octobre, 2008

Toujours sur le thème « Utilisateur, cet insupportable maillon faible », voici également que RSA y va de son couplet. L´enquête s´est déroulée durant la période printemps-été 2008, sur un échantillonnage de 417 personnes, dans la zone Amérique du nord/Amérique latine. La répartition de la population concernée est essentiellement tertiaire :
46% travaillent dans un secteur financier
20% dans une industrie technologique
46% sont professionnels des TIC
11% sont des cadres
54% sont employés dans des entreprises de plus de 5,000 personnes.
… en somme, un profil de « travailleur en col blanc » théoriquement habitué et sensibilisé aux dangers et dommages collatéraux liés à l´usage de l´Informatique. L´étude précise même que 94 % des personnes interrogées se disent averties des politiques de sécurité en vigueur sur leur lieu de travail… mais 54 % avouent les avoir contournées car jugées trop contraignantes.

64 % même déclarent utiliser leur messagerie pour « envoyer » du travail à finir chez eux… rassurons tout de suite les gourous de RSA car, la crise aidant, et si l´on en croit les récentes constatations du Medef, de plus en plus de cadres se lancent dans une « grève du zèle » et se mettent à respecter strictement les horaires de travail légaux. Sans plus. Dans un monde où la confiance entre le patronat et les employés se dissout au rythme des charrettes et des parachutes dorés, le problème du « data leak prevention » pourrait bien être résolu faute de combattant. Pour l´heure, entre les états-Uniens, les Mexicains et les Brésiliens, ce sont ces derniers qui conservent le mieux leurs illusions (avec 71% des cadres qui font « fuir » des données pour travailler chez eux).

Autre comportement jugé à risque par RSA, si 89%des interrogés travaillent à distance via un VPN ou autre RAS, 58 % consultent et écrivent leur courriel sur une machine publique, et 65 % le font via un hot spot sans fil public. Toujours au chapitre de la mobilité, 10 % des sondés utilisent un portable, des clefs usb, des téléphones « intelligents » contenant des données d´entreprise. Près de 29 % des Mexicains, 5 % des Etats-Uniens, avouent avoir au moins une fois perdu l´un de ces appareils (mais rien dans l´étude ne dit si ces outils ou composants contenaient effectivement des données d´entreprise… la corrélation des informations n´est pas très claire).

L´étude s´achève par des chiffres édifiants mettant directement en cause les mauvaises pratiques des DSI. Ainsi, 43% des gens concernés par ce sondage ont conservé, après une mutation ou un changement de poste, les droits d´accès conférés dans leur ancienne fonction. 79 % des sondés « caftent » et précisent que leurs entreprises faisaient appel à des travailleurs temporaires ou des sous-traitants ayant accès à des données d´entreprise -ce qui, dans les secteurs du tertiaire, semble légèrement logique-. L´étude, en revanche, ne précise pas le nombre exact de sociétés ayant, sans le savoir, hébergé sur le parking société des 2CV rouges équipées d´un autoradio à lecteur de MP3 disposant d´un port USB capable d´accepter les donnés d´une clef USB ayant éventuellement pu contenir des données professionnelles transmises par réseau WiFi.

Parfois, il peut être utile, avant que de se plonger dans de telles métriques, de relire dans un dictionnaire les définitions des mots « danger », « risque », « menace », « atteinte », « fuite » et « sinistre ». Aucun de ces mots n´est synonyme de son voisin. La sécurité est un compromis, et l´immobilisme, ou un cloisonnement trop poussé des centres d´information, conduit tout droit à une nécrose des services, une asphyxie de l´audace commerciale dont doit faire preuve toute entreprise (avec peut-être une exception conjoncturelle pour ce qui concerne les organismes financiers).

Après une « longue » enquête de 2 jours de la part de l’ATSB (Australian Transport Safety Bureau), il apparaît que les Airbus de la compagnie Quantas (voir article du 13 octobre) n’ont rien à craindre de la part des passagers et de leurs ordinateurs à souris sans fil . ABC News nous apprend que, si l’appareil a brusquement entamé un piqué de 300 pieds, c’est suite à une panne de la centrale inertielle, dont l’informatique embarquée aurait été frappée d’une crise de démence.

