septembre, 2008

Et de trois. Après l’alerte lancée par Kevin Finisterre (in Milw0rm)à propos des logiciels Citect, après le bulletin émis par C4 sur les imperfections de PCU400 d’ABB, c’est au tour de RealWin de RealFlex de faire la hune du bugtraq. Ce serveur Scada qui tourne sous Windows 2000/XP est susceptible de succomber à un simple stack overflow. Ruben, l’inventeur de l’exploit et chercheur de Reversemode.com précise que cette faille affecte la version de démonstration dudit logiciel, et qu’il est possible que les éditions réellement commercialisées soient épargnées. Il reste que 3 exploits Scada découverts en moins de 4 semaines, cela prouve au moins que ce genre d’outil, longtemps demeuré dans l’ombre, suscite un intérêt certain auprès des chercheurs en sécurité. Avis de vent frais sur Manche Ouest, Manche Est et Cap Kevin Finisterre, risque de grain probable orienté MoSB, Month of Scada Bugs, évoluant à fort dans le courant du mois à venir.

Chiner sur eBay est souvent un régal pour les experts en sécurité. Après les disques durs un peu trop bavards, voici que l’on y trouve les appareils photos des agents secrets au Service de la Reine et les routeurs paramétrés « en dur » sur les machines d’un réseau municipal.

L’affaire des photos indiscrètes est révélée par un titre tapageur du Sun. Lequel nous narre la surprise d’un Britannique citoyen qui, après avoir acquis pour quelques Livres un appareil photo numérique sur eBay, découvre en sa mémoire une série de photos de roquettes d’origine supposée Iranienne, de documents anthropométriques, de clichés de fichiers policiers, de crédences d’ordinateur et d’empreintes … digitales sur support du même métal. Bref, une série de documents de travail relatifs à une opération visant Al Qaida. La carte mémoire aurait été « égarée » par un agent du MI6, les services secrets de la Couronne. Comme il est de tradition, ces temps ci, en Grande Bretagne, de perdre des clefs usb gouvernementales, des fichiers militaires, des secrets d’états sur CD ou dossier papier et des rapports ministériels sur SD-card, le Britannique ebayeur et néanmoins citoyen responsable s’est empressé de discrètement rapporter l’objet douteux au commissariat d’Hemel Hempstead. Lequel commissariat comme un seul homme a vivement éconduit ce patriote en lui recommandant un repos salvateur. Les services de sécurité antiterroristes sont intervenus après coup, quelques jours plus tard, réquisitionner l’objet du scandale. Tout est sauvé… for l’honneur.

Pour Andrew Mason, tout aussi Britannique que le précédent, mais, par hasard, également expert en sécurité, l’aventure débute avec l’achat d’un routeur Cisco VPN 3002. Routeur acquis pour la modique somme de 99 Pences et achat motivé par l’intention d’utiliser ledit routeur dans le cadre du travail. Mason connait bien l’appareil, si bien qu’il est même auteur d’un livre consacré à cet équipement. Un équipement dit de « sécurité » qui, à peine mis sous tension et raccordé au réseau, s’est empressé de se connecter à son ancien seigneur et maitre, le réseau informatique de la commune de Kirklees. Mason, en professionnel avisé, prévient immédiatement le service informatique en question.. lequel, comme un seul homme, éconduit ce patriote en lui recommandant un repos salvateur. Il doit y avoir quelques mariages consanguins entre les fonctionnaires des communes de Kirklees et de Hempstead. Il faudra attendre la publication de cette nouvelle sur le Web pour que l’administrateur réseau intervienne. Nos confrères de PC Pro narrent avec certains élans mélodramatiques cette collection de vieux classique : mot de passe « en dur » dans la configuration d’un équipement, absence de gestion sérieuse des stocks, absence de processus de « nettoyage » du matériel reversé… L’informatique de Kirklees pourrait bien devenir un cas d’école pour les impétrants CISSP.

