décembre, 2008

Il était en forme ce jour-là, Jonathan Zdziarski, lorsqu’il a écrit « Cliquez sur le lien ci-après, ou les mauvaises habitudes qui fabriquent les victimes de la fraude en ligne ». Et ce membre de l’Avert Lab de recenser les principales énormités rencontrées sur les sites bancaires, les serveurs de vente en ligne, les Web officiels et autres institutions au demeurant respectables. Voici, de manière résumée, les reproches que Zdziarski adresse aux grands de l’Internet :

Cliquez ici : Malgré les milliers d’avertissements, il existe encore des entreprises qui expédient des emails contenant des liens actifs… comment alors expliquer au public le bien fondé de certaines « bonnes pratiques » ? L’équipe de CNIS, il y a fort longtemps, avait dénoncé les dangers d’un lien actif situé dans un courriel « signé » par Monsieur Patrick Bruel. Il n’y a pas si longtemps, c’était au tour d’Alain Souchon de nous offrir « Parachute Doré » en téléchargement et email-propagande… comment faire comprendre à Alain Souchon qu’il n’y a pas qu’Alain Souchon qui peut se cacher derrière Alain Souchon ?

Collez ce lien : Fort de la leçon précédente, certains mercantis conseillent de « couper-coller » une adresse dépourvue de lien, afin probablement d’écarter tout risque de spoofing d’adresse. Non seulement les récentes attaques en DNS Hijacking et DNS Spoofing peuvent rendre cette mesure totalement caduque, mais encore rien ne vient éliminer le risque d’une attaque en ingénierie sociale. Un simple typosquatting, une appellation approchante passera inaperçue aux yeux de la victime. D’autant plus inaperçue qu’il est de plus en plus fréquent de visiter des sites légitimes dont les adresses affichées reflètent tantôt une tierce partie sous-traitante, tantôt l’adresse d’un proxy d’équilibrage de charge, tantôt une dénomination arbitraire décidée par le Webmestre pour des raisons qui ne regardent que lui.

Domaines d’identification multiples. C’est là une pratique fréquente sur les sites bancaires. Il n’est pas rare qu’au cours d’une session (voir chapitre précédent), le domaine inscrit dans la barre d’adresse change au gré des services, voir quitte totalement le domaine principal pour être remplacé par celui d’un intermédiaire spécialisé dans l’authentification.

Pages d’authentification multiples : Abondance de bien ne nuit pas. En multipliant les séquences « login/mot de passe » pour accroître les contrôles de sécurité entre différents services d’un même site, l’on atténue la vigilance de l’utilisateur… lequel peut alors donner ses Sésames par réflexe au premier écran glissé au hasard d’une faille html.

Connectez-vous pour vérifier votre compte : Reconnaissons que ce genre de pratique n’existe pas en France. Mais, avec deux doigts de pression psychologique, quel client ne paniquerait-il pas et tenterait, sans réfléchir, de se connecter sur une page ressemblant à s’y méprendre à celle du site d’origine ? Ce vieux classique du phishing mériterait une véritable évangélisation de la part des banques, et la mise en place, conseille notre gourou de l’Avert, d’un service téléphoné rapide et efficace. Reste que ce genre de conseil doit être entouré d’une foultitude de procédures d’authentifications réciproques… on fait de si belles choses, de nos jours, avec un simple système VoIP.

Les images de sécurité : Le remplacement des captcha –souvent cassés- par des filtres de Turing utilisant des photographies peuvent également faire l’objet de spoofing. Ouvrons ici une parenthèse pour signaler que c’est également le cas des « claviers virtuels » qu’utilisent encore certains organismes bancaires. Ce qui « sent » la technologie n’est pas « de facto » infaillible.

Glissons également, ajoute Jonathan Zdziarski, sur les fausses bonnes idées, notamment celles contraignant les usagers à employer un mot de passe fort… et en les persuadant qu’une telle habitude les met à l’abri de tout type de piratage. Un mot de passe aussi complexe soit-il peut fort bien s’éventer à la première attaque en phishing.

L’on pourrait ajouter bien d’autres mauvaises habitudes frisant parfois la complicité coupable. Par exemple, à l’heure où même un enfant de 15 ans est capable d’expliquer ce qu’est une attaque iFrame, comment peut-on encore entendre dire que « la petite clef en bas à droite de l’écran prouve que l’on ne peut pas être piraté ? Passons également sur les documents protégés par un certificat que personne ne vérifie, ou les prétendus cerbères biométriques qui ne protègent généralement que le temps d’une vesprée.

