décembre, 2008

C’est probablement l’un des premiers outils de protection reposant sur une approche « cloud computing » : Exploit Shield, actuellement au stade de la « préversion publique », est une sorte de firewall capable de filtrer les attaques Zero Day. Ou plus exactement prétendant les filtrer. Comment fonctionne-t-il ? En stockant des « signatures d’attaque » relatives à un exploit répertorié dans la base CVE. La signature en question est détectée par le réseau de Honeypot/Honeymonkey (automates de recherche d’exploits singeant le comportement d’un internaute imprudent). Dès qu’un exploit nouveau est découvert par ce réseau mondial, les chercheurs du labo F-Secure analysent son fonctionnement, en extraient une signature et propagent cette marque de reconnaissance à l’ensemble des « clients » dispersés dans le nuage internet. C’est donc du « quasi temps réel » que nous promettent les chasseurs de virus Finlandais. Parallèlement à cette action de protection, chaque copie d’Exploit Shield serait également capable de renvoyer vers les laboratoires d’Helsinki une URL qui paraîtrait suspecte aux mécanismes de protection heuristique embarqués.

Après l’antirootkit BlackLight, un programme d’inventaire de failles en ligne et un « traceroute » graphique indiquant la géolocalisation des adresses IP dialoguant avec le poste protégé, c’est le troisième outil gratuit que propose F-Secure. A cheval donné, on ne regarde pas la dent.

Alors, la réputation, un mot creux ? Certainement pas. Car sa valeur, fidèlement entretenue par les Grands Argentiers, est un capital que savent fort bien exploiter les organisations mafieuses. On n’attaque pas une réputation, on l’exploite, on la détourne, nous explique une récente étude conduite par Cisco. L’on y parle de « reputation hijacking » dans le cadre du spam et du phishing… car quoi de meilleur pour un vendeur de viagra frelaté que de se réclamer des laboratoires Pfizer ou, pour un boutiquier du Scareware, de s’abriter sous une enseigne ayant le goût, la couleur, la senteur de Microsoft ? La réputation, c’est le Canada Dry de l’entreprise piratée. Et cela commence avec le cassage des codes de protection de type « Captcha ». Car l’on ne peut soupçonner un spam derrière la « réputation » d’un Hotmail, d’un Gmail ou d’un Yahoo. Une technique qui ne représente que 1% du spam mondial, mais qui atteint 7,6 % du volume de courrier transféré par ces fournisseurs de services. A titre de référence, le volume de spam estimé par Cisco frise les 200 milliards d’emails émis chaque jour, soit 90% du volume mondial des courriels envoyés.

Ouvrons ici une parenthèse pour signaler l’existence d’un autre papier, publié, lui, dans les colonnes de Network World, et qui porte le titre évocateur suivant : Can Spam : qu’est-ce qui a mal tourné ?. L’article de notre consœur Carolyn Duffy Marsan fourmille de chiffres absolument catastrophiques, très peu différents de ceux avancés par Cisco d’ailleurs. Mais pourquoi fallait-il en « tartiner » trois pages web, alors que toute l’information tient ironiquement dans le titre ? En promulguant la loi « Can Spam », dont l’un des plus ardents défenseurs fut Bill Gates, les Etats-Unis ont favorisé les dérives d’un pollupostage soumis à la seule règle de « l’opt out ». En d’autres termes, tout le monde peut envoyer n’importe quoi à tout le monde, en vertu d’un droit légitime à la communication et au commerce. Les usagers ayant la possibilité, en revanche, de demander par retour du courrier d’être rayé des listes de diffusion. Mais qui peut se permettre, avec une moyenne de 1500 pourriels par jour, de demander une radiation pour chaque message non sollicité reçu ? Quel organisme peut prétendre légiférer ce capharnaüm permanent ? Les quelques sentences décrochées par la FTC envers de rares polluposteurs ont fait s’évanouir les acteurs les plus actifs derrière des sociétés-écrans, des domiciliations Canadiennes et des armées d’avocats spécialistes des ripostes pour vice de procédure. Can Spam n’est rien d’autre qu’une tentative étatique pour organiser en partie la délinquance sur Internet. C’était une chose prévisible lorsque cette loi fut votée, cela se vérifie hélas chaque jour aujourd’hui.

