novembre 17th, 2008

Après la France, l´Allemagne, l´Italie, c´est au tour le la Grande Bretagne d´adopter une série de lois visant à réprimer sévèrement tout possesseur « d´outils de hacking » signale Out Law. Sont ainsi confondus dans un melting-pot fort pratique, à la fois les programmes de test de pénétration et les logiciels capables de provoquer des attaques en déni de service. Les textes, renforçant le Computer Misuse Act, portent à 10 années d´emprisonnement toute attaque d´un système d´information « sans autorisation ».

De prime abord, il s´agit bien là d´une loi salvatrice visant à renforcer la protection des honnêtes internautes, particuliers comme professionnels. Il reste que tout viol d´un S.I. faisait déjà l´objet de mesures répressives relativement sévères. Mais, précisent nos confrères Britanniques, les nouveaux textes visent quiconque « fabrique, adapte, fournit ou offre de fournir (sic) quelque article que ce soit qui pourrait être susceptible de commettre ou de concourir un méfait . » Une fois de plus, la loi établit une confusion entre l´outil et l´usage de l´outil, et étend la culpabilité au diffuseur de l´outil. En osant une parabole fort inexacte, et si l´on étendait l´esprit des lois au secteur automobile, les constructeurs de voiture et équipementiers seraient tous fichés au grand banditisme pour meurtre aggravé, les concessionnaires automobiles auraient un casier digne de Mesrine, et les derniers cascadeurs finiraient leurs jours dans les geôles de Guantanamo. Dans toute démocratie, c´est la nature de l´acte qui définit l´accusation, et non l´intention de l´acte ou l´information relative à l´acte.

Bien sûr, il s´agit, tout comme c´est actuellement le cas en nos contrées, d´une loi légèrement liberticide (mais pas trop), entravant légèrement (mais pas trop) le travail des spécialistes et chercheurs en sécurité, et dont l´application la plus rigoureuses est laissée à la seule appréciation des juges. Bien sûr, il s´agit, tout comme c´est actuellement le cas en nos contrées, d´une loi strictement nationale, dont les rodomontades et les moulinets n´inquiètent pas particulièrement les industriels de la fabrication de malwares établis en Chine, en Russie, au Brésil. Bien sûr, il s´agit, tout comme c´est actuellement le cas en nos contrées, d´un texte qui favorisera grandement le travail des cyber-délinquants. En dissuadant, par excès de paperasseries et arguties juridiques, la pratique saine des tests de pénétration réguliers et des audits intrusifs. En opacifiant un peu plus les marchés « underground » sur lesquels l´on trouve kits de malwares et plateformes de « Piracy as a Service ».

A l´heure où nous rédigeons ces lignes, il n´existe pratiquement plus qu´un seul pays en Europe où la liberté de conduire et de publier des recherches n´attire pas systématiquement les foudres de la justice. Ce pays, défenderesse de la liberté d´expression depuis le Siècle des Lumières, terre d´accueil du THC, c´est la Hollande. Une contrée qui, depuis ces 5 dernières années, est l´un des centres de communication scientifique les plus prolifique qui soit dans le domaine de la recherche sécurité. Tant en termes de fuzzing appliqué au « safe programming », que de préservation de la vie privée ou de dénonciations des mauvaises pratiques institutionnelles (dans le secteur des RFID notamment). Peu étonnant donc que les principales entreprises de « managed services » et d´audits à distance y installent systématiquement leurs NOC.

EstDomains, le registrar douteux, sera définitivement mort le 24 novembre prochain, la décision de l’Icann étant désormais sans appel. Le motif invoqué demeure le passé douteux du patron de l’entreprise, Vladimir Tsatsin, et non l’activité plus que néfaste de la grande majorité des possesseurs de sites hébergés. Les 281 000 noms de domaines –spécialistes du spamming, du phishing, de la culture intensive « d’adwares-qui-ne-sont-pas-des-spywares » y compris- auront leurs adresses relogées aux bons soins de l’Icann, qui se charge de trouver des DNS compatissants parmi ses membres. Il faut dire que les plus dangereux clients d’EstDomains ont, depuis plusieurs mois, changé cent fois de nom et utilisé de nouvelles filières d’enregistrement.

Le vendeur –car le métier de registrar est avant tout une opération commerciale- est donc reconnu comme étant non responsable de l’usage que font les clients des domaines déposés. Ce « coupe-feu juridique » ne semble, en revanche, plus franchement fonctionner du côté des hébergeurs et fournisseurs de services, puisque cette même semaine, McColo, hosteur américain, s’est fait couper la totalité de ses routes IP par ses propres fournisseurs d’accès. McColo était l’un des principaux portails américains par qui se déversait des cataractes de spam, des centaines de sites vendant des « scarewares », des milliards d’emails de phishing, sans oublier, précise Brian Krebs dans un long article de 3 pages, quelques filières d’images pédo-pornographiques et plusieurs vecteurs d’infection genre rootkits et virus-vers.

Dans les quelques heures qui ont suivi la coupure, des lignes dudit McColo, le niveau de spam général a chuté de près de 60 %. Les statistiques de Spamcop sur la semaine sont sans appel : morte la bête, mort le venin.