Annonce sans surprise d’un point de vue technique, car, dans le milieu de l’aéronautique, l’immunité aux bruits des « canaux adjacents » (ce que les professionnels du milieu désigne par le doux nom de résistance à la l’intermodulation ou IMD) doit répondre à des normes excessivement strictes. En outre, les périphériques de type « souris » et autres composants sans fil exploitent des bandes radio connues (40 MHz, 2,4 GHz, parfois même 27 MHz) dont le taux de rayonnement harmonique, compte-tenu des puissances mises en jeu, est généralement très en deçà des niveaux susceptibles de perturber un bus ou un processeur.

Certaines interprétations statistiques peuvent conduire à de très intéressantes conclusions. Secunia s´est penché sur les principaux outils de « protection globale » et autres « intégrés de sécurité » portant étiquette McAfee, Norton, Microsoft, ZoneAlarm, AVG, Computer Associates, F-Secure, Trend Micro, BitDefender, Kaspersky et Norman. Non pas, comme il est d´usage, pour vérifier s´ils étaient capables de réagir à la présence d´une collection de virus connus, mais en les testant à l´aide d´exploits originaux reposant sur des failles publiées, connues et réputées dangereuses. 144 fichiers forgés ou intégrant un exploit, 156 pages Web franchement faisandées… somme toute, les mêmes armes que l´on rencontre du côté des inséminateurs de spywares et autres rootkits.

Le « meilleur de la classe », Norton réagit dans 21 % des cas. Les autres suivent loin derrière, capables de bloquer environs 2 à 3 % des attaques, certains mêmes ne réagissant dans aucun des cas.

Il ne s´agit pas, insistent les auteurs de cette étude, de considérer les antivirus comme d´inutiles extensions. Les virus à signatures « connues » existent bel et bien et constituent une véritable menace. Mais il est étrange que ces outils de protection périphériques présentés comme autant de « solutions de sécurité uniques et universelles » soient incapables de réagir face à l´exploitation d´une faille classée au hit-parade des CVE. « La meilleure des solutions est encore l´application attentive des rustines, correctifs et autres mesures de contournement. Au moins, c´est gratuit et, pour l´instant, plus efficace qu´un antivirus du commerce » conclut en substance et fielleusement le rapport Danois.

Rappelons que Secunia « offre » un outil gratuit d´inventaire de failles assez complet. Le seul produit concurrent, longtemps en phase de pré-version et qui était accessible sur le site F-Secure, a disparu depuis peu des pages de cet éditeur. Microsoft, pour sa part, propose un outil d´origine Schavlik à qui il ne manque que la parole : hors des frontières des productions purement Microsoft, il est incapable de détecter une absence de mise à jour Adobe, un RealPlayer dépassé par les ans, ou un Firefox qui des ans a subi l´irréparable outrage.

Rebondissement de l´affaire 951306, le bulletin de sécurité « revu et corrigé » qui a fait l´objet d´une publication d´exploit de la part de Cesare Cerrudo. Après la divulgation de cette preuve de faisabilité, « qui peut être contrée si l´on applique les conseils précisés dans la notice d´alerte » (dixit Bill Sisk du MS Response Team), l´on pouvait se poser la question : fera ou ne fera pas partie du prochain « patch Tuesday » attendu cette nuit. Tout bien considéré, ce sera « non ». Dustin, du MSRT, se fait le porte-parole de l´équipe et affirme que la correction propre et efficace de cette faille exige des reprises de code assez complexes, qui ne peuvent être effectuées dans les 24 heures qui suivent. La suite en novembre prochain… peut-être.

Le NIST vient d´éditer un livre blanc des bonnes pratiques intitulé « Guide to Bluetooth Security ».Une série de conseils avisés concernant l´usage des oreillettes, liaisons séries et autres synchronisations utilisant ce genre de liaison radio. La totalité de ces préceptes sont sages… mais ne peuvent hélas toujours être respectés, voir prétendre à la moindre efficacité. « Tenez-vous éloigné des fenêtres, fuyez les lieux publics lorsque vous tentez d´appairer deux équipements Bluetooth, utilisez des « pin-codes » longs, inscrivez les équipements Bluetooth dans la stratégie sécurité de l´entreprise, diminuez la puissance d´émission lorsque cela s´impose… » Autant de bonnes pratiques parfois difficiles, parfois impossibles à tenir compte tenu des limitations de la norme, de l´ergonomie des périphériques… et du fait qu´il s´agisse d´un équipement radio, avec ses défauts et ses qualités intrinsèques.