A en croire certains spécialistes en sécurité, le premier des dols à déplorer après une cyberattaque visant un établissement financier, c’est l’atteinte à sa réputation. Un argument chanté sur tous les tons tout au long d’une étude commanditée par Javelin, un spécialiste de la protection d’identité. « 55% of consumers experiencing a security breach expressed diminished confidence in the breached organization’s ». Mieux encore: « Data breach victims (56%) favor a solution that prevents fraud ». Etude que viendrait confirmer d’autres analyses, notamment du Ponemon Institute et d’ID Expert, dont Adam Dodge du Security Catalyst reprend les chiffres essentiels. Traduction synthétique :

55% (Javelin) ou 57% (Ponemon) des particuliers perdent toute confiance en l’organisation ; 30% (Javelin) à 31% (Ponemon) des personnes interrogées ont précisé qu’une faille de sécurité exploitée marquerait la fin de leurs relations avec l’entreprise concernée. En d’autres termes, un client sur 3 changerait de banque, d’assurance, de caisse de retraite complémentaire.

Inutile de préciser que, dans une telle perspective, il est difficile de trouver un banquier –particulièrement en France- qui accepterait de révéler l’existence de fraudes à quelque niveau que ce soit. On « vend de la confiance » en premier lieu, pas du carnet de chèque.

« Oui, mais non ! »rétorque le très décapant Alan Shimel sur son blog Still Secure. « Si cela était vraiment le cas, les entreprises touchées s’effondreraient comme un château de cartes dès le premier entrefilet publié dans la presse. Or, il n’en est rien ». De TJX à DSW Shoes en passant par Best Buy (le hit parade des vols d’identité et de comptes qui ont fait la hune des années 2007-2008), aucune de ces entreprises n’a essuyé le moindre coup de semonce provenant des marchés boursiers. L’action s’est maintenue contre vents et marées. Et pourtant, un actionnaire, c’est frileux en diable, si, sur ses actions, plane la moindre rumeur de baisse d’activité et de rapport d’abondement.

Cet avis de véritable expert est à rapprocher d’une vieille, très vielle étude, la première du genre, entamée peu de temps après l’affaire CardSystems. Ce brocker –intermédiaire de payement dans les transactions par carte de crédit-, fut l’un des premiers à faire les gros titres de la presse sécurité. Une faille SQL très connue avait permis à des truands de s’approprier identités et numéros de comptes de centaines de milliers d’acheteurs. Si CardSystems a bu le bouillon, suite au départ de ses principaux clients (American Express, Visa, MasterCard…), les utilisateurs de ces mêmes cartes n’ont pas bronché. Passé quelques semaines d’agitation boursière, le cours de l’action des principaux responsables –car une banque est directement responsable du choix et de la qualification des intermédiaires avec qui elle travaille-, le cours de l’action donc a retrouvé son niveau « normal ». Tous les détails dans cet étonnant document intitulé « How It’s Difficult to Ruin a Good Name: An Analysis of Reputational Risk ». Toute autre pseudo-étude commanditée par une entreprise à la fois juge et partie est donc à prendre avec des pincettes … Et ce, quoiqu’en disent d’autres experts qui, additionnant de la monnaie de singe et l’argent virtuel qui « aurait dû être dépensé », parviennent à chiffrer les « pertes » du hack de TJX par exemple. Combien, dans ces cas précis, coûte à l’entreprise non pas le piratage, non pas l’atteinte à la réputation, mais l’incompétence de la DSI en place ? Nul rapport sur ce point.

Mais alors, le « client final » est-il un imbécile achevé ? Une question que les experts du Ponemon feraient bien de se poser. Une question que ne se posent généralement pas les premiers concernés. Car qui n’a pas dû, une fois dans sa vie, changer de banque suite à un déménagement ? Entre les virements automatiques, les formulaires 39bis modifiés 45 en triple exemplaires, les « temps de latence » de transfert de carte de crédit, les absences du responsable d’agence, les courriers aux correspondants… un parcours du combattant qui montre à quel point l’usager est plus ou moins prisonnier du système.

