrouler toute la gestion du SGBD et donc des applications associées, c’est la panique chez les experts es-SGBD.

Mais soyons rassurés : l’éditeur publie une CPU pléthorique (comme souvent compte tenu de son échéancier) et insiste sur le mot « critique » de cette mise à jour. L’article de nos confrères d’InfoWorld se déguste comme un véritable roman catastrophe. Ce n’est pas tous les jours qu’un journal peut tenir ses lecteurs en haleine en publiant des histoires de SGBD, lesquelles sont habituellement aussi passionnantes qu’un paquet familial de Mogadon.

La journée du 18 janvier a été marquée, sur la Grande Toile, par un mouvement de protestation US d’une ampleur remarquable. Jamais, jusqu’à présent, autant de sites Web importants n’avaient affiché de page de protestation avec une telle détermination et un tel élan commun. Les blogs orientés « sécurité » ont immédiatement accompagné l’action de Wikipedia, Craigslist de l’EFF ou de Reddit : D’ErrataSec à I-Hacked, en passant par le blog de Bruce Schneier , le site de Steve Bellovin, the Hacker’s Factor et tant d’autres sites orientés « sécurité ».

A l’origine de ce mouvement de protestation virtuel, deux propositions de loi, Sopa et Pipa, acronymes respectifs de Stop Online Piracy Act et de Protect intellectual property Act. Deux texte, l’on s’en doute, qui ne sont pas très favorables au libre échange sur Internet, et qui verraient même d’un très bon œil le développement d’outils de routage moins sécurisés (car ainsi plus facilement « filtrables et blocables ») et d’accessoires de protection moins opaques.

Tellement opaques et tellement orwelliennes que le blog de la Maison Blanche publiait dès le 14 janvier une lettre cosignée par Victoria Espinel, Aneesh Chopra et Howard Schmidt (l’ancien Security Czar) laissant clairement entendre en termes diplomatiquement choisis que ces lois ne passeraient pas. La raison invoquée : les techniques de filtrage suggérées par les boutiquiers de la musique de variétés et autres sociétés de production cinématographiques allaient « inciter à la multiplication de serveurs DNS peu fiables et compromettre le déploiement de DNSSec ». Neal Krawetz, du Hacker’s Factor (voir url plus haut), analyse une à une les incongruités et les abus du camp « pro Sopa ». A commencer par le blocage arbitraire d’adresses ou de groupe d’adresses jugées coupables d’activité illégales. Surtout si lesdites adresses appartiennent à des serveurs situés en dehors du territoire des Etats Unis. On imagine les tracasseries que les conflits de concurrence peuvent ainsi générer : Je veux bloquer le site web de mon adversaire ? Je le dénonce comme honteux pirate sous prétexte que son site héberge une image protégée par un copyright et que sa source n’est pas clairement affichée. Ceci n’est qu’un exemple parmi tant d’autres.

Paradoxalement, fait remarquer Neil Krawetz, on compte parmi les supporters de Sopa des gens comme Ruper Murdoch, pourtant gros diffuseur de contenus vidéos gratuites en streaming sur Youtube, et au rang des protestataires, des entreprises comme Google qui pourtant n’apprécie pas toujours la liberté d’expression lorsque celle-ci va à l’encontre de ses propres intérêts.

Qui va gagner ? Les industriels du divertissement qui cherchent à limiter la puissance d’un médium ? Les utilisateurs d’Internet, industriels, associations ou particuliers, qui imaginent sans trop d’effort comment de telles armes de flicage, sous prétexte de protection des auteurs (et surtout des ayants droits) peuvent se transformer en armes de surveillance policière et mettre à mal les libertés fondamentales ? En termes moins exaltés et plus réalistes, la question peut se poser d’une toute autre manière : dans quelle mesure les limitations et le flicage souhaités par les industriels du divertissement et les inventeurs de la notion de « propriété intellectuelle » ne risquent-ils pas soit de s’opposer aux intérêts financiers d’autres industriels (notamment des opérateurs, des FAI, des prestataires de service « Cloud », des cybermarchands du secteur « brick and mortar » etc.), soit de convenir aux volontés de contrôle et de surveillance policière qu’espèrent quelques gouvernements. C’est donc là une partie de billard à trois bandes, dans laquelle s’opposent politiques (mais avec prudence), ennemis des médias en ligne et vendeurs d’infrastructures et de médias en ligne. Il y a peu de chances que la voix des internautes soit prise en considération dans une telle lutte pour le pouvoir et pour l’argent.

