octobre 6th, 2008

L´ex-acteur et actuel gouverneur de Californie, Arnold Schwarzenegger, vient, coup sur coup, de faire parler le lui dans le petit monde de la sécurité. En opposant, tout d´abord, son veto à une loi d´Etat alourdissant les obligations des commerçants et institutions financières qui découvriraient une possible fuite de données personnelles. Le coût trop élevé d´une telle mesure, l´obligation de prévenir les clients à la moindre crainte, seraient autant de mesures entravant la libre entreprise, estime en substance le « Govinator ». C´est la seconde fois que le gouverneur de Californie part en croisade en faveur d´une politique de non divulgation des brèches de sécurité.

Sur cette lancée, Schwarzenegger a en revanche approuvé une autre loi, rendant illégal, elle, toute lecture « sous le manteau » de données contenue dans un RFID, y compris -et surtout- si celui-ci n´est pas protégé par une couche de chiffrement. Etonnamment, l´ACLU et l´EFF semblent approuver cette décision. Un tel texte répressif ne peut dissuader que des voleurs de poules, et en aucun cas des personnes réellement mal intentionnées. En revanche, ces textes peuvent servir de leviers aux industriels des RFID pour poursuivre et censurer tout chercheur de vulnérabilité, tout universitaire en train de préparer une conférence devant égailler les douces soirées d´une DefCon. En faisant passer une telle loi d´Etat, « Schwartzy », sous prétexte de défense des libertés individuelles et de préservation des données privées, réduit un peu plus les marges de manœuvre des adversaires des « spychips ».

Très souvent, les « cyber-lois » Californiennes sont à l´origine de textes fédéraux, qui, par la suite, parviennent à « inspirer » les parlementaires Européens. Une dérive ultralibérale du corpus législatif Californien, sous prétexte de « raison d´Etat dictée par l´actuelle situation de crise », pourrait être considérée comme un avant-goût des revirements politico-législatifs des années à venir.

Après pratiquement deux années de pudique silence, T-Mobile reconnaît, nous apprend Der Spiegel, s’être fait dérober un fichier contenant les coordonnées de près de 17 millions de personnes. Hommes politiques, Ministres d’Etat et ministres du culte, personnalités du monde audiovisuel ou des affaires, précise notre confrère Allemand, ont vu divulgué leurs noms, prénoms, adresse postale, numéro de téléphone y compris ceux placés en liste rouge, et parfois même leur adresse email. Des données auraient même fait l’objet de transactions dans les milieux underground. Jusqu’à présent, affirme le principal fautif, il ne semble pas que ces données aient été exploitées… du moins à grande échelle ou de manière franchement visible. Grâce à ce brillant aveu, l’Allemagne rattrape d’un coup le retard qu’elle avait accumulé face à la Grande Bretagne et aux Etats-Unis, pays dans lesquels il ne se passe pas un mois sans que l’on ne découvre un vol ou une perte massive de données privées.

En France, tout va bien

Dans le climat de psychose et de perte de confiance qui plane autour des institutions bancaires, certains escrocs tentent par tous les moyens de tirer profit de la situation actuelle. Golden boys jouant à la baisse, boursicoteurs diffusant de fausses rumeurs… et hameçonneurs tentant de se faire passer pour l’une des « banques salvatrices ». Ainsi le montre ce court mais très explicite graphique publié par Netcraft, qui montre la brusque poussée de phishing visant les clients de Wachovia. « Cher sociétaire d’une banque qui bat de l’aile… nous, valeureux repreneurs, souhaitons obtenir de votre part l’approbation du fait que vous n’êtes pas ruiné. Pour en obtenir la certitude, loguez vous sur cette pages et confirmez ceci à l’aide de vos crédences habituelles ». La situation ne serait pas si dramatique que la chose pourrait être drôle. Hélas.

L’on trouve souvent, sur le site de Sébastien Gioria, le « patron » de l’antenne française de l’Owasp, de véritables perles. Ainsi ce billet, en direct des assises New-Yorkaises de l’Owasp, à propos d’un outil pratiquement indispensable : un testeur de solidité d’applications Web –outil de test de pénétration-, œuvre d’Andres Riancho baptisée W3AF (Web Application Attack and Audit Framework). C’est, explique Gioria, un outil inspiré de Metasploit, qui utilise Python, tout comme la première édition de son grand frère. Encore très spartiate pour l’instant, son interface graphique devrait être améliorée. Injections SQL, CSRF et autres maltraitances qui constituent les grands classiques des vulnérabilités Web peuvent ainsi être testées presque automatiquement. Ce testeur gratuit, espère Sébastien Gioria, pourrait devenir l’un des outils « officiels » de l‘Owasp.

Dan Geer l’avait parfaitement démontré dans son étude intitulée « CyberInsecurity: The Cost of Monopoly » : la situation de monopole (de facto) du monde Microsoft est un facteur d’incitation à l’attaque non négligeable. C’est notamment cette moindre représentativité sur le marché des systèmes qui a longtemps préservé les mondes Apple et Linux. Mais Windows demeure la cible privilégiée des attaques par fuzzing et des « framework à malware » qui sont de véritables usines à exploiter les anciens trous. Les intrusions « artisanales » sont, statistiquement parlant, toutes aussi nombreuses à être attirées par Windows.

Si une politique suivie d’application des correctifs est une des mesures pouvant minimiser ces dangers, une autre tactique consiste à masquer les signatures système aux requêtes des sondes et outils de sniffing. Si un 2000 server se fait passer pour un NetBSD, il y a peu de chances pour que les exploits lancés contre cet Unix historique et orthodoxe puissent atteindre un noyau « pur MS ». Technique ancestrale s’il en fut. Et hasardeuse, car pas une version de NT ne ressemble à la précédente. Chaque administrateur a un jour tenté de « Patcher » les exécutables ou fouiller au hasard dans la BDR. Généralement en vain.

Pour ces pionniers –et tous leurs héritiers-, voici que vient de sortir OSfuscate, accessoire de sorcellerie gratuit qui modifie la signature de réponse du DHCP et reconfigure certaines entrées de la ruche. Bien entendu, comme il s’agit d’une modification du code exécutable de Microsoft, cette mesure de prudence est légalement à considérer comme un piratage éhonté –mais n’est-il pas écrit dans les ouvrages même du « secure coding » de l’éditeur que toute indication codée « en dur » dans un exécutable était une faute impardonnable ? Pour autant qu’en ait pu juger la rédaction de Communautech, le correctif semble fonctionner sur des noyaux US conventionnels. Les captures d’écran offertes par l’auteur sont assez édifiantes. A tester, user et à abuser, donc, sur les machines installées dans les DMZ, à l’intérieur de honeypots et sur des noyaux de machines virtuelles. Backup préliminaire vivement conseillé avant toute tentative d’utilisation.