Thierry Zoller, le chercheur Luxembourgeois et auteur de BTCrack, estime également que ce document comporte certaines lacunes et remarque qu´il ne s´est pas penché sur cette technologie depuis fort longtemps. « Peut-être serait-il temps que je me remette à creuser le sujet » conclut-il.

Les routeurs AliceGate2plus (disponibles en France) sont, affirme drpepperONE sur la liste Full Disclosure, susceptibles d´être piratés via une backdoor pratiquée dans le firmware dudit équipement. Ce modèle de modems-routeur ADSL, simplifié à l´extrême pour ne pas trop compliquer la vie des usagers, n´offre aucun paramètre de verrouillage telnet/ftp/tftp depuis l´interface d´administration Web de l´appliance. Cette vulnérabilité n´est toutefois pas franchement alarmante, puisque l´activation de ces fonctions plus que dangereuses n´est possible qu´à partir du réseau local.

Tempête dans un verre d’éther. Elle commence par cette mésaventure aéronautique narrée par nos confrères du New Zealand Herald : un Airbus A330-300 aurait sans raison plongé de plus de 300 pieds. Echaudé par un précédent incident prétendument provoqué, en juillet dernier, par les interférences d’une souris sans fil, les enquêteurs cette fois se retournent vers les passagers et recherchent l’éventuel utilisateur d’un appareil sans fil. Il faut dire que l’inconscience des voyageurs est bien souvent la providence des compagnies aériennes. Chez Airbus, prudent, l’on « attend les conclusions de l’enquête ». Autrement dit, rien d’officiel avant 6 mois au moins, compte tenu de la célérité des experts dans de tels cas.

L’A330-300 et modèles semblables volent tout de même depuis un certain nombre d’années -1993 très exactement. Si les quelques milliwatts d’une souris sans fil ou d’une clef WiFi avaient été susceptibles de précipiter 180 tonnes de ferraille et d’électronique de pointe au sol, on ne compterait plus les membres d’Al Quaida parmi les clients privilégiés de Logitech, et la division « Human Interface » de Microsoft aurait ouvert des unités de production sur l’axe Bagdad- Kandahar. C’est faire peu de cas des contraintes d’immunité aux bruits électromagnétiques (normes CEM) qui président à la qualification du moindre appareil susceptible de monter à bord d’un avion moderne. Et puis, laissent entendre certaines mauvaises langues, les téléphones portables, longtemps considérés comme mortellement dangereux à bord d’un aéronef, sont de plus en plus fréquemment les bienvenus sur les appareils en vol. Surtout depuis l’apparition des « microcellules » embarquées, dont l’usage, facturé à la minute de communication, a fait disparaître comme par magie les risques monstrueux que pouvaient faire courir la simple mise sous tension de ces terminaux mobiles. De là à imaginer que ces interférences relèvent plus du « principe de précaution shamanique » que d’une réelle protection envers un danger évident, il n’y a qu’un pas que les actions des opérateurs télécoms franchissent allègrement.

Précisons également qu’un aéronef, au cours de chacun de ses vols, passe statistiquement de très nombreuses fois au travers de champs radio intenses, notamment durant les phases de décollage et d’atterrissage. Champ émis très souvent par des installations situées dans l’immédiate périphérie des aéroports, et d’un niveau pouvant dépasser des centaines de fois l’énergie rayonnée par une clef WiFi, une souris sur 40 MHz ou un GSM sur 900 ou 1800 MHz. Il est légitime qu’un commandant de bord limite par tous les moyens les risques, même hypothétiques, qui pourraient mettre en danger la vie de centaines de personnes. Il est bien plus discutable de voir qu’une compagnie transforme ces règles de prudence en acte d’accusation, avant toute conclusion d’enquête, dans le seul but de se disculper.

