septembre 10th, 2014

En Bref …

Posté on 10 Sep 2014 at 6:16

Chrome, 50 trous colmatés , dont un défaut ouvrant la voie à une attaque capable de contourner la sandbox (CVE-2014-3176, CVE-2014-3177), dont l’honneur de la découverte échoit à lokihardt@asrt. Lequel se voit récompensé par une prime au bug de 30 000$.

En Bref …

Posté on 10 Sep 2014 at 6:13

Le Washington Post publie un dossier très documenté sur les outils et prestataires de services spécialisés dans le tracking et la surveillance des usagers de téléphones cellulaires , ainsi que sur les clients gouvernementaux desdits outils et services.

En Bref …

Posté on 10 Sep 2014 at 6:09

Encore une porte dérobée dans des routeurs grand public nous apprend le blog de Trend Micro . Les coupables sont, cette fois, les équipements du Chinois Netcore, connus sous la marque Netis en Europe et Amérique du nord. Le trou de sécurité peut être exploité en udp via le port 53413

en Bref …

Posté on 10 Sep 2014 at 6:06

Synounlocker, sur Github, est un script python offert par les développeurs de F-Secure aux victimes du virus chiffreur Synolocker.

En Bref …

Posté on 10 Sep 2014 at 6:03

Faille de sécurité pour la sécurité intérieure US. Selon le quotidien The Blaze , plus de 25000 identités appartenant à des fonctionnaires du Homeland Security Department (DHS) auraient été dérobées lors du hack des serveurs de la société Usis , un sous-traitant « sécurité » de l’administration Fédérale.

Norme Tempest, memento de l’Anssi

Posté on 10 Sep 2014 at 6:00

La note d’instruction interministérielle numéro 300 relative à la protection contre les signaux compromettants (document de travail rédigé par l’Anssi), est disponible sur SSI.gouv pour les DSI peu pressées ou recherchant un train de téléchargement sénatorial, et sur Cryptome, site d’information situé de l’autre côté de l’atlantique mais semblant disposer d’une bande passante un peu plus sérieuse et fiable que celle de nos serveurs pour ronds de cuir.

Cette note s’adresse essentiellement aux Administrations, aux Opérateurs d’importance vitale, et, par extension, toute entreprise qui travaille sur des sujets sensibles et souhaiterait prendre en compte le risque d’écoutes électromagnétiques. Si, il y a quelques années, le danger Tempest ne concernait que quelques sites militaires et de rares DSI nourries au lait de pur extrait de James Bond et d’OSS117, il faut bien admettre que les progrès en matière de traitement de signaux (DSP, fpga, radios logicielles etc.) ont mis l’écoute électromagnétique à la portée du moindre amateur d’informatique.

Or, en matière de rayonnement, il est toujours plus facile d’intercepter un rayonnement que d’interdire ou confiner ledit rayonnement. Particulièrement lorsque les équipements des sites sensibles, pour d’évidentes raisons économiques, sont achetés sur les canaux traditionnels de la grande distribution et non plus auprès d’intégrateurs spécialisés dans la fourniture d’appareils durcis.

Comment procéder, comment sont qualifiés les systèmes répondant aux normes Tempest, de quelle manière doivent-ils être installés, quelles sécurités complémentaires (notamment en matière de filtrage des « fluides ») doivent être apportées, tels sont les points qu’aborde avec méthode la note 300

Les 22 premières pages sont à survoler rapidement. Les choses sérieuses débutent avec le premier chapitre consacré au zonage des bâtiments devant abriter les systèmes à protéger, qui consacre 5 pages sur la « faradisation » des salles, les distances d’isolation physique desdits bâtiments, les méthodes de mesure des rayonnements et l’interprétation des mesures.

Le chapitre suivant se penche sur le durcissement des équipements, soit grâce à des règles de conception sévères, soit par modification ou isolation d’un équipement du commerce. Le troisième volet est consacré au raccordement et à l’installation des équipements, car c’est principalement la présence de ces fils de liaison (câbles électriques, brins réseau, baies de brassage, proximité d’équipements tiers et zones de couplage) qui facilite l’espionnage radio. Les dernières sections du document de l’Anssi traitent des méthodes de blocage ou de suppression des rayonnements grâce à l’adoption de multiples procédés techniques. A commencer par le filtrage drastique des alimentations courant faible et secteur (l’écoute des variations de tension ou de signaux véhiculés par les fils de terre mal raccordés est un grand classique des conférences sécurité). Sont également abordées des solutions telles que l’usage intensif de fibres optiques (non rayonnantes dans le spectre électromagnétique), l’installation de cages de Faraday plus ou moins lourdes à mettre en œuvre, les règles de mise à la terre et de respect des équipotentialités des installations…

