novembre 22nd, 2008

En doublage français dans le texte : Mikko Hyppönen, patron des laboratoires F-Secure, avait, il y a quelques jours, diffusé sur YouTube une courte séquence vidéo brossant les grandes lignes de l’évolution des malwares. Botnets, réseaux de blanchiment d’argent sale, extensions mafieuses et évolutions techniques, tout y est clairement expliqué, de manière synthétique et simple. Le succès rencontré auprès des différents spectateurs a incité l’éditeur à en produire des versions localisées … dont une notamment en Français.

Les spécialistes regretteront que ne soient pas abordés les aspects infrastructurels des grandes places de marché du malware, ou la complexité croissante des outils d’attaque, leurs coûts, leur R.O.I., leurs modèles financiers… ce sera peut-être l’occasion pour Hyppönen de revenir sur les écrans.

Le Cert US émet un bulletin rappelant que l’usage des clefs USB pouvait constituer une menace sérieuse capable de véhiculer des virus et chevaux de Troie. Cette même semaine, une consigne interne du Département de la Défense américaine (DoD) interdisait formellement, mais de façon temporaire, l’emploi et l’échange de clefs USB, de CD-Rom enregistrables et autres disques durs amovibles, le temps de désinfecter son propre réseau d’un ver Agent.bztplutôt tenace. Deux faits qui, sur certaines listes de diffusion, sont immédiatement rapprochés et servent de prétexte à condamner l’usage de ces navettes numériques dans le cadre du travail. Il est souvent plus pratique, chez les administrateurs peu talentueux, de frapper d’un Oukase ce que l’on ne sait maîtriser. Un peu comme si, dans les années 80, l’on ait décidé de bannir l’usage des disquettes, en vertu du fait que les principaux virus connus se propageaient par le truchement des « boot sector » floppy. Las, la sécurité par l’obscurantisme n’a jamais, pour première conséquence, que d’aider précisément les auteurs des malwares. Car, en l’absence d’information ou en présence d’une mesure que l’on fait croire « radicale », l’on endort les usagers, les conforte dans un sentiment de fausse sécurité qui sera propice à une attaque exploitant un tout autre chemin. Le résultat est alors, une fois de plus, bien pire que le remède.

_T-Systems_network_assignments,_13_Nov_2008) (BND), les services secrets Fédéraux Allemands. L’analyse du document, dont l’authenticité de la provenance a été garantie par une bourde des avocats de T-Systems, laisserait entendre notamment que le Goethe Institute servirait de couverture aux antennes du BND à l’étranger. Le mémo rédigé par l’équipe de WikiLeak s’achève même avec des accents fleurant bon les parfums de Mata Hari et le charme des romans de Ian Flemming.

Ecoutera, écoutera pas ? Passée l’euphorie des élections, les journalistes américains attendent les réformes promises par Barack Obama et son équipe. Et, parmi les changements les plus attendus, une abrogation des dispositions « extraordinaires » ayant permis à la Présidence Bush de mettre sur écoute téléphonique, et sans le moindre avis d’un juge, toute personne résidant sur le sol américain. Une disposition qui, sous prétexte de menace terroriste, a été étendue de manière considérable au fil du temps, englobant même l’intégralité des transmissions téléphoniques ou emails transitant sur le territoire US. En toute logique, et conformément à la mouvance démocrate, ouvertement opposé à ce droit régalien, le nouveau Président des Etats-Unis devrait renvoyer ces habitudes quasi-dictatoriales dans les oubliettes de l’histoire.

Or, rien n’est moins sûr. Dans les colonnes de l’International Herald Tribune du 18 novembre – article repris par Military.com -, James Risent et Eric Lichtblau s’interrogent. Et de rappeler notamment que, au moment où le gouvernement Bush a fait passer devant le Sénat ces lois d’exception, le ci-devant Sénateur Obama a approuvé de son vote. Vote d’autant plus compromettant qu’il ne faisait qu’entériner une activité de la NSA conduite dans le plus grand secret durant plus de 4 ans, à l’insu même des instances judiciaires et politiques. Or, sous-entendent les deux journalistes du Herald, il existe une certaine différence entre décider de la mise en place de mesures d’exception et un vote de « couverture » destiné à protéger les dérives anticonstitutionnelles d’une agence Fédérale qui n’a jamais été véritablement contrôlée par la Présidence.

