novembre 12th, 2008

Après une période de quasi inactivité, qui a notamment été caractérisée par une période de plus de 200 jours sans la moindre éruption visible, le soleil semble reprendre du poil de la bête : quelques facules ont été observées dans le courant de la journée du 6 novembre. C’est, espère-t-on, le signe du début du 24ème cycle dit « cycle deWolf », une activité s’étalant en moyenne sur une période de 11 ans.

Quel rapport, dira-t-on, avec la sécurité en générale et l’informatique en particulier ? Plus d’un en fait. En premier lieu, ces périodes d’éruption, qui ont pour première conséquence une augmentation de l’ionisation des couches hautes de l’atmosphère (tropo E et H notamment). Et cette ionisation influence parfois ce qui touche à la propagation des ondes électromagnétiques, transmissions sans fil y comprises. En second lieu, il est arrivé, en de très rares occasions, que des orages solaires très violents aient provoqué des pannes temporaires d’appareils électroniques, routeurs ou commutateurs. Pas de quoi, généralement, justifier la non-réception d’un email important. L’une des ionisations les plus violentes provoqua, en 1945, un blackout qui fit croire à l’armée américaine l’utilisation d’une arme secrète par les forces japonaises. Cruelle ironie, ce furent les américains qui, quelques mois plus tard, les 6 et 9 août, provoquèrent l’attaque ionisant la plus violente de toute cette période de conflit.

Spam, déni de service distribué, DNS spoofing/pharming, fast flux … tout çà demande à la fois une âme d´une profonde noirceur et une bande passante d´une blancheur immaculée. Les plus importantes attaques de 2008, nous apprend le quatrième rapport sur la sécurité d´Internet publié par Arbor Network, ont atteint 44Gbs. A titre de comparaison, le plus violent des « flood » de 2001 plafonnait péniblement à 400 mégabits par seconde.

Mais ce qui, dans cette étude, semble le plus intéressant à lire, c´est le fait que les fournisseurs d´accès commencent à être conscients de cet état de fait. Les ISP admettent « enfin », estime les chercheurs d´Arbor, leur vulnérabilité. Notamment autour de deux points névralgiques importants : BGP et DNS, ces deux éternels tonneaux des Danaïdes que les experts colmatent sans fin et que les pirates exploitent tant et plus.

Cette prise de conscience des ISP sera-t-elle suivie des faits ? Rien n´est moins sûr. Jusqu´à présent, les fournisseurs de services Internet ont joué, consciemment ou non, le rôle d´allié objectif des grandes organisations mafieuses. En refusant de filtrer les netblocs réputés spammeurs, en rétro-facturant la bande passante consommée à des clients qui n´y prêtaient guère d´attention… après tout, Internet est gratuit, n´est-ce pas ?

L´étude détaille les attaques « préférées » des hackers (voir illustration) et les cibles privilégiées. L´on apprend par exemple que, si les applications (Web, SQL, DSN) sont un met de choix dans 17 % des cyberbatailles, ce sont tout de même les charges « avalanches » (les flood udp, icmp etc) qui représentent le gros des assauts : 48 % très exactement. Les attaques Syn (très fréquentes dans le cadre des dénis de service il y a 10 ans), RST et à fragmentation représentent, quant à elles, 24% des méfaits. Ce ne sont là que quelques instantanés tirés du « worldwide infrastructure security report ». Le reste est à l´avenant. L´on se doute, bien sûr, que les premiers visés sont les possesseurs de structures commerciales. L´on comprend bien que la plus forte majorité des victimes refuse de porter plainte, voir de simplement mentionner l´attaque aux forces de l´ordre. La cyber-délinquance se nourrit au sein du non-dit…

Après les « IT Managers » qui détournent des centaines de milliers de dollars en équipements, ou celui-ci qui chiffra par dépit les disques de la municipalité de San Francisco, voici, nous apprend ComputerWorld, l’administrateur-pirate qui tente de détourner argent et informations des disques de son ancien employeur. A croire qu’Outre-Atlantique, la douceur des méthodes des chefs du personnel est inversement proportionnelle au niveau de sensibilité de l’entreprise concernée. Dans le cas présent, il s’agissait des données appartenant à un fond de pensions, établissement dont le caractère spéculatif a provoqué la crise financière que l’on sait.