Le site Zero Day Initiative de Tipping Point publie deux alertes concernant une possibilité d’exploitation distante sur du matériel et logiciel HP. La première concerne HP Diagnostics server et la seconde une baie de stockage. Il y a près d’un mois, les imprimantes HP avaient eu les honneurs d’une démonstration de hack par des chercheurs de l’Université de Columbia. Il semble que les consoles d’administration des appliances HP soient particulièrement appréciées par la gente hackeuse ces derniers temps.

La publication d’alertes en mode « full disclosure » est un fait relativement rare de la part du ZDI. Comme le précise le bulletin, cet avertissement public a été rédigé en raison de l’absence de correctif de la part de l’éditeur-équipementier, et ce malgré « l’assurance de publication d’un bouchon promis à brève échéance ». La « brève échéance » (traduction du « soon » du communiqué HP) semble donc légèrement moins brève que les 180 jours de silence que s’impose le ZDI après la notification d’une faille à son auteur. En l’attende de solution plus efficace, Tipping Point conseille de restreindre l’accès du port 80 aux seuls serveurs officiellement recensés, et d’interdire le port 23472 à toute personne non autorisée.

AlienVault, vendeurs de systèmes de contrôle d’accès, analyse un hack sortant de l’ordinaire et qui a frappé le Département de la Défense US. Des pirates « semblant originaires de Chine »* auraient récupéré les informations numériques des cartes magnétiques servant au contrôle d’accès des fonctionnaires du DoD. Double contrôle d’accès doit-on préciser, car outre les portes et autre serrures électroniques, ces cartes servent également (mais en facteur secondaire) à l’identification de la personne sur le réseau informatique du Ministère. Le premier facteur serait, précisent les experts, un code PIN à entrer sur le clavier de l’ordinateur… la suite va montrer la fiabilité de ce « double factor ».

L’attaque, précisent les gourous d’AlienVault, aurait été conduite en modifiant un virus relativement ancien, Sykipot, reconfiguré pour s’attaquer au logiciel client d’ActiveIdentity. Les logiciels de cette entreprise Américaine ainsi que les cartes d’accès associées (PC/SC x509) sont très largement utilisées dans certaines administrations Françaises, compagnies bancaires et autres entreprises classées « Scada » en notre pays. Pas de panique, les contre-mesures sont certainement déjà en place.

Une attaque classique, donc, puisque la « marque de fabrique » de l’attaque rappelle celle, également « semblant originaire de Chine »*, qui avait visé Lookeed Martin via une autre variante de Sykipo véhiculée par un fichier pdf forgé. La seule différence est que cette fois, le vecteur d’attaque embarquait un logiciel keylogger. Et c’est là que trépasse la sécurité de l’authentification à double facteur qui se fait sonner deux fois par un seul virus.

* Ndlr : Rappelons que les adresses IP ne sont preuves d’une identité certaine que du côté de la Rue du Texel. Dans le reste du monde, les gens qui savent sont moins péremptoires.

Un groupe de pirates s’est offert un fichier de 24 millions de noms et d’adresses en pillant un serveur appartenant à une filiale d’Amazon.

Cette filiale d’Amazon, c’est Zappos, vendeur de chaussures « en ligne » qui, nous explique TechSpot, s’est fait visiter par des perceurs de base de données. Bilan : 24 millions d’identité dérobées (48 millions de pieds dans le désarroi le plus total). Les numéros de carte de crédit, jure la direction, étaient chiffrés et ne peuvent être utilisés. Le site de vente , depuis le début de cette semaine, est interdit d’accès à toute personne résidant en dehors des USA.

Mais ce qui a le plus étonné a été la réaction du patron de Zappos. Dans un élan de volonté de transparence, ce dirigeant a décidé de prévenir illico ses 24 millions de clients (on accuserait un pharmacien en ligne d’être un « spam king » pour moins que çà), de réinitialiser la totalité des mots de passe d’accès au site, et d’accompagner l’alerte faite aux clients d’une série de conseils sur l’art de bien choisir un mot de passe. A commencer par modifier celui-ci s’il a été également utilisé sur d’autres services en ligne. Même si l’on estime qu’une partie de la population US a su hériter du flegme anglo-saxon de leurs grand cousins Britanniques, une telle annonce pourrait bien provoquer sinon un vent de panique, du moins une certaine anxiété ou défiance de la part des usagers du site. L’affaire est à suivre avec attention et les résultats de l’entreprise à examiner dans quelques temps, afin de mesurer l’impact sur l’image de marque provoquée par ce hack et surtout de cette mesure d’urgence que beaucoup pensent disproportionnée.

