septembre, 2008

Lorsque les annonces produits sont en période d´étiage, Microsoft comble le vide en déversant des torrents de logiciels en préversion. Et la ronde débute avec toute la série Windows Live : Call, Family Safety, Mail, Messenger, Movie Maker, Photo Gallery et Writer. Tous ces programmes entament leur troisième phase « beta ».

Seconde phase, en revanche, pour Internet Explorer 8. Depuis quelques jours, il était impossible de musarder sur les principaux sites de sécurité sans se faire bousculer par des troupeaux de bugs Google Chrome. La publication de cette préversion made in Microsoft pourrait bien apporter un peu de diversité dans la lecture des bulletins d´alerte et des programmes d´exploitation.

Pour les pas du tout beta, cette dernière annonce anticipée des SDL (Secure Development Lifecycle), ces modèles de développement sécurisés promis par Microsoft depuis déjà plusieurs mois. Dans les grandes lignes, cette campagne regroupera à la fois du conseil, de l´assistance prodiguée par des entreprises spécialisées ayant reçu une certification Microsoft (SDL Pro Network), ainsi qu´un modèle d´évaluation capable de quantifier le niveau de sécurité d´une application métier par exemple (SDL Optimization Model), sans oublier un outil de modélisation des menaces reposant toujours sur le SDL. Les détails du programme sont disponibles sur le site de l´éditeur, en attendant la mi-novembre, date à laquelle ces pratiques, ces conseils, ces règles et outils-cadre de développement seront disponibles.

La plus spectaculaire, celle de Business Week, découverte par Sophos et aimablement commentée par Graham Clueley. Après une attaque par injection SQL, des diffuseurs de malwares Russes se sont attachés à détourner les ancres des « petites annonces » réservées aux jeunes diplômés. La moindre activation du lien http en question déclenche le téléchargement d’un malware venu du froid. La courte séquence de vidéo décrivant l’attaque s’achève sur une énumération de bonnes pratiques dignes des recettes « Owasp Top Ten ».

La plus préoccupante –le hasard fait bien les choses- devait précisément faire l’objet d’une conférence à l’occasion de la prochaine manifestation organisée par l’Owasp à New York. D’après le peu, très peu qu’en disent ses inventeurs, il s’agirait d’une « client side attack » exploitant un défaut Internet Explorer associé à un défaut Adobe. Mais il y a un hic, écrit Robert Hansen, alias Rsnake de Ha.ckers. Bien qu’ayant prévenu largement à l’avance, seul le trou Adobe a pu être comblé avant que ne se déroule la conférence. Le problème découvert sur I.E. semble bien plus compliqué à résoudre. Ce qui contraint les chercheurs à retirer du programme la causerie technique qui devait être donnée à NYC. Une forme d’autocensure responsable qui permet au passage d’égratigner Michael Lynn (ex-ISS, inventeur d’une faille IOS remarquable) Chris Paget (Black Hat 2008, clonage des RFID) et les étudiants du MIT (dernière Defcon, sur le hack des RFID de la régie des transports de Boston).

France Telecom possède, comme toute grande entreprise moderne, un département sécurité conséquent. Département qui lui-même intègre une cellule de veille chargée d’évaluer le niveau de dangerosité des failles récemment découvertes et des exploits connus « in the wild ». Régulièrement, cette cellule publie le fruit de ses recherches, à la fois sous la forme de bulletins d’alerte, diffusés sur un site Web intitulé Vigil@nce (http://vigilance.aql.fr/), et dans les colonnes de plusieurs organes de presse spécialisés disposant d’un site Web.

France Telecom possède, comme toute grande entreprise moderne, un département juridique conséquent. Département qui lui-même intègre une cellule chargée de veiller au bon respect de la loi. La loi dans la plus grande rigueur de ses textes… mais pas franchement de son esprit.

Ainsi, certains de nos confrères journalistes et éditeurs ont pu, cette semaine, recevoir la missive suivante :

Vous recevez périodiquement les bulletins Vigil@nce, que vous publiez ensuite sur votre site web.
Notre conseiller juridique nous a demandé de ne plus vous transmettre les vulnérabilités ayant un niveau de gravité important.
En effet, dans l’éventualité d’une attaque sérieuse basée sur les informations publiées par votre site, notre société pourrait être accusée de vous avoir transmis des éléments ayant favorisé cette attaque.
A partir de ce jour, vous continuerez donc à recevoir les vulnérabilités de gravité faible, mais les vulnérabilités importantes ne vous seront plus transmises par Vigil@nce.