A l’origine de ce règlement de compte, l’on retrouve une fois de plus Hostexploit, entreprise de sécurité qui contribua activement, grâce à un rapport d’analyse édifiant, au démantèlement d’Atrivo/Intercage, le « hosteur félon » Californien et, par le plus grand des hasards, fortement lié au dit McColo. Une fois de plus, Hostexploit publie un état des lieux atterrant, décrivant par le menu les méfaits de McColo (enregistrement obligatoire avant téléchargement du rapport). McColo en chiffres ? c’est 172 vendeurs de viagra, 24 botnets et centres de commande et de contrôle, un peu moins d’un millier de liens hébergés pointant sur des malwares, 64 « rogues » et malwares locaux, 62 sites infectés –soit un taux anormalement élevé de 2%- et 40 sites illégaux, notamment pédophiles, avec leurs infrastructure de payement associées.

Si la fermeture d’une industrie aussi nauséabonde est et sera toujours une bonne chose, il est à déplorer que cette décision soit le fait d’initiatives privées, ou plus exactement d’initiatives d’entreprises privées. Il ne semble pas, dans l’état actuel de l’affaire, que le FBI y ait joué un rôle déterminant. Ce n’est, de toute manière, pas un acte décidé ni par un juge Fédéral ou d’Etat, ni par un arrêté de la FCC, souveraine en ce secteur. Et c’est sur la musique de « Règlement de compte à OK Corral » que semble se clore ce nouvel épisode de la vie des ISP.

… et certains de ses convives risquent de se retrouver « chocolat ». Ceci concerne surtout l’ambassade Indienne du Brésil, pays renommé pour ses batucadas et ses pirates informatiques, plus fins et plus inventifs que leurs homologues Russes ou Chinois. Une ambassade qui, nous apprend Websense, était devenue un véritable nid d’infections JavaScript. Le but premier de cette attaque était notamment de détourner les visiteurs-victimes vers d’autres sites, moins reluisants et un peu plus moscovites : vendeurs de faux antivirus, injecteurs d’exploits Adobe… rien là que de très classique pourrait-on dire.

La compromission des sites officiels est un sport qu’apprécient fortement tant les espions que les vendeurs de viagra frelaté. En janvier dernier, nos confrères du « Reg » nous apprenaient que l’ambassade de Hollande en Russie attirait ses visiteurs dans l’esclavage d’un botnet. En septembre de l’an passé, c’était le consulat des Etats-Unis à Saint-Pétersbourg qui, après une attaque en règle, propageait des maladies binaires contextuellement transmissibles. Maladies locales d’ailleurs, la balance du commerce extérieur des pays de l’Est étant fortement excédentaire en matière de malwares. En septembre 2007, l’ambassade de Syrie à Londres était contaminée, tandis que celle de France en Lybie se faisait circonvenir par… des pirates Ukrainiens. Dans l’ensemble, les taux d’infection des sites officiels se situent très en deçà des moyennes statistiques constatées dans l’industrie. Constatation à prendre avec prudence, compte-tenu du culte du secret qui sévit généralement dans les sphères de la haute diplomatie. Un culte qui favorise très probablement la dangerosité de ce genre d’injection, les victimes ayant à priori une totale confiance dans le modèle de sécurité de leur administration.

Des failles entrant dans la catégorie « exploitable à distance » : le web de NetDev en serait presque rouge de confusion. Il s’agit là du tout dernier lot trimestriel de correctifs en date du 14 novembre, bouchons logiciels dont l’origine est en grande partie située du côté de AppSecInc, alias Shatter. Rappelons aux administrateurs de SGBD qu’une surveillance régulière dudit site est plus que conseillée, car l’on y trouve autant, si ce n’est parfois plus, d’informations sur les bases Oracle, Sybase, Microsoft, MySQL, Notes, Exchange et DB2 que sur les sites des frères Litchfield ou sur celui d’ Alexander Kornbrust.

Les meilleurs crus, parfois, ne sont pas les plus abondants. La correction de faille « hors calendrier » MS08-067 et la vulnérabilité MS08-068 publiée à l’occasion d’un « Patch Tuesday » étique mériteraient qu’on leur dresse une stèle : une origine antédiluvienne, une exploitation garantie à toute épreuve, une médiatisation inégalée… le tonnerre de leur annonce risque de résonner durant quelques mois encore.
Il faut lire l’article de Cédric Blancher sur le trou SMB Relay pour en comprendre à la fois la gravité et les dangers de la compatibilité ascendante qui compromet régulièrement la sécurité des noyaux Microsoft. Il faut également se plonger dans les preuves de faisabilité et commentaires qui fleurissent çà et là, certains plus compréhensibles que d’autres, ainsi celui d’Andres Tarasco. Il faut, peut-être, même si la méthode est un peu discutable, s’intéresser à Squirtle, outil d’évangélisation destiné à tous ceux qui partent en croisade contre la conservation de NTLM. Comme l’explique si bien son auteur, Squirtle sert à prouver « à votre patron, vos clients, votre meilleur ami, votre chien ou Dieu que NTLM est mort et enterré ».

Et MS08-067 dans tout çà ? Elle succombe, une fois de plus, sous les coups d’un Python Constrictor signé par Debasis Mohanti, chercheur en sécurité réputé et très « présent » dans les fils de discussion du Full Disclosure. Son code reptilien se trouve un peu de partout : sur Milw0rm, sur HackingSpirit… 067, pour les intimes, est devenu un grand classique. A tel point, nous apprend aussi l’Avert Lab de McAfee, qu’on le retrouve dans les « kits de fabrication de malware » commerciaux diffusés sur les marché orientaux.