novembre, 2008

Après les « IT Managers » qui détournent des centaines de milliers de dollars en équipements, ou celui-ci qui chiffra par dépit les disques de la municipalité de San Francisco, voici, nous apprend ComputerWorld, l’administrateur-pirate qui tente de détourner argent et informations des disques de son ancien employeur. A croire qu’Outre-Atlantique, la douceur des méthodes des chefs du personnel est inversement proportionnelle au niveau de sensibilité de l’entreprise concernée. Dans le cas présent, il s’agissait des données appartenant à un fond de pensions, établissement dont le caractère spéculatif a provoqué la crise financière que l’on sait.

Un homme, cependant, s’interdit de tirer sur le pianiste. La « culpabilité évidente de l’insider » est un cas trop souvent agité, une thèse bien pratique pour les gagne-petit de la sécurité. Car c’est là, explique Richard Bejtlich, une façon bien pratique de focaliser les attentions sur une personne que l’on peut contraindre, accuser, condamner. Il faut en finir avec le mythe du « 80 % de la cyber-délinquance provient de l’intérieur » », dit-il. C’est un prétexte pour mieux masquer les milliers d’attaques qui nous viennent de l’extérieur, et contre lesquelles il est bien difficile de trouver l’origine. Pas de visage, pas de nom, pas même parfois d’indice, nul mobile personnel autre que le profit, aucun lien avec la victime –si ce n’est un intérêt commun pour la préservation des failles connues-, l’attaquant extérieur met d’autant plus mal à l’aise qu’il est insaisissable. C’est une autre façon de considérer l’un des « principes de Schneier » : l’on aime à surestimer les dangers que l’on connaît et sous-estimer ceux que l’on ignore. Corolaire de cet axiome douteux : l’on aime à légiférer et encadrer les dangers potentiels que l’on se sent capable de toucher du doigt, et laisser dans un vide abyssal les crimes que l’on sait ne pouvoir punir. C’est avec ce genre de syllogisme que l’on risque d’entraver chaque jour un peu plus les RSSI, admins, CSO et autres responsables IT, qui, submergés de « politiques, règles de fonctionnement, principes de précaution et mesures de prudence conservatoires », passent plus de temps à éviter de faire ce qui est interdit que de pratiquer leur propre métier.

C’est là, bien entendu, une vision très exagérée, très caricaturale du problème. Mais guère plus caricaturale que celle qui consiste à dire « encore un admin corrompu ».

Depuis la publication de la dernière alerte à rallonge émise par Adobe, les attaques exploitant l’une des failles en question s’intensifient. Le vecteur est détecté sous l’appellation Trojan.Pidief.D chez Symantec, mais, une fois n’est pas coutume, il semblerait que les éditeurs d’A.V. traînent des pieds pour mettre à jour leur base de désinfection. Fait d’autant plus désolant que, sur 3 machines de la rédaction, le mécanisme de correction automatique s’est soldé par un échec, obligeant les membres de l’équipe à appliquer la mise à jour « à la main »… autant dire que le trou risque de faire parler de lui durant encore un certain temps.

Deux trous officiellement corrigés ce mois-ci : une faille dans les XML Core Services, assez dangereuse pour arborer le qualificatif de « critique » côté postes clients, et une antique vulnérabilité, corrigée, recorrigée, et qui affecte NTML. Les héritages des premières méthodes d’authentification et autres tares génétiques de SMB sont bien lourds à porter. Le traditionnel billet de Bill Sisk est sans équivoque : tout çà peut parfaitement être exploitable à distance et mérite une application des correctifs relativement rapide. L’on parle même de l’existence de quelques exploits dans le monde underground. Rien de bien surprenant d’ailleurs. Surtout en ce qui concerne la faille SMB, qui, explique Chris Budd, remonte à 2001 pour le moins. Mais les contraintes de compatibilité sont telles que toute protection par « signature » entraînerait de monstrueux blocages de communication. En attendant une remise à plat de tous les protocoles « made in MS » (pour quand ?), il est recommandé de… patcher.

Cela faisait longtemps, bien longtemps que la rédaction n´avait pas écrit de bien à l´attention de l´Ossir. Et c´est un tort, car son « groupe Windows » est probablement l´un des plus actifs qui soit en France, sous la tutelle de Messieurs Michel Miqueu, Olivier Revenu et Nicolas Ruff.