Les précédents « mois horribles » que furent juin et novembre 2011 n’ont vu « que » le vol de 5 millions de numéro de cartes de crédit des serveurs de Data Processors International et la perte de 2 millions de coordonnées personnelles à la suite d’une perte de disque dur par une division d’IBM. L’année est à peine commencée que Zappos (et par conséquent la politique de sécurité du groupe Amazon) pourrait bien prétendre au titre de champion 2012 toutes catégories dans cette discipline qu’est la perte d’information massive.

Peut-être le marché du numéro de carte de crédit vendu a détail n’est-il pas assez lucratif ? Le magazine Sud Africain Times Live nous raconte l’histoire d’un cyber-braquage qui, une fois n’est pas coutume, s’est traduit par une perte d’argent bien réelle et immédiate. La Banque Postale nationale s’est ainsi faite dérober en espèces 42 millions de Rand, soit 4 millions d’Euros.

L’affaire s’est déroulée en trois temps. Les braqueurs se sont tout d’abord attaqués au système informatique, en détournant vers un compte privé de l’argent tiré d’autres comptes. Ces virements successifs n’ont provoqué aucune alarme de la part des logiciels de contrôle des flux monétaires. Ensuite, ces Robins des Droits d’accès ont modifié les plafonds de retrait sur ledit compte temporaire. Et pour que le braquage se déroule « sans armes, ni haine, ni violence », ledit compte a été siphonné durant les fêtes de fin d’année, du 1 au 3 janvier, par l’intermédiaire d’une armée de mules. L’opération « prélèvement liquide » s’est achevée peu de temps avant la réouverture des portes de la banque, une fois la trêve des confiseurs achevée. Champagne !

Ce casse est un intéressant mélange de méthodes modernes et traditionnelles. Moderne de par son approche informatique, classique si l’on considère que le cambriolage s’est effectué durant une période de vacances, dans la grande tradition des films noirs des années 50.

La rubrique « chiens écrasés » se porte bien dans la blogosphère sécurité. Les derniers remous de l’affaire Stratfor ne provoquent pratiquement plus la moindre réaction et auraient été oubliés si le CEO de l’entreprise n’avait posté une vidéo sur YouTube. Son message est clair : « Nous ne sommes qu’une entreprise d’études et de publication de rapports et non le noyau d’une société occulte conspirant contre l’humanité et nous sommes victimes d’une censure incompréhensible. Et désolé pour tous ces numéros de carte de crédit que nous avions oublié de chiffrer ». Dans une semaine tout au plus, tout le monde aura oublié Stratfor.

Dans une semaine tout au plus tout le monde aura également oublié une autre opération des « anonymous » contre les sites Web du gouvernement Italien (bien connu dans le palmarès des juntes militaires, des régimes totalitaristes et autres dictatures nécessitant des mesures de rétorsion). Netcraft y consacre un petit billet. Le site italia.gov.it s’est écroulé, governo.it, en revanche, a su résister.

Ce même Netcraft témoigne des traces des Anonymous contre l’organisme anti-piratage Finlandais TTVK. Son site Antipiracy.fi est mort depuis bientôt 6 jours, ce qui laisserait entendre qu’une refonte de ce micro-site est actuellement en cours.

La presse généraliste, en revanche, bruisse encore des attaques conduites par les sympathisants pro-Palestiniens au nombre desquels figurerait des « Anon ». Le mot de cyber-guerre était lâché notamment sur plusieurs radios périphériques. La nationalité des forces cyber-belligéreantes y est probablement pour quelque chose, le conflit palestino-israélien étant médiatiquement plus vendeur que la dictature du gouvernement Italien ou les insupportables exactions des chasseurs de pirates Finlandais.

Enfin, entre deux attaques visant des Etats-Nation, les Anonymes sont soupçonnés, assurent nos confrères de Search Security d’avoir attaqué les serveurs de T-Mobile et publié sur Pastebin les données personnelles de 80 employés travaillant pour le compte de cet opérateur. Motif de l’attaque : T-Mobile supporterait le « Big Brother Patriot Act ». L’information est toutefois à prendre avec prudence. L’équipe qui a signé ce forfait, et qui signe TeaMp0isoN, a effectivement participé à des attaques anti-israéliennes, mais s’est surtout distinguée par ses échauffourées contre les membres de LulzSec et des Anonymous. Bien qu’il soit impossible de dégager la moindre conscience politique fixe parmi ces différents groupuscules hactivistes, la possibilité d’une association de frères ennemis est envisageable… ou pas.