février, 2012

RSA Conference, San Francisco : Il y a bientôt 4 ans, un quarteron de spécialistes sécurité décide de donner une « seconde chance » aux conférenciers recalés de la DefCon. C’est la première édition de Security B-Side, un cycle de conférence gratuit, sans le moindre droit de participation, qui se veut être la « face B » des grandes manifestations institutionnelles. Depuis cette première aventure, bien d’autres B-Side ont vu le jour, la majorité Outre Atlantique (San Francisco, Las Vegas, Boston notamment, simultanément aux RSA Conferences, Black Hat/Defcon, Source), quelques-unes visant résolument les Européens, notamment B-Side London, durant Infosec. La RSA Conference 2012 n’a pas échappé à la règle, offrant à ses participants un éventail d’intervenants réputés, talentueux… et ne se prenant pas nécessairement au sérieux. Voir pas du tout, ainsi Kellman Meghu de Check Point Canada, qui passé en revue les différentes étapes de conduite d’une attaque par intrusion, les outils et stratégies de défense, les ressources nécessaires et les erreurs à ne pas commettre, quel que soit le camp dans lequel l’on se trouve. Des règles de sécurité et des explications reposant sur l’analyse d’un cas d’école connu de tous : le vol des plans de l’Etoile Noire conçu par les forces impériales et dérobées par Han Solo, Chewbacca, Luke Skywalker et la princesse Leila.

Faut-il parler tristement pour parler d’analyse de risques ? C’est sur le thème The End of Security Stupidity que se sont réunis Amit Yoran ex gourou du DHS, Kevin Mandia CEO de Mendiant, Ron Gula co-fondateur de Tenable et Roland Cloutier CSO d’ADP (grand prestataire ressources humaines aux USA). Au même moment, Lenny Zeltser lançait un débat sur l’art de « bien » engager un contractant en sécurité, sur un ton pas franchement morose. Plus tard, dans la journée, Dan Hoffman revenait sur le débat « FUD ou danger » soulevé par la multiplication des appareils mobiles. La veille encore, Georgia Weidman se lançait dans un marathon de 5 heures de formation gratuite autour de Metasploit et des astuces destinées aux pratiquants du test de pénétration. Certes, reprochent certains, l’on perçoit parfois l’influence des « sponsors », sans qui il serait impossible que ces conférences soient ouvertes gratuitement au public. Mais ce ne sont pas pour autant des interventions au rabais. On y croise des Dan Hoffman, des Richard Bejtlich, des Chuvakin, qui souvent font quelques heures supplémentaires derrière une bière ou un sandwich, pressés par les questions d’un auditoire à la fois très geek et très attentif.

Le rapport des menaces visant les appareils mobiles et publié par F-Secure n’entre pas franchement dans la catégorie « horreur et suspens ». Soyons tout de suite rassuré : les infections téléphoniques sont encore loin d’arriver à la cheville d’un I Love You ou même d’un antique JeruB. Ce qui n’enlève rien à l’intérêt dudit rapport : Les principaux malwares sont décrits, certains avec forces captures d’écran. Leur comportement est analysé et les statistiques comparées. A la fin 2011, l’on pouvait dire qu’indiscutablement, la plateforme Android raflait tous les records en matière d’attaques virales. La majorité desdites attaques sont de chevaux de Troie (74%), et quasiment la moitié d’entre elles servent à alimenter des réseaux d’escroqueries diverses (escroquerie à la communication SMS ou téléphoniques surfacturée, vol d’informations…).

En nombre de menaces, l’on est encore loin d’atteindre le « pic » de production de malwares qui avait frappé les plateformes Symbian en 2006. Les indications en volume sont plus difficiles à estimer et ne sont pas données par l’éditeur.