Billet alarmiste, mais billet intéressant que celui de Micha Pekrul sur le blog de l’Avert. Il nous parle d’un vieux classique, DNSChanger, le vecteur d’attaques qui intercepte les requêtes DHCP au vol et redirige les requêtes dns au bon gré de ses « maîtres ». Si l’une des premières exploitations évidente de DNSChanger est son utilisation dans le cadre d’attaques en phishing –un moyen très élégant pour spoofer une URL. Mais, renchérit Pekrul, il y a un autre danger, bien plus pernicieux, bien plus immédiat, bien plus discret : le détournement des adresses de « mise à jour ». Un Microsoft Update qui boucle sur localhost, c’est déjà pas drôle, mais une mise à jour de base d’antivirus qui pointe sur www . blackhatpwner . org, c’est considérablement plus inquiétant. Surtout par les temps qui courent. Les petites séquences d’animation qui illustrent le papier de l’Avert sont édifiantes, même pour des non-techniciens.

Les plus vieux responsables sécurité ou les plus observateurs se souviennent encore d’une idée qu’avait émis Thierry Zoller, il y a quelques années, à propos des possibilités de détournement des « mises à jour » du spyware commercial Zango (ou de tout autre programme n’effectuant pas de contrôle d’intégrité des fichiers reçus). Il y a là, avec DNSChanger, de la graine de machines à botnet. Il y a surtout un énorme risque de blocage de dialogue des outils de sécurité, donc de « protection » des machines zombies contre les méfaits… d’un correctif salvateur. Intéressant retournement de tendance.

Mise à niveau obligatoire : l’édition 3.0.5 de Firefox corrige une jolie brochette de trous de sécurités, donc certains font d’ores et déjà l’objet de commentaires enflammés sur la liste du Full Disclosure. Quelques PoC commencent à circuler, et les mesures habituelles de prudence sont à observer. Les failles colmatées sont, cette fournée-ci, au nombre de 8.

* MFSA 2008-69 XSS vulnérabilité dans SessionStore
* MFSA 2008-68 XSS et élévation de privilège JavaScript
* MFSA 2008-67 gestion du caractère d’échappement “null“ ignoré par le parser CSS
* MFSA 2008-66 Erreur de parsin d’URLs contenant un espace ou un caractère de contrôle (un vieux classique)
* MFSA 2008-65 Vol de donnéesCross-domain data
* MFSA 2008-64 fuite d’information XMLHttpRequest 302
* MFSA 2008-63 flicage de l’usager par l’attribut XUL
* MFSA 2008-60 Crash et corruption de mémoire (rv:1.9.0.5/1.8.1.19)

Une mise à jour importante de Safari –une édition 3.2 pour Mac OS X 10.4.x (Tiger) et Mac OS X 10.5 (Leopard)-, une nouvelle édition truffée de rouge avec Firefox 3.0.4 qui traîne un impressionnant cortège d’alertes CVE : cette fois, le passage aux différentes moutures « N+1 » est plus que conseillé. S’il fallait, pour les utilisateurs de Macintosh, un argument supplémentaire pour passer à l’acte, l’intégration d’un filtre anti-phishing dans la 3.2 devrait amplement suffire aux plus dubitatifs. Profitons de l’occasion pour rappeler aux usagers de Firefox que la version 2.x ne devrait pas « passer l’hiver », et que l’adoption de l’édition 3.0 devient obligatoire.

Les responsables de parc entament la semaine un peu comme ils ont terminé la précédente : dans une ambiance morose de lendemain de ZDE mal digéré. Avec cependant une lueur d’espoir : il y aura, nous promet Microsoft, un correctif « out of band » dans un délai d’autant plus proche qu’il sera d’autant moins éloigné. Le rigorisme de cette précision étant directement dépendant des tests de régression qu’effectuent à l’heure actuelle les laboratoires de Redmond. Car il serait malvenu que l’anti-bug s’avère aussi destructeur que le bug lui-même.

Il faut avouer, dit-on du côté de MS-France, que les mesures de contournement actuellement suggérées ne sont pas franchement à la portée du premier primo-informatisé venu. Entre les « Disable XML Island functionality » via la clef HKCRCLSID{379E501F-B231-11D1-ADC1-00805FC752D8} et les « Unregister OLEDB32.DLL » par le biais de la commande « Regsvr32.exe /u « %ProgramFiles%Common FilesSystemOle DBoledb32.dll », l’Homo Sapiens Binaris risque d’y perdre son latin. Pour lui, et pour la quiétude de son âme, il y aura un « patch someday » dans les jours à venir (à prévoir le 18 selon Christopher Budd).