Profitons-en donc pour signaler cette suite de transparents rédigée par Slavik Markovitch à l´occasion d´un exposé sur les injections SQL. Un discours destiné aux membres de l´Observatoire de la Sécurité des Systèmes d’Information et des Réseaux. Mais plus appétissant que ces transparents, qui, sans les explications de l´orateur, ne représentent que très peu de chose, l´on peut déguster sans modération Hedgehog, programme de monitoring et d´audit offert (oui, offert) par Sentrigo.

Microsoft vient de perdre un marché Education Nationale au Nigéria… une petite défaite marketing face son éternel adversaire Linux qui n’aurait provoqué aucun entrefilet si ComputerWorld n’avait entendu parler d’une ténébreuse affaire de « commission ». Entre les ristournes par quantité, les efforts marketing consentis au monde de l’éducation, les fonds de développement et autres variations sur le thème du mécénat, il est très facile de voir souffler le grand air du soupçon : Et si Microsoft avait offert des pots de vin à ses clients potentiels pour mieux contrer l’envolée de Linux dans les pays en voie de développement ? Situation d’autant plus ironique que l’histoire se déroule sur les bords de l’Océan Atlantique, bien loin du fleuve Limpopo grand qui est comme de l’huile, gris vert et tout bordé d’arbres à fièvre.

Que Nenni ! répondent promptement les défenseurs de la cause Microsoftienne. Le contrat n’a pas été conclu, aucune aide n’a été consentie… De l’argent que l’on promet et qui n’arrive jamais, un décor tout Nigérian, une promesse de contrat, une enveloppe de 400 000 dollars… tout çà ne semble pas plus sérieux ou réel que ces lettres de veuves éplorées enterrant d’un seul coup un époux aimant et un héritage sous séquestre.

Presque rien de nouveau sous le soleil depuis l’annonce des travaux de MM Martin Beck et Erick Tews. Presque rien, si ce n’est la publication complète des travaux des deux chercheurs, Robert Graham modifie légèrement le billet publié sur son blog… L’analyse la plus complète et la mieux vulgarisée est, une fois de plus, à lire sur le blog de Cédric Blancher : WPA n’est pas cassé, TKIP est compromis –quelque soit le protocole auquel il est associé, WPA ou WPA2-, et il est plus que nécessaire de paramétrer les routeurs WiFi avec un mécanisme WPA CCMP/AES par exemple. Seule ombre au tableau, WPA AES impose certaines contraintes et n’est pas toujours compatible avec des modes de transmission un peu « hors habitudes », tel que le WDS. Mais cela ne concerne que très peu de responsables réseau doit-on préciser.

La menace est toutefois à replacer dans un contexte plus général et… nettement moins alarmiste. A moins de travailler sur un réseau sans fil d’entreprise donnant accès à des informations de valeur –autrement dit à autre chose qu’un réseau strictement familial ou en deçà de toute DMZ- cette « menace TKIP » ne représente qu’un très faible niveau de dangerosité vis-à-vis des éventuels pirates du monde sans fil. Non seulement les attaques y sont plus rares que ne veulent bien tenter de le prouver les marchands de matériel WiFi, mais en outre il sera toujours plus simple pour un attaquant de chercher à glaner des informations sur des réseaux « faciles à pirater », soit non protégés, soit mal protégés. Wep demeure encore, dans près de 40 à 80 % des cas selon la situation géographique, le protocole de protection le plus utilisé en France, le plus simple à violer, le plus rapide à spoofer.

Dan Goodin du Reg nous raconte l’histoire abracadabrante de Francis G. Janosko, ex-détenu de la prison de Plymouth (MA) qui, probablement par désœuvrement ou nostalgie, s’est consciencieusement attelé à une tâche relativement complexe : le pillage systématique des identités (noms, adresses, N° de téléphone, de Sécurité Sociale…) des employés de l’établissement pénitentiaire. Le seul accès Internet autorisé aboutissant sur le réseau local de l’établissement était celui du serveur de mise à jour. S’agissait-il d’un SUS Server mal filtré ou d’une passerelle d’antivirus ? Mystère. Mais l’on peut probablement voir là probablement le fruit d’une lecture attentive des œuvres de Thierry Zoller qui, longtemps, a dénoncé la facilité avec laquelle les outils de mise à jour peuvent être dupés. Il suffit généralement d’une attaque en DNS pharming ou spoofing, suivie d’un camouflage d’un header d’exécutable en pseudo fichier Zip ou LZH.