Deux attitudes s’opposent. D’un côté, la « ligne politique », qui part du principe qu’Obama tentera de se démarquer fermement de la ligne de conduite de Dick Cheney, partisan acharné d’un pouvoir présidentiel absolu. De l’autre, la « ligne pratique », qui reconnaît bien volontiers que le cadeau d’un tel droit régalien peut s’avérer utile. Utile notamment pour justifier l’arrestation d’organisations musulmanes ou de représentants musulmans à la lumière de certaines de ces écoutes sans avoir à en justifier la légalité. Ecoutes que les accusés contestent, sous prétexte que ce ne sont que des preuves partielles coupées de tout contexte, et dont la solidité s’évaporerait à l’écoute de l’intégralité des enregistrements effectués. Enregistrements que le précédent gouvernement refusait de communiquer sous prétexte de Secret d’Etat.

Ces embrouillaminis juridico-politique montrent à quel point les risques d’écoutes arbitraires sont loin d’être éliminés de l’autre côté de l’atlantique. Et ce n’est pas là la seule atteinte à la préservation tant de la vie privée que des secrets professionnels. La perquisition des unités de stockage aux frontières US, le filtrage systématique des données IP sont, également, encore en vigueur. Autant de points sur lesquels il n’est pas certain que la « vague libérale » et la nouvelle équipe en place aient l’intention d’effacer à tout prix. Autant de points qui doivent inciter à une certaine prudence les ressortissants européens devant soit communiquer, soit se déplacer en Amérique du Nord.

Les passages d’avions provoquent, à certaines altitudes et sous certaines conditions de température, des trainées qui concourent au renforcement de l’effet de serre. Ce serait même, estiment certains experts, le second facteur le plus important responsable des modifications climatiques terrestres. Or, nous apprend Flight Global, ce problème des trainées pourrait être résolu simplement grâce… au sans-fil. Un émetteur hyperfréquence un peu puissant situé à l’arrière de chaque appareil parviendrait à vaporiser les formations de cristaux de glace qui constituent la fameuse « trainée ». En d’autres termes, le principe consiste à installer des « fours micro-onde » sur l’empennage arrière de chaque gros porteur. Ce combat écologique ne coûterait que 0,1% de la puissance des moteurs, précisent nos confrères. Il ne reste plus qu’à espérer que lesdits grils électriques possèderont assez de sécurités pour ne pas pouvoir être déclenchés au niveau du sol, sous peine de voir le personnel de piste disparaître relativement rapidement. Il est également très probable que la prolifération de cette brusque multiplication d’émetteurs de très forte puissance en altitude contribue un peu plus à la pollution du spectre radioélectrique et vienne fortement perturber bon nombre d’installations au sol. Les remèdes, parfois, peuvent être pires que le mal qu’ils soignent.

L’Armed Forces Journal, qui, à l’instar de l’Eneide, chante les armes et les hommes, publie les travaux d’un certain colonel Charles W. Williamson, troisième du nom. Un « cinq ficelles » qui préconise d’utiliser sans hésitation tous les ordinateurs de la Grande Muette américaine –et en passant quelques machines appartenant à ces planqués de civils- pour constituer un formidable botnet aux ordres du Pentagone. Le but d’une telle cyber-conscription est simple : pilonner l’infrastructure informatique des puissances hostiles extérieures dès que celles-ci osent montrer les crocs devant la toute puissance de l’Oncle Sam. Un projet qui, on l’imagine, attire les remarques sarcastiques de nos confrères de Wired.

Dans un article plus réfléchi publié par ZDNet, Dancho Danchev émet plusieurs réflexions mettant en évidence l’incongruité d’une telle proposition. Il est, fait remarquer cet expert, généralement très difficile de déterminer l’origine d’une cyber-attaque et, par conséquent, d’en organiser la riposte. Les techniques de spoofing, le détournement de netblocs complets, l’usage de réseaux P2P masquent trop souvent le véritable instigateur d’un déni de service massif. Il est également presque certain que, durant la tentative de noyade IP perpétrée contre un éventuel coupable, des innocents fassent les frais de « dommages collatéraux ». Il est également, continue Danchev, pratiquement sûr que la partie adverse se protège d’une manière très simple… en filtrant purement et simplement tout ce qui semble provenir des TLD « .mil », l’extension internet utilisée par les forces armées US. Un botnet, militaire ou pas, tire essentiellement sa force de sa furtivité. Un botnet officiel inventé par un colonel spécialiste de l’écriture de rapport est donc aussi efficace qu’un régiment d’agents secrets défilant sur les Champs Elysées un jour de 14 juillet.

