octobre 22nd, 2008

… chantait Bobby Lapointe. Qui n’aurait pas dédaigné admirer certain travail d’hameçonnage signalé sur FraudWatch. Et notamment la dernière campagne de phishing visant la banque Desjardins, institution séculaire Canadienne, Québécoise et par conséquent francophone. A en juger par les fac-simile publiés, il semblerait que l’on approche là de la perfection : accentuation irréprochable, vocabulaire parfaitement adapté et respectant les règles de la syntaxe moderne (et néanmoins bancaire), bonne imitation du site visé… à quelques imperfections près –telle l’url manifestement douteuse – qui ont peu de chance d’émouvoir un usager un peu stressé, l’on peut presque conclure au « sans faute ».

Jusqu’à présent, le monde de la finance avait, au sein de l’hexagone, peu à craindre des polluposteurs tendance phishing. Les « charset » russo-moldave, les typiques gourations dans la proverbation et autres barbarismes prouvaient à la fois l’origine frauduleuse du courriel et une méconnaissance totale des meurs et méthodes de communication de la gente financière. On ne parle l’hexagonal bureaucratique bancaire qu’après de longues années de pratique. Cette période bénie semble donc bien révolue. Car un phisheur sachant phisher dans la Belle Province peut, du jour au lendemain, abandonner la Banque Desjardins et commencer à émettre des courriels Crédit Lyonnais, Banque Populaire ou Fortis, histoire de rentabiliser sa maîtrise du François Financier. Et comme, en France, à une seule exception près connue depuis peu, les fraudes bancaires n’existent pas…

Après les faux antivirus cherchant à truander les internautes, voici les prétendus « assessement tools » et autres outils de « pentest » d’origine Chinoise qui justifient leur existence « à seule fin de protéger les victimes potentielles ». Cette trouvaille porte la signature –une fois de plus- de Dancho Danchev. Les outils en question sont des usines capables d’évaluer l’impact d’une « attaque par injection SQL massive via les principaux moteurs de recherche ». Attaque en deux temps, Googlehacking puis, une fois la victime localisée, exploitation de la faille considérée. Pour que le travail du RSSI-black-hat soit simplifié et accéléré au maximum, la console d’administration des programmes en question classe par importance statistique le pourcentage de « chances » de tomber sur une injection SQL aisément exploitable. Enfin, pour parfaire le tri, les sites vulnérables peuvent parfaitement être localisés, secteur géographique par secteur géographique.

Et çà tombe très bien, puisque les exemples donnés par ces vendeurs d’armes de piratage massif concernent des sites français. Voilà qui va donner quelques sueurs froides à une poignée de webmestres qui auraient oublié un ou deux correctifs durant ces dernières années.

Danchev s’attache surtout, au fil de son papier, à démontrer à quel point ces « programmes de sécurité » se perfectionnent de jour en jour. Ce sont, avec 3 moteurs de recherche parallélisés, de véritables usines à découvrir de la faille et à forer du site. L’Xaas, Exploit As A Service, est un nouveau business « noir » qui pourrait bien s’avérer aussi lucratif que les « ateliers » de malware de la génération Storm worm.

Pour avoir un peu trop conspué les pirates qui, la semaine passée, avaient dévoilé le contenu de la messagerie du Gouverneur Palin, Bil O’Reily, éditorialiste de Fox News, voit son site ouvert aux quatre vents et la liste de ses abonnés, ainsi que leurs mots de passe, distribuée à qui veut bien le télécharger. O’Reily se définit lui-même comme un « traditionaliste populiste ». Hacking d’un côté, noms d’oiseaux et discours enflammés sur des médias d’envergure nationale de l’autre, le débat électoral américain s’élève chaque jour un peu plus.