Le THC (The Hacker’s Choice), connu notamment pour ses recherches sur le hacking des réseaux GSM, vient de découvrir comment contourner la sécurité de lecture permettant de révéler un véritable passeport équipé d’une étiquette RFID… et son équivalent aussi maquillé qu’un acteur de sitcom. Cet émulateur de passeport montre à quel point sont vaines les assurances récitées par les responsables politiques à l’origine de ce mésusage technologique. L’espace d’un instant, et grâce au THC Elvis a donc pu ressusciter et affirmer son identité dans un aéroport Hollandais. Dans un communiqué, le THC rappelle les risques qu’entraine l’usage immodéré d’une technologie immature dans le cadre d’applications de haute sécurité : vol d’identité, usurpation d’identité dans le cadre d’attaques « man in the middle), falsification et forgerie, relâchement de la vigilance des personnes initialement chargées de la sécurité aux frontières (officiels de la PAF notamment)… et le THC de conclure « Never let a computer do a job that can be done by a human » L’on pourrait ajouter qu’il est plus que dangereux que de tels outils puissent servir de preuve d’identité ou d’éléments d’authentification compte tenu de leur manque de « solidité » technique.

Les étiquettes radio sont de formidables outils pour qui cherche à optimiser une gestion de stock –c’est également, à terme, un important facteur de suppression d’emplois peu qualifiés-. Il affinent les flux des biens de consommations et marchandises, facilitent le suivi et le marquage de tout objets en transit, et ouvrent de nouveaux débouchés dans le domaine automobile (clefs de contact, cartes de fidélité, de péage d’autoroute et autres micropayements…) du tourisme (forfaits, passes) des transports (cartes de métro). Mais le mésusage de cette technique peut entrainer des dérapages imprévisible lorsqu’elle est associée à l’identité non plus d’un objet, mais d’une personne.

Cela faisait longtemps que le Sans ne nous avait offert l’une de ses « recettes de cuisine ». Cette fois, Lorna Hutcheson nous énonce la liste des 10 signes qui ne trompent pas en cas de compromission. Les alertes log du serveur d’accès qui deviennent étrangement silencieuses, les espaces ftp qui se réduisent comme peau de chagrin, des adresses email de service qui se font spammer, des concurrents qui « anticipent un peu trop » et « un peu trop souvent », des plantages imprévus, une augmentation significative des demandes de renouvellement de mots de passe… telles sont les principales stigmates d’un système piraté. Là encore un excellent matériau pour auteur de romans de techno-fiction.

Il n´est pas courant de voir un état focaliser toute son attention sur la sécurité des infrastructures du réseau public. Mais l´Estonie, qui fut probablement la première nation victime d´une cyber-attaque concertée, est un cas à part.

Son plan de cyberdéfense stratégique en 36 pages synthétise les principales décisions à prendre, les actions à mener afin de développer et conserver des voies de communication pensées avec un réflexe sécurité. De la formation des étudiants des cycles universitaires à l´isolement des systèmes Scada, en passant par les collaborations étroites avec l´Union Européenne, l´Otan, l´OSCE (Organisation pour la sécurité et la coopération en Europe), l´OCDE et consorts, toutes les voies sont explorées, toutes les grandes menaces définies. Si ce cadre directeur n´entre pas beaucoup dans les détails et pèche parfois par excès d´optimisme (notamment en matière d´entente et de coopération internationale), il présente le mérite de soulever les points d´inquiétude qui peuvent affecter un gouvernement. Un document indispensable à tout auteur de roman de politique fiction et tout CSO intéressé par l´approche méthodologique sous-jacente à sa rédaction.

Neural Broadcaster nous apprend que, suite à une erreur de la maréchaussée Finlandaise, toutes les routes vers le W3C auraient été bloquées sous prétexte qu’il s’agissait là d’un site pédophile. L’on soupçonnait depuis longtemps déjà la forte charge érotique qui pouvait être ressentie à la lecture d’un RFC sur OSPF ou sur la copulation des trames et des octets, mais personne, jusqu’à présent, n’avait envisagé que de dangereux déviants aient pu envisager de dénuder des paquets dont le Time to Live était inférieur au TTL légal généralement admis par les routeurs nationaux. Pas rancunier pour un sou, le W3C affiche actuellement sur sa page de garde un vibrant hommage à Nokia, fierté de la nation Finlandaise faut-il le rappeler.

