septembre 17th, 2014

C’est la Quinzaine du trou dans le Cloud.Et l’on commence avec le moins profond, découvert par B.FL7.DE (prononcer bfl7de) qui a découvert une faille en cross-site scripting via le mécanisme de commande d’ebook Kindle, faille qui pourrait offrir un accès au compte Amazon de la victime. Un code de démonstration est fourni par l’auteur.

Chez Twitter, on a eu chaud. Aboul-Ela, chercheur et blogueur sécu Egyptien, a découvert deux superbes csrf qui permettent de supprimer tous les numéros de cartes de crédit des personnes inscrites sur ads.twitter.com, le serveur de gestion/facturation des messages publicitaires Twitter. En générant de manière brutale un code à 6 chiffres, les créances de tous les annonceurs peuvent être répudiées. Du jour au lendemain le réseau social perd tous ses clients, Jack Dorsey, Evan Williams, Biz Stone et Noah Glass sont réduits à la mendicité et 80% de la presse Française est contrainte de renouer avec le journalisme d’investigation. Franchement, ça fait peur. Le problème a été, reconnait le chercheur, résolu en deux jours.

Chez LinkedIn, ce sont les identités et emails des abonnés au service qui auraient pu faire l’objet d’une fuite massive, nous révèle Brian Krebs. Lors d’une mise en relation par le truchement d’un intermédiaire (un parrain LinkedIn en quelques sortes), et dans le but de préserver la « vie sociale privée » de chacun, tout abonné au service peut demander d’obtenir l’adresse email du solliciteur. Un mécanisme semblable est mis en œuvre lors de l’ouverture d’un nouveau compte LinkedIn. Le moteur du réseau social vérifie, en balayant les adresses de messageries rencontrées sur les comptes mails publics de l’abonné, si certaines personnes ne feraient pas déjà partie de sa sphère sociale. Ce qui a donné l’idée à certain chercheurs de Rhino Security Labs de truffer une fausse boîte mail avec des alias smtp tout à fait probables (genre Britney.spears@hotmail.com ou BarrackO@whitehouse.gov- pour ensuite utiliser LinkedIn à la façon d’un formidable outil de confirmation de validité et de mise en relation.

Dans sa lutte contre le logiciel d’espionnage FinFisher, Wikileaks diffuse quelques exécutables ( Relay 4.3, Proxy 2.1, Master 2.1 et le « client » Windows), une grande partie de la documentation de premier niveau et surtout le « test de détection aux principaux antivirus » qui frise les 90% de taux de réussite.

FinFisher est un logiciel commercial conçu par une société Britannique et commercialisé par Gamma, bras commercial implanté en Grande Bretagne et en Allemagne. La clientèle est essentiellement constituée, affirme l’équipe Wikileaks, par les Ministères de l’Intérieur de pays réputés pour leur politique répressive (171 licences vendues et 64 clients).

Difficilement détectable, particulièrement efficace en Grande Bretagne, mais reposant souvent sur des recettes inusables et inchangées depuis des années. C’est le phishing des temps modernes, celui dont les spécialistes du filtrage « liste blanche-liste noire » nous assurent la prochaine disparition (mais pour cette année, mieux vaut encore acheter une licence)

Difficilement détectable, c’est ce que nous prouve ce billet du quotidien du Sans. Le courriel d’escroquerie revendique son appartenance à une banque connue. L’adresse de réponse semble légitime (et pour cause, le nom de domaine déposé est forgé avec de véritables morceaux d’usurpation de marque) et ledit site bidon se voit attribuer une blancheur virginale grâce à un certificat SSL d’une authenticité indéniable… ce qui affiche illico l’image d’un cadenas sur l’interface du navigateur utilisé. Las, le cadenas seul n’est une garantie de sécurité que dans la bouche d’un banquier… c’est dire le niveau de confiance que l’on peut lui prêter.

L’on notera au passage la charge féroce du Sans contre la rapacité aveugle des vendeurs de TlD aux extensions bizarres. Les .biz, .support, .club et autres nouveaux suffixes ne sont achetés que par les escrocs du net, affirme en substance l’auteur de l’article. Les Registrars sont complices de cet état de fait et participent activement à ce commerce, préférant ignorer à qui et pourquoi un particulier du fin fond de la Russie ou des espaces Nigérians dépose, qui un séejo4ih66ohoaze98ro.com, qui un Credi-tlyonnais.biz.

Efficace en Grande Bretagne … le pays des Gibi doit payer le prix de sa langue véhiculaire. Un bon scam est un scam en Grand Breton dans 80 % des cas. Les insulaires d’Albion reçoivent au bas mot plus de 3,5 fois plus de courriels non sollicités que nous autres Français et près de 12 fois plus que nos voisins Germains. Notons au passage que l’étude de Proofpoint mélange allègrement le spam et le scam… la publicité directe et le hameçonnage. On ne va pas se chamailler pour une lettre de différence, après tout.