Ceci ne veut pas dire qu’une attaque de botnet à des fins offensives ne peut pas fonctionner… bien au contraire. Les précédents Géorgiens et Estoniens ont prouvé le contraire, et les opérations de racket ou de sévices mafieux montrent combien un assaut ciblé peut se montrer efficace : un nuage diffus de PC-zombifiés harcèlent une cible stratégique. Laquelle ne peut que subir et se protéger, car contre-attaquer une nuée n’a que de très faibles chances de réussir. Une guerre des réseaux sur les infrastructures publiques ne peut être conçue et modélisée selon un modèle de guerre conventionnelle.

Si les militaires acceptent cette idée –il ne s’agit jamais que d’appliquer la stratégie d’intégration et de diffusion prônée par Leclerc pendant la guerre d’Indochine-, l’on pourrait imaginer une sorte d’Otan de la cyber-défense, une mise en commun des réseaux des différents pays souhaitant appartenir à une telle alliance. Une telle perspective offrirait aux armées ainsi alliées un même « nuage » de machines-soldats, des moyens aussi diffus et aussi efficaces (sinon plus) que ceux mis en œuvre par les grandes organisations mafieuses. Cette idée, déjà défendue dans les écoles de guerre Chinoises et Russes, a bien du mal à être acceptée par le puritanisme des généraux occidentaux.

Relevée, sur le blog de Thierry Zoller, l´existence de ce charmant utilitaire dénommé Flip Title. Son fonctionnement est simple : il se contente de faire subir une rotation verticale de 180° à des lettres, donnant ainsi un résultat incompréhensible pour la plupart des OCR intégrés dans les principaux keyloggers (ainsi que pour la majorité des mammifères, typographes, chauves-souris et paresseux bleus exceptés). ˙sʇǝɹɔsıpuı sǝɯɯɐɹƃoɹd sǝɔ ‘ǝıʇɹɐd uǝ suıoɯ np ‘ɹǝdɯoɹʇ ɹǝɹédsǝ,p ǝlqɐsuǝd ʇıɐɟ à ʇnoʇ ʇsǝ lı ‘ǝɹèıuɐɯ ǝʇʇǝɔ ǝp. Pardon… de cette manière, il est tout à fait pensable d’espérer tromper, du moins en partie, ces programmes indiscrets.

Le procédé peut être perfectionné en ajoutant des chiffres aux lettres, ainsi que quelques signes de ponctuation. Rien n´interdit non plus de rendre le procédé un peu plus complexe en se limitant à l´usage des caractères totalement symétriques, qui, immanquablement, rendront totalement indétectable le procédé : oupbdqlzsxn,’986-+)(10/ pour ne citer que les plus courants. Le jeu consiste ensuite à fabriquer un mot de passe significatif, facilement mémorisable… Que voilà un défi OuLiPiste passionnant ! L´homme sécurité lettré -c´est d´ailleurs là un pléonasme- se « loguera » donc avec, en guise de sésame « 6 podzols blonds » ou « 1 bondon, snob » -si tant est que l´on puisse trouver deux brins de snobisme dans un fromage Normand-. Les informaticiens frappés d´espionnite signeront « bond006 » et les loulous éclectiques chercheront -mais en vain- à associer « sono » et cousin « pons » ou découvrir des doublons à loudun.

