décembre, 2008

Un billet sur le blog du MSRC, une nouvelle alerte émise sur le TechNet : la faille SQL Server fait partie des failles officiellement prises en compte. Signalé peu ou prou le même jour (https://www.cnis-mag.com/fr/le-zde-sql-server-en-demi-teintes/actualite.html) qu’a été découvert le dernier « trou I.E. », ce défaut aurait pu faire partie du dernier « out of band » compte tenu du nombre désormais important de preuves de faisabilité et autres exploits diffusés depuis. Fort heureusement, jusqu’à présent, aucune utilisation de ce trou par un malware n’a été constatée à ce jour.

Plus qu’une simple mesure palliative, Microsoft « offre » donc, en cette veille de Noël, un script de contournement kilométrique, plus efficace que les dispositions recommandées jusqu’à présent. Rappelons que l’existence de cette faille a été signalée par ses inventeurs dans le courant du mois d’avril dernier.

Dans un communiqué ne précisant pas le montant des modalités financières, CheckPoint annonce la signature d’un accord devant aboutir à l’achat de la division « appliances de sécurité » de Nokia. Rappelons que Nokia utilisait notamment l’UTM VPN-1 de CheckPoint en OEM. Le géant de la téléphonie cellulaire s’était peu à peu constitué un catalogue d’équipements spécialisés dans la sécurité des réseaux convergents « mobile./ lan ».

Sun annonce le lancement de VirtualBox 2.1, une nouvelle génération de station de travail virtuelle. Le « changelog » dressant la liste des améliorations techniques est aussi long qu’un préambule Balzacien… De manière plus lapidaire, l’on note une prise en charge du support matériel de la virtualisation AMD et Intel sur les machines sous OS/X, ainsi que la possibilité d’exécuter des programmes 64 bits sur des ordinateurs dont le noyau du système hôte fonctionne en mode 32 bits. Cette dernière caractéristique, qualifiée d’expérimentale par ses concepteurs, concerne à priori un peu plus les développeurs et expérimentateurs que les usagers conventionnels.

Les fiers policiers du continent Australien ont arrêté et fait condamner un « spam king », un polluposteur de grande envergure. La presse Kiwi ne tarit pas d’éloges et précise que, de l’avis même du juge, c’est là la conclusion d’une des « largest in the history of the internet ». Et de se féliciter du montant de l’amende infligée à ce sinistre personnage : $92.715 (Australiens, les dollars).

Moins de 100 000 Au$pour avoir inondé de milliards de courriers les citoyens du monde entier, piraté plus de 35 000 machines pour les intégrer à ses botnets et contrevenu à un nombre incalculable de règlementations sur le commerce des drogues. Une goutte d’eau dans l’océan des profits, si l’on se reporte à l’étude publiée par des chercheurs de l’Université de Berkeley sur l’économie du Spam. Une paille comparativement à l’un des précédents jugements qui, moins de 3 ans auparavant, avait condamné ce même personnage à 2,2 millions de dollars US pour des motifs strictement identiques, dans l’un des pays pourtant considéré comme l’un des plus permissifs dans le domaine du pollupostage.

L’information fait les gros titres du Reg et d’IT World : L’équipe de jeunes chercheurs du MIT qui, durant la dernière DefCon, avait mis en évidence une avalanche de failles de sécurité dans l’infrastructure du MBTA, le métropolitain de Boston, est désormais salariée par ce même MBTA. Salariée pour précisément consolider et colmater les brèches en question.

Rappelons que ces chercheurs-étudiants, qui travaillent notamment sous la férule de Ron Rivest, avaient eu l’intention de présenter un exposé intitulé « The Anatomy of a Subway Hack: Breaking Crypto RFID’s and Magstripes of Ticketing Systems ». L’annonce de cette conférence avait immédiatement provoqué une réaction épidermique de la part de la régie des transports de Boston, la MBTA, qui a émis une injonction suspensive interdisant la divulgation de propos jugés « dangereux et nuisant à la bonne marche de l’entreprise ». Une injonction initialement approuvée par un juge d’Etat –les tribunaux du Massachusetts sont réputés pour leur attitude conservatrice-, puis déboutée par un juge Fédéral. Ce retour à de bons sentiments n’est pas la marque d’un changement de mentalité entrepreneuriale, comme semble le soupçonner certains confrères. C’est surtout la reconnaissance d’un choix technologique mal intégré, d’une accumulation d’erreurs humaines.

Il existe deux manières de considérer ce grave fléau qu’est le vol d’informations personnelles : La Britannique et la Germaine.

