octobre, 2008

Londres, RSA Conference :La traditionnelle triple campagne de Wardriving que conduit RSA toutes les années à Londres, New York et Paris passionnera certainement les amoureux de aircrack habitant sur un axe Porte de Bagnolet/Pont de Levallois. Car, sur l´année écoulée, le taux de progression des points d´accès détectés a augmenté de plus de 540 %, chiffre à comparer aux + 72% de Londres (160% l´an passé) et aux 45% de NYC (49% en 2007. Précisons que cette étude se limite à Paris intra-muros, banlieue non comprise).

Cette croissance est le fruit à la fois d´une envolée des AP privées, en milieu professionnel ou utilisés par les particuliers, et d´une véritable explosion des infrastructures « hot spot » gratuits ou payants… l´on se souvient du tollé des opérateurs, dont les revenus ont été « fortement menacés » par le déploiement de bornes wifi publiques dans les jardins de la capitale. Des hot spots donc dont le nombre a progressé de plus de 300 %, contre 34 % à Londres et 44 % à New York. Il faut dire que la France ne fait jamais que combler un retard important. La part des points d´accès publics ne constitue encore que 6 % de l´ensemble des points WiFi de Paris, chiffre fort proche de ce qui est constaté à Londres (5%) mais très en deçà de l´état du sans-fil public à New York (15% du total). Il faut dire qu´à Gotham City, l´état des infrastructures téléphoniques d´une part, l´antériorité du merchandising du sans fil d´autre part (hot spots McDonald, Starbuck Cafés etc) est une vieille histoire.
Progression toute proportionnelle également des réseaux « hackables ». Car, sur l´ensemble des têtes de réseau, l´on peut considérer que plus du quart des installations est soit non protégé (mais il peut s´agir de hot spots qui, payants ou non, n´utilisent généralement pas de chiffrement client-routeur) soit défendu avec un mécanisme WEP. Ce qui, somme toute, est une bonne nouvelle qui sous-entend que les trois quart des points d´accès sont abrités sous une épaisse couche de WPA d´un genre ou d´un autre. La situation était bien plus inquiétante il y a 4 ou 5 ans. Ces observations sont valables pour ce qui concerne, une fois de plus, notre ville capitale. Car de l´autre côté de la manche ou de l´Atlantique, Wep règne en maître sur au moins 48 à 49 % des réseaux sans fil.

Eric Gakstatter, dans les colonnes de GPS World, nous apprend que les « déjà » antiques gps bi-fréquence seront inutilisables en 2020. Certes, à 100 euros en « promo » le navigateur routier, ça laisse aux chauffeurs de taxi parisien le temps d’amortir ce précieux aide-mémoire. Mais pour les utilisateurs professionnels ayant investi entre 30 et 60 000 euros dans des ensembles de positionnement cinématique temps réel (RTK), la pilule est un peu plus dure à passer. L’avenir est au « triple fréquence », et qu’importe les investissements que viennent de faire certains géomètres-arpenteurs, architectes, spécialistes de la déformation de structure, en bref, toutes les personnes qui utilisent les flottilles de satellites à des fins de haute précision.

Azure : ce sera le nom de la future branche « cloud computing » de Microsoft présentée par Ray Ozzie (créateur de Notes et Architecte en Chef de MS). Et comme à l´accoutumée, tout commence par des SDK, des outils Visual Studio, une extension du SDK « dot Net » et une trousse à outils SQL Data Services. C´est donc, dans un premier temps, une série de solution d´externalisation reposant sur des Data Centers Microsoft répartis dans le monde (dont un prévu à Dublin) et spécifiquement destinés au milieu professionnel. Il sera ainsi possible de louer des tranches de « temps de traitement », du noyau système, du stockage, de la base de données, de la puissance CRM, grâce à des moteurs certes situés chez l´éditeur-fournisseur de services, mais capables de tourner avec des applications métier qu´auront développé les techniciens des entreprises clientes.