Maintenant que sont listés les 7 péchés capitaux des mauvaises pratiques bancaires, il serait peut-être intéressant que l’équipe de l’Avert nous offre un rapport sur les 7 piliers de la sagesse en matière de gestion des comptes en ligne.

Après nous avoir fait sourire avec le ClickJacking, Petko « pdp » Petkov de GnuCitizen nous ressort une de ces « features » html qui pourrait ressembler à un bug . C’est le coup de l’URL qui change automatiquement avec le temps. On connaissait déjà l’ouverture intempestive d’une nouvelle fenêtre, technique qu’affectionnent certains sites pornographique et l’un de nos respectables confrères… voilà que survient le hack « multiplicateur de hits ». Car la première application de détournement financier qui vient à l’esprit, c’est le « faux hit provoqué » destiné à truander les statistiques de visite. Ce pourrait également être un moyen discret pour améliorer les attaques « drive by download » : dans un premier temps, l’internaute voit sa vigilance endormie par l’ouverture d’un site réputé fiable –Google, dans le petit code d’exemple fourni par PdP-. Puis, quelques secondes plus tard, Google s’efface et cède l’écran à une page truffée de Javascripts aussi virulents qu’inattendus. Entre Zalewski et Petkov, on ne sait qui aura le dernier mot.

A ce sujet… Google Chrome est disponible. Après l’annonce de Firefox 3.1 Beta et de la mise sur les starting-blocks d’Internet Explorer 8.0, voilà qui nous promet des nuits blanches, des migraines, des nervousses brékdones comme on dit de nos jours.

Michal Zalewski vient de rendre public une étude approfondie des « règles du bien programmer » et du « bien protéger » dans le domaine des navigateurs Web. Intitulé « Browser Security Handbook », ce travail minutieux, profond, est disponible en téléchargement gratuit sur les serveurs de google code. L’auteur y examine Internet Explorer (versions 6 and 7), Firefox (versions 2 and 3), Safari, Opera, Chrome, le navigateur embarqué d’Android et divers add-on majeurs.

A qui s’adresse cet ouvrage ? De prime abord aux développeurs d’applications et aux hommes sécurité. Les uns pour qu’ils puissent comprendre les raisons de ces réactions parfois étranges qui différencient les navigateurs face à une page html manifestement « standard », les autres pour saisir les failles de conception non pas des navigateurs, mais des fonctions du langage de description html. Tout au long de cette route couverte d’embûches, personne n’est innocent. Entre les « habitudes de programmation », les « usages généralement acquis », les « règles normatives imposées par les RFC », chaque navigateur a dû jongler avec ce qui est permis, ce qui est toléré… et ce qui existe déjà et doit continuer à être interprété. En fait, nous apprend sans grande surprise Zalewski, les contraintes de compatibilité ascendante, l’héritage du passé, les « astuces admises» ont, peu à peu, créé des failles de conception énormes. Et ce n’est pas un simple retour à l’orthodoxie du code qui remettra les choses en place. Non seulement parce qu’un respect stricte des règles rayerait de la carte une majorité de sites. Parce que les éditeurs, Microsoft en tête, ont « intégré » dans leurs interprètes, ces libertés d’écriture. Parce que le html est vivant et que chaque naissance de nouveau protocole, chaque fonctionnalité « moderne » apporte son lot de conflits avec le passé et de questions techniques pouvant être interprétées de milles manières différentes.

Quelle serait la solution pour retrouver une situation stable ? Faire de html un langage strictement borné ? Ainsi, l’absence de « slash » en fin de définition n’est pas, à priori, une contrainte bloquante à l’heure actuelle… faudrait-il que ce soit le cas ? L’on se couperait alors de toutes les pages « mal écrites » qu’un Internet Explorer affiche aujourd’hui sans le moindre état d’âme. Devrait-on « parser » le code tout entier avant la moindre interprétation ? Ce pourrait-être une solution fort pratique d’un point de vue sécurité, idéale sous l’angle de l’orthodoxie du source… mais contraignante en terme de temps de réaction et, une fois de plus, de compatibilité avec les sites existants. Ce ne sont là que quelques questions rapidement survolées, qui se complexifient au fur et à mesure que Zalewski nous raconte l’histoire du Web et nous brosse son devenir. La gestion des balises de streaming en html 5, par exemple, nécessiterait, si l’on souhaite « coller à la norme », une réécriture de tout ce qui se trouve sur le moindre IIS, sur le plus petit serveur Apache… ainsi que sur la totalité des actuelles machines qui diffusent du contenu audio ou vidéo.

