octobre 2nd, 2008

Victor Papagno, un ex computer systems administrator du Naval Research Laboratory, aimait collectionner les équipements informatiques de la Navy. Du disque dur à l’imprimante, en passant par les hubs ou des ordinateurs complets, le kleptomane aurait détourné près de 20 000 appareils et accessoires des stocks de la Navy, pour une valeur totale de près de 120 000$. Nos confrères de NetworkWorld relatent ce détournement à grand renfort de liens pointant sur le NCIS… mais le plus intéressant n’est pas là. Le détail du vol, publié par le Washington Post, est impressionnant : 100 ordinateurs personnels, 167 claviers, 275 souris, 80 écrans, 187 cartouches d’imprimantes et près de 5,000 composants et accessoires divers allant du disque dur au lecteur externe. Une série de larcins effectués sur une période de plus de 10 ans, de 97 à 2007. Le plus curieux, dans cette affaire, c’est que Papagno n’utilisait pas ces pièces pour en tirer profit, mais seulement pour son usage personnel et celui de ses voisins et amis. La grande majorité des appareils a pu, précise le Post, être récupérée, entreposée chez l’intéressé, voir dans les caves des voisins en question. Le vol semble donc plus relever d’une névrose compulsive que d’une réelle malhonnêteté.

L’affaire aurait d’ailleurs très bien pu ne jamais être dévoilée. Il aura fallu, pour que soit découvert le pot-aux-roses, que Papagno soit arrêté pour violences domestiques et que l’épouse de celui-ci demande à son supérieur hiérarchique du Naval Research Lab de « débarrasser son appartement des appareils qui l’encombraient ». Etonnement de ce dernier, enquête du service… personne ne s’était jusqu’à présent aperçu de quoi que ce soit. Rappelons que c’est également une brouille de couple qui avait été à l’origine de la découverte de l’histoire Michael Haephrati, la plus importante affaire d’espionnage industriel qui ait jamais secoué Israël.

Les statistiques semestrielles de l´Apacs, union des banques britanniques, viennent de tomber : près de 302 M� ont été perdus par les institutions financières à la suite d´actions frauduleuses -utilisant Internet ou non-. Chiffre à comparer aux quelques 263 M� du premier semestre 2007. Sur ce total, les pertes d´argent électronique détourné et ne faisant pas physiquement appel à une carte de crédit -conséquence d´escroqueries par téléphone, courrier papier, internet- s´élèvent à 161M�, en hausse de 18% par rapport au premier semestre de l´an passé. Paradoxalement, le monde « matériel » l´emporte sur le monde virtuel, puisque les vols utilisant de fausses cartes de crédit progressent de 22% et représentent une perte de 88 M�. Un volume d´affaire certes moins important, mais en très nette croissance. A titre de comparaison, les détournements d´argent effectués à l´aide de cartes perdues ou volées n´ont provoqué la perte « que » de 27 M�, en baisse de 11%.

A noter également que 40 % des fraudes constatées sont orchestrées en dehors des frontières du royaume. L´Apacs prédit que ces chiffres tendraient à suivre cette évolution à la hausse tant que le système bancaire européen tout entier n´aura pas adopté la carte à puce… Une assertion pourtant très nettement contredite par une autre statistique : celle de la fraude « en ligne », purement Internet, qui ne fait appel à aucun contr�le de composant électronique embarqué. En effet, le « online banking fraude », 21 M� sur les 6 premiers mois de 2008, a progressé de 108%. Le phishing, pour sa part, est en plein boum, à +186% l´an. Plus modeste, mais plus inquiétante, la hausse de 33% du recrutement des « mules », généralement des adolescents appelés à servir d´intermédiaires collecteurs de liquide ou de bien à l´aide de numéros de cartes de crédit volées.

Cet accessoire, tout aussi gratuit que les précédents, fera probablement moins parler de lui dans les média. Mais mérite une certaine attention. Il s´agit d´une bibliothèque Java destinée à détecter et mesurer l´activité des grappes de domaines appartenant à une architecture « fast flux ». Les résultats obtenus sont à comparer à ceux tenus par Harbor Network sur son site Atlas.

Après les secrets du MI6 sur Internet et les crédences municipales Anglaises à 99pences via eBay, voilà que nos confrères de SC, à la lecture d’une enquête conduite par BT, nous apprennent que 43 % des appareils mobiles vendus d’occasion ne sont pas proprement effacés. Ces terminaux sont susceptibles de contenir des informations dont la fuite pourrait être ennuyeuse pour les entreprises à qui ont appartenu ces appareils. Plus d’un quart des téléphones de seconde main RIM disponibles sur le marché conservent jusqu’à l’identité de leur précédent propriétaire… parole d’opérateur, pourrait-on ajouter.

Une seconde étude britannique se penche sur la perte des téléphones et PDA dans les transports publics… un rapport à rapprocher du travail effectué aux USA par l’Institut Ponemon sur la perte des portables dans les aéroports américains. Et c’est Pete Warren, du Guardian, qui nous apprend que chaque année, dans les taxis Londoniens, et eux seuls, il se perd 63000 téléphones et près de 6000 PDA. Et les employés de l’aéroport d’Heathrow récupèrent quotidiennement une dizaine de téléphones (soit plus de 3500 par an), dont plus du quart ne sont protégés par aucun code d’accès.