La chose pouvait être aisément pressentie : chaque banque Américaine ou Européenne donne, ces jours-ci, prétexte à des campagnes de phishing mémorables. A tel point que la très sérieuse FTC, la Federal Trade Commission, lance un bulletin d´alerte prévenant les consommateurs de cette recrudescence de pourriels truffés avec de véritables morceaux d´escroquerie.Des courriers d´hameçonnage semblant provenir de l´un des nombreux repreneurs des Lehman Brothers, AIG, Bear Strearns et autres Wachovia. Des courriers qui demandent fort civilement de confirmer un dossier d´emprunt ou de vérifier une activité anormale qui n´aura pas échappé à l´acuité du chef comptable assurant la relève. Arbor Network se penche même sur l´autopsie de deux de ces escroqueries conjoncturelles. Brian Krebs, du Washington Post, développe même le sujet sur plusieurs pages, allant jusqu´à reprendre les conseils de prudence détaillés par la FTC. Il y a malheureusement de très fortes chances pour que ce genre de malversation prenne de l´ampleur. Déjà, les banque britanniques avaient, au tout début de ce mois, publié des chiffres relativement préoccupants à ce sujet, précisant que le volume de sites de phishing avait, durant la première moitié 2008, observé une croissance de plus de 180 %. Il y a fort à parier que la situation actuelle a quelque peu accéléré cette tendance.

Avalanche de « white papers », monographies et autres études en ce début de semaine. Tout d´abord, un papier (hélas in English) de François Paget sur le Blog McAfee. Paget y fait le tour des techniques anti-captchas inventées par le clan des grands polluposteurs. Rien de nouveau sous le soleil depuis les écrits de Dancho Danchev sur le sujet. Si ce n´est quelques compléments d´information intéressant et, comme d´habitude, la clarté synthétique de l´auteur. On y découvre comment les esprits retors du clan anti-captcha s´attirent la participation involontaire de personnes, qui offrent du temps de décodage aux réseaux de spammeurs, en échange des charmes d´une effeuilleuse très virtuelle. L´on apprend également que les captchas basés sur des images se font, eux aussi, percer à jour par des automatismes très perspicaces. Et ce pour une raison très simple, explique François Paget, c´est que les Webmestres emploient pratiquement tous les mêmes images. Ce tour du monde du test de Turing battu en brèche par les automates prouve que rien n´est plus facile à détecter que l´erreur humaine de l´humain cherchant à déterminer une présence humaine sans erreur. Et réciproquement.

Un peu plus « drogue dure », le numéro 10 d´Uninformed. Avec notamment un papier fouillé sur les augmentations de privilège à l´aide de trois vulnérabilités découvertes dans Win32k.sys, et surtout un article signé par un ténor de la sécurité : H.D. Moore sur les failles et exploitations d´IPv6. Si jeune et déjà 0wné ! Un peu de Nmap, un peu de Metasploit, la question n´est pas, dans les propos de Moore, de prouver la vulnérabilité de v6 ou la puissance de Metasploit, mais plut�t d´insister sur le fait que les principales failles sont provoquées par un manque de cohérence dans les infrastructures IP nationales ou mondiales, voir par une absence notable de connaissance réelle de la part de ceux qui utilisent ce protocole. Ce qui se conçoit bien s´énonce clairement et les bugs pour le dire partent automatiquement.

Le dernier tome de savoir de ce début de semaine a été rédigé par Wes Brown, de Matasano. Il explique en termes simples les techniques pour détecter et plus ou moins « percer » le secret des proxys d´anonymisation. Depuis deux ou trois ans, plusieurs chercheurs se sont penchés sur les moyens de cibler un utilisateur du réseau Tor, en circonvenant une passerelle, par exemple, ou en empoisonnant un site visité à l´aide d´astuces Java. Tor, jusqu´à présent, est infaillible. Les programmes clients utilisés sur la machine, en revanche, ouvrent des portes insoupçonnées.

Longtemps après son premier article sur le sujet Cesare Cerrudo nous offre, sur son site ainsi que sur Milw0rm, un petit exploit en « kidnapping de token ». C´est là le fameux « PoC trouvé dans la nature justifiant une mise à jour du bulletin d´alerte », comme le précisait Bill Silk, du MSRC, dans le courant de vendredi dernier. Les « mesures de contournement », nous assurent les gens du Microsoft Response Team, « sont efficaces contre ce genre d´attaque ». Mais rien n´indique si le prochain « mardi des rustines » corrigera définitivement ce trou de sécurité un peu trop médiatique. Il est parfois plus simple de patcher un article technique qu´un pan du noyau Windows.