Reste qu´un bon correcteur orthographique détectera bien entendu que « spuolq slozpod 9 », notre « 6 podzols blonds » tout retourné, ne signifie pas grand-chose… ce qui, immanquablement, conduira le keylogger maléfique à chercher, par le biais d´une attaque par dictionnaire, le mot mystérieux qui se cache derrière ces chaînes de caractères déchaînés. Et il ne faut pas sortir d´une école de DRH pour se rendre compte de la supercherie. Tous ces efforts ne serviraient donc à rien ? Que Nenni ! Mais la contre-contre-mesure, car il en existe une, n´est pas de tout repos. Elle consiste à n´utiliser que des structures lexicales qui, lues dans un sens ou dans un autre, possèderont toujours une signification. Forme dévoyée du palindrome, l´anacyclique est aux auteurs de contrepets ce que le mortier est aux maçons et le tire-bouchon aux journalistes. L´absolue élégance étant bien sûr de trouver un anacyclique ou un palindrome qui possède une signification dans un sens comme dans l´autre, et pas nécessairement dans la même langue. Ainsi le très célèbre et leste « Isadora rêve. – Ever a rod as I »… qui ne répond hélas pas au cahier des charges des lettres à symétrie verticale.

Et pendant ce temps, certains persistent à penser que les audits de sécurité portant sur la solidité des mots de passe sont une sinécure qui se résume à John the Ripper ou à L0phtcrack.

NdPdFCdC : Note du Président du Fan-club de Cointe : Les inconditionnels de la grande époque « klaar linie », la ligne claire de la bande dessinée Belge des années 50 à 70, se souviennent sans le moindre doute de la Zoglande, langage secret inventé par l´abominable Zorglub, ennemi juré de Spirou et Fantasio, qui consiste à inverser le sens de lecture des mots. Eviv Bulgroz !

Ô nuit désastreuse ! Ô nuit effroyable, où retentit tout à coup, comme un éclat de tonnerre, cette étonnante nouvelle : One Care se meurt, One Care est mort !. Mais les programmes aussi peuvent espérer une seconde vie, une métempsychose commerciale, sous forme de logiciel « freeware ». Ce One Care là, dénommé Morro, sera, à partir de la fin 2009, allégé de deux fonctions accessoires et totalement inutiles : la partie « PC Tuning » et son backup plus agaçant qu’efficace. Deux fonctions redondantes, battues en brèche soit par les outils déjà présents dans le système (ntbackup par exemple), soit par des utilitaires freewares ou commerciaux mieux conçus et plus efficaces. Commercialement parlant, avant le lancement de Morro, One Care édition commerciale aura disparu à la fin du premier semestre 2009.

Après des années d’errance, de contrats Central Point en tentatives bancales d’intégration dans MS-DOS, Microsoft n’a jamais très bien su comment concilier à la fois la « culpabilité » de ses propres failles, la sécurité de ses noyaux, sans pour autant risquer un nouveau procès « antitrust » entamé par les principaux éditeurs d’antivirus. Pourtant, qui donc mieux que l’éditeur d’un système d’exploitation est à même de savoir comment protéger ses propres points faibles ? C’est précisément ce qu’ont pensé les principaux prévisionnistes du marché, en prédisant un succès certain à OneCare. Succès d’autant plus garanti que son prix (entre 40 et 50 euros à l’heure actuelle) englobait 3 licences, forçant du même coup la concurrence à revoir à la baisse les tarifs pratiqués jusqu’à présent. La sauce, d’ailleurs, ne pouvait que prendre, puisque l’éditeur tente d’inonder la planète, plus de 8 mois durant, avec une édition de OneCare qui ne portait de « Beta » que le nom. Ajoutons enfin que l’empreinte mémoire du programme, tout comme sa consommation CPU, firewall compris, s’avère généralement bien plus indolore que celles des principaux logiciels équivalents. Malgré ces atouts, le mariage n’a pas pu s’opérer. La fusion avec l’éventail des logiciels de la famille « live » (notamment l’administration à distance du parc d’antivirus) n’a pas su plaire aux TPE, les commerciaux de Microsoft n’ont pas ferraillé assez fort pour que One Care entre dans les catalogues des fournisseurs d’accès Internet ou dans l’éventail des offres pré-installées OEM, comme ont su le faire Symantec ou McAfee par exemple. La diabolisation de la marque auprès du grand public a fait le reste…
L’ange protecteur diabolisé

