septembre, 2008

Le bulletin d’alerte de VMWare précise que certaines des 6 failles corrigées ce jour sont considérées comme « critiques ». C’est le cas notamment du problème affectant openwsman pour ESX et ESXi 3.5. Les autres correctifs sont en fait des mises à jour de libpng, bind, net-snmp, et Perl.

Alors que tous les yeux sont tournés en direction de VMWorld, Microsoft prévient discrètement que la prochaine édition de Microsoft Desktop Optimization Pack (MDOP) entre en phase RTM (Ready To Manufacture… l´ultime étape avant la commercialisation).

Mdop est un ensemble plus qu´imposant d´outils de gestion et de déploiement d´application. Cela commence avec Application Virtualization 4.5, anciennement Softgrid, architecture combinant des fournitures d´applications via TSE (écran-clavier déporté) ou par le biais de téléchargement partiel d´applications dans l´espace mémoire du poste de travail. Gravitant autour de cette infrastructure de virtualisation, l´on retrouve les « Asset Inventory Service » chargés des inventaires d´applications, les « Advanced Group Policy Management » 3.0 destinés à… gérer les GPO, l´un des supplices les plus raffinés qu´ait pu infliger Windows Server à ses administrateurs, une boîte à outils « Diagnostics and Recovery » et enfin le « System Center Desktop Error Monitoring ». A ces programmes consacrés au transport et à l´administration des logiciels d´entreprise, s´ajoute également une suite d´accessoires de déploiement.

Dans le courant de 2009, la suite Mdop devrait rapidement inclure un « Enterprise Desktop Virtualization », fruit du développement de la société Kidaro, absorbée par Microsoft en mars dernier.

On est toujours trahi par ceux que l’on aime. Robert Graham d’un côté, Paul Roberts de l’autre, déroulent le film du hack du courriel Yahoo mail du Gouverneur de l’Alaska. Et la recette était simple… d’une part l’obtention de l’adresse de messagerie dans les colonnes du Washington Post , de l’autre, la récupération sur Google des réponses nécessaires à la procédure de récupération d’un mot de passe oublié : lieu de naissance, code postal… et surtout lieu de la première rencontre de Sarah et de Todd, l’homme de sa vie… ce n’est plus du hack technique, mais du social engineering à la sauce « Points de Vue et Images du Monde » rondement mené.

Cette fois-ci, Google était complice. Demain, une autre aventure de ce genre pourrait bien compromettre Linkedin, Yahoo Groups, FaceBook ou Blogger. Mais l’abyssal manque d’imagination de ce Gouverneur Républicain entre également dans l’équation du calcul de risque. Qui donc répond encore naïvement aux « questions de repêchage » d’un Yahoo ou d’un Live ID ? A la demande « Quel est le prénom de votre mère », il est d’usage de répondre par un très improbable mais inoubliable Cunégonde ou Félicie, et l’on se demande pourquoi une concitoyenne des Marx Brothers n’a pas répondu « préférée » à l’interrogation « quelle est votre couleur préférée ». Le non-sens et l’humour seraient-ils plus Démocrates que Républicains ?

Encore un vol de numéros de cartes de crédit aux USA. Cette fois, c’est Forever 21, chaîne de magasins de vêtements, qui s’est fait dévaliser. L’alerte a été donnée par la police, nous apprend le communiqué du distributeur, suite à l’arrestation de trois hackers qui écumaient notamment la région de Fresno. 11 autres commerçants auraient également été victimes de ces pirates… ce qui laisse penser que l’on a à faire une nouvelle fois à un gang spécialisé dans l’intrusion des réseaux sans fil. Au total, près de 100 000 numéros de cartes, dates d’expiration et « autres renseignements » auraient été dérobés mais, insiste le vendeur, sans les noms des porteurs. En outre, plus de la moitié des numéros récupérés appartiendraient à des cartes expirées. Ce qui fait tout de même 50 000 identités bancaires potentiellement exposées.

Ce fait-divers, largement couvert par la presse anglo-saxonne, ne représente pas même 10% du piratage du réseau TJX. Bien que se drapant dans une dignité toute faite de certification PCI (Payment Card Industry Data Security Standard) et de conformité aux normes de sécurité, Forever 21 ne chiffrait manifestement pas le contenu de ses archives comptables.

C’est pas qu’ils soient cabots, ces vaillants soldats de Sa Gracieuse Majesté… mais voir leurs états de services jetés à l’appétit de la populace et aux critiques ironiques des tabloïds, voilà qui mettrait en rage le plus flegmatique des Majors. Car, une fois de plus, semble-t-il, des informations émanant du Ministère des Armées Britannique ont été égarées. Et dans une boîte de nuit, cette fois. Malheureusement, le facétieux fêtard qui découvrit le stick (probablement un ancien para qui déteste les fusiliers) l’expédia derechef à la rédaction d’un grand quotidien.

