juillet 20th, 2008

Le « 2007 State Piracy Report » édité par l’association internationale de l’Industrie du logiciel et de leurs partenaires sur le matériel, le BSA –Business Software Alliance-, vient de paraître. Il rend compte d’une certaine vision du niveau de piratage des logiciels aux Etats-Unis. Même si ce rapport de douze pages est purement américain et partisan –car conduit, commandité et édité par les principaux intéressés- il est intéressant à analyser. Selon le BSA, les USA sont les moins touchés par le piratage logiciel, avec près de 20 % en moyenne de vols et d’utilisation illégale de programmes. Le montant estimé du « manque à gagner » s’élèverait à près de 15 milliards de dollars pour le secteur de l’industrie (insistons sur le fait que le BSA comptabilise une vente hypothétique de programme au prix « boutique », et non une véritable perte sèche indicée sur le prix des licences OEM).

Au total, 8 Etats seraient responsables à eux seuls de 4,2 milliards de dollars de pertes. Un chiffre qui dépasse à lui seul le total des pertes constatées dans chaque pays dans le reste du monde, Chine exceptée.

Autre interrogation digne d’un sujet du bac, voila que le très Britannique Telegraph nous narre l’histoire d’un jeune pirate Néozélandais de 18 ans, cerveau d’une bande spécialisée dans le vol d’identité et la récupération de numéros de cartes de crédit. Un fait-divers parmi tant d’autres, la Nouvelle Zélande et l’Australie semblant être deux pays du Commonwealth particulièrement riches en mules et en spécialistes du phishing.

Là où ce roman gris-pâle prend un peu de couleur, c’est lorsque, malgré des malversations estimées à 20 millions de dollars *, notre jeune Black Hat serait activement courtisé par des chasseurs de tête travaillant pour moultes entreprises informatique, et serait lui-même assez intéressé pour mettre ses compétences au service des forces de l’ordre.

En nos contrées, la position généralement affichée par les professionnels du milieu de la sécurité est simple : « Pirate un jour, pirate toujours, jamais un élément incontrôlé ne saurait faire partie de nos rangs ». Une prise de position officielle qui masque parfois la présence d’anciens hackers « noirs » repentis, travaillant au fond d’un laboratoire de recherche, généralement isolé de tout contact direct avec une clientèle. Toute la question est de savoir s’il est possible « d’un point de vue marketing» d’admettre la possibilité d’une rédemption par le travail, de reconnaître le droit à un moratoire sur les erreurs de jeunesse, une fois payée toute dette à la société. Il existe plus d’exemple prouvant que cela est possible (Mitnick, Abagnale…) que des cas contraires de récidive.

*Ndlr : estimation effectuée par le FBI, qui a pour habitude de facturer les minutes d’immobilisation d’un système au prix du platine en lingots. Les « pertes estimées » par les Fédéraux Américains sont généralement sans aucun rapport avec le montant des vols réels et des pertes sèches.

Le San Francisco Chronicle nous raconte l’histoire d’un administrateur réseau malheureux, brimé qui, après avoir été remercié sous prétexte de « résultats peu performants », s’est vengé de son employeur en verrouillant les accès aux données les plus importantes. L’employeur en question étant le département informatique, cette petite vengeance cryptographique paralyse pratiquement 40 % du fonctionnement du système. Placé en détention sous astreinte d’une caution de 5 millions de dollars, l’ex administrateur frustré refuse de desserrer les dents et de livrer le sésame qui libèrera les données. Le Focus commente l’affaire en rappelant que ce n’est pas là une histoire isolée, que les retours de manivelle subis par certains patrons peuvent être douloureux. Même si, semble-t-il, la justice américaine condamne très sévèrement ce genre de « prise en otage » de la propriété intellectuelle d’une société commerciale ou d’une administration. Le véritable point important, dans cette aventure informatico-judiciaire, semble avoir été totalement oublié par nos confrères américains : c’est là, semble-t-il, la première fois qu’une infrastructure de service public stratégique est officiellement reconnue comme ayant été paralysée par un hack volontaire. En d’autres termes, il s’agit d’un cas d’école très intéressant sur la fragilité des architectures Scada (Supervisory Control And Data Acquisition) chargées de réguler et de faire fonctionner des processus vitaux ou importants.