Des ressources plus légères, orientées bureautique, sont également prévues avec un service Sharepoint, voir même des solutions quasi grand-public avec les « live services », pour le stockage/partage de documents, photos, fichiers etc.

L´avantage du cloud computing réside, sans conteste, dans une réduction des coûts par achat du « juste temps » et de la « juste capacité » de traitement nécessaire, il ne doit pas masquer le fait que les biens immatériels de l´entreprise sortent effectivement de ses murs et des frontières du pays. Le problème n´est pas rédhibitoire, mais exige une sérieuse analyse du bien fondé de la « cloudification » des données et des risques qui lui sont liés.

NdrdlCqatlg Note du remplaçant de la correctrice qui a toujours la grippe : Stéphane Mallarmé, l´un des pères du symbolisme, avait de son vivant proposé à la division Marketing de Microsoft un message publicitaire vantant la plateforme de services : « Je suis hanté. L’Azur! L’Azur! L’Azur! I’Azur! ». Mais comme à l´époque les messageries électroniques n´existaient pas, personne ne reçut le slogan de l´autre c�té de l´atlantique. Il mourra en 1898, sans Stock Option, avec pour seul viatique une retraite de professeur.

A lire les papiers publiés ces dernières 72 heures à propos de la faille MS08-067, l’on comprend aisément les raisons qui poussent Microsoft à ne publier qu’un lot d’alertes par mois. Car, une fois enfermé dans l’illogisme de cette routine, toute parution hors calendrier prend des proportions médiatiques dantesques.

Mais voilà : 08-067 existe bel et bien, a fait l’objet au moins d’un exploit de laboratoire et d’une utilisation plus dangereuse. Côté labo, le fil de discussion Daily Dave a bruissé sur la qualité de l’écriture du Troyen Gimmiv.A ainsi que sur l’analyse de Kostya. Lequel, avec la grâce et la délicatesse qu’on lui connaît, revient sur l’aspect technique du défaut en question. L’explication du « Buffer underflow » étant quelque peu lapidaire sur ces liens, il peut être utile de se reporter à l’explication de Threatexpert.com pour entrevoir la manière dont fonctionne Gimmiv. Kostya Korchinsky explique que c’est là une nouvelle race d’exploits, qui pourrait bien prendre la relève des BoF, race en voie de quasi-extinction. Précisons en passant que Gimmiv n’est pas une innocente preuve de faisabilité : c’est un voleur de crédences locales, MSN, Outlook Express qui, par la même occasion, vérifie la présence de certains antivirus et le type de noyau (pour immédiatement en informer sa « base » par le biais d’une liaison IP située sur une adresse fixe). Le tout est accompagné de données secondaires, telles que le nom de la machine, quelques URLs, le niveau de correctifs installés, des informations sur les stockages protégés ou le type de navigateur employé. Signalons également les travaux de l’Avert Lab sur le sujet, tout ceci noyé dans les cris d’alarme des éditeurs d’antivirus, qui, eux, apportent plus de bruit de fond que de véritable information complémentaire. Cris qui ont tout de même l’avantage, tel celui de F-Secure d’insister sur le fait que l’application rapide de la rustine est impérative. Rien de très neuf non plus dans la mise à jour du bulletin du MSRC signé par Chris Budd. Plus riche d’enseignements que les bulletins des marchands de boucliers périmétriques, plus accessible que les considérations binaires des gourous, la Foire Aux Questions de Juha-Matti Laurio du Securiteam est à lire absolument.