Mais prévenons les âmes sensibles : ce qui s’est passé en Grande Bretagne est de loin la nouvelle la plus dramatique : La Duchesse d’York, Fergie, s’est faite dérober un ordinateur portable contenant des photos de famille prises durant ses dernières vacances. Un « scoop » du Telegraph. Les instantanés numériques en question dévoileraient les actes quotidiens du Prince Andrew et des Princesses Béatrice et Eugénie. Derrière ce drame abominable se dresse le spectre hideux d’une hypothétique publication dans une feuille à scandale.

Outre Rhin, en revanche, les nouvelles semblent un peu plus supportables. Trois universitaires de Mannheim ont établi ce qui semble être la toute première étude sérieuse sur la volumétrie des attaques en usurpation d’identité, fruit de sept mois de « cyberplanque » s’étalant d’avril à octobre de cette année.

Jusqu’à présent, les analyses effectuées principalement par les RSA, Symantec et autres spécialistes du milieu se contentaient de tirer des extrapolations statistiques en se basant sur l’activité d’une seule « place de marché », voire d’une ou deux « bases de données » mafieuses découvertes au gré des scans réseau. Messieurs Thorsten Holz, Markus Engelberth et Felix Freiling ont procédé tout autrement. Ils ont tout d’abord infiltré un botnet constitué de machines infectées. Une opération sous couverture reposant notamment sur CWSandbox, outil d’analyse de malware. Une fois les machines-leurres infectées soit avec Limbo, soit avec ZeuS, les chercheurs ont tenté de remonter la filière pour aboutir aux réseaux collecteurs de données, ou « drop zones ». Ce n’est donc pas un ou deux serveurs qui ont ainsi été examinés, mais près de 70 points de récupération sur un échantillonnage de 300, un reflet exact de la réalité. Au total, les trois universitaires ont recensé plus de 164 000 machines infectées, 28 Go de données, stockées majoritairement en Chine et en Malaisie, mais également en Russie et Estonie. L’on constate d’ailleurs à ce sujet que le nombre de « drop zones » est inversement proportionnel au volume de données récupérées… une conséquence indirecte des risques de rétorsion policière et de la nécessité de disperser les ressources en Europe notamment ?

L’analyse temporelle de l’infrastructure est, elle aussi, riche d’enseignements. Si, dans certains cas exceptionnels, certains postes de travail peuvent abriter un keylogger durant plus de 100 jours, la moyenne d’infection ne dépasse pas 2 jours. Ce qui implique un incessant travail de chasse à la machine vulnérable. Le temps moyen de durée de vie d’une « drop zone » chargée de la collecte des données volées se situe, quant à lui, aux alentours de deux mois.

Et tout çà pour récolter quoi ? 10700 crédences de comptes bancaires, 149000 mots de passe de messageries « webmail », 5682 numéros de cartes de crédit, 5712 crédences eBay. Dans la course à la « plastic money », c’est Visa qui décroche le pompon : 3764 vols, suivi de MasterCard (environ 1500) et AmEx 406. Pour ce qui concerne les détournements d’argent « en ligne », Paypal arrive premier : 2263 comptes piratés, 851 comptes détournés des banques appartenant à l’espace du Commonwealth, 5709 appartenant à HSBC. De tous ces comptes en ligne, 25 d’entre eux étaient couverts à plus de 130 000$. Sur les quelques 5682 cartes de crédit valides, et en se basant sur le montant moyen des fraudes constaté par l’Internet Crime Complaint Center américain (298 $), les pertes affectant les victimes frisent les 2 millions de dollars.

Mais si les cartes de crédit et numéros de compte se négocient parfois jusqu’à 1000 $ pièce, les simples accès email garantissent également un solide retour sur investissement. Entre 4 et 30 $ l’unité, selon le sérieux du fournisseur, l’on comprend aisément que la « moisson » de mots de passe Windows Live ou Yahoo atteigne des volumes quasi industriels. Durant leur campagne, les chercheurs Allemands ont dénombré 66500 comptes Live, 28 000 crédences Yahoo, 18 000 accès Mail.ru, 5000 sésames Google. Idem pour les réseaux sociaux, avec 14500 identités Facebook… rappelons que cette récolte n’est le fruit que de 200 jours d’examen d’activité.

Bien sûr, ce n’est là que la première étude chiffrée du genre. Il en faudrait encore d’autres, utilisant les mêmes méthodes empiriques, pour obtenir une projection objective de l’ampleur des dégâts. Mais déjà, ces chiffres parlent d’eux-mêmes : En 7 mois, grâce à deux racines virales, 10 000 comptes en banque, 5500 numéros de cartes de crédit ont été compromis. Un instantané assez évocateur qui laisse aisément comprendre que les chiffre « officiels » -tels que ceux du CSI-FBI- sont loin, très loin de la réalité, car ne s’appuyant que sur les vols ayant fait l’objet d’un dépôt de plainte.