L’article qu’en tire la BBC Online précise que « More than 120 USB memory sticks, some containing secret information, have been lost or stolen from the Ministry of Defence since 2004 » 120 clefs perdues, dont certaines probablement classées “ conf-def”. Du coup, lors de la dernière réunion de l’Amicale des Amis des Anciens Agitateurs et Terroristes (AAAAT), il fut décidé que l’entraînement dans les camps Libyens serait désormais remplacé par des séances d’immersion dans le milieu des Teufeurs. C’est le début d’un long et éprouvant apprentissage pour les Combattants de la Liberté.

En France, aucun Ministère, aucune Administration, pas la moindre banque ni la plus discrète des compagnies d’assurance n’égare le moindre document. D’ailleurs, on ne risque rien en cas de tentative de vol massif d’identité : chez nous, le moindre formulaire administratif est tellement cryptique qu’il serait bien inutile de le chiffrer.

Un petit tour sur les archives de Cryptome, et l’on tombe sur l’objet du « e-scandale » du jour : la divulgation publique de quelques captures d’écran d’un Webmail semblant appartenir à Sarah Palin, Gouverneur de l’Alaska et candidate à la Vice Présidence des Etats-Unis. Tous les détails de l’affaire sur le Reg, sous la plume de Dan Godin , qui soupçonne même l’origine de la « fuite d’information » : Ctunnel.com. Il s’agit là d’un fournisseur de service « proxy », ces caches sur Internet qui accélèrent le débit apparent des liaisons mais qui constituent également un « point de faiblesse intermédiaire » diablement indiscret. Courriels de famille, avertissement des risques de piratage, email de soutien parfumé d’invocations divines, si tout çà n’est pas le compte Yahoo-mail de Madame le Gouverneur, çà y ressemble fort.

Derrière ce piratage –qui fera plus de bruit que de mal-, l’on voit s’esquisser une multitude de problèmes résultants. En premier lieu, l’exploitation politique du hack pouvant déchaîner des passions. Palin et une ultralibérale, militante anti-avortement, favorable à l’instauration de la doctrine créationniste dans le programme scolaire, réputée pour ses prises de position anti-écologistes, défenderesse de la peine de mort, supportrice active de la NRA… un profil d’édile éclairée, de porte drapeau de ce que l’intelligentsia républicaine a de plus remarquable. Bref, une personne qui aime provoquer, et donc attirer sur elle les traits de ses adversaires.

L’opposition fait remarquer, pour sa part, qu’il pèse de très forts soupçons sur l’usage que Palin peut faire des messageries électroniques, allant jusqu’à la soupçonner d’utiliser son compte personnel Yahoo Mail à des fins professionnelles. Cette pratique éclipserait des archives officielles tout ce qui pourrait sembler compromettant pour le parti ou la personne. Or, les actes, les positions écrites de tout responsable politique doivent être archivés. Ne serait-ce que pour en conserveur une trace historique. Certes, les emails de Madame Palin ont très peu de chance d’égaler un jour la correspondance d’un Cardinal de Richelieu, mais ils appartiennent tout autant à la mémoire de l’Etat. L’on se souvient qu’en France, dès les premiers jours du Gouvernement Sarkozy, le SGDN avait émis un avis défavorable quant à l’utilisation abusive des Blackberry « personnels ». Officiellement pour des raisons évidentes concernant les intérêts supérieurs de la nation et le secret des échanges interministériels. Officieusement, bien des observateurs avaient également soulignés que c’était là, sous prétexte de modernité, un moyen peu élégant pour éradiquer des archives nationales des documents ou des notes officielles ou assimilées.

Ames sensibles et électroniciens délicats s’abstenir.

De tous temps, la destruction des disques durs a posé d’énormes problèmes aux RSSI. Du coup de perceuse ravageur aux procédures logicielles « certifiées DoD », tous les experts cherchent un moyen fiable qui leur évitera une minute de gloire involontaire. Pour certains, cette hantise du disque réformé trop bavard devient même un argument de vente pouvant rapporter entre 400 et 11500 $.

Fort heureusement, l’équipe de Hackaday est parvenue à mettre au point un procédé économique, rapide, qu’aucun spécialiste de la récupération de données, que nul enquêteur Ntech de la Gendarmerie ne sera capable de contourner. Et ce procédé, c’est l’aluminothermie.

Certes,cette technologie de pointe est assez peu compatible avec les moquettes épaisses d’un bureau directorial ou la fragile structure d’un plancher mobile de salle informatique. Les résultats sont dévastateurs, si l’on en juge par certaines expériences xénophobes probablement commanditées par l’anti-France, capables de perforer d’un coup le bloc moteur d’une Peugeot (blanche, immatriculée en Bretagne Grande) .

La poudre nécessaire à l’opération se trouve parfois le long des voies de chemin de fer –l’aluminothermie est essentiellement utilisée par la SNCF pour souder ses rails-. Nos confrères de Hackaday, inventeurs du procédé, offrent à leurs lecteurs une série de photos sur les résultats obtenus : amalgames de métal fondu, de plastique sublimé et de données confuses.