Grâce à de tels procédés, l’indice de menace relative qui s’affiche sur le site Vigil@nce , oscillera en permanence entre « beau fixe » et « dans la vie faut pas s’en faire ». La lénifiante information d’une cellule-d’alerte-qui-n’a-plus–le-droit-d’émettre-d’alerte devrait logiquement aboutir à la suppression pure et simple de celle-ci, puisque son utilité sera proche de l’inverse de l’infini.

Il n’existe pas, en France, et contrairement à l’ensemble de nos voisins européens (Allemagne, Grande Bretagne notamment) de Cert grand public qui, à l’instar du Cert Industrie, puisse délivrer une information objective, complète, délivrée sans le moindre alarmisme ou sensationnalisme. De Lopsi en LSQ, de conseillers du barreau tombés de leur perchoir en conseils avisés d’industriels cherchant à étouffer les purulences de certains développements bâclés, il devient de plus en plus difficile, pour le commun des mortels, de pouvoir compter sur une information ni sirupeuse, ni anesthésiée par les ciseaux d’Anastasie. Les professionnels, eux, fouillent régulièrement le flux des IRC, les papotages de Milw0rm, les colonnes du Bugtraq, les fils du Full Disclosure, la compilation de Secunia… il est vrai que ces sources étrangères ne risquent ni les foudres d’un juge, ni la ire d’un avocat-conseil engagé par un équipementier soucieux de son image de marque.

Illustration : Anastasie, gravure d’André Gill, L’Éclipse, 19 juillet 1874

VMWorld, la réunion institutionnelle annuelle de VMWare, est l´occasion pour beaucoup de publier leurs bans de mariage.

C´est le cas notamment de SourceFire, l´entreprise de Martin Roesch, laquelle annonce que désormais, Sourcefire RNA 4.8 (version commerciale de Snort) sera capable de « voir » les VM comme n´importe quelle autre machine située sur un réseau. Une vision brusquement retrouvée grâce à un accord de partenariat avec VMWare, accord dont la première conséquence est d´offrir à ceux qui l´ont signé un droit d´accès aux API VMSafe de VMWare. Vers la fin de l´année, devrait voir le jour une version matérielle (appliance) de cette édition de RNA compatible avec le monde virtuel.

« http://www.mcafee.com/us/about/press/corporate/2008/20080915_050000_q.html » target= »_blank »> « Total Protection for Virtualization »

Jusque là, rien de très remarquable. Plus intéressante, en revanche, sont les conditions de vente, car il semblerait que cette suite soit vendue à raison d´une licence par machine physique… quelque soit le nombre de VM installées sur le noyau h�te. L´économie serait de taille si le prix du paquet de départ ne change pas trop par rapport aux tarifs actuels. Mais rien à ce propos ne devrait être rendu public avant la sortie de la suite de produits, prévue dans le courant du quatrième trimestre 2008.

Rappelons que son concurrent direct, Symantec, avait, au tout début de l´année, annoncé la sortie d´une « Symantec Security Virtual Machine » reposant sur les API VMSafe. Reste à attendre la sortie des versions d´ESX supportant VMSafe.

Chi va piano va sano. Apple, dans sa frénésie de colmatage mensuelle, corrige son mDNSResponder, la partie cliente qui était susceptible de succomber à un exploit de la « faille Kaminsky ». Lors de la sortie du lot de correctifs du 15 août dernier, seul Bind avait bénéficié d’une rustine, consolidation qui ne concernait que les possesseurs de serveurs. Le Sans dresse une liste commentée des quelques 19 constituants d’OSX 10.5 et 10.4 concernés par ces mises à jour.

Les correctifs de ce dernier mardi ont provoqué certains émois. A commencer notamment par celui du GDI Windows, dont l’installation provoque parfois certains Bsod et autres plantages brutaux, notamment sous Vista 64. Ces phénomènes, rapportés par plusieurs lecteurs de CNIS-Mag, ne semblent pas destructeurs, et se résolvent généralement après un démarrage à froid de la machine. Affirmation à prendre avec des pincettes compte tenu de la faiblesse de l’échantillonnage.

