octobre, 2008

Ileana Buhan, de l’Université Hollandaise de Twente, a mis au point une méthode de reconnaissance faciale capable de reconnaître une personne même dans des conditions difficiles… or, la reproductibilité de la reconnaissance est l’un des principaux obstacles limitant l’usage de cette technique. Fort de cette invention, la chercheuse, déjà réputée pour ses travaux dans le domaine de la cryptologie, a développé une seconde technique utilisant les données biométriques des visages reconnus afin de générer une clef. Il serait alors possible d’utiliser les APN intégrés dans tous les smartphones et PDA de la création, d’expédier, une fois la reconnaissance effectuée, le cliché à son correspondant pour qu’ensuite un logiciel utilise ces deux fichiers image pour en extrapoler une clef de chiffrement complexe propre à ces deux personnes. C’est du moins ce que l’on peut extrapoler si l’on se réfère au communiqué de presse de l’Université, qui décrit assez sommairement le principe général de la trouvaille. Reste à savoir si la prise de vue n’est pas elle-même facile à « spoofer ». Bien souvent, les procédés complexes d’élaboration de clefs de chiffrement sont contournés non pas au niveau algorithmique, mais à un stade physique conditionnant soit la constitution de la clef, soit son exploitation.

MS patch du vendredi : Le retour du trou RPC L’annonce a retenti comme un petit coup de tonnerre, en cette soirée du 22 octobre : « rustine « hors calendrier» à prévoir dans la nuit de jeudi à vendredi. Faille kernel variant d’importante à critique, RSSI, restez à l’écoute, tous les éclaircissements vous seront donnés ce jeudi soir à 10 H, par le biais d’un Webcast spécial. Inscription préalable obligatoire ». Bien entendu, mutisme de rigueur dans les rangs Microsoft France en attendant l’heure fatidique.

A l’heure dite, le bulletin Français de Microsoft révélait les dessous de l’affaire : vulnérabilité RPC dans les « server services », de Windows 2000 à Vista et 2008, exploitable à distance sans authentification nécessaire. Le trou de sécurité est jugé critique de 2000 à la génération XP/2003, important sur les systèmes Vista/2008. Tous les détails dans l’alerte MS 08-067. Le défaut, précise Bernard Ourghanlian (Directeur technologie & sécurité chez MS France), était connu des chercheurs du MSRC depuis un certain temps déjà. Mais, depuis peu, des preuves d’exploitation « underground » laissaient clairement entendre que le problème avait manifestement été découvert par d’autres.

Le mélange « faille RPC/exploitation à distance/Pre-auth » a déjà prouvé son instabilité. Souvenons-nous. C’était avec cette même formule chimique qu’est né, en 2003, Blaster (rpc), Sasser (lsass) et ses cousins. Et une simple requête Google « faille RPC » ou « requête RPC forgée » dresse en quelques secondes un petit musée des horreurs et pas mal de mauvais souvenirs. « Il n’y a pas, à l’heure actuelle, précise Bernard Ourghanlian, de ver connu exploitant ce défaut. Ce n’était pas non plus le cas lorsque la faille ayant donné naissance à Blaster a été découverte, puis corrigée ». Le message est clair : correctif à déployer de toute urgence, compte-tenu de la rapidité des black hats en matière d’ingénierie inverse.

Quelles sont les premières personnes visées ? Les sociétés en premier chef, estiment les hommes sécurité de Microsoft. Car les particuliers, TPE, artisans sont, dans la majorité des cas, protégés par le firewall natif de XP, Vista, voir celui directement intégré dans leur routeur. Il n’en va pas toujours de même lorsque les services informatiques d’entreprises plus importantes activent les services RPC à l’extérieur. L’ouverture des ports 139 et 445 –Dcom et Locator- (voir parfois même les 137 et 138 Netbios !) est parfois une « nécessité suicidaire ».

Afin de minimiser un peu plus ce danger latent, les signatures de Forefront Line Security et Live One Care ont été mises à jour… en se basant sur les méthodes d’exploitation connues jusqu’à présent. Mais il suffit de si peu de choses pour rendre invisible une mutation, pour créer une variante qui passera inaperçue. La première des prudences est de respecter le traditionnel conseil que le Sans Institute émet dans de pareilles circonstances : Patch ! Patch ! Patch !… et par la même occasion, il est sage de vérifier s’il n’existe pas de ports Wan inutilement ouverts.

