septembre 12th, 2008

Les correctifs de ce dernier mardi ont provoqué certains émois. A commencer notamment par celui du GDI Windows, dont l’installation provoque parfois certains Bsod et autres plantages brutaux, notamment sous Vista 64. Ces phénomènes, rapportés par plusieurs lecteurs de CNIS-Mag, ne semblent pas destructeurs, et se résolvent généralement après un démarrage à froid de la machine. Affirmation à prendre avec des pincettes compte tenu de la faiblesse de l’échantillonnage.

Phase 1 : Une note du CertA précisant, nonobstant l’émission d’un patch d’amélioration, que l’usage du mécanisme Protected Storage de Microsoft n’est pas bon pour la santé.
Phase II : un billet de News0ft sur l’analyse du correctif susmentionné accompagné d’une réflexion sur la raison d’être du Protected Storage,
Phase III : un jet d’acide pur émis par Kostya sur ce même sujet, qui remet en mémoires les communications plus anciennes révélant la présence d’une clef « fixe » dans le mécanisme de chiffrement des mots de passe. Après tout, 1000 euros de carte de chiffrement, ce n’est pas nécessairement du luxe.

Gunter Ollmann, de la X-Force ISS-IBM, n’est généralement pas un auteur facile à lire. Une fois n’est pas coutume, il se penche cette fois sur la manière de pirater un mot de passe de messagerie, article à destination de ceux pour qui le mot assembleur rappelle les soirées Lego et C++ une marque automobile.

Soit, explique Ollman, le mot de passe concerne la messagerie de l’intéressé. Dans ce cas, même si la boîte n’est celle que d’un webmail, il reste certainement une trace de mot de passe dans un recoin de navigateur ou une branche cachée de la base de registre. Des outils gratuits de récupération se trouvent à chaque détour du Web, il suffit de chercher. En étant prudent toutefois, car de plus en plus de spyware, rootkits et chevaux de Troie infectent maintenant la majorité de ces utilitaires. Le domaine public bat de l’aile.

Mais il se peut que cette recherche concerne la messagerie d’un tiers. « Ce n’est peut-être pas très beau, mais, en parcourant les sites spécialisés dans le cassage de mots de passe, vous trouverez un nombre impressionnant d’excuses, toutes aussi légitimes les unes que les autres » continue Gunter Ollmann. « Dans ce cas, il est difficile, surtout si l’on souhaite la discrétion, d’effectuer une perquisition sur la machine de l’intéressé(e). Il faut alors recourir aux services d’une entreprise dont c’est le métier ». Facilement reconnaissables, elles pavoisent souvent sous un TLD de type « ru ». list.ru, bk.ru, inbox.ru, Pochta.ru, fromru.com, front.ru, hotbox.ru, hotmail.ru, land.ru, mail15.com, mail333.com, newmail.ru, nightmail.ru, nm.ru, pisem.net, pochtamt.ru, pop3.ru, rbcmail.ru, smtp.ru… ah, ces slaves, c’est qu’ils nettoient !

Et combien çà coûte ? Généralement « 100 ». 100 dollars, 100 Euros, certainement pas 100 kopeks. Pas de payement à l’avance exigé, satisfait ou remboursé, contacts polis, discrétion assurée, disponibilité 24H sur 24 et 365 jours par an. Les virements sont si possibles à expédier à Singapour, en Inde, Malaisie, aux Philippines, pépinières de hackers spécialisés dans l’attaque Brute Force. Et Ollman de terminer avec des conseils de prudence destinés à contrer les agissements de ces officines : choix d’un fournisseur de services capable de verrouiller un accès soumis à une attaque par dictionnaire, utilisation d’un mot de passe complexe… l’on pourrait ajouter qu’il est dangereux de consulter ladite messagerie durant une conférence sécurité.

Cet article n’apprendra strictement rien aux gens du métier, des chercheurs comme Dancho Danchev ont depuis belle lurette fait le tour du sujet avec des arguments techniques et des preuves bien plus solides. Mais présenté à la « sauce ISS », l’histoire est considérablement plus digeste, digne de figurer dans les compilations des meilleurs articles de sensibilisation.

Les lettres : pour IBM X serie, un six lettres avec le x-Vault, boîtier de chiffrement de disque dur pour serveur

Les chiffres : 1100 dollars, pour les x3650, x3400 et x3500

Le défi : contrer les risques de vol d´information, les injections et dumps sauvages, les « prises en otage » de données. Notamment, précise le communiqué d´IBM, dans le cadre de petites entreprises ne possédant pas nécessairement une salle informatique à accès restreint. Reste que 1000 dollars pour une PME, cela représente parfois 50 à 70% du prix d´un serveur.