S’il est statistiquement improbable qu’un téléphone perdu dans un taxi tombe entre les mains d’un concurrent direct et serve de mine d’information dans le cadre d’une bataille économique, il est plus plausible d’imaginer que le secteur de l’occasion intéresse au plus haut point les espions industriels. Bien que l’identité des vendeurs soit généralement garanti –du moins avant la vente, et tant qu’il s’agit de particuliers-, il est toujours possible d’établir des périmètres géographiques d’intérêts. Le téléphone, le disque dur, le PDA d’un californien, ou mieux, d’un spécialiste des « used gears » officiellement situé à Palo Alto ou Sunnyvale, a plus de chances de porter des fruits juteux que l’ordinateur d’occasion d’un né-natif de Charbonnières-les-vieilles (Puy de dôme) ou du Petit Bornand Les Glières (nulle part).

Elle fait parler d’elle, cette mystérieuse faille TCP. Mais pour l’heure, aucun détail ne transpire, pas du moins avant la publication officielle des travaux à l’occasion de la prochaine T02’08 d’Helsinki. Les auteurs, Jack C. Louis, et Robert E. Lee, ne racontent rien sur leur blog, le podcast de leur préannonce reste on ne peut plus discret (début de l’intervention en langue Anglaise à 5’10’’ après diverses informations en Néerlandais)… la tradition du « buzz pré-conférence de sécurité » est donc parfaitement respectée jusqu’à présent.

Security News, el Reg, Dark Reading (dans un papier signé RSnake), Richard Bejtlich, tout le monde en parle. Il faut dire que l’attaque risque d’effrayer quelques administrateurs, puisqu’elle permettrait d’ouvrir une connexion TCP permanente… autrement dit sans nécessiter le moindre entretien. Une connexion qui ne se ferme pas proprement, çà n’est jamais très grave. Mais plusieurs milliers, et le serveur Web attaqué s’écroule d’inanition, rongé par un véritable cancer dévoreur de ressources. Seul remède envisageable : le redémarrage. Le cri d’alarme des auteurs peut se résumer en ces mots : « Donnez moi un accès modem à 300 bauds et je fais tomber Google ».

Les chances de voir le monde IP être englouti dans un maelstrom de déni de service sont assez minces. « La police est prévenue, les équipementiers et éditeurs de stacks devraient avoir corrigé ce défaut avant toute publication » affirment en substance les auteurs. Annonce à rapprocher d’un autre Armageddon du code, l’attaque en ClickJacking que nous a promis précisément le susnommé RSnake.

La rédaction de CNIS toute entière présente ses plus plates excuses à Monsieur Ballmer (Steve) pour avoir osé douter de l’efficacité des gesticulations de ses avocats. Car, si le procès intenté par Microsoft et l’Etat de Washington peut, d’un point de vue juridique, s’avérer aussi efficace qu’un coup d’épée dans l’eau, il a eu le mérite de réveiller certaines consciences. A commencer par celles des éditeurs d’antivirus, F-Secure en tête, qui acceptent enfin de reconnaître l’existence et l’activité de ces « moutons noirs » de la profession. Cela se traduit notamment par deux billets sur le blog de F-Secure, l’un sur les maquillages et ressemblances que ces prétendus programmes de protection adoptent, l’autre sur les mentions légales de Windefender 2008 –un scareware parmi tant d’autres-. On retrouve chez les uns le parapluie de Kaspersky, une lettre « F » semblant à s’y méprendre au logo de F-Secure, une assonance de nom fleurant certain antivirus Espagnol… Rien de nouveau, donc, si ce n’est que la profession en parle. Un peu tard, peut-être. Lesdits éditeurs ont, en général, bien plus l’habitude de contacter les journalistes pour leur faire découvrir les dangers apocalyptiques d’un virus ou d’un spyware nouvellement découvert. Mais rassurons-nous, les principaux programmes de protection périmétrique sont déjà mis à jour. Bref, désormais, il sera plus difficile de faire vibrer la corde marketing de la crainte alors que c’est là précisément ce que l’on reproche aux aigrefins du « scareware ».

Profitons-en pour aller nous promener sur le site de Dancho Danchev qui, une fois de plus, conserve une longueur d’avance. Avec trois billets percutants. L’un sur la vanité de l’action Microsoft, accompagné d’un dessin humoristique résumant fort à propos la situation et surtout suivi d’une liste kilométrique de sites de « typosquatting » exploitant la filière des antivirus véreux. Le second papier traite également de « diclaimer », de mention légale inscrite à l’écran lors du lancement d’un programme. Mais cette fois, il s’agit de textes « protégeant » l’usage d’une plateforme à fabriquer des malwares. Sans surprise, ce générateur automatique d’infection est commercialisé « à seule fin d’expérimentation, de test et d’éducation ». Il faut se rappeler, précise l’auteur, que le premier outil à malwares qui ait « protégé » sa propriété intellectuelle à l’aide d’une mention légale était Zeus.

Pour chasser un rootkit, rien de tel qu’un malware. C’est le thème du troisième papier de Danchev, qui est tombé sur un kit d’attaque Web, avec console d’administration statistique d’activité de botnet, répartition géographique des machines infectées et… antivirus intégré destiné à éradiquer le concurrent direct, Zeus, de la surface de la planète virtuelle. Le monde des infections est aussi petit qu’impitoyable.