Ouvrons une parenthèse en signalant qu’une seconde faille « noyau » a généré la mise à jour d’un bulletin conseillant une extrême vigilance. Un bulletin qui porte le numéro 951306 et qui a également fait l’objet d’une publication d’exploit, plus officielle, celle là, sur l’initiative de César Cerrudo d’Argenis.

Son niveau de dangerosité est nettement moins élevé, puisque n’étant exploitable que localement. Mais tout est relatif, la criticité d’une faille s’appréciant en fonction de la situation de l’exploitant. Un virus, troyen ou crack local, entre les mains d’un employé déçu ayant accès au réseau local possède un potentiel de destruction bien plus important qu’une faille exploitable à distance lancée par un script-kiddy ignorant tout des ressources réelles qu’il peut mettre en danger. Mais à priori, estime-t-on chez Microsoft, pas de quoi provoquer un second correctif « hors calendrier » ce mois-ci.

Il est assez ironique de constater que la publication de ces deux exploits survient le mois même à partir duquel le traditionnel « patch Tuesday » s’enrichit d’un indice statistique de possibilité d’exploitation … Indice qui n’aura servi strictement à rien, puisque des deux exploits en question, aucun n’a fait partie des bulletins d’alerte du 14 octobre.

… chantait Bobby Lapointe. Qui n’aurait pas dédaigné admirer certain travail d’hameçonnage signalé sur FraudWatch. Et notamment la dernière campagne de phishing visant la banque Desjardins, institution séculaire Canadienne, Québécoise et par conséquent francophone. A en juger par les fac-simile publiés, il semblerait que l’on approche là de la perfection : accentuation irréprochable, vocabulaire parfaitement adapté et respectant les règles de la syntaxe moderne (et néanmoins bancaire), bonne imitation du site visé… à quelques imperfections près –telle l’url manifestement douteuse – qui ont peu de chance d’émouvoir un usager un peu stressé, l’on peut presque conclure au « sans faute ».

Jusqu’à présent, le monde de la finance avait, au sein de l’hexagone, peu à craindre des polluposteurs tendance phishing. Les « charset » russo-moldave, les typiques gourations dans la proverbation et autres barbarismes prouvaient à la fois l’origine frauduleuse du courriel et une méconnaissance totale des meurs et méthodes de communication de la gente financière. On ne parle l’hexagonal bureaucratique bancaire qu’après de longues années de pratique. Cette période bénie semble donc bien révolue. Car un phisheur sachant phisher dans la Belle Province peut, du jour au lendemain, abandonner la Banque Desjardins et commencer à émettre des courriels Crédit Lyonnais, Banque Populaire ou Fortis, histoire de rentabiliser sa maîtrise du François Financier. Et comme, en France, à une seule exception près connue depuis peu, les fraudes bancaires n’existent pas…

Après les faux antivirus cherchant à truander les internautes, voici les prétendus « assessement tools » et autres outils de « pentest » d’origine Chinoise qui justifient leur existence « à seule fin de protéger les victimes potentielles ». Cette trouvaille porte la signature –une fois de plus- de Dancho Danchev. Les outils en question sont des usines capables d’évaluer l’impact d’une « attaque par injection SQL massive via les principaux moteurs de recherche ». Attaque en deux temps, Googlehacking puis, une fois la victime localisée, exploitation de la faille considérée. Pour que le travail du RSSI-black-hat soit simplifié et accéléré au maximum, la console d’administration des programmes en question classe par importance statistique le pourcentage de « chances » de tomber sur une injection SQL aisément exploitable. Enfin, pour parfaire le tri, les sites vulnérables peuvent parfaitement être localisés, secteur géographique par secteur géographique.

Et çà tombe très bien, puisque les exemples donnés par ces vendeurs d’armes de piratage massif concernent des sites français. Voilà qui va donner quelques sueurs froides à une poignée de webmestres qui auraient oublié un ou deux correctifs durant ces dernières années.