Programmeurs de tous pays, CSSLPisez-vous ! Encore une certification portant un nom abracadabrant : Certified Secure Software Lifecycle Professional (CSSLP). C’est là un diplôme qui s’adresse tant aux chefs de projets qu’aux programmeurs, analystes programmeurs et ingénieurs, et qui dépend de l’un des organismes de certification les plus connus du monde de la sécurité, l’ ISC2 (prononcer ISCee square), déjà à l’origine du CISSP.

Cette annonce est intéressante à plus d’un titre. D’un point de vue pécuniaire tout d’abord, puisque qu’une récente étude prouvait que seuls les professionnels possédant une qualification « sécu » pouvaient espérer une augmentation de salaire, dans un contexte général orienté à la stagnation, voir à l’érosion du pouvoir d’achat. Sous un angle historique et politique ensuite, car le « secure lifecycle development » est devenu une nécessité, chez Microsoft notamment, mais également auprès de la plupart des autres grands éditeurs. Ne serait-ce que pour répondre au mécontentement croissant des usagers et tenter de minimiser les coûts élevés des correctifs à posteriori. Parfois, certains « bugs de conception » obligent les auteurs de programmes à remettre à plat une grande partie de leurs codes, opération qui s’effectue en général au détriment des développements futurs et qui constitue une perte sèche pour l’entreprise.

La mise en place d’une politique d’écriture normée et sécurisée, prévue pour s’intégrer tout au long de la vie du logiciel est donc là une réaction motivée plus par des soucis de rentabilité que par des considérations altruistes… ce qui laisse espérer enfin une mise en application plus sérieuse que par le passé.

La NCSU, Université de Caroline du Nord, s´est intéressée aux « clics compulsifs » et autres acceptations de messages s´affichant dans des écrans de « pop up »… que ceux-ci soient d´authentiques demandes du noyau ou de véritables déclencheurs d´infection en provenance de la partie pas nette du Net.

Dans 60 % des cas, le bouton « OK » est activé sans même que l´usager ait lu le contenu de l´avertissement. Cette étude comportementale ne fait que confirmer le danger provoqué par les incessants messages générés par les User Access Control de Vista.

24 failles publiées, à installer automatiquement via Apple Update ou à la main, en version spécifique pour Tiger ou Leopard. Ce sont, pour la plupart, des problèmes corrigés depuis déjà fort longtemps par Sun, mais dont la transposition sur les versions très propriétaires d’Apple a exigé un peu plus de travail que prévu.

Steganos, entreprise Allemande du secteur des DLP, publie une étude sur la perception que les usagers Britanniques et américains ont de leur propres ordinateurs. Le moins que l´on puisse dire, c´est que ce qui se « passe sous le capot » semble, avec le temps et la démocratisation des outils informatiques, aussi ténébreux que l´électronique d´une automobile moderne. Tant que « tout roule », c´est le principal.

Ainsi, 13% des sondés avouent ne pas posséder d´antivirus local (ce qui n´est pas nécessairement un drame). 8 % ne savaient absolument pas si, oui ou on, un tel programme était installé, et 19% étaient dans l´incapacité de dire si un firewall les protégeait du monde extérieur.

Concernant la protection des données personnelles (chiffrement notamment, mais également paramétrage du navigateur, filtrages d´url etc.), plus de 60 % des personnes interrogées affirmaient ne pas posséder une telle protection, tandis que 25 autres pourcent ignoraient s´il en existait une dans leur configuration. Plus de la moitié des personne était également incapable de savoir si les paramètres de leurs navigateurs étaient correctement réglés.

Cette étude, bien que commanditée par une entreprise « partie prenante » du secteur de la protection des données, ne montre pas à quel point les utilisateurs seraient de plus en plus « inconscients », mais à quel degré d´ergonomie en sont les programmes de protection périmétrique. Il est impensable aujourd´hui d´acheter une ceinture de sécurité ou d´installer des amortisseurs de choc dans la structure même d´un véhicule. Pourquoi alors des non spécialistes auraient à se soucier d´installer une protection minimale sur les équipements les plus standards ? Sentiment d´autant plus compréhensible que, depuis déjà plusieurs années, rares sont les gens qui installent encore un noyau ou les outils nécessaires à la protection des machines. Un effet pervers des machines « pré-installées », une responsabilité qui incombe donc directement aux éditeurs qui, des années durant, ont bataillé pour que se généralise cet état de fait. Microsoft en tête.