Pour avoir trop lu, Janosko risque d’en prendre pour 12 ans, peine assortie d’une amende de 250 000$. C’est là l’un des rares cas où un hacker parvient à suivre physiquement le trajet de ses propres exploits.

Après une courte interruption de l´image et du son, l´outil d´inventaire de failles « en ligne » de F-Secure vient de refaire son apparition. Nouvelle URL, interface localisée (l´unique bouton de lancement est désormais affublé d´un « vérifier maintenant »), le HealthCheck de F-Secure est aussi gratuit qu´indispensable : il vérifie la validité et la « date fraîcheur » de chaque exécutable installé sur une machine Windows.

Contrairement à l´utilitaire de Microsoft, le MBSA, il ne souffre d´aucune déviance autistique. MBSA se limite aux seules failles liées à l´environnement Microsoft. C´est là une fonction très utile pour vérifier l´installation des multiples Service Pack et autres rustines « noyau » sur un serveur ou un petit groupe de travail, mais totalement illusoire si l´on souhaite vérifier l´intégrité réelle d´un poste de travail tout entier : cela fait belle lurette, en témoignent même les études de Microsoft sur le sujet, que les principales attaques visent majoritairement des défauts liés à des programmes tiers. L´application d´une mis à jour Adobe, d´un colmatage de Winzip, d´un correctif Mozilla ou d´un hook Skype est parfois plus importante que la correction d´un défaut mineur affectant Notepad. Seule ombre au tableau -mais qui comblera d´aise les travailleurs itinérants-, HealthCheck nécessite une connexion Internet.

Bien sûr, ce rapide panorama des « assessement tools » gratuits ne serait pas complet si l´on oubliait Secunia et sa déclinaison : OSI, le scanner en ligne, PSI, l´exécutable local, et NSI, la version réseau, professionnelle et payante, concurrente des produits de Shavlick par exemple.

… mais presque nous apprennent successivement Thierry Zoller, le quotidien du Sans, Gizmodo ou encore C-Net. En fait, il s’agit bel et bien d’un tour de force, puisque la clef TKIP est cassée, et, comble de subtilité, sans utiliser une méthode d’attaque par dictionnaire. Les outils employés sont disponibles sur le réflecteur Aircrack, notamment tkiptun-ng et airdecloak-ng.

Comme le font remarquer la grande majorité des experts du milieu, ce n’est pas encore la fin de WPA. On est encore loin de l’accès aux données transmises. Ajoutons enfin que rares, très rares sont les équipements WPA qui ne sont pas également capables de fonctionner en mode WPA2. Un WPA2 qui, lui, est encore à l’abri de toute menace pour des raisons conceptuelles, comme l’explique Robert Graham d’Errata Sec. Les techniciens se sentant le courage de suivre une leçon magistrale sur le fonctionnement de TKIP et sur les implications de ce type d’attaque doivent absolument se plonger dans le long article de Cedric Blancher à ce sujet.

La rédaction toute entière –correctrice-des-notes-de-la-correctrice y comprise- se demande si ce genre d’alerte est bien nécessaire : Les Amériques nous envahissent de malwares électoraux. A peine la nomination du Président d’Outre-Atlantique est-elle prononcée, à peine les processeurs des machines à voter ont-ils refroidi que chauffent déjà ceux des émetteurs de spywares, de troyens, d’hameçonnages, de virus… on va en consommer, dans les jours à venir, du Obama.exe. Ceci expliquant probablement cela, la proportion des spams et malwares associés à la très traditionnelle et très américaine nuit d’halloween n’a généré que très peu de bruit cette année. Des deux urnes, les funéraires n’ont pas survécu. A lire donc, à ce sujet, un petit florilège de perles collectées par l’équipe de l’Avert.

Toujours sur ce même thème électoral, cette nouvelle, en provenance du Blog F-Secure : les deux candidats se sont eux-mêmes fait hacker, très probablement, estiment les experts du FBI, par les services de renseignements d’une puissance étrangère. Plus de détails dans l’article de NewsWeek qui fut le premier à révéler l’affaire. Il faut dire qu’une campagne présidentielle américaine est une véritable foire aux fichiers nominatifs : des numéros de cartes de crédit fournis par les généreux donateurs d’un bord ou d’un autre, en passant par les fichiers de contacts téléphoniques, sans oublier les adresses des industriels sympathisants, des partenaires politiques, des clubs et associations variées qui gravitent dans l’orbite de chaque présidentiable, il y a là de quoi tirer bien des enseignements, bien des profits, bien des leviers…