Danchev s’attache surtout, au fil de son papier, à démontrer à quel point ces « programmes de sécurité » se perfectionnent de jour en jour. Ce sont, avec 3 moteurs de recherche parallélisés, de véritables usines à découvrir de la faille et à forer du site. L’Xaas, Exploit As A Service, est un nouveau business « noir » qui pourrait bien s’avérer aussi lucratif que les « ateliers » de malware de la génération Storm worm.

Pour avoir un peu trop conspué les pirates qui, la semaine passée, avaient dévoilé le contenu de la messagerie du Gouverneur Palin, Bil O’Reily, éditorialiste de Fox News, voit son site ouvert aux quatre vents et la liste de ses abonnés, ainsi que leurs mots de passe, distribuée à qui veut bien le télécharger. O’Reily se définit lui-même comme un « traditionaliste populiste ». Hacking d’un côté, noms d’oiseaux et discours enflammés sur des médias d’envergure nationale de l’autre, le débat électoral américain s’élève chaque jour un peu plus.

Computerworld publie le énième papier sur la fin annoncée du support de XP, mais en y ajoutant une information amusante : les pirates préfèrent XP à Vista. En effet, si l´on compare le volume des filières illicites de XP et de Vista, aucun rapport n´est possible : c´est bien le « viel » XP qui constitue le gros des ventes des circuits parallèles. L´auteur reprend les dires de Bonnie MacNaughton, un avocat de la firme, qui explique en substance : « si les pirates préfèrent encore diffuser de l´XP plutôt que du Vista, c´est que Vista intègre un nombre plus important et plus complexe de mécanismes de protection ». Il ne viendrait pas un instant à l´idée de ce ténor du barreau que les grandes filières de piratage suivent, comme tout le monde, la demande du marché, et il ne semble pas que Vista ait, jusqu´à présent, provoqué un raz de marée dans les demandes. Le jour où un Windows Seven offrira au public un Vista 2.0 plus ergonomique, plus adapté à la demande du public, faisons confiance aux pirates pour découvrir rapidement des mesures de contournement efficaces.

L´on pourrait également se poser la question de savoir si le retrait de XP ne serait pas la plus énorme erreur que pourrait commettre Microsoft. Oublions Vista, glissons même sur les promesses de « Seven », version qui ne sera capitale que par la réduction des péchés de son origine, et regardons en face l´avenir que nous promet Midori, alias Windows 8. Ce sera, nous assure-t-on, le Windows de rupture, celui par lequel l´on parviendra enfin à ne plus souffrir des héritages de la compatibilité ascendante. Oubliés les Winsocks explosifs, le GDI peau de chagrin, la gestion mémoire à décantation impossible à vidanger, l´interprétation des fichiers pif et com fossiles, les chemins en dur dans la bdr si ce n´est dans certaines dll, le DLL Hell, Burgermeister, les milliers d´horreurs passées dont les versions N+1 devaient respecter la « bug for bug compatibility ».

Car Midori -un peu plus que Seven- sera le noyau intégrant un moteur de virtualisation totalement transparent, celui qui permettra à l´usager de « conserver » ses vieilles applications et noyaux, tout en ouvrant la voie à une nouvelle génération de programmes conçus avec une approche de « développement propre », avec des règles de conception un peu plus normées qu´auparavant, étudiées pour des électroniques MultiCore/multiprocesseurs, et surtout qui n´auront pas, grâce à cette « conservation concurrente » offerte par la virtualisation, les héritages honteux des maladies génétiques passées.
Du passé faisons table rase
Foule esclave (du code), debout ! Debout !
Le monde va changer de base (système):
Nous ne sommes rien, soyons tout !
Eugène Pottier a certainement été beta-testeur de Windows 1.10.

Ca, c´est la version « propagande ». Et si ses concepteurs étaient franchement sincères, et compte-tenu de l´instinct de survie dont font preuve les vieux noyaux MS (Windows 98SE notamment), pourquoi n´accepteraient-ils pas qu´au lancement de Midori, les noyaux XP encore nombreux à tenir vaillamment leur rôle de noyau puissent y trouver une place, un endroit où ils pourront mourir dans la paix et la dignité ? Et quitte à faire de Midori un sac de noyaux, pourquoi ne pas prévoir dès à présent la place de celui qui, à moins d´un « miracle » et d´une « vague de fond Seven », sera encore et toujours le système favori des TPE, des artisans, des particuliers, des petits, des obscurs, des sans-grades de l´informatique bureautique, qui constitue tout de même près de 80 % du parc installé ?

