octobre 24th, 2008

L’un des contributeurs de Ha-ckers –le style ressemble à celui de RSnake- propose un programme de réhabilitation destiné aux experts en sécurité qui, noyés sous le rigorisme de leurs normes, bonnes pratiques et procédures, oublient totalement ce qu’est un utilisateur « finaud ». Il faut, dit l’auteur, renouer avec les usages de la « chose » qui se trouve derrière le « endpoint », ne serait-ce que pour mieux le comprendre. Il n’est pas précisé combien de points un tel stage peut rapporter, mais il vaut, à n’en pas douter, autant que la lecture d’un ouvrage de Bernard Foray. Voici donc quelques exemples à suivre pour se « ressourcer » et retrouver la candeur des primo-informatisés :

* S’inscrire sur MyFace ou FaceBook, remplir consciencieusement tous les champs
* Opter pour un mot de passe facile à se rappeler. Le mot Password par exemple. Il devient alors plus simple pour ses proches de s’en souvenir en case d’amnésie provisoire.
* S’astreindre à télécharger avec minutie le moindre gadget, widget, toolbar, jeu que l’on trouve sur Internet et en documenter l’accès sur le profil du réseau social auquel on est abonné (voir plus haut). Y ajouter, pour la bonne cause, le nom de jeune fille de Maman, le prénom du chien, les préférences culinaires…
* Désactiver tout antimachin : antivirus, antispywares, antispam… tous ces utilitaires qui ralentissent les temps de traitement. Inutile de cliquer inutilement sur les « autoriser » et « OK » qui s’affichent à l’écran. L’on peut obtenir un résultat encore plus rapide en supprimant tous les modules de sécurité éventuellement en fonction sur le système

… A notre connaissance, ce genre de stage ne fait pas encore partie du catalogue de formation HSC, mais ne devrait pas tarder à y prendre une bonne place. Dans le cas contraire, l’affichage de cette liste, traduite et imprimée en gros caractères pourrait au moins avoir l’avantage de propager, avec humour, un message de sensibilisation que l’on peine toujours à faire passer en temps normal.

Vol de donnés, duplication, destruction à distance : les RFID soi-disant inviolables utilisés dans certains documents de voyage et permis de conduire États-Uniens sont vulnérables sans nécessiter de gros efforts, affirment quatre chercheurs de l’Université de Washington ou travaillant pour RSA. Dans cette équipe, l’on retrouve notamment Ari Juels, des RSA Labs, qui s’était déjà longtemps entretenu avec la rédaction de CNIS, précisément à propos de la faillibilité des RFID (voir dossier spécial de notre numéro d’Octobre ).

L’étude de 16 pages parle même de certains aspects rarement abordés sur le sujet. Notamment l’émulation distante d’un RFID à l’aide d’une électronique peut-être plus « conséquente » mais facile à camoufler. Certains côtés de l’étude rappellent les travaux précédents d’Ari Juels, de Melanie Rieback, des équipes de l’Université de Twente, d’Adam Laurie. A noter, un passage absolument passionnant sur les taux d’échec d’une lecture distante, de 40 cm à 200 cm, sur la façon de rendre impossible toute lecture en expédiant un « kill pin » à distance, ainsi que les conseils d’usage et de contre-contre-mesure émis par l’équipe de chercheurs.

La francophonie serait, si l´on en croit une étude conduite par Paypal, la meilleure arme contre le vol d´identité. Sur un échantillonnage de 1000 personnes, 10 % des victimes sont originaires du Canada, de Grande Bretagne et des USA. Comparativement, l´ensemble des usagers Français, Espagnols et Allemands ne comptent que 5% de victimes…

Sans la langue, en un mot, l’auteur le plus divin
Est toujours, quoi qu’il fasse, un méchant écrivain

Si l´on aborde la question des bonnes pratiques, il ressort que les Allemands sont, de loin, les consommateurs en ligne les plus prudents. 28% d´entre eux avouent avoir au moins une fois communiqué leur mot de passe à une autre personne…ce chiffre s´élève à 60 % chez les Américains, 56 % chez les Français. Inutile de préciser que nos voisins Teutons sont statistiquement moins souvent victimes de vols d´identité (3% des cas)

Les politiques de mots de passe sont atterrantes … particulièrement en France. Prénoms de proches, dates de famille, surnoms… habitudes d´autant plus dangereuses que 40 % des consommateurs sont également inscrits à des réseaux sociaux, dans lesquels se trouvent très souvent les informations précitées. Ainsi, en France, plus d´une personne sur 4 affiche sa date de naissance sur un Facebook ou équivalent, et utilise cette date en guise de mot de passe. Plus de la moitié des consommateurs occidentaux acceptent de voir stocké leurs mots de passe dans les entrailles de leur navigateur. Et si les américains ont tendance à écrire leurs crédences sur un morceau de papier, ce chiffre tombe à 20 % chez les Européens.

« Il a fallu moins de deux heures à Kostya pour passe du bulletin d’alerte à un contrôle efficace de l’EIP de la faille MS08-067. Quel beau bug ! Je ne voudrais pas gâcher le plaisir de tous ceux qui travaillent encore dessus, mais il est très mignon, tout comme un chaton ou un nouveau-né braillard ». C’est ainsi que Dave Aitel, d’Immunity, décrit le travail de son voisin de bureau.

Mais est-ce la seule raison pour laquelle la cote d’alerte du Sans monte légèrement dans les tours et passe au jaune ?

Que nenni ! L’exploitation est certaine, affirme le labo de Websence. Des cas ont déjà été recensés montrant que l’attaque aurait servi à injecter des Troyens de type « Gimmiv ». Tôt ce matin, seulement 25% des antivirus référencés par Websense étaient capables de détecter l’exploitation.

Ce correctif « out of band » arrive au pire moment de la semaine. On peut craindre que, pris de court, les responsables informatiques des PME n’aient pas le temps de déployer la rustine avant que de partir se reposer. Les deux jours de trêve du week-end profiteront aux développeurs d’exploits.

Plusieurs failles remarquées sur les ASA 5500 et PIX Cisco ont fait l’objet d’une d’alerte bulletin dans le courant de la nuit passée. Les conséquences d’une exploitation sont graves (contournement d’authentification dans un domaine NT, DoS sour IP v6, fuite mémoire dans le Crypto Accelerator), mais les conditions de mises en œuvre sont assez contraignantes pour que Secunia ne qualifie l’alerte que de « modérément critique ».

Ileana Buhan, de l’Université Hollandaise de Twente, a mis au point une méthode de reconnaissance faciale capable de reconnaître une personne même dans des conditions difficiles… or, la reproductibilité de la reconnaissance est l’un des principaux obstacles limitant l’usage de cette technique. Fort de cette invention, la chercheuse, déjà réputée pour ses travaux dans le domaine de la cryptologie, a développé une seconde technique utilisant les données biométriques des visages reconnus afin de générer une clef. Il serait alors possible d’utiliser les APN intégrés dans tous les smartphones et PDA de la création, d’expédier, une fois la reconnaissance effectuée, le cliché à son correspondant pour qu’ensuite un logiciel utilise ces deux fichiers image pour en extrapoler une clef de chiffrement complexe propre à ces deux personnes. C’est du moins ce que l’on peut extrapoler si l’on se réfère au communiqué de presse de l’Université, qui décrit assez sommairement le principe général de la trouvaille. Reste à savoir si la prise de vue n’est pas elle-même facile à « spoofer ». Bien souvent, les procédés complexes d’élaboration de clefs de chiffrement sont contournés non pas au niveau algorithmique, mais à un stade physique conditionnant soit la constitution de la clef, soit son exploitation.