Un homme, cependant, s’interdit de tirer sur le pianiste. La « culpabilité évidente de l’insider » est un cas trop souvent agité, une thèse bien pratique pour les gagne-petit de la sécurité. Car c’est là, explique Richard Bejtlich, une façon bien pratique de focaliser les attentions sur une personne que l’on peut contraindre, accuser, condamner. Il faut en finir avec le mythe du « 80 % de la cyber-délinquance provient de l’intérieur » », dit-il. C’est un prétexte pour mieux masquer les milliers d’attaques qui nous viennent de l’extérieur, et contre lesquelles il est bien difficile de trouver l’origine. Pas de visage, pas de nom, pas même parfois d’indice, nul mobile personnel autre que le profit, aucun lien avec la victime –si ce n’est un intérêt commun pour la préservation des failles connues-, l’attaquant extérieur met d’autant plus mal à l’aise qu’il est insaisissable. C’est une autre façon de considérer l’un des « principes de Schneier » : l’on aime à surestimer les dangers que l’on connaît et sous-estimer ceux que l’on ignore. Corolaire de cet axiome douteux : l’on aime à légiférer et encadrer les dangers potentiels que l’on se sent capable de toucher du doigt, et laisser dans un vide abyssal les crimes que l’on sait ne pouvoir punir. C’est avec ce genre de syllogisme que l’on risque d’entraver chaque jour un peu plus les RSSI, admins, CSO et autres responsables IT, qui, submergés de « politiques, règles de fonctionnement, principes de précaution et mesures de prudence conservatoires », passent plus de temps à éviter de faire ce qui est interdit que de pratiquer leur propre métier.

C’est là, bien entendu, une vision très exagérée, très caricaturale du problème. Mais guère plus caricaturale que celle qui consiste à dire « encore un admin corrompu ».

Depuis la publication de la dernière alerte à rallonge émise par Adobe, les attaques exploitant l’une des failles en question s’intensifient. Le vecteur est détecté sous l’appellation Trojan.Pidief.D chez Symantec, mais, une fois n’est pas coutume, il semblerait que les éditeurs d’A.V. traînent des pieds pour mettre à jour leur base de désinfection. Fait d’autant plus désolant que, sur 3 machines de la rédaction, le mécanisme de correction automatique s’est soldé par un échec, obligeant les membres de l’équipe à appliquer la mise à jour « à la main »… autant dire que le trou risque de faire parler de lui durant encore un certain temps.

Deux trous officiellement corrigés ce mois-ci : une faille dans les XML Core Services, assez dangereuse pour arborer le qualificatif de « critique » côté postes clients, et une antique vulnérabilité, corrigée, recorrigée, et qui affecte NTML. Les héritages des premières méthodes d’authentification et autres tares génétiques de SMB sont bien lourds à porter. Le traditionnel billet de Bill Sisk est sans équivoque : tout çà peut parfaitement être exploitable à distance et mérite une application des correctifs relativement rapide. L’on parle même de l’existence de quelques exploits dans le monde underground. Rien de bien surprenant d’ailleurs. Surtout en ce qui concerne la faille SMB, qui, explique Chris Budd, remonte à 2001 pour le moins. Mais les contraintes de compatibilité sont telles que toute protection par « signature » entraînerait de monstrueux blocages de communication. En attendant une remise à plat de tous les protocoles « made in MS » (pour quand ?), il est recommandé de… patcher.

Cela faisait longtemps, bien longtemps que la rédaction n´avait pas écrit de bien à l´attention de l´Ossir. Et c´est un tort, car son « groupe Windows » est probablement l´un des plus actifs qui soit en France, sous la tutelle de Messieurs Michel Miqueu, Olivier Revenu et Nicolas Ruff.

Profitons-en donc pour signaler cette suite de transparents rédigée par Slavik Markovitch à l´occasion d´un exposé sur les injections SQL. Un discours destiné aux membres de l´Observatoire de la Sécurité des Systèmes d’Information et des Réseaux. Mais plus appétissant que ces transparents, qui, sans les explications de l´orateur, ne représentent que très peu de chose, l´on peut déguster sans modération Hedgehog, programme de monitoring et d´audit offert (oui, offert) par Sentrigo.

Microsoft vient de perdre un marché Education Nationale au Nigéria… une petite défaite marketing face son éternel adversaire Linux qui n’aurait provoqué aucun entrefilet si ComputerWorld n’avait entendu parler d’une ténébreuse affaire de « commission ». Entre les ristournes par quantité, les efforts marketing consentis au monde de l’éducation, les fonds de développement et autres variations sur le thème du mécénat, il est très facile de voir souffler le grand air du soupçon : Et si Microsoft avait offert des pots de vin à ses clients potentiels pour mieux contrer l’envolée de Linux dans les pays en voie de développement ? Situation d’autant plus ironique que l’histoire se déroule sur les bords de l’Océan Atlantique, bien loin du fleuve Limpopo grand qui est comme de l’huile, gris vert et tout bordé d’arbres à fièvre.

Que Nenni ! répondent promptement les défenseurs de la cause Microsoftienne. Le contrat n’a pas été conclu, aucune aide n’a été consentie… De l’argent que l’on promet et qui n’arrive jamais, un décor tout Nigérian, une promesse de contrat, une enveloppe de 400 000 dollars… tout çà ne semble pas plus sérieux ou réel que ces lettres de veuves éplorées enterrant d’un seul coup un époux aimant et un héritage sous séquestre.