Slashdoté dans la journée de lundi, ce rapport de l’Armée US qui classe Twitter, ce réseau social d’informations « instantanées », comme potentiellement utilisable à des fins terroristes. Et de prendre comme preuve la rapidité avec laquelle se sont répandues des nouvelles lors du tremblement de terre de Los Angeles en juillet dernier. Ou, à l’occasion de la Convention Républicaine de Minneapolis, comment les militants diffusaient les mouvements des forces de l’ordre. Ce genre de « découverte » relève de la même fantaisie que la chasse à la bouteille d’eau dans les aéroports actuellement. Ou la peur des talky walkies et de RTL* par les Compagnies Républicaines de Sécurité durant les événements de Mai 68 : les outils de communication rapide sont… rapides. On pourrait en dire autant des talky walkies PMR* (mais pourquoi de tels outils de morts sont-ils encore en vente libre ?), des téléphones portables, des signaux de fumée, du code morse, des canaux IRC, des messageries électroniques, des coursiers à mobylette, des estafettes à cheval, des pigeons voyageurs, des signaux lumineux émis avec des « stylos laser », des…

* NdlC Note de la Correctrice : RTL, Radio Télé Luxembourg fit, en 68, un « tabac » en signalant, durant les heures de « direct », la position des compagnies de CRS durant les affrontements rue Gay-Lussac. Les PMR, Private Radio Mobile, sont les héritiers UHF des talky walkies de notre enfance qui, eux, étaient sur 27 MHz. Ces appareils, lit-on sur certains quotidiens, ont été de nombreuses fois utilisés dans le cadre de guérillas urbaines et autres affrontements de banlieue, notamment aux Etats-Unis.

L’un des contributeurs de Ha-ckers –le style ressemble à celui de RSnake- propose un programme de réhabilitation destiné aux experts en sécurité qui, noyés sous le rigorisme de leurs normes, bonnes pratiques et procédures, oublient totalement ce qu’est un utilisateur « finaud ». Il faut, dit l’auteur, renouer avec les usages de la « chose » qui se trouve derrière le « endpoint », ne serait-ce que pour mieux le comprendre. Il n’est pas précisé combien de points un tel stage peut rapporter, mais il vaut, à n’en pas douter, autant que la lecture d’un ouvrage de Bernard Foray. Voici donc quelques exemples à suivre pour se « ressourcer » et retrouver la candeur des primo-informatisés :

* S’inscrire sur MyFace ou FaceBook, remplir consciencieusement tous les champs
* Opter pour un mot de passe facile à se rappeler. Le mot Password par exemple. Il devient alors plus simple pour ses proches de s’en souvenir en case d’amnésie provisoire.
* S’astreindre à télécharger avec minutie le moindre gadget, widget, toolbar, jeu que l’on trouve sur Internet et en documenter l’accès sur le profil du réseau social auquel on est abonné (voir plus haut). Y ajouter, pour la bonne cause, le nom de jeune fille de Maman, le prénom du chien, les préférences culinaires…
* Désactiver tout antimachin : antivirus, antispywares, antispam… tous ces utilitaires qui ralentissent les temps de traitement. Inutile de cliquer inutilement sur les « autoriser » et « OK » qui s’affichent à l’écran. L’on peut obtenir un résultat encore plus rapide en supprimant tous les modules de sécurité éventuellement en fonction sur le système

… A notre connaissance, ce genre de stage ne fait pas encore partie du catalogue de formation HSC, mais ne devrait pas tarder à y prendre une bonne place. Dans le cas contraire, l’affichage de cette liste, traduite et imprimée en gros caractères pourrait au moins avoir l’avantage de propager, avec humour, un message de sensibilisation que l’on peine toujours à faire passer en temps normal.

Vol de donnés, duplication, destruction à distance : les RFID soi-disant inviolables utilisés dans certains documents de voyage et permis de conduire États-Uniens sont vulnérables sans nécessiter de gros efforts, affirment quatre chercheurs de l’Université de Washington ou travaillant pour RSA. Dans cette équipe, l’on retrouve notamment Ari Juels, des RSA Labs, qui s’était déjà longtemps entretenu avec la rédaction de CNIS, précisément à propos de la faillibilité des RFID (voir dossier spécial de notre numéro d’Octobre ).