Et l’industrie dans tout çà ? Officiellement, « Microsoft a tout fait, dans le cadre de son bulletin d’alerte 961051, pour que les Directions Informatique puissent se protéger contre d’éventuelles attaques ». En théorie, toute menace est écartée. En théorie seulement. Car le caractère procédurier et tatillon de bon nombre de DSIs, nourries au sein des architectures fermées sauce SNA et des déploiements monolithiques planifiés établis à la haute-époque C2I-Honeywell-Bull, a montré qu’il n’en est rien. Le dernier correctif « out of band » du mois dernier, d’une urgence indiscutable et vecteur de plusieurs exploitations, s’est vu « retardé » sine die par certains amoureux de la régularité obtuse. Le résultat ne s’est pas fait attendre : près de 10 entreprises parmi les plus importantes du CAC 40 se sont faites attaquer. Or, le tout dernier ZDE qui frappe Internet Explorer fait, d’ores et déjà partie des vecteurs de pénétration intégrés dans les kits à malware de la famille Zeus. (voir ci-après). On peut donc craindre le pire, pire aggravé par la remontée quasi traditionnelle des attaques aux alentours des fêtes de fin d’année.
Mais revenons au défaut lui-même.

L’alerte du Sans Institute de vendredi, concernant le fameux « ZDE » Internet Explorer, est confirmée : I.E. 5, 6, 7 et 8, tous les noyaux de Windows, de 2000 à 2008, Vista et systèmes 64 bits y compris sont frappés de cette même peste. Les PoC se multiplient. L’alerte 961051 lancée par Microsoft s’est, depuis son édition originale, légèrement étoffée.
Thierry Zoller, de son côté, s’est intéressé à la rapidité avec laquelle les éditeurs d’antivirus ont réagi face au « Zero Day Internet Explorer ». 5 jours après l’alerte, plus d’un tiers des spécialistes du périmétrique n’étaient pas encore parvenus à intégrer la signature en question. Et pendant ce temps, ces deux superbes trous sont activement exploités, nous confirme l’équipe de Trend Micro, tandis que Shadow Server continue, jour après jour, de dresser la liste des domaines qui « servent » l’exploit I.E..

Et ce n’est qu’un début, pense Fabien Périgaud du Cert Lexsi. Car le ZDE Internet Explorer, c’est un peu comme le dernier modèle d’iPod au moment des fêtes de noël : il faut absolument qu’il soit intégré aux kits d’exploitation proposés par les vendeurs de « malware as a service ». Ces temps de réaction quasi foudroyants ne coûtent d’ailleurs pas aussi chers que les « hotlines de phishing localisées » : 50 $ par mois, hébergement, pré-configuration du code, charge d’infection « à jour » et interface d’administration comprise. C’est nettement moins cher qu’un abonnement MSDN et très probablement plus rentable.

Pendant ce temps, Nicolas Ruff s’interroge : Où va la sécurité ? Et de gloser de manière fort instructive sur la sécurité dans le développement et le poids du code hérité… voilà qui rappelle tout ce qu’a pu écrire Michal Zalewski dans son Browser Security Handbook . La faille I.E. qui vient d’être découverte –mais vient-elle réellement d’être découverte à l’instant ?- est faite d’un bois qui fait des Sasser. Est-ce un échec de la politique de « secure coding » entamée par Microsoft depuis la remise à plat du code de Vista ? Que nenni ! Car il en est des failles comme du bon vin : certaines sont bien antérieures à ces « bonne résolutions 2006 », et il serait un peu hâtif de conclure à l’échec d’une politique somme toute récente. Puis, changeant subtilement de sujet, NewSoft nous entraîne dans un petit exercice de dialectique sécuritaire. Ces « über failles » sont, entre autres, l’une des raisons d’être des campagnes de test d’intrusion. Mais pas la seule. Ces tests, explique en substance NewSoft, ne peuvent être remplacés par des audits consciencieux de la « chose écrite », « le (bon) test d’intrusion n’a rien à voir avec l’exploitation de failles d’implémentation … » insiste l’auteur. Le Buffer overflow nous éblouit, la faille Acrobat détourne un peu trop notre attention, explique-t-il en substance. De toute manière, tôt ou tard, si exploit dangereux il y a, l’éditeur finira bien par publier une rustine. Ce contre quoi il n’existe pas de rustine, ce sont les défauts récurrents mis en évidence par les tests d’intrusion simples : comptes sans mot de passe, défauts de conception…