Peut-être les avocats et les hommes du marketing de « Corp » devraient-ils, une fois n´est pas coutume, reconnaître que le piratage peut leur apporter quelque chose d´utile : le reflet du marché tel qu´il est, et non tel qu´il est rêvé du côté de Seattle.

Protéger le contenu d’une liaison optique pose quelques problèmes techniques. A commencer par le fait qu’en général, le chiffrement « classique » s’effectue en amont de la partie optique, sur une base cuivre, procédé qui plafonne en moyenne aux environs de 10 Gigabits par seconde. On est loin des 100 Gb/s –voir plus- d’une liaison fibre. L’une des solutions pour atteindre de hauts débits consisterait à additionner plusieurs canaux optiques chiffrés à 10 Gb/s pour obtenir un débit effectif de 100 Gb/s… ce n’est pas franchement une approche optimale, puisque le « rendement » en terme de bande passante ne dépasse pas 10%.

Il existe pourtant une solution, estime Telcordia : c’est de chiffrer au niveau de l’étage fibre, à l’aide d’un multiplexeur optique. La clef utilisée est paramétrable à distance –donc susceptible d’être changée régulièrement-, et le procédé, bien qu’il ne s’agisse pas franchement d’un chiffrement au sens originel informatique du terme, opère un embrouillage qui interdira toute espérance d’interception. Le désembrouillage s’effectue à l’arrivée à l’aide d’un autre mux utilisant une clef identique. Le constructeur ne donne que très peu d’informations sur le procédé utilisé. Tout au plus apprend-on en décryptant le communiqué, que le mux joue aussi bien sur la fréquence de la porteuse (la couleur) que sur la phase du signal. C’est donc une double modification qui s’opère, dans des limites relativement strictes, puisque les spécifications d’un signal DWM ne peuvent dépasser, pour chaque canal utilisé, un delta important d’écart de chrominance.

De manière télégraphique, ces annonces « nouveaux produits » qui viennent de tomber dans les boîtes à lettre de la rédaction de Cnis :

Chez Sun, la nouveauté s´appelle Identity Compliance Manager. Comme son nom l´indique, c´est un outil destiné à gérer la gouvernance, les risques opérationnels et la mise en conformité (GRC). Il assure l´automatisation des processus de contrôle, de création et d´émission de rapports d´accès. On y peut corréler les identités et les applications, gérer le glossaire des habilitations, renforcer les notions de ségrégation des tâches, et bien sûr éditer les rapports afférents à toute cette gestion des identités afin de prouver la conformité de l´infrastructure vis-à-vis de règles et lois telles que SarbOx, BâleII, Hipaa etc.

Chez Novell, l´on suit un chemin parallèle, avec la Novell Access Governance Suite. On est encore dans le domaine de la gestion des politiques d´accès, de la corrélation entre la personne et la ressource, mais assisté grâce à des mécanismes d´automatisation. Bien sûr, chez Novell également, l´on offre des fonctions de reporting, de certification, de remédiation et d´intégration avec les infrastructures de provisionnement. Deux modules pour ce faire : le Roles Lifecycle Manager et le Compliance Certification Manager. La rédaction reviendra sur ce genre de programme dès qu´il sera possible d´en voir l´utilisation « in situ »

Chez McAfee, l´on ajoute du NAC (Network Access Control) dans ses appliances IPS. En d´autres termes, il injecte son logiciel dans une base matérielle « réseau ». Ce n´est pas le premier à faire çà… ce n´est pas non plus un geste innocent. Jusqu´à présent, le monde était assez manichéen : d´un côté, les spécialistes du poste client (pardon, du « endpoint security system », pour faire plus sérieux), de l´autre, les seigneurs de l´infrastructure, les spécialistes de la passerelle d´accès ou de filtrage. Les Cisco, les Juniper, les Consentry, les Nevis… les uns occupant la partie matérielle, les autres étant des « NAC Pure Player » focalisés sur l´administration, la gestion des accès. Si le marché du poste de travail, de par sa multitude, est encore très lucratif, le mouvement de McAfee montre clairement qu´il ne suffit pas à tout le monde. Jouer sur les deux tableaux, gagner sur les deux aspects de la gestion des accès distants est tentant. Surtout lorsque l´on possède l´assise financière capable de promettre le meilleur des deux mondes.