Dans un rapport de 90 pages intitulé « Sécuriser le CyberEspace, pour la 44ème Présidence », le CSIS Center for Strategic and International Studies tire une sonnette d’alarme : les USA ont, en matière de défense des Technologies de l’Information et des Communications, pris un retard considérable. C’est là l’un « des problèmes les plus urgents auquel doit faire face l’Administration qui prendra ses fonctions en Janvier 2009. C’est, à l’instar de l’histoire d’Ultra et Enigma, une guerre de l’ombre. Et c’est une guerre que nous sommes en train de perdre ». Le ton est donné. Il faut, conseille le CSIS, que l’Administration Obama fasse des efforts dans les domaines suivants :

Une stratégie de défense du cyber-espace cohérente

Une direction monocéphale, pilotée directement par la Maison Blanche

Une nouvelle approche des partenariats public-privé

Un cadre législatif précis

Une politique de gestion des identités

Une modernisation des moyens d’action

Une politique d’achats de matériel reposant sur une sécurité normée

Des efforts dans les secteurs de la formation, de la recherche, et de la consolidation des connaissances, afin de détenir le leasdership dans le domaine de la sécurité du cyberespace

Une conservation et une réutilisation des acquis déjà forgés par l’Administration Bush.

Il est intéressant de noter, malgré une très nette sourdine placée sur ces propos, que le CSIS accuse directement les « orientations » observées jusqu’à présent dans la sécurisation des infrastructures d’Etat. Des orientations biaisées par les dérives des principaux vendeurs de sécurité ayant décroché des marchés Fédéraux ou auprès des Administrations locales. Parmi les solutions, une approche « originale » pour un pays libéral : une « acquisition » de ressources ou d’entreprises pour que les corps constitués (armée, police, finance etc » ne bataillent pas pour configurer leurs propres réseaux, leurs infrastructures. La politique de sous-traitance à des entreprises civiles est considérée comme dispendieuse. Nationalisation ou « in-sourcing » (P.55), voilà qui tranche nettement avec la vision conservatrice en usage jusqu’à présent. Serait-ce un écho à l’actuelle politique interventionniste qui consiste à aider les banques ou les constructeurs automobiles en difficulté ?

Un peu préoccupante, en revanche, cette tentative de « technicisation » du rapport et des conseils apportés. Trois pages après ces propos anti-outsourcing, voilà que les rapporteurs rappellent les principales plaies du système Internet : une DNS fragile, des routages compromis par les failles BGP… est-ce bien le rôle de chargés de mission d’aller aussi loin dans le détail ? Et de tels conseils ne risquent-ils pas de focaliser l’administration Obama sur ces seuls points en particulier, négligeant d’autres problèmes structurels tout aussi importants ?

Mais le point le plus épineux reste la question de la politique de gestion des identités. Cette volonté d’imposer un « national ID », une carte d’identité Fédérale, associée à une énorme base de données informatique détenue par l’Administration, revient une fois de plus sur le tapis. Rappelons qu’il n’existe pas de tel document aux USA, et que les preuves d’identité se limitent bien souvent au « picture ID » d’un permis de conduire, obtenu en moins d’une heure au premier bureau d’un DMV de province. Mais plus qu’une carte d’identité, les experts du CSIS réclament à cors et à cris un système d’authentification numérique lié à cette identité informatique. Une preuve certifiée qui servirait de garantie dans tous les actes de la vie quotidienne, tant administratifs que financiers. Cette idée remonte à la haute époque du « tout numérique », lorsque Bill Gates vantait les mérites de son Microsoft Passport, qu’Eric Schmidt, alors patron de Novell, poussait l’idée d’un standard unifié baptisé Digital Me et que le Liberty Alliance se prétendait seul détenteur d’une cybervérité certificatrice, identitaire et fédératrice. Le temps qui s’est écoulé depuis n’a pourtant pas supprimé les risques de failles et les problèmes techniques qui permettraient des exploitations encore plus phénoménales que ce que l’on connait à l’heure actuelle.

Comment l’Equipe Obama saura-t-elle interpréter ce message ? La tentation du pouvoir absolu et de ses accessoires (tel les écoutes téléphoniques « antiterroristes » votées et approuvées notamment par le Sénateur Obama) fera-t-elle succomber le clan des Démocrates ? Peut-on, à ces niveaux de pouvoir, parler de sécurité des infrastructures sans dériver insensiblement vers un renforcement des appareils policiers et une restriction croissante des libertés individuelles ? Pour l’heure, le nouveau candidat achève son travail de redistribution des postes clefs, en nommant une pléiade de gens choisis en fonction de leur intelligence et de leur compétence plutôt qu’en raison d’une appartenance partisane. Ces grands commis de l’Etat devront assumer les espoirs que « Monsieur 44 » leur porte, sans que des querelles d’ego ne viennent fausser leurs décisions.