Remarqué par Bruce Schneier et commenté par PhiloSecurity, cette « révélation » sur une attaque par injection d’un relevé GPS. En fait, rien de nouveau sous le soleil comparé à une attaque « evil twin » Wifi : un émetteur plus puissant s’insère entre l’émetteur officiel et la station de réception, et parvient à prendre sa place en imitant le moindre de ses identifiants. A la différence près qu’il est bien plus simple de « spoofer l’adresse MAC » d’un satellite de géolocalisation, ou plus exactement son numéro, puisqu’ils sont connus et fixes.

Techniquement parlant, le jeu consiste donc à hétérodyner –à supplanter avec un émetteur bien plus puissant- le signal originel venant de l’espace. Avec un émetteur GPS de test caché dans le coffre d’une automobile, par exemple. Une fois la suprématie des airs obtenue, il ne reste plus qu’à émettre en direction du récepteur GPS les suites de coordonnées NMEA et autres informations que le véhicule à détourner devrait normalement recevoir. Les pirates des autoroutes qui utiliseraient un tel procédé pourraient même s’attaquer à des camions équipés d’un dispositif de suivi de flottille. En effet, ces systèmes ne sont généralement que des liens téléphoniques GSM qui retransmettent les coordonnées NMEA décodées par le GPS de bord. Si les données sont forgées, le centre de régulation sera persuadé « voir » son poids-lourd suivre le chemin convenu ou, dans le pire des cas, stationner sur la route. La location d’un émetteur GPS de test ne coûte que 1000 dollars la journée, précise le rédacteur de PhiloSecurity. Une paille comparé au gain que des pirates routiers peuvent espérer de la revente de la marchandise subtilisée.

L’article s’achève sur un certain nombre de bonnes pratiques visant à éliminer les risques de spoofing du signal GPS. A commencer par l’émission d’une alerte dès que le signal des satellites –généralement très faible et souvent perturbé (ils sont tout de même situés à 20 000 km de distance)- est brusquement remplacé par une émission forte, claire, et dénuée de décalage Doppler. Il serait également judicieux de tenir compte des identifiants satellites, énumération qui mettrait immédiatement en évidence l’incongruité de la présence d’un signal qui devrait logiquement provenir d’un satellite situé aux antipodes.

Si le détournement de taxi rentrant à Levallois ou le kidnapping de Savoyardes et autres Belles-mères est un risque probable, il demeure très faible en regard des probabilités de vols perpétrés sur les aires d’autoroutes. En revanche, une telle subtilité technique et débauche de moyen mériterait de figurer dans le prochain James Bond.

« What in the world is the Russian Business Network, is it still alive and kicking ». Le RBN est loin d’être mort. Dancho Danchev, pour sa part, ne croit pas une seconde à la théorie de Cédric Pernet. Pour lui, il n’y a pas « migration » des clients RBN vers des nouveaux venus, mais « a fully operational franchise », une franchise pleine et entière du fond de commerce, contrôlée par un réseau souterrain d’alliances et d’influences mafieuses. Le RBN avait, sous sa forme initiale, l’inconvénient d’être trop central, trop visible. Désormais, la même organisation offre le même genre de service, mais par le biais d’une multitude de « filiales ». Autre avantage marketing, les « franchisés » ne sont plus désormais obligés de passer par le RBN pour récupérer leur clientèle. Ils agissent directement, sans intermédiaire, ce qui améliore d’autant plus l’efficacité du réseau. Le RBN d’antan est aujourd’hui une structure décentralisée constitué d’un nombre croissant de « spin-off ». Et ce n’est qu’un début, nous promet Danchev. Ce ne sont pas les excuses hypocrites et les promesses dénuées de toute sincérité de Estdomain et d’Intercage qui changeront quoi que ce soit. La suppression de 500 domaines douteux de la liste des domaines hébergés n’est qu’une goutte d’eau dans l’océan de sites mafieux que ces FAI protègent depuis des années.

Il serait vain que des experts se chamaillent pour savoir si l’on assiste là à un transfert de clientèle ou à une restructuration d’entreprise mafieuse. Les « clients » sont toujours là, leurs méfaits n’ont jamais cessé, et le seul levier qui serait susceptible de renverser la situation –une unification internationale des dispositions légale anti-crimeware- relève encore du vœu pieu.

Microsoft et Cray viennent de conclure un accord mariant la version haut de gamme de la famille 2008 Server du premier, avec le concentré de puissance du second, le Cray CX1. La nouvelle a tout d’abord transpiré d’un blog du Technet : La gamme HPCS 2008, ( High Performance Computing Server ) rencontre l’un des plus puissants micros jamais fabriqué. Une « occasion » qui, coût des licences non compris, peut être obtenue pour 25 000 dollars. Prix d’entrée de gamme, cela va sans dire. Lancement officiel le 22 septembre prochain.