novembre, 2014

Comment truquer le résultat d’un vote par Internet , un article de recherche qui devrait intéresser tous les Français résidant à l’étranger …

A la fin de la session 2014 de NoSuchCon, l’une des plus importantes conférences sécurité Française, ce sera Anthony Zboralski qui aura l’honneur d’assurer la conférence de clôture de NSC 2014. Le public se souvient du coup d’éclat du hacker « Frantic » qui, en 1994, tutoyait d’un peu trop près les serveurs des agences à trois lettres situées de l’autre côté de l’Atlantique. Devenu depuis expert-conseil en SSI, il tiendra, devant l’assistance, un « no such talk » sur le thème « la sécurité n’est pas une recette de cuisine ou un empilement d’outils », une défense passive purement périmétrique. Ce qui se conçoit bien…

Jusqu’au 21 novembre , « after hours » non compris, l’Espace Niemeyer devient une fois de plus le centre du « monde sécu », celui qui cherche (et qui trouve), celui qui tente d’anticiper d’éventuelles menaces, d’imaginer de nouvelles attaques sans logo ni communiqué de presse.

Après avoir été victime d’une attaque massive, les services postaux US ont décidé de suspendre toutes les liaisons VPN utilisées par les télétravailleurs d’USPS nous apprend Dark Reading. L’intrusion, qui fait tourner la tête de certains politiques en direction de la Chine ou d’autres Etats-Nations jugés « cyber-agressifs », a visé les identités et numéros de sécurité sociale d’employés à la retraite de la Poste de l’Etat Fédéral (800 000 personnes au total) et d’un peu moins de 3 millions de clients. Il n’est pas établi que cette intrusion ait été perpétrée via l’accès distant d’un des employés en activité. Mais le VPN, estiment les responsables sécurité de l’organisation, présente des vulnérabilités nécessitant une mise à niveau, ce qui expliquerait cette décision radicale.

L’univers des RFID serait apollinien et son avenir barbouillé de rose-Barbie si l’on s’en tenait là. Mais l’art de coller un « machin qui cause » à un système d’interrogation radio ne connaît pas de frontières. Bon nombre d’intervenants présents lors du Congrès RFID de Marseille parlaient même d’Internet des Objets (IoT). Abus de langage ? Que Nenni ! vision prospective et débouchés commerciaux. Se retrouvent ainsi raccrochés les wagons des smart-meters, des appareils de télé-contrôle des feux de signalisation urbains, des biochips dans le secteur médical, des réfrigérateurs sous IPv6, des bus de commande, des capteurs et des actuateurs du secteur automobile, des périphériques d’authentification de personnes, des appareils liés à des réseaux domotiques et de divertissement audio-vidéo, des capteurs de température/pression/humidité, des systèmes industriels, des instruments de mesure…

On est bien parti pour que cette évolution logique des objets interrogeables par radio finisse par constituer une faune polymorphe innombrable, dont strictement personne ne pourra, ne saura déterminer ni le périmètre, ni la valeur des données communiquées entre différents systèmes, entre différentes architectures. L’Internet des Objets est en passe de ressembler à la chanson des Frères Jacques : Il y a un machin et un truc. Quand on a l’bout qui a le truc, Faut trouver l’bout qui a l’machin, On tâte et on trouve des tas d’trucs, Mais on ne trouve jamais l’machin. Autrement dit, il est toujours possible de savoir où se trouve l’objet de l’Internet (puisqu’il se trouve à portée radio), mais connaître avec précision les frontières du machin, sur combien de niveaux de profondeur, sur combien de réseaux et vers quels serveurs transitent et échouent les données captées, mystère.

A l’exception peut-être de systèmes tels que Shodan et certainement des robots et automates estampillés Google, Apple ou Microsoft. A peine sortie d’une phase de normalisation et de sécurisation, voilà que le RFID s’engage vers une nouvelle course à la technologie débridée, et risque fort de commettre à nouveau les mêmes erreurs… en plus grand encore. Le magazine en ligne Stuffi offrait en début de semaine à ses lecteurs un florilège de hacks IoT. Le compteur qui coupe le courant, l’ampoule connectée qui espionne ou le « bébé-phone » et le téléviseur piratés par des imprécateurs au vocabulaire rabelaisien ne sont que les premiers signes d’une nouvelle forme d’attaques seulement subversives aujourd’hui, qui se transformeront rapidement en razzias d’informations personnelles pour le compte de mafias Russo-sino-mafieuses.