DataLoss.db, l’observatoire des fuites de données et d’identités purement États-Unien, vient d’ouvrir une nouvelle boîte de pandore : les pertes de fichiers survenues dans les administrations d’Etats. Pertes généralement passées sous silence, et connues de quelques rares fonctionnaires. C’est grâce au travail de fourmis de Chris Walsh et à l’invocation du FOIA (Freedom of Information Act) que l’équipe de Dataloss compte alimenter régulièrement cette nouvelle rubrique. Généralement focalisée sur les erreurs commises dans le secteur privé, la presse américaine ne mentionne qu’exceptionnellement ce genre de problème de sécurité. En France, fort heureusement, ce genre d’accident n’arrive jamais …

A l’heure actuelle, la proportion d’exploits visant des programmes « non Microsoft » tend à croître de manière exponentielle. Dame, depuis l’invention du Patch Tuesday, il devient de plus en plus difficile de trouver une faille qui offre un véritable retour sur investissement. Avant que les « scanners gratuits de vulnérabilités » et autres programmes de prévention généralistes ne se banalisent et viennent empoisonner la vie des auteurs de malwares, l’on assiste à une véritable mode du « PoC exogène ». Du bug Java au trou Acrobat Reader, du défaut Winzip à l’instabilité FlashPlayer, il n’est bon de bon exploit qui n’est pas Microsoft. Parmi les préférés du genre, Adobe a connu, ces derniers mois, un succès d’estime quasi mondial : un produit fiable, réservant chaque semaine une faille d’autant plus intéressante que très peu d’utilisateurs pensent à effectuer les mises à niveau. Précisons également qu’il existe des milliards de vieux « readers » de fichiers pdf, tapis dans les recoins d’un antique CD-Rom de démonstration, camouflés au détour d’un « readme » lié à une procédure d’installation.

Pour améliorer la situation, l’équipe sécurité de l’éditeur « promet d’être plus réactive que par le passé, plus communicante, plus… » rapide, surtout. Pour que des failles connues ne se transforment pas derechef en vecteurs d’infection ou d’espionnage. Première preuve de cette volonté d’information et de transparence, le Blog Asset, pour Adobe Secure Software Engineering Team. Bourré de bonnes intentions… mais peut-être truffé de détails diaboliques. Une lecture attentive montre que certains passages nécessitent une interprétation du droit canon digne des querelles du Concile de Nicée. Et notamment ce court passage mentionnant cette attention portée aux travaux des chercheurs en sécurité qui se conforment aux « standards de l’Industrie en matière de divulgation » (sic). Ca commence bien : un « standard » autoproclamé, voilà une preuve indiscutable de libéralisme éclairé, digne de la tolérance prônée par le Siècle des Lumières. Rappelons -les chercheurs d’Elcomsoft en ont fait la dure expérience- qu’Adobe était jusqu’à présent plus prompt à dégainer les avocats que les compilateurs, les affidavits expédiés aux agents du FBI que les bulletins d’alerte. Peut-on chasser le naturel en galopant sur un Blog ?

Battus par les flots, ils ne coulent pas. Certains, pourtant, changent de navire, par mesure de précaution. Ainsi, à MoFo, l’on rappelle qu’après la série de correctifs récemment publiés (voir article précédent ), Firefox 2.x serait retiré de la scène. Cette transition, encore peu médiatisée, risque de poser un problème de sécurité certain, tant dans le secteur grand public que professionnel.

Au fait, l’on allait presque oublier de préciser… que la rustine MS08-078 a été publiée et que la presse, comme un seul homme, commente la publication de ce dernier « out of band ». Quelques experts y vont également de leur écho, tel le Sans, froid et distant, l’Avert Lab qui démonte pièce après pièce une autre méthode d’exploitation, F-Secure qui adopte un style « AFP », succinct au possible, et Thierry Zoller, qui prend un malin plaisir à améliorer la présentation de son observatoire de la rapidité des éditeurs d’antivirus… Lorsque la courbe atteindra la cote 38, 100 % des antivirus seront capables de contrer le Zero Day d’Internet Explorer »… plus d’une semaine après la divulgation de cette faille, la courbe atteint péniblement le niveau 15.

Firefox… c’est fait. Internet Explorer, traité. Safari ? on en a déjà parlé en début de semaine. Reste… Opera, qui, lui aussi, fait l’objet d’une mise à niveau, matricule 9.63, m’n’adjudant. Une édition qui ferme la porte à bon nombre de menaces, dont quelques injections de scripts et autres exécutions à distance. Bref, dans tous les cas, on télécharge, on teste (vite !), on déploie. Repos ! Vous pouvez fumer.