Le Sans Institute y apporte une réponse humoristique, sous la forme d’un billet intitulé fort à propos « Exit Process ». Ou comment prévoir, tout au long d’un processus de traitement, le départ prévu ou inopiné du créateur ou de la cheville ouvrière du processus en question. Que l’on parle ici d’un licenciement, d’un départ brutal, d’un décès, d’une intervention extérieure… il faut, appliquer la règle des Voyageurs de Star Treck : A System must continue to operate in a correct and safe manner in the absence of its Creator

Mais cela signifie-t-il pour autant qu’il faille instituer une sorte de flicage permanent des administrateurs système ?

Nruns est une entreprise Allemande qui, ces jours-ci, fait parler d’elle en publiant coup sur coup deux alertes :

– L’une signalant un Buffer Overflow (BoF) pouvant être provoqué à distance sur l’antivirus F-Prot de Frisk (le moteur Frisk est utilisé en OEM par beaucoup d’éditeurs du milieu),

– L’autre avertissant d’une faille Quicktime concernant aussi bien les usagers du monde Windows XP, Vista etc que Macintosh.

Ce n’est pas la première fois que nRuns tombe à bras raccourcis sur un « bug » touchant un antivirus. Ce serait même, Outre-Rhin, une sorte de sport national. La page « Parsing engine advisories » de ce même nRuns est aux logiciels de filtrage ce que l’ossuaire de Douaumont est aux grandes batailles de 14-18. Peu étonnant, lorsque l’on sait qu’au sein de l’équipe de recherche, l’on retrouve notamment le nom de Thierry Zoller, l’homme qui, le premier, mis le doigt sur les indélicatesses des différents éditeurs d’A.V. à propos de la gestion des décompacteurs (zip, arj et assimilés). Sa communication « The Death of Defense in Depth ?- revisiting AV Software » et la longue liste de ses découvertes méritent une lecture approfondie et une attention toute particulière.

Depuis les premiers développements de rootkit virtuel (Bluepill) par Joanna Rutkowska, depuis les travaux de Nicolas Brulez dans le domaine du camouflage de code et de l’anti-reverse engineering, tout le monde ou presque s’intéresse aux techniques d’attaques furtives. Cette semaine, c’était au tour de Craig Smith, de Neohapsis, de se pencher sur la fabrication à la fois d’une mini VM et sur un code exécutable (crackme), dans le cadre d’une conférence donnée à l’occasion du dernier Recon de Montréal. Cette preuve de faisabilité est distribuée par l’auteur en assembleur (Masm) et devrait pouvoir être porté sur n’importe quel système ou plateforme. Le temps viendra où un jour, les malwares ne chercheront plus à détecter les VM pour les éviter –de crainte de tomber sur un « honeypot »- mais tout au contraire feront leur possible pour y croître et y prospérer.

Il y a eu le coup de la « mémoire surgelée » et de l’examen des données rémanentes dans les RAM C-Mos des ordinateurs portables. Puis l’accès direct de ladite mémoire via une clef USB capable de dumper tout et n’importe quoi… en particulier les mots de passe intéressants. Puis les intrusions via câble Firewire. Les personnes les plus intéressées par l’aspect techniques des accès à la mémoire physique peuvent se reporter aux travaux des français Matthieu Suiche et Nicolas Ruff. Une version plus synthétique et survolée de la question a également été donnée par le Cert Industrie Français (Cert Ist), le tout étant accompagné de divers conseils visant à minimiser l’impact ou la probabilité de telles attaques.

Autre interrogation digne d’un sujet du bac, voila que le très Britannique Telegraph nous narre l’histoire d’un jeune pirate Néozélandais de 18 ans, cerveau d’une bande spécialisée dans le vol d’identité et la récupération de numéros de cartes de crédit. Un fait-divers parmi tant d’autres, la Nouvelle Zélande et l’Australie semblant être deux pays du Commonwealth particulièrement riches en mules et en spécialistes du phishing.