Phase 1 : Une note du CertA précisant, nonobstant l’émission d’un patch d’amélioration, que l’usage du mécanisme Protected Storage de Microsoft n’est pas bon pour la santé.
Phase II : un billet de News0ft sur l’analyse du correctif susmentionné accompagné d’une réflexion sur la raison d’être du Protected Storage,
Phase III : un jet d’acide pur émis par Kostya sur ce même sujet, qui remet en mémoires les communications plus anciennes révélant la présence d’une clef « fixe » dans le mécanisme de chiffrement des mots de passe. Après tout, 1000 euros de carte de chiffrement, ce n’est pas nécessairement du luxe.

Gunter Ollmann, de la X-Force ISS-IBM, n’est généralement pas un auteur facile à lire. Une fois n’est pas coutume, il se penche cette fois sur la manière de pirater un mot de passe de messagerie, article à destination de ceux pour qui le mot assembleur rappelle les soirées Lego et C++ une marque automobile.

Soit, explique Ollman, le mot de passe concerne la messagerie de l’intéressé. Dans ce cas, même si la boîte n’est celle que d’un webmail, il reste certainement une trace de mot de passe dans un recoin de navigateur ou une branche cachée de la base de registre. Des outils gratuits de récupération se trouvent à chaque détour du Web, il suffit de chercher. En étant prudent toutefois, car de plus en plus de spyware, rootkits et chevaux de Troie infectent maintenant la majorité de ces utilitaires. Le domaine public bat de l’aile.

Mais il se peut que cette recherche concerne la messagerie d’un tiers. « Ce n’est peut-être pas très beau, mais, en parcourant les sites spécialisés dans le cassage de mots de passe, vous trouverez un nombre impressionnant d’excuses, toutes aussi légitimes les unes que les autres » continue Gunter Ollmann. « Dans ce cas, il est difficile, surtout si l’on souhaite la discrétion, d’effectuer une perquisition sur la machine de l’intéressé(e). Il faut alors recourir aux services d’une entreprise dont c’est le métier ». Facilement reconnaissables, elles pavoisent souvent sous un TLD de type « ru ». list.ru, bk.ru, inbox.ru, Pochta.ru, fromru.com, front.ru, hotbox.ru, hotmail.ru, land.ru, mail15.com, mail333.com, newmail.ru, nightmail.ru, nm.ru, pisem.net, pochtamt.ru, pop3.ru, rbcmail.ru, smtp.ru… ah, ces slaves, c’est qu’ils nettoient !

Et combien çà coûte ? Généralement « 100 ». 100 dollars, 100 Euros, certainement pas 100 kopeks. Pas de payement à l’avance exigé, satisfait ou remboursé, contacts polis, discrétion assurée, disponibilité 24H sur 24 et 365 jours par an. Les virements sont si possibles à expédier à Singapour, en Inde, Malaisie, aux Philippines, pépinières de hackers spécialisés dans l’attaque Brute Force. Et Ollman de terminer avec des conseils de prudence destinés à contrer les agissements de ces officines : choix d’un fournisseur de services capable de verrouiller un accès soumis à une attaque par dictionnaire, utilisation d’un mot de passe complexe… l’on pourrait ajouter qu’il est dangereux de consulter ladite messagerie durant une conférence sécurité.

Cet article n’apprendra strictement rien aux gens du métier, des chercheurs comme Dancho Danchev ont depuis belle lurette fait le tour du sujet avec des arguments techniques et des preuves bien plus solides. Mais présenté à la « sauce ISS », l’histoire est considérablement plus digeste, digne de figurer dans les compilations des meilleurs articles de sensibilisation.

Les lettres : pour IBM X serie, un six lettres avec le x-Vault, boîtier de chiffrement de disque dur pour serveur

Les chiffres : 1100 dollars, pour les x3650, x3400 et x3500

Le défi : contrer les risques de vol d´information, les injections et dumps sauvages, les « prises en otage » de données. Notamment, précise le communiqué d´IBM, dans le cadre de petites entreprises ne possédant pas nécessairement une salle informatique à accès restreint. Reste que 1000 dollars pour une PME, cela représente parfois 50 à 70% du prix d´un serveur.