L’étude de 16 pages parle même de certains aspects rarement abordés sur le sujet. Notamment l’émulation distante d’un RFID à l’aide d’une électronique peut-être plus « conséquente » mais facile à camoufler. Certains côtés de l’étude rappellent les travaux précédents d’Ari Juels, de Melanie Rieback, des équipes de l’Université de Twente, d’Adam Laurie. A noter, un passage absolument passionnant sur les taux d’échec d’une lecture distante, de 40 cm à 200 cm, sur la façon de rendre impossible toute lecture en expédiant un « kill pin » à distance, ainsi que les conseils d’usage et de contre-contre-mesure émis par l’équipe de chercheurs.

La francophonie serait, si l´on en croit une étude conduite par Paypal, la meilleure arme contre le vol d´identité. Sur un échantillonnage de 1000 personnes, 10 % des victimes sont originaires du Canada, de Grande Bretagne et des USA. Comparativement, l´ensemble des usagers Français, Espagnols et Allemands ne comptent que 5% de victimes…

Sans la langue, en un mot, l’auteur le plus divin
Est toujours, quoi qu’il fasse, un méchant écrivain

Si l´on aborde la question des bonnes pratiques, il ressort que les Allemands sont, de loin, les consommateurs en ligne les plus prudents. 28% d´entre eux avouent avoir au moins une fois communiqué leur mot de passe à une autre personne…ce chiffre s´élève à 60 % chez les Américains, 56 % chez les Français. Inutile de préciser que nos voisins Teutons sont statistiquement moins souvent victimes de vols d´identité (3% des cas)

Les politiques de mots de passe sont atterrantes … particulièrement en France. Prénoms de proches, dates de famille, surnoms… habitudes d´autant plus dangereuses que 40 % des consommateurs sont également inscrits à des réseaux sociaux, dans lesquels se trouvent très souvent les informations précitées. Ainsi, en France, plus d´une personne sur 4 affiche sa date de naissance sur un Facebook ou équivalent, et utilise cette date en guise de mot de passe. Plus de la moitié des consommateurs occidentaux acceptent de voir stocké leurs mots de passe dans les entrailles de leur navigateur. Et si les américains ont tendance à écrire leurs crédences sur un morceau de papier, ce chiffre tombe à 20 % chez les Européens.

« Il a fallu moins de deux heures à Kostya pour passe du bulletin d’alerte à un contrôle efficace de l’EIP de la faille MS08-067. Quel beau bug ! Je ne voudrais pas gâcher le plaisir de tous ceux qui travaillent encore dessus, mais il est très mignon, tout comme un chaton ou un nouveau-né braillard ». C’est ainsi que Dave Aitel, d’Immunity, décrit le travail de son voisin de bureau.

Mais est-ce la seule raison pour laquelle la cote d’alerte du Sans monte légèrement dans les tours et passe au jaune ?

Que nenni ! L’exploitation est certaine, affirme le labo de Websence. Des cas ont déjà été recensés montrant que l’attaque aurait servi à injecter des Troyens de type « Gimmiv ». Tôt ce matin, seulement 25% des antivirus référencés par Websense étaient capables de détecter l’exploitation.

Ce correctif « out of band » arrive au pire moment de la semaine. On peut craindre que, pris de court, les responsables informatiques des PME n’aient pas le temps de déployer la rustine avant que de partir se reposer. Les deux jours de trêve du week-end profiteront aux développeurs d’exploits.

Plusieurs failles remarquées sur les ASA 5500 et PIX Cisco ont fait l’objet d’une d’alerte bulletin dans le courant de la nuit passée. Les conséquences d’une exploitation sont graves (contournement d’authentification dans un domaine NT, DoS sour IP v6, fuite mémoire dans le Crypto Accelerator), mais les conditions de mises en œuvre sont assez contraignantes pour que Secunia ne qualifie l’alerte que de « modérément critique ».