Là où ce roman gris-pâle prend un peu de couleur, c’est lorsque, malgré des malversations estimées à 20 millions de dollars *, notre jeune Black Hat serait activement courtisé par des chasseurs de tête travaillant pour moultes entreprises informatique, et serait lui-même assez intéressé pour mettre ses compétences au service des forces de l’ordre.

En nos contrées, la position généralement affichée par les professionnels du milieu de la sécurité est simple : « Pirate un jour, pirate toujours, jamais un élément incontrôlé ne saurait faire partie de nos rangs ». Une prise de position officielle qui masque parfois la présence d’anciens hackers « noirs » repentis, travaillant au fond d’un laboratoire de recherche, généralement isolé de tout contact direct avec une clientèle. Toute la question est de savoir s’il est possible « d’un point de vue marketing» d’admettre la possibilité d’une rédemption par le travail, de reconnaître le droit à un moratoire sur les erreurs de jeunesse, une fois payée toute dette à la société. Il existe plus d’exemple prouvant que cela est possible (Mitnick, Abagnale…) que des cas contraires de récidive.

*Ndlr : estimation effectuée par le FBI, qui a pour habitude de facturer les minutes d’immobilisation d’un système au prix du platine en lingots. Les « pertes estimées » par les Fédéraux Américains sont généralement sans aucun rapport avec le montant des vols réels et des pertes sèches.

Oyez ISVs, Vars et développeurs, Citrix Systems veut démocratiser le passage dans le monde virtuel en annonçant pour la rentrée le projet Kensho, sorte de boîte à outils servant à fournir une application dans une machine virtuelle (VM) au format OVF. Un format normalisé par la Distributed Management Task Force (DMTF) qui place les machines virtuelles dans un état reconnaissable par n’importe quelle hyperviseur : Citrix (Citrix XenServer), VMware (VMware ESX ) ou Microsoft (Hyper-V). Un format intermédiaire que chaque environnement de virtualisation cible transformera à son tour dans son propre format pour que s’exécute la machine virtuelle.

Fini donc les multiples développements d’appliances virtuelles. La bataille des applications VM est ouverte à tous … Il est à noter que VMware propose également à ses clients –et depuis un certain temps déjà- ce genre d’outils.

Le passage des applications virtuelles au format OVF devrait également faciliter la vie des administrateurs. En unifiant les VM au format OVF, l’on pourrait ainsi éviter d’avoir à utiliser de multiples environnements d’administration. Et les DSI pourraient même envisager à terme une automatisation du provisioning des applications situées dans les VM. Citrix, partenaire de Microsoft dans le domaine du virtuel, annonce par ailleurs une facilité de passage entre les deux mondes virtuels en ce qui concerne l’administration et le choix de la plateforme sur laquelle s’exécutera la VM.
Le nerf de la guerre : l’administration

Une stratégie d’ouverture que Microsoft confirme avec, entre autres, la possibilité de gérer avec System Center Suite 2007 qui inclut aujourd’hui VMM 2008, Virtual Machine Manager, toutes sortes de machines qu’elles soient virtuelles (celles de VMware comprises) ou réelles. Il est à noter que contrairement à VMM 2007, VMM 2008 sera également commercialisé en mode « Stand alone » d’ici à la fin de l’année suite aux demandes des utilisateurs.

Il est certain qu’avec la généralisation des VM -dont Hyper-V-, le nerf de la guerre sera constitué bientôt par les plates-formes d’administration. L’on assiste en effet sur le terrain à une véritable prolifération de ces environnements virtuels dans le système d’information. Microsoft a compris l’importance de fournir l’outil d’administration le plus universel possible. Citrix également en s’appuyant sur OVF.
Le multi-environnement virtuel : un mythe ?

…encore faut-il savoir ce que l’on va réellement administrer … Il est raisonnable de penser qu’une console unique ne gérera que les fonctions communes à tous les environnements. Ors, aujourd’hui, l’on choisit l’une ou l’autre des solutions en fonction des nécessités de chacun et des spécificités des outils. Ainsi, VMware propose aujourd’hui beaucoup plus de fonctions avancées que les plates formes concurrentes… antériorité sur le marché oblige. Par ailleurs, peut-on réellement imaginer un environnement virtuel multimarques ? Cela demande encore, pour l’instant, trop de compétences techniques multiples pour les personnes en charge de ces VM…