L’autre ZDE, celui qui frappe SQL Server et qui a été découvert pas Sec Consult, semble plus compliqué à éviter qu’il n’y paraît. L’astuce de limitation de risque conseillée par Microsoft- une suppression de procédure stockée- ne peut être appliquée sous SQL Server 2005. Une impossibilité qui nécessite une modification des droits d’exécution sur l’ensemble du rôle. Il n’y aura pas, nous confirme la cellule sécurité de Microsoft France, de correctif « out of band » pour ce trou très précis.

Les responsables de parc entament la semaine un peu comme ils ont terminé la précédente : dans une ambiance morose de lendemain de ZDE mal digéré. Avec cependant une lueur d’espoir : il y aura, nous promet Microsoft, un correctif « out of band » dans un délai d’autant plus proche qu’il sera d’autant moins éloigné. Le rigorisme de cette précision étant directement dépendant des tests de régression qu’effectuent à l’heure actuelle les laboratoires de Redmond. Car il serait malvenu que l’anti-bug s’avère aussi destructeur que le bug lui-même.

Il faut avouer, dit-on du côté de MS-France, que les mesures de contournement actuellement suggérées ne sont pas franchement à la portée du premier primo-informatisé venu. Entre les « Disable XML Island functionality » via la clef HKCRCLSID{379E501F-B231-11D1-ADC1-00805FC752D8} et les « Unregister OLEDB32.DLL » par le biais de la commande « Regsvr32.exe /u « %ProgramFiles%Common FilesSystemOle DBoledb32.dll », l’Homo Sapiens Binaris risque d’y perdre son latin. Pour lui, et pour la quiétude de son âme, il y aura un « patch someday » dans les jours à venir (à prévoir le 18 selon Christopher Budd).

Et l’industrie dans tout çà ? Officiellement, « Microsoft a tout fait, dans le cadre de son bulletin d’alerte 961051, pour que les Directions Informatique puissent se protéger contre d’éventuelles attaques ». En théorie, toute menace est écartée. En théorie seulement. Car le caractère procédurier et tatillon de bon nombre de DSIs, nourries au sein des architectures fermées sauce SNA et des déploiements monolithiques planifiés établis à la haute-époque C2I-Honeywell-Bull, a montré qu’il n’en est rien. Le dernier correctif « out of band » du mois dernier, d’une urgence indiscutable et vecteur de plusieurs exploitations, s’est vu « retardé » sine die par certains amoureux de la régularité obtuse. Le résultat ne s’est pas fait attendre : près de 10 entreprises parmi les plus importantes du CAC 40 se sont faites attaquer. Or, le tout dernier ZDE qui frappe Internet Explorer fait, d’ores et déjà partie des vecteurs de pénétration intégrés dans les kits à malware de la famille Zeus. (voir ci-après). On peut donc craindre le pire, pire aggravé par la remontée quasi traditionnelle des attaques aux alentours des fêtes de fin d’année.
Mais revenons au défaut lui-même.

L’alerte du Sans Institute de vendredi, concernant le fameux « ZDE » Internet Explorer, est confirmée : I.E. 5, 6, 7 et 8, tous les noyaux de Windows, de 2000 à 2008, Vista et systèmes 64 bits y compris sont frappés de cette même peste. Les PoC se multiplient. L’alerte 961051 lancée par Microsoft s’est, depuis son édition originale, légèrement étoffée.
Thierry Zoller, de son côté, s’est intéressé à la rapidité avec laquelle les éditeurs d’antivirus ont réagi face au « Zero Day Internet Explorer ». 5 jours après l’alerte, plus d’un tiers des spécialistes du périmétrique n’étaient pas encore parvenus à intégrer la signature en question. Et pendant ce temps, ces deux superbes trous sont activement exploités, nous confirme l’équipe de Trend Micro, tandis que Shadow Server continue, jour après jour, de dresser la liste des domaines qui « servent » l’exploit I.E..