Face à une telle perspective, il est évident que le Centre de National de Référence du CNRFID a un rôle à jouer. Tant sur le plan de la normalisation des solutions (normalisation qui assurerait une traçabilité des informations stockées et véhiculées) que sous l’angle sécurité. Un problème totalement négligé jusqu’à présent, si l’on excepte les efforts, nécessairement parcellaires, des constructeurs eux-mêmes. Or, en matière de sécurité appliquée aux réseaux de communication, les points de faiblesse sont rarement là où on les cherche (généralement au niveau de chaque maillon) mais sur les passerelles, les points de jonctions, là où une rupture ou traduction de protocole constitue une voie d’eau potentielle, là où se commettent ce que les anglophones appellent les « implementation errors ». Sans une instance capable de donner un avis impartial sur la fiabilité d’une chaîne complète mettant en œuvre des RFID (autrement dit que le CNRFID se dote d’un laboratoire d’analyse totalement neutre et indépendant des fabricants et intégrateurs), l’internet des objets se transformera en un fantastique terrain de jeu pour blackhats.

16 bouchons, certains d’entre eux résolvant jusqu’à 17 vulnérabilités d’un coup, concernant pratiquement toutes les facettes de Windows. C’est un véritable défilé du 11 novembre, que ce mardi des rustines. Comme de bien entendu, la vieille garde des trous Internet Explorer ouvre la marche, avec, précisément, ses 17 blessures de guerre dont un contournement du bastion ASLR suivit d’une élévation de privilège donnant à chaque soldat-hacker son bâton de Maréchal-Système pour peu qu’il sache comment l’utiliser. Egalement de la revue, la faille OLE, un vieux briscard qui fit les honneurs de l’attaque très médiatique Sandworm, désormais consolidée par une jambe de bois immatriculée MS14-064. Mais ce n’est pas tout. Le serveur de première classe IIS en prend pour son grade, .Net en réchappe de peu, tandis que RDP a été à deux doigts de faire passer l’ennemi, TCP/IP confondait les privilèges de sergent et de lieutenant-colonel, idem pour les o services audi. « Dites 33 » demande le médecin-chef qui supervise le Conseil de Révision logiciel. Un chiffre qui fait tousser, puisqu’il s’agit du nombre total de CVE colmatés en ce jour de commémoration d’Armistice. Au passage, 14 autres anciens correctifs Microsoft se sont vus relever de leurs positions par de nouvelles rustines-recrues qui assurent désormais la relève. Fermez le ban

Ouvrez le ban. Emet version 5.1 corrige quelques bugs exploitables et méthodes de contournement (dont une figurant dans la panoplie Kali Linux) affectant la précédente édition. Roulement de tambour et changement d’éditeur.

Sous l’étendard Adobe, à peine une escouade de 18 CVE visant Flash Player (proche cousin d’I.E. en matière de régularité dans la vulnérabilité et AIR, versions Windows, OSX et Linux.

Et les tambours virtuels d’entonner « Aux Morts ». Dulce et decorum est pro informatica mori.

A quoi peut servir un RFID ? et surtout qu’est-ce qu’un RFID ? Il y a quelques années, ces choses-là étaient claires : le RFID était le successeur pressenti du code à barre, fonctionnant en très grande majorité dans la bande HF des 13 MHz, avec une distance de lecture de quelques centimètres maximum. Au rencart la douchette, vive le sans contact, sans « sens de lecture », sans « orientation préalable ». Cette définition simple, simpliste même allait être bousculée par une foultitude de problèmes. A commencer par un usage abusif Outre Atlantique qui eut pour conséquence une campagne de dénigrement assez violente orchestrée par quelques défenseurs des libertés individuelles. A commencer par Katherine Albrech. Avec le développement des premiers RFID ont également fait surface les carences évidentes en matière de sécurité. Des « serial hackers » de talent, dont Adam Laurie et son site RFidiot ou Melanie Rieback de l’Université Libre d’Amsterdam, voire les Charlies Miller ou Cesare Cerrudo ne sont pas les moins connus dans la longue histoire de la chasse aux trous constellant les étiquettes « intelligentes ».

Tout comme les transmissions Wifi, excessivement fragiles à leurs débuts, puis de plus en plus résistantes avec l’arrivée des WPA de tous poils, les étiquettes radio ont pu combler peu à peu leurs défauts. La situation est encore loin d’être parfaite, mais elle est bien meilleure qu’il y a encore 5 ans. En outre, la majorité des usagers ont parfaitement intégré la notion d’analyse de risque liée à l’adoption de cette technique d’étiquetage radio. Tous les RFID n’ont pas nécessairement obligation d’être chiffrés ou d’être inaltérables, impossible à reproduire. Se sont donc constitués différentes strates de sécurité, empilées selon la destination finale et les exigences de leurs usagers.

