septembre 22nd, 2008

Les vieux journalistes ont tous en mémoire une secrétaire de rédaction capable, d’un coup d’aérographe, de masquer une ombre, rattraper un cliché sans contraste ou effacer une bouteille d’alcool pouvant compromettre la réputation d’un interviewé. Science et art tout à la fois, la pratique de l’aérographe a longtemps également été le passe-temps favori des dictateurs et autres manipulateurs d’opinion. Les régimes Staliniens et Hitlériens, la période Maccartiste ont fait couler plus de peinture bistre sur les clichés officiels que des siècles de censure orchestrés par l’inquisition… autocensure parfois révélée par des palimpsestes qui font la joie des experts.

Aujourd’hui, l’expert ne gratte plus les vernis ni ne passe les images aux rayons X. Il analyse la luminance des clichés numériques, cherche des motifs répétitifs, fouille dans les échelles colorimétriques et s’acharne sur la détection de « détourage ». Car l’ère de la photographie numérique sonne l’avènement du règne des faussaires Photoshopesques. Neal Krawetz, de SecDev, a souvent écrit sur cette forme de hacking très discret qu’est la désinformation par modification des images numériques. Un Barack Obama « plus noir que vous ne pensez »* ou des missiles Iraniens qui se multiplient comme des petits pains aux noces de Téhéran. Ce dernier exemple, d’ailleurs, sert de catalyseur à Errol Morris, à qui le New York Times ouvre ses colonnes. Et Morris d’interviewer Hany Farid, un autre spécialiste de l’image politique photoshopée. Farid parle des techniques de détection, des contre-mesures utilisées par les faussaires, des manipulations psychologiques qui accompagnent nécessairement ce genre de trucage (ainsi les affirmations de Colin Powell à propos des photographies satellite montrant les prétendus stocks d’armes de destruction massive en Irak). Avec la numérisation de l’image, avec la disparition –fichiers RAW exceptés- de tout support crédible pouvant constituer une preuve recevable, avec l’amélioration constante des outils et techniques de modification, le hack d’une photographie peut avoir des conséquences biens plus graves qu’une « faille du siècle » affectant les DNS ou un « bug majeur » touchant un navigateur Web très répandu.

*Note de la Correctrice : Plus noir que vous ne pensez, Darker than you think, est un vieux roman de littérature fantastique écrit par Jack Williamson dans les années 40. Neil Krawetz ne s’abreuve pas seulement d’ouvrages sur les recettes traitant de l’art d’accommoder les injections SQL

Facétieux, Mikko Hyppönen ces jours-ci. Après avoir reçu un pourriel –au format pdf- signé d’un certain info@bulk-mail.org, le patron du labo de recherche F-Secure s’est fendu d’un billet humoristique incitant ses lecteurs à assouvir une saine vengeance en publiant en clair l’alias smtp de ce vampire du courriel. Les robots d’« adress harvesting » feront le reste, sans qu’il soit nécessaire d’expédier le moindre message de riposte. Aussitôt dit, le billet fut rapidement repris par la blogosphère. Une fois n’est pas coutume, ce week-end fut l’apothéose de la vindicte populaire, de la vengeance privée et de la justice personnelle par robot interposé, et sans que personne n’y trouve rien à redire. Un polluposteur polluposté par ses propres outils de pollupostage, voilà de quoi ensoleiller toute la semaine à venir.

François Paget nous parle -en anglais hélas- des ordinateurs portables qui disparaissent. 750 000 vols par an selon les uns, deux millions de machines disparues au fil des dernières années selon les autres, au moins 50 % des entreprises touchées chaque année -aux USA, mais peut-on croire que les statistiques soient différentes en Europe ?-.

