octobre, 2008

Dan Geer l’avait parfaitement démontré dans son étude intitulée « CyberInsecurity: The Cost of Monopoly » : la situation de monopole (de facto) du monde Microsoft est un facteur d’incitation à l’attaque non négligeable. C’est notamment cette moindre représentativité sur le marché des systèmes qui a longtemps préservé les mondes Apple et Linux. Mais Windows demeure la cible privilégiée des attaques par fuzzing et des « framework à malware » qui sont de véritables usines à exploiter les anciens trous. Les intrusions « artisanales » sont, statistiquement parlant, toutes aussi nombreuses à être attirées par Windows.

Si une politique suivie d’application des correctifs est une des mesures pouvant minimiser ces dangers, une autre tactique consiste à masquer les signatures système aux requêtes des sondes et outils de sniffing. Si un 2000 server se fait passer pour un NetBSD, il y a peu de chances pour que les exploits lancés contre cet Unix historique et orthodoxe puissent atteindre un noyau « pur MS ». Technique ancestrale s’il en fut. Et hasardeuse, car pas une version de NT ne ressemble à la précédente. Chaque administrateur a un jour tenté de « Patcher » les exécutables ou fouiller au hasard dans la BDR. Généralement en vain.

Pour ces pionniers –et tous leurs héritiers-, voici que vient de sortir OSfuscate, accessoire de sorcellerie gratuit qui modifie la signature de réponse du DHCP et reconfigure certaines entrées de la ruche. Bien entendu, comme il s’agit d’une modification du code exécutable de Microsoft, cette mesure de prudence est légalement à considérer comme un piratage éhonté –mais n’est-il pas écrit dans les ouvrages même du « secure coding » de l’éditeur que toute indication codée « en dur » dans un exécutable était une faute impardonnable ? Pour autant qu’en ait pu juger la rédaction de Communautech, le correctif semble fonctionner sur des noyaux US conventionnels. Les captures d’écran offertes par l’auteur sont assez édifiantes. A tester, user et à abuser, donc, sur les machines installées dans les DMZ, à l’intérieur de honeypots et sur des noyaux de machines virtuelles. Backup préliminaire vivement conseillé avant toute tentative d’utilisation.

Deux programmes gratuits très attendus viennent enfin d´être mis à disposition par Microsoft. En premier lieu, la version « légère, Core et autonome » d´ HyperV, déjà annoncée dans les colonnes de CNIS et de Communautech.

Certes, l´usage de cette version n´est véritablement pratique qu´à l´aide d´une « remote console », à moins que l´administrateur-usager ne soit un sorcier du shell. Aucune licence n´est à payer -si ce n´est celle du ou des systèmes hébergés-. Il est fortement recommandé de se « faire la main » avec une version sous 2008 Server en mode graphique avant que de plonger dans le monde légèrement spartiate de la commande en ligne et du script bien tempéré. Et, accessoirement, de trouver certaines sources d´inspiration auprès de Ben Armstrong.

L´autre cadeau de rentrée, signé cette fois Mark Russinovich. Il s´agit de 2.0 Process Monitor, l´outil qui expédie Filemon et Regmon aux oubliettes. Absolument indispensable, tout comme son frère de lait Process Explorer.

Victor Papagno, un ex computer systems administrator du Naval Research Laboratory, aimait collectionner les équipements informatiques de la Navy. Du disque dur à l’imprimante, en passant par les hubs ou des ordinateurs complets, le kleptomane aurait détourné près de 20 000 appareils et accessoires des stocks de la Navy, pour une valeur totale de près de 120 000$. Nos confrères de NetworkWorld relatent ce détournement à grand renfort de liens pointant sur le NCIS… mais le plus intéressant n’est pas là. Le détail du vol, publié par le Washington Post, est impressionnant : 100 ordinateurs personnels, 167 claviers, 275 souris, 80 écrans, 187 cartouches d’imprimantes et près de 5,000 composants et accessoires divers allant du disque dur au lecteur externe. Une série de larcins effectués sur une période de plus de 10 ans, de 97 à 2007. Le plus curieux, dans cette affaire, c’est que Papagno n’utilisait pas ces pièces pour en tirer profit, mais seulement pour son usage personnel et celui de ses voisins et amis. La grande majorité des appareils a pu, précise le Post, être récupérée, entreposée chez l’intéressé, voir dans les caves des voisins en question. Le vol semble donc plus relever d’une névrose compulsive que d’une réelle malhonnêteté.

L’affaire aurait d’ailleurs très bien pu ne jamais être dévoilée. Il aura fallu, pour que soit découvert le pot-aux-roses, que Papagno soit arrêté pour violences domestiques et que l’épouse de celui-ci demande à son supérieur hiérarchique du Naval Research Lab de « débarrasser son appartement des appareils qui l’encombraient ». Etonnement de ce dernier, enquête du service… personne ne s’était jusqu’à présent aperçu de quoi que ce soit. Rappelons que c’est également une brouille de couple qui avait été à l’origine de la découverte de l’histoire Michael Haephrati, la plus importante affaire d’espionnage industriel qui ait jamais secoué Israël.