Ceci étant précisé, il faut relativiser la menace réelle. De l’avis même de F-Secure, il ne se découvre jamais plus de 200 nouvelles souches virales par an (178 en 2011, 191 en 2006), avec des années à étiage bas (28 en 2008, 38 l’année suivante). Ajoutons à ceci le fait que beaucoup de malwares sont actifs en Russie, en Chine, souches que l’on rencontre relativement rarement encore en Europe.

Secunia vient d’annoncer la disponibilité de la préversion 3.0 de son logiciel de gestion de correctif « PSI », le Personal Security Inspector. Cet outil, gratuit en édition monoposte, suit l’évolution des vulnérabilités et des nouvelles versions de chaque logiciel installé sur un ordinateur, déploie automatiquement la majorité des rustines lorsque celles-ci sont disponibles, et prévient l’utilisateur de la disponibilité d’une éventuelle nouvelle version.

Juniper vient d’absorber l’éditeur Mykonos Software, un spécialiste de la défense périmétrique. Les IDS de Mykonos sont particulièrement destinés à la protection des sites sensibles, visés par des « intruders » un peu plus subtils que des virus ou des robots d’attaque en déni de service. Lorsqu’une tentative d’intrusion est détectée, l’IDS enregistre toutes les activités, tente un « traceback » de l’attaquant (en accompagnant cette détection d’une tentative d’envoi de cookie), établit le profil de l’adversaire en répertoriant ses méthodes d’intrusion, puis déclenche diverses réponses tactiques : ralentissement de la connexion, simulation de panne d’application… en d’autres termes, dans les IDS Mykonos, on trouve un peu de honeypot, un peu de « deception tools » à la sauce Fred Cohen, beaucoup d’IDS, beaucoup d’enregistrement de traces et de l’analyse comportementale.

Comme c’est souvent le cas lorsqu’un géant absorbe une société très « technologique », les risques sont grands que ce savoir soit dilué sur l’ensemble de la gamme et le produit originel disparaisse corps et biens. Juniper, depuis quelques années, effectue de plus en plus d’opérations de « croissance externe » : Ankeena (flux vidéo) Trapeze (spécialiste Wlan), BlackWave, Altor (encore un acteur du monde sécurité)… cette boulimie technologique avait connu une trêve provoquée par des raisons financières. Auparavant, entre les années 2002 et 2005, Juniper avait racheté Unisphere, Netscreen et Funk Software pour ne citer que les plus connus.

La personne qui aurait retrouvé une clef USB contenant nombre de détails techniques concernant la centrale nucléaire de Hartlepool (Grande Bretagne) est priée de la rapporter à son propriétaire.

La clef en question, nous expliquent nos confrères de Network World, aurait été perdue par un congressiste natif d’Albion la Blanche et venu assister à une conférence se déroulant en Inde. Le contenu de la clef n’étant pas chiffré, la maison mère (EDF) minimise l’importance du contenu. Jusque-là, tout est normal.

En France, de mémoire de journaliste, strictement aucune clef USB n’a jamais été égarée, qu’elle contienne des fichiers d’identité, des secrets militaires ou des plans de centrale nucléaire.

Et si la fin du monde prévue par le calendrier Maya était provoquée par un écroulement des serveurs « top level domain » ? Robert Graham, dans un article digne des meilleurs passages du « Hitchhiker’s guide to the Internet », explique pourquoi « les Anonymous ne peuvent pas DoSSer les serveurs root d’Internet ». Ce n’est en aucun cas un papier de pure provocation, mais un rappel des différents mécanismes de sécurité et de redondance qui entourent les annuaires du « réseau des réseaux ».