Comparé au volume de courriel transitant au sein de chaque pays, les chiffres donnent des résultats radicalement différents. Le taux de spam Allemand est de 1,3%, celui de la France de 0,9%, celui de la Grande Bretagne de 1,2% et celui des USA de 1%. En d’autres termes, les Anglais ont l’épistolaire facile, les Allemands ont la plume taciturne… mais la proportion de courriers douteux est à peu de chose près identique dans tous les pays.

Des recettes inoxydables avec le temps, c’est McAfee qui l’affirme. Les emails de phishing qui « marchent » le mieux sont, par ordre d’entrée en scène, les missives des services de maintenance informatique ( cliquez le lien pour mettre à jour votre compte professionnel), les escroqueries iTunes ( votre compte a été piraté …) et enfin, et surtout les carambouilles Gmail. Le message d’incitation invite à ouvrir un document GoogleDoc (hébergé sur les serveurs Google, portant certificat de l’opérateur de service). Bref, le Canada Dry de l’authenticité.

Dans ces trois cas, les tentatives de vol d’identité sont intimement liées au Cloud Computing. Il y a d’ailleurs fort à parier que le premier exemple, celui du service informatique distant, soit appelé à un avenir radieux, grâce à la multiplication des offres bureautiques dans le nuage. L’on voit déjà passer, timidement, quelques courriels de prétendus administrateurs Office 365 inquiets d’une activité suspecte. Mais lorsque l’on connaît les réels temps de réaction des opérateurs Cloud, ce détail même devrait éveiller des soupçons. Ce florilège de cyberlettres faisandées ne saurait être complet si l’on omettait le tout dernier « rapport » de Verisign/Symantec sur le sujet. Tapageusement intitulé Fraud Alert: Phishing — The Latest Tactics and PotentialBusiness Impact, il fournit quelques chiffres supplémentaires, stigmatise au passage les serveurs d’hameçonnage situés en Chine et donne une vision catastrophiste des risques de ce type.

Cette incongruité a été remarquée par l’équipe de F-Secure  : sous prétexte de renforcer ses « procédures de récupération de mot de passe oublié » (les fameuses questions secrètes), Apple bombarde ses usagers sous un déluge de demandes dignes de l’inquisition Espagnole.
Mais si nul ne s’attend à voir surgir le cardinal Fang, personne, ou presque, n’est étonné par ces demandes totalement déplacées et destinées à profiler les origines sociales de chacun. Quel est votre livre d’enfance favori, le métier dont vous rêviez, votre première voiture, votre groupe musical préféré en primaire ou durant votre cycle secondaire, quel fut votre premier voyage en avion, dans quelle rue avez-vous grandi….
Entre la Rue de la Paix et la place Maurice Thorez, le coupé Midget offert par père et mère et la carcasse de Xantia acquise à force de petits boulots, les albums de Mickey ou les contes de Rudyard Kipling, des montagnes de marqueurs sociaux et de prédestination prouvent à quel point l’on apprécie la lecture de Pierre Bourdieu dans les open-space de Cupertino. Il n’y a guère de différence entre cette façon d’agir et ces politiques qui, il n’y a pas si longtemps, souhaitaient ficher les enfants dès les classes maternelles afin de faciliter la détection des germes de la délinquance.

L’utilisation de l’alibi sécurité est tout aussi choquante. Car conduire, sous prétexte de protection, une véritable attaque en ingénierie sociale est totalement inexcusable. D’autant moins excusable que précisément, ces fameuses « questions secrètes » sont depuis longtemps répertoriées dans la catégorie des « failles majeures » largement exploitées par les spécialistes du vol d’identité. Parfois, ces détournements donnent lieu à d’amusantes découvertes, ainsi la publication des emails de Sarah Palin. Ce prétendu second facteur d’identification est un véritable danger, le mettre en œuvre dénote d’un manque de sérieux sur le sujet de la confidentialité des identités clients.
Aux amoureux d’Apple qui souhaiteraient malgré tout bénéficier de ce second facteur, nous ne saurions trop leur recommander de répondre de manière décalée. A la question « quel fut le premier film que vous avez vu » répondez la Comédie Humaine de Balzac. « Dans quelle ville vos parents se sont rencontrés ? », mais à 14H45 bien évidemment. Notre première automobile était une paire de charentaises, notre surnom d’enfance était Ford Prefect et notre groupe de musique préféré était 42, cela va sans dire.