Et ce n’est qu’un début, pense Fabien Périgaud du Cert Lexsi. Car le ZDE Internet Explorer, c’est un peu comme le dernier modèle d’iPod au moment des fêtes de noël : il faut absolument qu’il soit intégré aux kits d’exploitation proposés par les vendeurs de « malware as a service ». Ces temps de réaction quasi foudroyants ne coûtent d’ailleurs pas aussi chers que les « hotlines de phishing localisées » : 50 $ par mois, hébergement, pré-configuration du code, charge d’infection « à jour » et interface d’administration comprise. C’est nettement moins cher qu’un abonnement MSDN et très probablement plus rentable.

Pendant ce temps, Nicolas Ruff s’interroge : Où va la sécurité ? Et de gloser de manière fort instructive sur la sécurité dans le développement et le poids du code hérité… voilà qui rappelle tout ce qu’a pu écrire Michal Zalewski dans son Browser Security Handbook . La faille I.E. qui vient d’être découverte –mais vient-elle réellement d’être découverte à l’instant ?- est faite d’un bois qui fait des Sasser. Est-ce un échec de la politique de « secure coding » entamée par Microsoft depuis la remise à plat du code de Vista ? Que nenni ! Car il en est des failles comme du bon vin : certaines sont bien antérieures à ces « bonne résolutions 2006 », et il serait un peu hâtif de conclure à l’échec d’une politique somme toute récente. Puis, changeant subtilement de sujet, NewSoft nous entraîne dans un petit exercice de dialectique sécuritaire. Ces « über failles » sont, entre autres, l’une des raisons d’être des campagnes de test d’intrusion. Mais pas la seule. Ces tests, explique en substance NewSoft, ne peuvent être remplacés par des audits consciencieux de la « chose écrite », « le (bon) test d’intrusion n’a rien à voir avec l’exploitation de failles d’implémentation … » insiste l’auteur. Le Buffer overflow nous éblouit, la faille Acrobat détourne un peu trop notre attention, explique-t-il en substance. De toute manière, tôt ou tard, si exploit dangereux il y a, l’éditeur finira bien par publier une rustine. Ce contre quoi il n’existe pas de rustine, ce sont les défauts récurrents mis en évidence par les tests d’intrusion simples : comptes sans mot de passe, défauts de conception…

L’autre ZDE, celui qui frappe SQL Server et qui a été découvert pas Sec Consult, semble plus compliqué à éviter qu’il n’y paraît. L’astuce de limitation de risque conseillée par Microsoft- une suppression de procédure stockée- ne peut être appliquée sous SQL Server 2005. Une impossibilité qui nécessite une modification des droits d’exécution sur l’ensemble du rôle. Il n’y aura pas, nous confirme la cellule sécurité de Microsoft France, de correctif « out of band » pour ce trou très précis.

Pour l’instant, tout va bien. Paraphrasant les apprentis parachutistes de la « Rue du Mur » en 1929, l’industrie informatique Française en général, et les entreprises financières en particulier, appliquent consciencieusement la méthode Coué et évitent officiellement d’évaluer les dangers des scams, dérivés de spam et autres conséquences des vols d’identité. Il faut dire que de Brest à Strasbourg, de Lille au Cap Cerbère, les TIC françaises, le cybercommerce et les institutions bancaires sont protégés par un bouclier que les plus grands experts américains nous envient : la langue Française. Véhicule d’une rare complexité, pratiquement aussi difficile à imiter qu’un billet de 100 Euros avec ses fils métalliques et ses encres sympathiques, aux accords et formulations plus minées qu’une plage de débarquement, le François tel qu’on le parle protège la population de notre beau pays contre les hordes de scameurs-spammeurs, les déferlantes de phishers, les nuées de hackers. D’ailleurs, il n’y a point de spam en Gaule. Du pollupostage, certes, parfois quelques tentatives d’hameçonnage dans la langue de la perfide Albion, à la rigueur de vagues escarmouches sur le front du piratage, mais de ces menaces anglo-saxonnes, point.

Pourtant, cela pourrait bien changer en 2009. L’année qui s’achève fut notamment l’occasion de voir fleurir, sur les places de marché, des « listes de sites vulnérables » vendues au poids et triés par zone géographique. Le « cent » d’injections SQL en France vendu moins cher que le même modèle, mais d’origine Allemande, voilà qui résume bien la lucidité des cybercriminels. Leur vision sur l’état effectif du pouvoir d’achat des ménages est bien plus aiguisée que celle d’un Ministre de l’Economie.