Les statistiques semestrielles de l´Apacs, union des banques britanniques, viennent de tomber : près de 302 M� ont été perdus par les institutions financières à la suite d´actions frauduleuses -utilisant Internet ou non-. Chiffre à comparer aux quelques 263 M� du premier semestre 2007. Sur ce total, les pertes d´argent électronique détourné et ne faisant pas physiquement appel à une carte de crédit -conséquence d´escroqueries par téléphone, courrier papier, internet- s´élèvent à 161M�, en hausse de 18% par rapport au premier semestre de l´an passé. Paradoxalement, le monde « matériel » l´emporte sur le monde virtuel, puisque les vols utilisant de fausses cartes de crédit progressent de 22% et représentent une perte de 88 M�. Un volume d´affaire certes moins important, mais en très nette croissance. A titre de comparaison, les détournements d´argent effectués à l´aide de cartes perdues ou volées n´ont provoqué la perte « que » de 27 M�, en baisse de 11%.

A noter également que 40 % des fraudes constatées sont orchestrées en dehors des frontières du royaume. L´Apacs prédit que ces chiffres tendraient à suivre cette évolution à la hausse tant que le système bancaire européen tout entier n´aura pas adopté la carte à puce… Une assertion pourtant très nettement contredite par une autre statistique : celle de la fraude « en ligne », purement Internet, qui ne fait appel à aucun contr�le de composant électronique embarqué. En effet, le « online banking fraude », 21 M� sur les 6 premiers mois de 2008, a progressé de 108%. Le phishing, pour sa part, est en plein boum, à +186% l´an. Plus modeste, mais plus inquiétante, la hausse de 33% du recrutement des « mules », généralement des adolescents appelés à servir d´intermédiaires collecteurs de liquide ou de bien à l´aide de numéros de cartes de crédit volées.

Cet accessoire, tout aussi gratuit que les précédents, fera probablement moins parler de lui dans les média. Mais mérite une certaine attention. Il s´agit d´une bibliothèque Java destinée à détecter et mesurer l´activité des grappes de domaines appartenant à une architecture « fast flux ». Les résultats obtenus sont à comparer à ceux tenus par Harbor Network sur son site Atlas.

Après les secrets du MI6 sur Internet et les crédences municipales Anglaises à 99pences via eBay, voilà que nos confrères de SC, à la lecture d’une enquête conduite par BT, nous apprennent que 43 % des appareils mobiles vendus d’occasion ne sont pas proprement effacés. Ces terminaux sont susceptibles de contenir des informations dont la fuite pourrait être ennuyeuse pour les entreprises à qui ont appartenu ces appareils. Plus d’un quart des téléphones de seconde main RIM disponibles sur le marché conservent jusqu’à l’identité de leur précédent propriétaire… parole d’opérateur, pourrait-on ajouter.

Une seconde étude britannique se penche sur la perte des téléphones et PDA dans les transports publics… un rapport à rapprocher du travail effectué aux USA par l’Institut Ponemon sur la perte des portables dans les aéroports américains. Et c’est Pete Warren, du Guardian, qui nous apprend que chaque année, dans les taxis Londoniens, et eux seuls, il se perd 63000 téléphones et près de 6000 PDA. Et les employés de l’aéroport d’Heathrow récupèrent quotidiennement une dizaine de téléphones (soit plus de 3500 par an), dont plus du quart ne sont protégés par aucun code d’accès.

S’il est statistiquement improbable qu’un téléphone perdu dans un taxi tombe entre les mains d’un concurrent direct et serve de mine d’information dans le cadre d’une bataille économique, il est plus plausible d’imaginer que le secteur de l’occasion intéresse au plus haut point les espions industriels. Bien que l’identité des vendeurs soit généralement garanti –du moins avant la vente, et tant qu’il s’agit de particuliers-, il est toujours possible d’établir des périmètres géographiques d’intérêts. Le téléphone, le disque dur, le PDA d’un californien, ou mieux, d’un spécialiste des « used gears » officiellement situé à Palo Alto ou Sunnyvale, a plus de chances de porter des fruits juteux que l’ordinateur d’occasion d’un né-natif de Charbonnières-les-vieilles (Puy de dôme) ou du Petit Bornand Les Glières (nulle part).

Elle fait parler d’elle, cette mystérieuse faille TCP. Mais pour l’heure, aucun détail ne transpire, pas du moins avant la publication officielle des travaux à l’occasion de la prochaine T02’08 d’Helsinki. Les auteurs, Jack C. Louis, et Robert E. Lee, ne racontent rien sur leur blog, le podcast de leur préannonce reste on ne peut plus discret (début de l’intervention en langue Anglaise à 5’10’’ après diverses informations en Néerlandais)… la tradition du « buzz pré-conférence de sécurité » est donc parfaitement respectée jusqu’à présent.