Tout çà ne veut pas nécessairement dire qu’il est impossible de « couper » un pays du réseau Internet. Cela est arrivé récemment en Syrie, cela est arrivé de nombreuses fois dans les pays dits « démocratiques »… France y comprise. Il arrive (oh certes pas très souvent) qu’un informaticien distrait trucide une mise à jour de domaine, durant assez de temps pour que les mécanismes de propagation transforment cette distraction en mini-catastrophe. Parfois encore, certains routeurs stratégiques succombent sans explication valable, entraînant une succession de sur-accidents théoriquement improbables. Improbable également le détournement des routages d’Internet par la Chine, affaire révélée en novembre 2010. Internet est une infrastructure résiliente, capable de résister « par construction » à une attaque atomique, mais qui passe une bonne partie de son temps à se remettre de pannes à répétition, et ce avec un certain succès. Improbable enfin le fait qu’Internet puisse « continuer à vivre » même lorsque les fichiers de root sont en partie effacés, comme nous l’apprend cette très amusante étude Chinoise sur la persistance des serveurs volontairement « rayés de la carte Internet ».

Cette peur fantasmée d’une attaque terroriste contre le réseau mondial nous permet de mieux oublier à quel point l’Europe est tributaire des Etats-Unis, pays qui possède précisément les moyens techniques pour couper en grande partie Internet, ou plus exactement pour isoler « leur » Internet du nôtre …

Les virus, ça n’existe pas, ou si peu, chez Apple, que l’utilisation d’un logiciel de protection est sinon superfétatoire, du moins assimilable à une béquille psychologique. C’est du moins ce que nous affirment les différents « statements » de Cupertino aux fils des ans.

Mais voilà , depuis la multiplication des jailbreaks (mot élégant désignant une énorme faille de sécurité exploitée à des fins honnêtes) et depuis surtout l’ouverture de marchés en ligne parallèles d’appliquettes et d’applications, l’on voit Apple agiter l’étendard du « risque ». Ce qui ne vient pas de chez nous est nécessairement suspicieux, semble affirmer le programme Gatekeeper de l’éditeur-constructeur-sélectionneur-censeur. Précisons tout de suite que Gatekeeper ne concerne pour l’heure que les logiciels concernant les ordinateurs sous OSX.

Sean, du Blog F-Secure, a immédiatement mis le doigt là où ce programme démangeait : en insinuant qu’un logiciel « non diffusé par AppleStore et ses mécanismes de filtrage » puisse être suspect et dangereux, et ajoutant à son catalogue une sorte d’étiquette de traçabilité comme on le ferait d’un morceau de macreuse ou d’un steak taillé dans le filet, Apple pousse ses clients à n’acquérir d’application qu’auprès de ses seuls canaux de diffusion. Ce n’est pas de la constitution de monopole, mais çà en aurait l’odeur …

Tristan Nitot, du Standblog (et accessoirement fondateur de Mozilla Europe) soulève lui-aussi un sourcil suspicieux et dénonce ce genre de pratique. Gatekeeper, au nom d’une prétendue disposition de sécurité, donne à l’usager le choix entre trois possibilités de téléchargement :

– App Store

– App Store et les développeurs identifiés (la fameuse option de traçabilité)

– N’importe où

Notons au passage qu’il manque une option relativement importante : « nul part » ou « purement local ». Une sorte de barrière baissée par défaut qui pourrait plaire à tout spécialiste des proxys et firewalls, et qui s’avèrerait fort utile pour tous ceux qui opteraient pour un autocontrôle de leur propre configuration. La chose est moins pratique sur un ordinateur sous OSX mais peut être envisageable dans l’univers IOS.

D’un point de vue stratégie, Gatekeeper se situe dans le droit fil de la politique d’Apple, qui consiste à déresponsabiliser l’usager sous prétexte de l’assister à chaque instant de la vie du bien de consommation. C’est là une technique mise en œuvre par les constructeurs automobiles depuis les années 50, et qui a abouti à une mosaïque de monopoles de fait : obligation de recourir à un réseau de concessionnaires, interdiction d’acquérir des pièces détachées provenant d’un fournisseur tiers, évocation d’un risque (donc désengagement de la responsabilité du constructeur) en cas de refus de ces oukases…

Gatekeeper n’est pas uniquement un outil de sécurité. Ce pourrait être également une tactique visant à rendre un marché encore plus captif qu’il ne l’est, un premier « ballon d’essais » qui pourrait être étendu au marché des appareils mobiles en cas de concurrence soudaine.