Une diabolisation difficile à combattre, car reposant sur des arguments simples, simplistes même. Pour quelle raison devrait-on subir, en raison de ce qui relève de « l’erreur de fabrication », la levée d’un impôt annuel (plus connu sous le nom de licence) qui irait enrichir des spécialistes de la protection rapprochée ? Et peut-on considérer comme normal et moral que l’éditeur de Windows même tire des bénéfices de ses propres erreurs ? Propos certes outranciers, mais qui reflètent avec fidélité le sentiment de frustration de la majorité des usagers, professionnels ou non. Enfin, l’idée même d’une station « microsoftisée du sol au plafond » ne pouvait réellement séduire, particulièrement après la véritable campagne de protestation soulevée par les spécialistes du périmétrique lors du lancement de Windows. Souvenons-nous : le modèle de sécurité noyau imposé alors aux programmeurs rendit brutalement toutes les passerelles de filtrage « incompatibles ». Pis encore, la diffusion du SP1, après un an d’existence du nouveau Windows, reposait le problème en désactivant, une fois de plus, une grande majorité de logiciels antivirus, à l’exception de One Care. De quoi rappeler aux « vieux » utilisateurs, ces « malheureux bugs volontaires » qui bloquaient le lancement de Lotus 123. Encore pourrait-on mentionner la longue, très longue absence de One Care sur les plateformes 64 bits, un « détail » qui exaspéra principalement les utilisateurs professionnels.

Ce sentiment d’exaspération devient bien plus prégnant lorsqu’une récente étude de Secunia révèle qu’aucun antivirus n’est actuellement capable de bloquer une attaque « hors norme ». Ces outils de protection ne fonctionnent en effet qu’en vertu du principe « action-réaction », et ne sont efficaces qu’à l’encontre des infections connues. Quoi qu’en disent les littératures marketing et autres comptines sur les moteurs heuristiques. Or, de plus en plus, les spywares, rootkits, codes zombificateurs, keyloggers et autres malwares dormants ont recours à des codes d’exploitation polymorphes, à courte durée de vie, qui reposent eux-mêmes sur des failles répertoriées CVE et écrits pour les besoins de la cause. Des codes que les principaux antivirus ne « voient » absolument pas. Il y a bien longtemps, lorsque les seuls périls se limitaient à un Bosach, un Whales, un JeruB, un Frodo, il pouvait être sinon logique, du moins sage, d’acquérir au prix fort un programme réputé protéger contre plus de 90% des menaces connues. Las, depuis, les dangers ont évolué, l’efficacité des outils s’est proportionnellement amoindrie, même si, d’un point de vue technologique, d’immenses progrès ont été réalisés. Il faut se rendre à l’évidence : on ne peut combattre une attaque bactériologique avec une colichemarde ou contrer le feu nucléaire avec un écu portant blason. Corolaire de la question, doit-on payer aussi cher un système de défense dont la solidité s’est érodée avec le temps ?

Ce pourrait d’ailleurs être là le discours que tiendront les hommes du marketing Microsoft. Un OneCare gratuit ne marque pas le début d’une concurrence déloyale visant les McAfee, les Symantec, les Kaspersky et autres Sophos, qui se veulent plus « riches », plus « universels » qu’un simple chasse-virus. C’est le signe d’un changement d’époque, l’aveu qu’une pièce importante de la protection périmétrique doit devenir gratuite, non seulement parce que c’est là la contrepartie équitable des erreurs de conception de l’éditeur, mais également parce que le véritable combat ne se situe plus sur le terrain des programmes à reconnaissance de signatures. L’antivirus, programme révolu sous sa forme originelle, est devenu ce que les américains appelle une « commodity », un de ces petits riens nécessaires qui méritent à peine une considération distraite.

Comment les concurrents vont-ils accepter ce superbe sophisme ? Très probablement avec un chœur de protestations indignées. On criera au scandale, avec autant de violence –probablement plus- que n’en a provoqué la publication de l’étude Secunia. Puis, passés les premiers émois, Morro sera décrié, et l’on reverra paraître des études comparatives sur le nombre de virus « bloqués » par telles marques et passés inaperçus aux yeux des outils Microsoft, sur son incapacité à détecter des pages Web douteuses ou des emails au contenu suspect (bref, des menaces ne relevant pas de l’analyse virale) et la vie des « suites intégrales de protection totale indice 40 » reprendra son cours. Le firewall intégré d’origine Microsoft n’entrave pas les ventes des produits concurrents. Pas plus que la présence d’antivirus déjà gratuits (clamAV, AVG…) n’a réduit à néant l’espérance de survie des programmes dits « payants ».