« Tout compte fait, on a peut-être des raisons d’être inquiet », dit en substance le communiqué de Citect, cet éditeur spécialisé dans les logiciels ce contrôle de processus du secteur de l’énergie. Au début du mois, un exploit publié sur Milworm sous la plume de Kevin Finisterre, plaçait sous les feux de la rampe une vulnérabilité affectant le logiciel CitectScada. Publication motivée essentiellement par les efforts dudit éditeur à minimiser la dangerosité du défaut. Mais, en quelques heures, et grâce à la littérature de Finisterre, Citect est passé de l’obscur anonymat propre à une entreprise très spécialisée au soleil brûlant des projecteurs des médias. Et pas franchement dans un rôle de premier de la classe. Il aura tout de même fallu plus d’une dizaine de jours pour que la « cellule de crise » réagisse et reconnaisse publiquement que l’application d’un correctif était hautement souhaitable… « même si, jusqu’à présent, aucun client n’avait eu à déplorer la moindre malversation ».

Cette affaire remet sur le tapis l’éternel débat relatif à la divulgation des détails des failles. Face à l’inertie des éditeurs et équipementiers, les chercheurs en sécurité n’ont qu’un seul moyen de « persuasion » : l’impact d’une publication sur l’image de marque de l’entreprise. Ce que refusent généralement de reconnaître les adversaires de la divulgation responsable, c’est que c’est généralement là un acte de « dernier recours », après parfois des semaines, des mois d’échanges d’informations entre l’inventeur de la faille et le principal intéressé.

Les spécialistes sécurité ont presque tous une même passion … pis encore, un vice : le crochetage des serrures, verrous, cadenas et autres loquets secrets. Les uns jouent de la lame vibrante, les autres font du crochet, d’autres encore préfèrent employer des films radiologiques, des calibres 11,43 ou des découpes de canettes de soda. Bientôt, tout ce folklore disparaîtra, nous prédit Bruce Schneier, qui nous fait découvrir deux annonces révolutionnaires dans le petit monde de la serrurerie : la serrure à ouverture GSM et le verrou à contrôle distant WiFi. Dans un cas comme dans l’autre, les constantes ergonomiques impliquent que ce genre de serrure s’ouvre avec un sésame ne dépassant guère 5 ou 6 numéros (le modèle « internetisé » serait même commandé à l’aide d’un « 4-digit access code » nous explique le journaliste qui rapporte cette information. En d’autres termes, pour 300 dollars et un impôt mensuel de 13 $, l’on peut s’offrir le luxe d’une serrure aussi peu fiable qu’une liaison Bluetooth et vulnérable aux attaques « man in the middle ». En cas de perte du code ou d’échec du cambrioleur (qui aurait mal compris son petit brute force illustré), il est toujours possible, nous apprend-on, de crocheter la serrure avec des moyens conventionnels.

Plus fort que le piratage Scada, Adrian Pastor, de Gnu Citizen, nous promet de prochainement publier un article sur une « nouvelle technique universelle servant à détourner un site web ». Et ce ne sera pas, nous promet-il, une énième interprétation d’un XSS. Cette fois, le coupable, celui qui met en péril potentiellement tous les serveurs Web, c’est un firewall vendu sous forme d’appliance. L’on se souvient encore de la campagne de fuzzing que Pastor et son compère PdP avaient entamé contre l’ensemble des routeurs ADSL commercialisés en Grande Bretagne –ceux d’Orange, notamment-. L’exploitation des failles affectant les firmwares est donc une « spécialité maison ».

Mais il est trop tôt pour en parler, précise l’auteur. L’équipementier est prévenu, la diffusion de l’information se déroulera selon les règles établies par le ZDI (agrémenté de quelques articles dans GNU Citizen). Tout ce que l’on peut dire à ce jour, c’est que l’affaire touche « a well-known firewall vendor » et qu’elle peut déboucher sur un exploit « cross domain » qui, affirme l’auteur, peut affecter absolument tous les serveurs Web du monde entier, à partir du moment où celui-ci est protégé –si l’on peut dire- par le firewall en question.

Si la faille affecte un appareil haut de gamme, le risque d’exploitation a de fortes chances d’être très faible –en admettant qu’aucune fuite ou supputation géniale ne vienne chambouler le calendrier de divulgation-. En revanche, si le problème se rencontre sur des boîtiers d’entrée de gamme, le risque devient majeur. La clientèle des outils de protection périmétrique peu chers est moins encline à appliquer les correctifs, de crainte généralement de se retrouver avec une « brique », conséquence d’une erreur de flashage. Le trou Pastor ? Il risque de faire parler de lui encore longtemps.