novembre 13th, 2008

Ce n’est pas d’hier que datent les injections de malware par le biais des messageries instantanées. Les virii Messenger, les vers Yahoo, les pollupostages et exploits Skype font déjà partie de l’histoire presque quotidienne. Pourquoi un tel intérêt des filières mafieuses envers ces systèmes de communication personnels ? Tout simplement, explique Dancho Danchev, parce que c’est le plus sûr moyen de dresser des listes de correspondants, de cibles privilégiées qui serviront aux exploitants secondaires, pharmaciens véreux, vendeurs de faux antivirus et autres produits frelatés. Le progrès aidant, l’on commence même à trouver des promesses de « programmes de fabrication automatique de malwares Skype ». Les premiers éléments de preuve ne sont pas encore totalement opérationnels et efficaces, mais si l’on en juge par la rapidité avec laquelle un Storm a été conçu et amélioré, cela ne devrait plus prendre tellement de temps.

Non, Robert Graham ne revient pas, une fois de plus, sur les subtilités du cassage de tkip. Il s’intéresse plus précisément aux véritables benchmark, aux différences de performances des processeurs dans la course au cassage de clef. Sans surprise, les cartes graphiques « 112 core » à 600 MHz écrasent de leur puissance les extensions vidéo plus modestes… mais cette débauche de dollars et de processeurs a bien du mal à atteindre le « rapport 100 » clamé par Elcomsoft. Graham l’admet lui-même, l’usage des GPU les plus pointues n’améliore que de dix fois la vitesse de traitement des outils de cassage de clef. La performance est belle, mais peut difficilement être qualifiée de « révolutionnaire ».

NdlC Note de la Correctrice : Est-ce un effet de mon charme naturel ou de l´estime que me portent les distingués abonnés de notre Confrère-et-néanmoins-Concurrent ? Toujours est-il que, contrairement à ce qui avait été écrit dans l´article du 31 octobre, un lecteur ME signale (à Moi, la Correctrice, et non à l´Auteur) que l´édito du numéro 40 de Misc, rédigé par « Papy » Raynal peut être lu dans son intégralité et au format html par la même occasion

. Un édito qui, outre une exhortation à la jeunesse hackeuse et porteuse d´avenir, nous signale que les appels à communications des prochaines journées SSTIC de Rennes sont ouverts. Je me demande si, à l´occasion des Rump Sessions, je ne vais pas me lancer dans une démonstration de Social Engineering masculin… une de mes spécialités. D´ailleurs, à ce sujet, je précise à toutes mes lectrices que derrière le surnom de « Papy » se cache non pas un vieux barbon mais un jeune homme bien fait de sa personne. Potentiellement spoofable et très probablement sensible à nos exploits.

Toujours à propos de Misc, on ne doit pas oublier la sortie, ce jour, du numéro spécial d´automne. Consacré aussi bien à vous, messieurs, qu´à nous, mesdames. Surtout à nous. Car les fêtes de fin d´année, puis le 3 janvier approchent à grands pas -je m´y vois déjà- et avec eux, la période des cadeaux, des soirées, des soldes ! A peine le temps de comprendre tout se qui se raconte dans ce hors-série consacré aux cartes à puce, leurs fonctionnalités, leurs limitations. Peut-être un jour saisirais-je la raison pour laquelle le trou de mon budget (difficilement rustinable) est provoqué par une si petite chose. Et je ne parle pas des sommes astronomiques englouties par mon ado de fille et son téléphone portable, à puce, lui aussi, bien sûr… Vous savez, vous, où on peut trouver un protocole snmp « sms très limités » ou une console d´administration OpenView avec blocage des trames « ma mère me saoule » ? Ecrire au journal qui transmettra.

Passionnante étude que celle de ces chercheurs de l’UCSD et de Berkeley. Durant des mois, ces universitaires ont étudié, disséqué, reconstruit, adapté toute une chaîne de spams destinée à attaquer trois fronts : acheteurs de pseudo-viagra, amateurs de cartes de vœux en ligne et canulars du premier avril. Et attaquer non pas de manière livresque, mais réelle, avec une véritable charge et un authentique –mais limité et contrôlé- serveur et ses calamiteuses émissions de pourriel.

Dire que le rendement est bas est un doux euphémisme : la plus rentable des campagnes –le fortifiant pharmaceutique- ne draine que 0,0000081% de la population d’un fichier comptant 347590389 adresses smtp. « Après une campagne de 26 jours et 350 millions d’emails envoyés dans la nature, nous n’avons conclu que 28 ventes effectives » constatent les chercheurs. Un taux de rentabilité inférieur à 0,00001%, un taux de pollution inimaginable dont les effets dévastateurs sont le dernier des soucis de ceux qui vivent de cette industrie.

26 jours, 28 victimes, 100 $ d’achat en moyenne par victime, un gain net de 2731,88 dollars. Dans les conditions réelles d’exploitation d’un « Storm Worm » vecteur de spam Viagreste, les chiffres seraient, pensent les scientifiques, plus proches de 7000 $. Un bon Storm élevé en batterie peut créer à lui seul 3500 à 8500 nouveaux Bots par jour. Dans ces conditions, il n’est pas impensable de tabler sur un revenu annuel gravitant aux environs de 3,5 millions de dollars. Et l’on ne parle alors que d’une seule campagne… Les multirécidivistes pouvant alors amasser bien plus en considérablement moins de temps.

Quant au retour sur investissement, il semble tout aussi pharamineux. « L’on peut estimer comme proche de la vérité l’estimation situant la mise de fond aux environs de 80 $ par million ». Dans ce milieu là, on ne pratique pas franchement les mêmes tarifs au « mille d’emails expédiés » que dans le monde civilisé.

J’ai dix s’condes pour vous dire qu’InsomniHack, c’est d’la dynamite ! La nuit la plus longue du hack blanc Helvétique tiendra sa seconde édition le vendredi 6 février 2009 prochain, quelque part dans la région Lémanique (le lieu sera choisi en fonction du nombre d’inscrits). Cette manifestation, organisée par SCRT, spécialiste Lausannois du « hacking éthique », a remporté l’an passé « un succès dépassant toutes les espérances » (dixit Bruno Kerouanton, CSO renommé du Canton du Jura). Emulation (saine), pentes neigeuses et double crème : le concours est ouvert à tous, le gagnant aura son portrait publié dans les colonnes Web de CNIS-Mag… ou pas, comme il est d’usage de préciser.