Computerworld publie le énième papier sur la fin annoncée du support de XP, mais en y ajoutant une information amusante : les pirates préfèrent XP à Vista. En effet, si l´on compare le volume des filières illicites de XP et de Vista, aucun rapport n´est possible : c´est bien le « viel » XP qui constitue le gros des ventes des circuits parallèles. L´auteur reprend les dires de Bonnie MacNaughton, un avocat de la firme, qui explique en substance : « si les pirates préfèrent encore diffuser de l´XP plutôt que du Vista, c´est que Vista intègre un nombre plus important et plus complexe de mécanismes de protection ». Il ne viendrait pas un instant à l´idée de ce ténor du barreau que les grandes filières de piratage suivent, comme tout le monde, la demande du marché, et il ne semble pas que Vista ait, jusqu´à présent, provoqué un raz de marée dans les demandes. Le jour où un Windows Seven offrira au public un Vista 2.0 plus ergonomique, plus adapté à la demande du public, faisons confiance aux pirates pour découvrir rapidement des mesures de contournement efficaces.

L´on pourrait également se poser la question de savoir si le retrait de XP ne serait pas la plus énorme erreur que pourrait commettre Microsoft. Oublions Vista, glissons même sur les promesses de « Seven », version qui ne sera capitale que par la réduction des péchés de son origine, et regardons en face l´avenir que nous promet Midori, alias Windows 8. Ce sera, nous assure-t-on, le Windows de rupture, celui par lequel l´on parviendra enfin à ne plus souffrir des héritages de la compatibilité ascendante. Oubliés les Winsocks explosifs, le GDI peau de chagrin, la gestion mémoire à décantation impossible à vidanger, l´interprétation des fichiers pif et com fossiles, les chemins en dur dans la bdr si ce n´est dans certaines dll, le DLL Hell, Burgermeister, les milliers d´horreurs passées dont les versions N+1 devaient respecter la « bug for bug compatibility ».

Car Midori -un peu plus que Seven- sera le noyau intégrant un moteur de virtualisation totalement transparent, celui qui permettra à l´usager de « conserver » ses vieilles applications et noyaux, tout en ouvrant la voie à une nouvelle génération de programmes conçus avec une approche de « développement propre », avec des règles de conception un peu plus normées qu´auparavant, étudiées pour des électroniques MultiCore/multiprocesseurs, et surtout qui n´auront pas, grâce à cette « conservation concurrente » offerte par la virtualisation, les héritages honteux des maladies génétiques passées.
Du passé faisons table rase
Foule esclave (du code), debout ! Debout !
Le monde va changer de base (système):
Nous ne sommes rien, soyons tout !
Eugène Pottier a certainement été beta-testeur de Windows 1.10.

Ca, c´est la version « propagande ». Et si ses concepteurs étaient franchement sincères, et compte-tenu de l´instinct de survie dont font preuve les vieux noyaux MS (Windows 98SE notamment), pourquoi n´accepteraient-ils pas qu´au lancement de Midori, les noyaux XP encore nombreux à tenir vaillamment leur rôle de noyau puissent y trouver une place, un endroit où ils pourront mourir dans la paix et la dignité ? Et quitte à faire de Midori un sac de noyaux, pourquoi ne pas prévoir dès à présent la place de celui qui, à moins d´un « miracle » et d´une « vague de fond Seven », sera encore et toujours le système favori des TPE, des artisans, des particuliers, des petits, des obscurs, des sans-grades de l´informatique bureautique, qui constitue tout de même près de 80 % du parc installé ?

Peut-être les avocats et les hommes du marketing de « Corp » devraient-ils, une fois n´est pas coutume, reconnaître que le piratage peut leur apporter quelque chose d´utile : le reflet du marché tel qu´il est, et non tel qu´il est rêvé du côté de Seattle.

Protéger le contenu d’une liaison optique pose quelques problèmes techniques. A commencer par le fait qu’en général, le chiffrement « classique » s’effectue en amont de la partie optique, sur une base cuivre, procédé qui plafonne en moyenne aux environs de 10 Gigabits par seconde. On est loin des 100 Gb/s –voir plus- d’une liaison fibre. L’une des solutions pour atteindre de hauts débits consisterait à additionner plusieurs canaux optiques chiffrés à 10 Gb/s pour obtenir un débit effectif de 100 Gb/s… ce n’est pas franchement une approche optimale, puisque le « rendement » en terme de bande passante ne dépasse pas 10%.