Terminons avec AVG (ex Grisoft), que l´on peut difficilement associer aux outils très « infrasctructure » énumérés ci-avant… mais l´on partira du principe que l´infrastructure commence avec le poste de travail. Il s´agit de la version 8 « gratuite » de la suite antivirus/firewall/antispam/antispyware etc. AVG utilise d´excellents moteurs, et il ne protège ni plus mal (ni mieux, dirait-on chez Secunia) que ses principaux concurrents.

Une fois n’est pas coutume, mais c’est la fois de trop
Car en touchant ce jour au roi des animaux,
Un hacker pourrait bien déclencher un typhon.

C’était en une époque où les puissants, dit-on,
Blackberisaient souvent, e-mailaient tant et plus
Jouaient du PDA et de la carte à puce.
Cela tranchait beaucoup avec les vieux usages
Au point que les pandores trouvaient tout çà peu sage.
« Il faut, prévenaient-ils, ne prendre l’habitude
D’abuser de ces TIC, de leur modernitude .
On dit que Cipango nous surveille ainsi
Et que du Canada on entend nos babils »

Les louveteaux nerveux rétorquent aussitôt
« Vous êtes indolents, comme roi d’Yvetot !
Le futur appartient à ceux qui, audacieux
Usent au quotidien ces outils merveilleux
Au diable les archives, le papier et la plume
Vivons à cent à l’heure, vous n’êtes qu’une enclume ! »
Les TIC aussitôt envahissent la cour
Au conseil du Roi prodiguent mille tours.

Mais la canaille aussi profite de la sorte
Et avec’le progrès entre par cette porte
Les pirates du code, les brigands de l’octet.
Pourtant les loups se moquent des hackers entêtés
Ils visent pour l’instant d’autres flibustiers
Ceux qui osent copier par wagons entiers
Les couplets de la Lionne et ceux de ses lionceaux
« Ca devient difficile en bois de Fontainebleau
De s’offrir un terrier, de payer un taillis
En forêt de Neuilly (ou, pour les loups, Passy)
Nos prébendes s’épuisent rongées par la piétaille
Qui ne peut ni ne veut nous donner sa mitraille
Le Lion en est inquiet, et c’est bien par dépit
Qu’il est enfin contraint d’adopter l’Adopi »
Etait-ce à cet instant que Lion, sur Internet
Acheta un roman ou une chansonnette ?
Toujours est-il que toute sa « Carte Bleue »,
Ses numéros, son nom, et tout ce qui fait que
Le Lion est bien le Lion se trouve piraté.
C’est une affaire d’Etat, c’est pour la DST !

Lion fulmine alors, il cherche un coupable
Les loups hurlent aussi, mais sont bien incapables
De mordre le voleur qui se cache en Russie,
En Chine ou au Brésil : son coup a réussi.
Je punirai celui par qui scandale est né
Financier, est-ce toi qui hier ânonnais
Qu’en dedans de tes coffres on ne peut pénétrer ?
Qu’aucun cass’ technoïde on ne peut perpétrer ?
Que de tous les scandales qui frappent la couronne
D’Angleterre et d’Irlande, les banques de Boston
Et de Pondichéry, les TJX aussi, les Cardsystems itou
Ne nous regardent pas, en un mot « on s’en fout » ?
Mais vois les conséquences, les papiers goguenards
Du blog de McAfee et de tous ses renards
Le « Reg » s’en amuse, l’AFP se goberge
Je vais immédiatement vous faire donner les verges,
Et fouetter cette morgue, cette folle assurance
Qu’affectent cependant les Argentiers de France.
Depuis ces derniers temps, vous me coûtez fort cher
Plus de 300 milliards… et tout ce que je perds.
Des têtes vont tomber, je puis vous l’assurer
Et je ferai des lois pour mieux vous pressurer.