Security News, el Reg, Dark Reading (dans un papier signé RSnake), Richard Bejtlich, tout le monde en parle. Il faut dire que l’attaque risque d’effrayer quelques administrateurs, puisqu’elle permettrait d’ouvrir une connexion TCP permanente… autrement dit sans nécessiter le moindre entretien. Une connexion qui ne se ferme pas proprement, çà n’est jamais très grave. Mais plusieurs milliers, et le serveur Web attaqué s’écroule d’inanition, rongé par un véritable cancer dévoreur de ressources. Seul remède envisageable : le redémarrage. Le cri d’alarme des auteurs peut se résumer en ces mots : « Donnez moi un accès modem à 300 bauds et je fais tomber Google ».

Les chances de voir le monde IP être englouti dans un maelstrom de déni de service sont assez minces. « La police est prévenue, les équipementiers et éditeurs de stacks devraient avoir corrigé ce défaut avant toute publication » affirment en substance les auteurs. Annonce à rapprocher d’un autre Armageddon du code, l’attaque en ClickJacking que nous a promis précisément le susnommé RSnake.

La rédaction de CNIS toute entière présente ses plus plates excuses à Monsieur Ballmer (Steve) pour avoir osé douter de l’efficacité des gesticulations de ses avocats. Car, si le procès intenté par Microsoft et l’Etat de Washington peut, d’un point de vue juridique, s’avérer aussi efficace qu’un coup d’épée dans l’eau, il a eu le mérite de réveiller certaines consciences. A commencer par celles des éditeurs d’antivirus, F-Secure en tête, qui acceptent enfin de reconnaître l’existence et l’activité de ces « moutons noirs » de la profession. Cela se traduit notamment par deux billets sur le blog de F-Secure, l’un sur les maquillages et ressemblances que ces prétendus programmes de protection adoptent, l’autre sur les mentions légales de Windefender 2008 –un scareware parmi tant d’autres-. On retrouve chez les uns le parapluie de Kaspersky, une lettre « F » semblant à s’y méprendre au logo de F-Secure, une assonance de nom fleurant certain antivirus Espagnol… Rien de nouveau, donc, si ce n’est que la profession en parle. Un peu tard, peut-être. Lesdits éditeurs ont, en général, bien plus l’habitude de contacter les journalistes pour leur faire découvrir les dangers apocalyptiques d’un virus ou d’un spyware nouvellement découvert. Mais rassurons-nous, les principaux programmes de protection périmétrique sont déjà mis à jour. Bref, désormais, il sera plus difficile de faire vibrer la corde marketing de la crainte alors que c’est là précisément ce que l’on reproche aux aigrefins du « scareware ».

Profitons-en pour aller nous promener sur le site de Dancho Danchev qui, une fois de plus, conserve une longueur d’avance. Avec trois billets percutants. L’un sur la vanité de l’action Microsoft, accompagné d’un dessin humoristique résumant fort à propos la situation et surtout suivi d’une liste kilométrique de sites de « typosquatting » exploitant la filière des antivirus véreux. Le second papier traite également de « diclaimer », de mention légale inscrite à l’écran lors du lancement d’un programme. Mais cette fois, il s’agit de textes « protégeant » l’usage d’une plateforme à fabriquer des malwares. Sans surprise, ce générateur automatique d’infection est commercialisé « à seule fin d’expérimentation, de test et d’éducation ». Il faut se rappeler, précise l’auteur, que le premier outil à malwares qui ait « protégé » sa propriété intellectuelle à l’aide d’une mention légale était Zeus.

Pour chasser un rootkit, rien de tel qu’un malware. C’est le thème du troisième papier de Danchev, qui est tombé sur un kit d’attaque Web, avec console d’administration statistique d’activité de botnet, répartition géographique des machines infectées et… antivirus intégré destiné à éradiquer le concurrent direct, Zeus, de la surface de la planète virtuelle. Le monde des infections est aussi petit qu’impitoyable.

Une série de failles vient d’être colmatée, c’est l’occasion pour Niko Mak de nous offrir cette version 11.2 SR-1 (Build 8261) de Winzip, probablement le plus ancien archiveur/compacteur sous Windows qui ait jamais été écrit. Il précéda d’ailleurs les tentatives de « windowisation » de Phil Katz, le père dePkzip. Depuis, le traitement des fichiers Zip est intégré au noyau de la famille Windows. Mais avec bien moins de souplesse. Ajoutons également que Winzip est capable de lire et traiter des ensembles de fichiers stockés au format « disque » des principaux hyperviseurs et moteurs de machines virtuelles modernes –et par conséquent le format de sauvegarde des systèmes de la génération Vista, les disques VMWare etc. Une raison suffisante pour qu’en entreprise, chacun s’acquitte du montant de la licence…