Il existe pourtant une solution, estime Telcordia : c’est de chiffrer au niveau de l’étage fibre, à l’aide d’un multiplexeur optique. La clef utilisée est paramétrable à distance –donc susceptible d’être changée régulièrement-, et le procédé, bien qu’il ne s’agisse pas franchement d’un chiffrement au sens originel informatique du terme, opère un embrouillage qui interdira toute espérance d’interception. Le désembrouillage s’effectue à l’arrivée à l’aide d’un autre mux utilisant une clef identique. Le constructeur ne donne que très peu d’informations sur le procédé utilisé. Tout au plus apprend-on en décryptant le communiqué, que le mux joue aussi bien sur la fréquence de la porteuse (la couleur) que sur la phase du signal. C’est donc une double modification qui s’opère, dans des limites relativement strictes, puisque les spécifications d’un signal DWM ne peuvent dépasser, pour chaque canal utilisé, un delta important d’écart de chrominance.

De manière télégraphique, ces annonces « nouveaux produits » qui viennent de tomber dans les boîtes à lettre de la rédaction de Cnis :

Chez Sun, la nouveauté s´appelle Identity Compliance Manager. Comme son nom l´indique, c´est un outil destiné à gérer la gouvernance, les risques opérationnels et la mise en conformité (GRC). Il assure l´automatisation des processus de contrôle, de création et d´émission de rapports d´accès. On y peut corréler les identités et les applications, gérer le glossaire des habilitations, renforcer les notions de ségrégation des tâches, et bien sûr éditer les rapports afférents à toute cette gestion des identités afin de prouver la conformité de l´infrastructure vis-à-vis de règles et lois telles que SarbOx, BâleII, Hipaa etc.

Chez Novell, l´on suit un chemin parallèle, avec la Novell Access Governance Suite. On est encore dans le domaine de la gestion des politiques d´accès, de la corrélation entre la personne et la ressource, mais assisté grâce à des mécanismes d´automatisation. Bien sûr, chez Novell également, l´on offre des fonctions de reporting, de certification, de remédiation et d´intégration avec les infrastructures de provisionnement. Deux modules pour ce faire : le Roles Lifecycle Manager et le Compliance Certification Manager. La rédaction reviendra sur ce genre de programme dès qu´il sera possible d´en voir l´utilisation « in situ »

Chez McAfee, l´on ajoute du NAC (Network Access Control) dans ses appliances IPS. En d´autres termes, il injecte son logiciel dans une base matérielle « réseau ». Ce n´est pas le premier à faire çà… ce n´est pas non plus un geste innocent. Jusqu´à présent, le monde était assez manichéen : d´un côté, les spécialistes du poste client (pardon, du « endpoint security system », pour faire plus sérieux), de l´autre, les seigneurs de l´infrastructure, les spécialistes de la passerelle d´accès ou de filtrage. Les Cisco, les Juniper, les Consentry, les Nevis… les uns occupant la partie matérielle, les autres étant des « NAC Pure Player » focalisés sur l´administration, la gestion des accès. Si le marché du poste de travail, de par sa multitude, est encore très lucratif, le mouvement de McAfee montre clairement qu´il ne suffit pas à tout le monde. Jouer sur les deux tableaux, gagner sur les deux aspects de la gestion des accès distants est tentant. Surtout lorsque l´on possède l´assise financière capable de promettre le meilleur des deux mondes.

Terminons avec AVG (ex Grisoft), que l´on peut difficilement associer aux outils très « infrasctructure » énumérés ci-avant… mais l´on partira du principe que l´infrastructure commence avec le poste de travail. Il s´agit de la version 8 « gratuite » de la suite antivirus/firewall/antispam/antispyware etc. AVG utilise d´excellents moteurs, et il ne protège ni plus mal (ni mieux, dirait-on chez Secunia) que ses principaux concurrents.