Autre point délicat, celui du prix du RFID, considérablement plus élevé que celui du code à barre. De quelques dizaines de centimes par pièce, le RFID est passé en dessous de la barre des 8 à 10 cts dernièrement. Mais cette évolution ne s’est pas faite en un jour, et reste supérieure à ce que coûte une bande de 5 centimètres de papier autocollant recouverte d’un peu d’encre. Durant ce laps de temps également, le code à barre a reconquis quelques parts de marché là où on ne l’attendait pas. Dans le secteur Internet notamment, grâce à l’apparition des appareils photos sur smartphone qui ont popularisé les QRcodes. Des smarphones qui sont encore loin d’être tous équipés de lecteurs RFID d’ailleurs.

Ces petits hiatus ne sont rien comparés à la confusion croissante qui caractérise le monde des RFID dans son ensemble. Car le mot englobe beaucoup de choses. Les étiquettes 13,56 MHz elles-mêmes et leurs différentes normes (dont font partie par exemple les tags « myfare », clef d’hôtel, forfaits de ski, conteneurs biométriques des passeports etc.), les NFC de nos cartes bancaires et autres identifiants sans contact à très faible portée, mais également les dispositifs UHF consultables jusqu’à 10 mètres avec une vitesse de défilement de 50 km/h. Des RFID UHF qui, d’ailleurs, tendent de plus en plus à remplacer les étiquettes électroniques « old school » sur 13 MHz, car plus souples, plus faciles à « lire » , plus adaptées aux secteurs des transports, du stockage, voir même du contrôle d’accès, chasse gardée des RFID « HF » jusqu’à présent (et pour certaines, plus facilement hackables, ne serait-ce qu’en collectant les métadonnées). En utilisant des fréquences plus hautes, il devient plus facile, grâce à des antennes directives de taille acceptable, d’effectuer des lectures sectorielles, d’orienter un lobe de rayonnement de manière précise dans une direction donnée, de restreindre la distance de lecture de manière plus fine que ne le ferait un aérien dans la bande décamétrique.

Mais les étiquettes HF ont encore de beaux restes. Car dans cette famille, si l’on trouve des composants à lecture seule quasiment passifs, il existe également des systèmes intégrant un processeur ARM, un bloc de chiffrement DES, 32 k d’Eeprom, 28 k de mémoire ram, un capteur de température, un port externe pour récupérer les informations d’un accéléromètre (ou autre capteur), un port SPI… le tout communiquant par radio à un peu moins d’un Mb/s. Lorsqu’un paquet parvient à destination, l’on peut immédiatement savoir si le conteneur sur lequel il a été collé a été choqué, s’il a brisé la chaîne du froid, s’il a franchi telle ou telle étape de validation en fonction des données contenues en mémoire. Défaut de ses qualités, ce sont précisément ces performances techniques qui, associées à l’identité d’une personne, peuvent se transformer en véritable mouchard environnemental et contrevenir aux recommandations d’une Cnil quelconque …

Début octobre se déroulait à Marseille le Congrès International sur les RFID. Une manifestation qui, traditionnellement, s’attache année après année à un thème unique. Transports, secteur médical, distribution… Mais en 2014, tout change. Le comité d’organisation décide de mettre fin à ce cloisonnement et convie les fabricants et grands utilisateurs de RFID de tous bords. Les militaires du service de l’Intendance discutent avec les professionnels des transports aériens, qui eux-mêmes regardent avec attention ce qui se pratique dans le secteur médical ou, plus prosaïquement, dans la gestion des couettes de la SNCF ou l’étiquetage des bouteilles de vin.

Car le RFID, après des années de ratés au démarrage et de mauvaise presse, commence peu à peu à s’imposer. Politiquement tout d’abord, avec un sous-groupe du plan industriel « objets connectés » (qui fait partie des fameux « 34 projets de reconquête industrielle » initié le 12 septembre de l’an passé par le Gouvernement).

Un groupe de travail qui sera chargé d’identifier des projets industriels porteurs, tout en assurant du respect de la vie privée et de la protection des données et en situant les « principaux enjeux de gouvernance et de standardisation sur lesquels les intérêts de l’industrie française doivent être défendus » précise le communiqué. La formule est belle, mais la course est loin d’être gagnée. D’autres pays, USA et Japon en tête, ont déjà des idées très précises sur leur façon de voir la standardisation et de développer des applications spécifiques.