Une fois la cible située, encore faut-il savoir l’exploiter. Dancho Danchev nous apprend que, depuis peu, l’on trouve sur le marché de l’escroquerie en ligne, des offres de service de « call center » pratiquant la langue du pays visé. Français, Italien, Allemand, nos opératrices sont là pour mieux vous voler. Jusqu’à présent, le « relais » téléphonique en Français n’était pratiqué que par quelques filières de spécialistes du scam, fortement mâtiné d’accent Ivoirien ou Ghanéen. Totalement inexploitable dans le cadre d’une campagne de phishing de type Crédit Lyonnais ou SNCF. A 9$ ou 6$ l’appel, les choses risquent-elles de changer ? C’est la question que se pose Danchev. Et de conclure : « pour l’instant, les risques demeurent relativement faibles ». Et ce pour une très simple raison, c’est qu’il est pratiquement indispensable de communiquer à cette « société de services » d’un genre nouveau les identités et numéros de téléphones à contacter… autrement dit, la « richesse » de tout bon truand spécialisé dans ce genre de magouille. Or, il est plus difficile d’acquérir la confiance d’un malfrat que d’un rentier… L’on pourrait également ajouter que les tarifs sont un peu surévalués. Car, même en tablant sur un rapport de 1000 Euros par victime (chiffre plus proche de la réalité Américaine qu’Européenne), il faut, pour l’opératrice de phishing, contacter une moyenne de 110 personnes pour que l’opération arrive à équilibre. Or, le pourcentage de réussite de ce genre de campagne est plus proche de 1 pour 1000 que de 1 pour 100.

Reste que les escrocs du Net ont toujours la possibilité d’affiner leurs approches psychologiques afin d’accroître le rendement de leurs opérations. Cette phase d’optimisation doit nécessairement passer par une amélioration de la qualité des courriels d’incitation, lesquels doivent être rédigés dans un Français non seulement irréprochable, mais encore adapté à la circonstance. Un banquier n’écrit pas comme un fonctionnaire du fisc, qui ne rédige pas ses avis comme un cybermarchand. Chaque acteur possède un champ sémantique propre, dont l’usage sous-entend une maîtrise absolue de la langue. Les entreprises de phoning susnommées pourraient-elles offrir ce genre de service ? C’est très probable. Le second écueil, la « prise en otage » des fichiers du client (le phisher), peut être évité à l’aide d’une simple architecture de redirection VoIP réalisable avec un Asterisk. Un « Phishing Call Center As A Service » reposant sur des bases de données protégées et distantes ne présente donc aucune difficulté technique. Lorsque ces deux conditions seront réunies, les banquiers Français auront du souci à se faire : ils auront trouvé des adversaires presque aussi dangereux qu’eux-mêmes et que les Bernard L. Madoff du monde entier.

En attendant ces jours sombres, les cyber-mafieux affinent leurs outils. L’Avert de McAfee, cette semaine, nous offre une analyse de malware « voleur de données géo-localisées » dans un article intitulé From Fake Banking to Regionally Targeted Malware . Le rootkit fouineur d’identités décrit dans les moindres détails correspond à la première étape du montage précédemment décrit. Les informations récoltées suivront ensuite le chemin traditionnel : vente de ces paquets d’identités sur les places de marché mafieuses, puis exploitation de ces données par des spécialistes du phishing ou du détournement de fond par mules interposées, avec ou sans le soutien des fameux « call center » susnommés.

Pâle copie, d’ailleurs, puisque le dernier « jour de patch » que nous offre Apple ne compte « que » 21 trous colmatés, à comparer aux 28 (30 en comptant les ZDE) revendiqués par Microsoft. Les détails sur les probabilités d’exploitation –hormis peut-être un vol de cookies- sont assez maigres. Remarquons toutefois dans le lot le colmatage du « gouffre » Adobe Flash Player, déjà corrigé sur d’autres plateformes, déjà exploité industriellement par un nombre impressionnant de sites spécialisés dans le vol d’information, mais laissé précieusement de côté par les labos de Cupertino pour des raisons que Jobs seul sait.