Le Conseil d’Etat tente de comprendre Internet

Posté on 10 Sep 2014 at 5:57

50 propositions du Conseil d’Etat visant à pacifier Internet, ces technologies qui « dérèglent les conditions d’exercice des droits fondamentaux et les mécanismes traditionnels de leur conciliation ». Une telle introduction donne le « la » des doctes avis du Conseil. Selon ce rapport, la notion même de neutralité du Net (si tant est qu’elle puisse exister) est « a priori » une notion qui doit être relativisée en fonction des nécessités de gestion du trafic. Une sorte de cote mal taillée qui ménagerait tantôt les usagers pour que ceux-ci ne souffrent pas trop d’une dégradation manifeste des services, tantôt les opérateurs qui auraient la possibilité de facturer les gros consommateurs de bande passante… Des opérateurs, rappelons-le, qui ont lancé leur business Internet sur l’incitation au piratage et à l’usage massif des techniques de téléchargement. Cette question avait déjà été soulevée, il y a plus de 20 ans, par les responsables d’infrastructure Internet avant même que les grands fournisseurs de services ne fassent leur apparition. Mais à l’époque, il était plus important d’établir des accords de peering et de voir en Internet une formidable vache à lait qui aurait permis de facturer l’information à la fois au « temps » et au « paquet ». Nul sénateur, ni aux USA, ni en France, n’avait alors pensé se pencher sur la question. Une certaine réactivité aurait pourtant permis d’éviter précisément les problèmes de tentative de mainmise qui se posent aujourd’hui, ainsi que les questions relatives à la neutralité du Net, à la souveraineté des réseau d’opérateurs nationaux, à la sécurité des grands concentrateurs de données nationaux ou Européens (services Cloud « souverains »), et aux bénéfices et dangers liés à l’analyse des données massivement collectées (Big data).

La situation n’est toutefois pas totalement désespérée, puisque le Conseil d’Etat vient de comprendre qu’en matière d’analyse, la neutralité des données était une illusion et la notion d’anonymisation un leurre. Il recommande toutefois d’imposer, par des dispositions légales, un cadre stricte de l’usage des outils de calcul prédictif… mais à quoi donc peut servir une loi lorsque l’acte est commis en dehors de nos frontières, dans des pays qui font du big data un big business, et qui vendent de l’analyse comme d’autres des produits manufacturés ? Ce qu’Isaac Asimov n’avait pas pu prévoir, en 1942, c’est que ce qu’il appelait la psychohistoire (et que l’on nomme aujourd’hui Big Data) ne serait pas un moyen de défense des citoyens contre des états de plus en plus autocratiques, mais l’arme principale de ces mêmes états autocratiques au dépend de leurs citoyens. Mais tout ceci n’est que de la politique-fiction, bien entendu …

L’Internet Explorer Tuesday avec un peu de Windows dedans

Posté on 10 Sep 2014 at 5:46

Une seule vulnérabilité MS14-053 (non exploitée) dans .Net, un petit défaut MS14-054 dans le Task Scheduler (également non exploitée), trois CVE isolés relatifs à Lync Server… le patch Tuesday aurait pu discrètement se limiter à ces annonces. C’était sans compter le lot de rustines Internet Explorer qui, ce mois-ci, est frappé d’une inflation digne de la crise Allemande de 36. Au total, 37 trous, certains étant largement exploités « dans la nature » et qualifiés de « critiques ».

A préciser, aucune faille n’est affublée d’un « patch now » de la part du Sans. Une chance si l’on considère que la moyenne d’I.E. frise ce mois-ci les 1,23 trous par jour.

A titre anecdotique, puisque l’on parle de task scheduler et d’escalade privilège, signalons cette trouvaille du « Threat group 0416 » commentée par les chercheurs de Dell Secureworks. L’ordre AT de NT est utilisé ici de manière inattendue et fort instructive.

Critique, en revanche, serait le lot de correctifs d’Adobe qui, avec ses 12 CVE, expose toutes les plateformes à un risque certain.

Publicité

MORE_POSTS

Archives

septembre 2014
lun mar mer jeu ven sam dim
« Août   Oct »
1234567
891011121314
15161718192021
22232425262728
2930