Toute aussi politique est la décision de constituer un « Centre National de référence RFID » qui ouvrira dès le début 2015. Un centre dont la mission sera de présenter les « meilleures applications dans le NFC et permettre à toutes les sociétés de disposer de moyens techniques (téléphone mobile NFC, échantillons de tags représentatifs, moyens techniques de caractérisation) pour développer de nouvelles solutions NFC ». En d’autres termes, ce sera là une « plateforme de compatibilité opérationnelle », une sorte de « preuve de faisabilité » mais en aucun cas une collégiale ayant pouvoir de certifier, tant en matière d’interopérabilité que de sécurité des contenus, maîtrise des fuites d’information ou conseils en matière d’intégration technique. « C’est une plateforme qui reposera sur la notion de « best effort »précisait le Président du CNRFID à l’occasion du congrès annuel.

Trois chercheurs d’Akamai, Ezra Caltum, Adi Ludmer et Ory Segal, ont dressé un tableau des activités de Shellshock dans les 5 jours suivant sa révélation. Et le moins que l’on puisse dire, c’est que les auteurs d’exploits ont travaillé avec un zèle infatigable.

-67 % des attaques provenaient des USA, 7 % d’Allemagne et 6 % de Grande Bretagne (4% semblant émaner de France).

– Cherchez l’argent : l’immense majorité des attaques visait… les sites de jeu en ligne (environ 300 000 tentatives d’intrusion). La seconde cible par ordre d’importance (équipements électroniques grand public) ne dépassait guère 10 % de ce volume.

– Le pic de volume des attaques a culminé le second et troisième jour après la divulgation publique de la vulnérabilité bash (7400 et 8000 domaines frappés)

– Le nombre de vecteurs uniques d’attaque a atteint le cap des 10 000 dès le lendemain de l’annonce, 15 000 le surlendemain, 20 000 le troisième jour, pour retomber à 15 000 le 28 septembre.

Dell SecureWorks publie notamment une cartographie des tentatives d’injection bash dans le monde, qui confirme et complète l’étude d’Akamai.

Quelques autres spécialistes sécurité commencent à s’inquiéter du « bruit de fond » que ShellShock continuera de générer en visant notamment les routeurs et appliances directement reliés à Internet et utilisant des Linux embarqués.

Wuala, entreprise Helvétique rachetée par La Cie, laquelle sera ensuite absorbée par Seagate, s’était fait une place sur le marché du stockage en offrant deux services gratuits. L’un tout à fait classique, à l’instar de ceux qui deviendront ses concurrents plus tard (OneDrive, Dropbox etc.), l’autre participatif, offrant à chaque abonné un espace proportionnel à celui qu’il était en mesure de proposer lui-même. Cette seconde solution, copie conforme du projet universitaire open source Ocean Store, n’eût qu’un succès d’estime, la protection des données stockées dans le « nuage des utilisateurs-collaborateurs » étant toujours demeurée techniquement floue. Exit donc le stockage participatif, ne restait plus que l’offre « 5 Go gratuit ». Laquelle vient à son tour d’être abandonnée, faute de rentabilité, et en raison d’une concurrence sauvage menée par les « gros bras » du stockage externalisé à destination grand-public. Difficile effectivement de soutenir la comparaison avec les 15 Go offerts par Microsoft OneDrive, Mediafire ou GoogleDrive. Désormais, l’offre Wuala devient essentiellement payante explique le blog maison. 12 $ par an pour 5 Go, 48 $ pour 20 Go, il est peu probable que l’intérêt du public se maintienne avec de tels tarifs. Même l’offre professionnelle (100 Go pour 5 utilisateurs à 430 $ l’année) risque d’être boudée.

Car le cloud pas souverain du stockage nébuleux traverse un front de perturbation orageux. Le client professionnel se courtise à coup de propositions de plus en plus avantageuses. Microsoft, cette semaine, supprime la limite du 1 To par défaut et passe en forfait illimité pour tout abonné à Office 365, dont l’abonnement débute à 7 euros par mois. Tout semble indiqué que les hostilités ont atteint leur point culminant, et que dans moins d’un an, le nombre de prestataires stockage significatifs se comptera sur les doigts de la main.

S’il est un mystère encore plus grand que celui de l’existence de la matière noire et de la Sainte Trinité réunies, c’est bien celui des motivations de la Commission générale de terminologie et de néologie, plus connue sous l’appellation « Commission de la langue Française ». A période régulière, ladite commission est prise de frénésie et accouche d’un néologisme d’une perfection renversante, qui émeut son lecteur au point qu’il se demande souvent par quel miracle la vie, l’univers et le reste ont pu exister auparavant. Son dernier exploit (l’on parle de celui de la Commission) concerne le mot « Big Data », qui faudrait désormais traduire par « mégadonnées » (J.O. du 22 août 2014) (n.f.pl.). Définition: Données structurées ou non dont le très grand volume requiert des outils d’analyse adaptés. Note: On trouve aussi l’expression «données massives»nous apprend le Journal Officiel au fil de la note référencée CTNX1419323X.