Envoi

Prince, soyez clément, épargnez ce banquier
Qui n’a jamais connu que culte du secret
Faites voter des lois, qui par leur transparence
Nous forceront chacun à mettre en évidence
Les dangers qui nous guettent, les pièges qu’on nous tend.
Ne jamais ignorer tout ce qui est latent
Connaître des buffers les overflows infâmes
User de ces outils de « hacking », ces lames
Qui transpercent le code pour en mieux détecter
Les faiblesses, les failles, les instabilités.
Vidocq, disait-on, ne pouvait concevoir
De bonne protection sans une arme très noire
Il faut qu’en aucun cas le mot sécurité
Continue à rimer avec obscurité.

Le rayonnement électromagnétique d’un clavier peut « s’entendre » à plusieurs dizaines de mètres. C’est un fait connu de tous les opérateurs radio modernes, qui utilisent depuis belle lurette des récepteurs à traitement logiciel. C’est également un point technique connu des barbouzes les plus débutantes, car la récupération des données émises par le « scan code » de nos AZERTY est le B.A. BA de l’écoute Tempest, si souvent décrite dans les documents rédigés par la NSA notamment et republiés par le serveur Cryptome.

Mais ce n’est pas parce qu’une technique est ancienne qu’il faut pour autant l’oublier. C’est du moins ce que pensent certains chercheurs de la très sérieuse Ecole Polytechnique de Lausanne (EPFL), qui a légèrement amélioré les procédés connus et s’est lancé dans une étude comparative des claviers plus ou moins bien « blindés ». Démonstration accompagnée d’une double séquence vidéo montrant à quel point il est aisé de récupérer non seulement le couple « login/password » de son voisin, mais également peut-être le code PIN tapoté sur le pavé d’un distributeur de billets ou d’un TPV, terminal de payement mobile.

Peut-on résoudre rapidement cette faille de fabrication ? La réponse est « oui », c’est même à la portée d’un étudiant en première année d’électrotechnique. « A moindre frais ? » la chose est moins évidente. Pour blinder un boîtier en plastique –les claviers métalliques ont disparu de nos bureaux depuis bien longtemps-, il faudrait en recouvrir la surface intérieure d’une peinture conductrice, en fermer la surface supérieure –côté touches- par une mousse également conductrice, blinder et « shocker » à l’aide de câbles écrantés et de perles de ferrite les fils qui en sortent… autant de solutions simples mais qui ont un prix. Ce n’est donc pas un problème technique, car la littérature traitant de ce sujet abonde. C’est avant tout une histoire de « centimes économisés » et d’économie d’échelle. Les claviers d’« entrée de gamme » ne dépassent pas 5 euros, ce qui laisse bien peu de marge pour des accessoires de sécurisation anti-rayonnement. Les plus perfectionnés, à près de 100 euros, ne sont que des usines à fonctions annexes, pour qui les normes Tempest n’existent pas. Quelques rares fabricants possèdent à leur catalogue des périphériques destinés aux marchés d’Etat et qui respectent strictement les normes en matière de compatibilité électromagnétique. Et dont le prix et l’esthétique n’ont rien à voir avec ce qui se pratique sur le marché grand-public.

Le spectre radiofréquence occupé par un ordinateur est, pour les hackers sérieux, un terrain de jeu inépuisable. Après les hacks WiFi, CPL ou Bluetooth, après l’écoute des « appels de courant » des processeurs dans le domaine du « timing attack », voilà que ressurgissent les écoutes Tempest des claviers. Viendront ensuite les variations de rayonnement des écrans cathodiques ou plats (très différents les uns des autres), les « fuites » par les câbles séries, parallèles et consorts, les échappées des liaisons UWB et « wireless USB », les espionnages du grattement des disques durs… tout s’écoute, tout se mesure. Même deux FPGA enfermés dans des enceintes en béton plombées sont susceptibles de laisser fuir des informations, comme cela a été démontré lors des dernières SSTIC de Rennes. Nihil novi sub sole, rien n’est plus bavard qu’un ordinateur, surtout si celui-ci est situé dans la proximité relative (entre 20 et 200 mètres) d’un récepteur numérique à décodage logiciel digne de ce nom.