Car pour l’heure, il n’existe que 4 « marketplace » d’envergure mondiale se partageant le business en ligne des contenus et logiciels : les places de vente des trois grands, Apple, Google, Microsoft, et un joueur « hors catégorie », Amazon. Se bousculent au portillon quelques centaines d’opérateurs, dont certains possèdent une puissance financière largement aussi importante que celle de la « bande des 4 ». Une puissance de feu qui ne cesse d’inquiéter ladite bande des 4, qui, bien qu’ennemis irréductibles, sont prêts à toute forme d’alliance objective pour conserver leur pré-carré. Tout çà n’est pas sans rappeler la glorieuse époque où IBM régnait sur le monde informatique, entouré par ses « sept nains » (Burroughs, Sperry, CDC, RCA, NCR etc.). Cette tentation monopolistique est logique, peut-être même normale dans l’évolution d’une entreprise de cette taille. Mais l’histoire de l’industrie nous apprend également que c’est précisément cette tentation du monopole qui accélère la chute desdits monopoles, en vertu du principe qu’une grosse cible est toujours plus facile à atteindre du côté des francs-tireurs, et difficile à protéger et à faire réagir du côté des défenseurs.

Achevons ce fait divers en parlant réellement de sécurité appliquée à la sphère de développement OSX, en signalant un billet signé Johannes Ullrich, du Sans, qui dresse une courte liste des URL à connaître pour programmer proprement sur plateforme Apple.

Elle est émaillée de rappels et de messages subliminaux, la page de garde consacrée à la prochaine « Nuit du Hack », l’une des plus anciennes manifestations « sécurité » de Paris et de sa région. Cela risque d’être, comme le rappelle le bandeau, l’une des dernières chances de croiser un hacker avant l’apocalypse prévu par les calendriers Maya, les poivrières à steak et autres pythies sans pitié. Ce sera également l’occasion d’évoquer le souvenir de CrashFr, qui était bien trop jeune pour nous quitter. C’est surtout le moment de se retourner et de compter les exploits (à tous les sens du terme) accomplis ou publiés au fil de ces 10 ans d’activité. De la « péniche » à DisneyLand Paris, d’un simple CTF nocturne réunissant une vingtaine de geeks bronzés à la lueur des tubes cathodiques à un cycle de conférences s’étalant sur 5 jours (et une nuit) bien du chemin a été parcouru. L’équipe organisatrice du Hackerzvoice, qui écume les concours du même genre un peu de partout en Europe, a raflé au passage quelques titres de gloire, ce qui n’a cessé de consolider le prestige et l’image de sérieux de cette manifestation.

Bref, c’est un évènement à ne pas manquer, les manifestations du genre étant relativement rares en France (Il n’en existe que 3). Les détails techniques concernant les soumissions aux « appels à communication » sont fournis sur le site de Hack In Paris. Rappelons que les soumissions seront closes le 20 avril et que les conférences se tiendront du 18 au 23 juin. Le CTF est traditionnellement organisé en clôture d’évènement, dans la nuit du 23 au 24. Le droit d’entrée s’élève à 36 euros (à ce prix, un T-Shirt est même fourni, et c’est un collector). Il est conseillé de réserver dès ce mois-ci, car il existe toujours un risque de plus pouvoir trouver de place, malgré une infrastructure capable d’accueillir plus de 1200 participants.

Il était déjà gratuit, il passe Open Source. Il, c’est le très populaire logiciel de diagnostic HiJackThis, conçu par Trend Micro, et désormais récupérable, sources et exécutables, sur SourceForge.

ISO 27001 pour les nuls : la série télévisée. C’est sur le site IS & CBA, 13 vidéos louées une soixantaine de dollars par mois (ou 15 $ par séquence).