Du coup, c’est l’intégralité des œuvres d’Huxley qu’il va falloir corriger, en y insérant le nom de MégaFrère. Car dans Big Data, l’on trouve le radical « Big », comme dans Big Brother. Emasculer le terme de son signifiant ôte à Big Data tout aspect dramatique, tentaculaire, ubiquitaire qui en faisait son charme indéfinissable. Big n’est pas méga (et encore moins Tera ou Exa), n’importe quel sémiologue Googlelien ou des rivages de l’Amazon le jurera. A moins que ladite commission n’ait écouté avec complaisance les avis des grands manipulateurs de données massives et n’ait souhaité éliminer toute trace anxiogène du terme. C’est très à la mode, cette tendance à la novlangue, qui transmute une caméra de flicage en équipement de « vidéoprotection » et une « bourde du service informatique ayant entraîné un plantage magistral » en un « hiatus de gouvernance ».

Il faut dire que la Commission n’en est pas à son coup d’essai. Sa page Ouèbe de présentation est émaillée de quelques palmes peu académiques qui, chacune, marquent une victoire contre les barbarismes numériques.

L’on remarque ainsi la mise en exergue de « mécénat » et « parrainage » censés traduire au mieux le mot « sponsoring ».Le sponsoring est un contrat commercial, le mécénat est un acte désintéressé… mais ce genre de détail sémantique est de peu d’importance aux yeux des commissaires. Ce qui compte, c’est que ça sonne Français. Et ce n’est certainement pas le cas du mot « commanditaire », trop Français, trop ancien, et qui compte plus que trois lettres qui forment le mot…

Victoire de la commission, encore, mais à la Pyrrhus, avec cédérom, traduction de l’anglicisme CD-Rom paraît-il. Il est vrai qu’en langage parlé, la différence saute aux oneilles. Mentionnons au passage que cette même commission bannissait de notre vocabulaire il y a quelques années les termes RAM et ROM pour y substituer les sigles MEV et MEM. Pour Mémoire électrique Vive et Mémoire électrique Morte. La vie d’une mémoire ainsi francisée soulève la douloureuse question de la donnée ontologique, de la survivance de l’âme des bits après le trépas (car peut-il exister une mémoire morte qui ne soit d’abord née et n’ait jamais vécue ?) le tout soulevant le formidable problème de l’éventuelle immortalité des données en cas de copie d’ycelles. La commission Hadopi, aussi indispensable, salvatrice et nécessaire que la Commission de la Langue Française, travaille avec ardeur sur ce point théologique. D’ailleurs, une sous-commission planche également sur la publication d’un article correctif au journal officiel qui confirmera la traduction de CD-Rom par cédémème et celle de DVD-R par dévédémève. Quelques esprits subversifs ont même suggéré que le mot cédérom n’était pas politiquement correct et qu’il serait préférable de dire cédégensduvoyage. Mais ce ne sont là que lazzis infondés.

Ne figure toutefois pas au panthéon Ouebesque de la Commission le mot Ordinateur, tout empreint d’une solennelle déité, et que deux sous de réflexion auraient pu lui faire préférer « Computeur », du latin Comput, et qui fit le quotidien des spécialistes du Canon chargés de calculer les fêtes mobiles et néanmoins religieuses. On s’étonne également de l’absence du très familier « Bug » qu’il faudrait, parole de Commissaire, appeler bogue, probablement en raison du caractère très épineux de ce qu’il désigne. Logique imparable si l’on considère qu’une bogue électronique peut occasionner une châtaigne et une bogue informatique faire marron son auteur.

En revanche, « Puce » est un titre de victoire affirmé. C’est la traduction du mot « Chip », cette rognure de silicium qui se cache généralement sous l’épaisse protection de résine époxyde de nos circuits intégrés. « Court et imagé, puce n’a pas eu de peine à s’implanter dans le grand public » affirme l’auteur de la page de présentation de ladite commission. Il faut admettre que le grand public a probablement quelques difficultés à utiliser une « puce » compte tenu de la rare disponibilité des machines de bonding (de couture électronique) dans les merceries-épiceries les mieux achalandées. Du coup, forcément, l’usage rarissime du terme peut probablement passer pour une victoire. A moins que ladite commission ne s’enorgueillisse de l’involontaire synecdoque qui consiste à désigner la partie pour le tout, et appeler « puce » un circuit intégré. Mais ce ne serait là que pure médisance.