Pessimiste, l’étude de Zalewski ? Réaliste plutôt. Il ne serait pas sage de s’arrêter aux raisons purement historiques qui ont conduit à la situation présente, de ne retenir de ce travail impressionnant que son aspect critique. Bien au contraire, la connaissance intime de ces petits défauts héréditaires permet au programmeur et à l’administrateur Wan d’éviter de commettre à nouveau de vieilles erreurs commises par habitude et d’anticiper des comportements anormaux qui tenteraient de les exploiter. Et là, l’on ne peut qu’admirer l’expérience, les années de pratique, les trophées innombrables de failles que l’auteur a accumulées au fil des années. Une expérience qu’il nous communique sans que cela ne coûte autre chose que l’effort que de lire ce pavé dense. De toute manière, le week-end risque d’être gris et froid…

Livré à lui-même, l’ingénieur TIC laissé sur le carreau et réduit au chômage devient un redoutable pirate. Et l’actuelle crise économique et son cortège de réduction d’effectifs pourraient bien provoquer une vague de cyber-délinquance en col blanc, dont 2008 aurait déjà vu quelques signes avant-coureurs. Cette prédiction est signée Finjan et le PricewaterhouseCoopers, et apparaît au fil des « prévisions » achevant le document. Le reste est d’une composition relativement classique, sorte de bilan du trimestre écoulé se polarisant sur les attaques Flash et Adobe, et insistant sur la montée croissante du « crimeware as a service », autrement dit à la structuration et à l’industrialisation des outils web mafieux. Autre facteur d’aggravement criminel, les efforts promis par l’administration Obama. En faisant tout son possible pour étendre l’accès à un Internet haut débit dans les foyers, en tentant de diminuer le « Digital Divide », le nouveau Président des Etats-Unis offre aux criminels une proie encore plus évidente, un nombre encore plus important de victimes potentielles et de machines à infecter. Qui dit plus d’internautes pense nécessairement plus de « stringent security measures required to ensure their privacy and safety – both at home and in the workplace ». Il est rare de voir écrit de tels sophismes justifiant un durcissement des mesures de flicage.

Si un tel rapport était le seul du genre, il ne mériterait pas la moindre mention. Mais hélas, il ne fait que suivre une tendance générale orchestrée par les vendeurs de sécurité, lesquels utilisent tant la crise que l’évolution du monde politique pour tenter de justifier une escalade des investissements sécurité.

Inaugurée dans la journée de mercredi dernier, la plateforme Ordi 2.0 devrait, si l’on en croit les assurances apportées par Eric Besson, faire disparaître la « fracture numérique » d’ici aux années 2012. L’un des moyens mis en œuvre pour que « tous les Français puissent accéder aux réseaux et aux services numériques » passe par la récupération des ordinateurs usagers réformés par les entreprises et les particuliers. Personnes âgées, handicapés, chercheurs d’emploi, étudiants et autres laissés pour compte du monde numérique devraient pouvoir s’acheter, pour des sommes quasi symboliques, un ordinateur révisé et en état de fonctionnement.

Effort louable, certes. Mais politique de croissance « à l’économie » qui risque de provoquer, à terme, de sérieux problèmes de sécurité… ou d’utilisation. Car, depuis quelques temps déjà, les entreprises réduisent considérablement la voilure côté renouvellement de parc… les équipementiers s’en plaignent d’ailleurs fort souvent. La première conséquence de cette situation, c’est un allongement important de la durée de vie des machines en service dans le monde professionnel, machines qui, une fois reversées dans le marché de l’occasion, possèdent au moins 5 à 7 ans de retard technologique par rapport à ce qui s’utilise en général. Inutile d’imaginer un instant voir utiliser les noyaux d’origine… cela fait belle lurette que Windows 98 n’est plus maintenu par son éditeur, et remettre en circulation des machines vulnérables mettrait sans coup férir le Secrétaire d’État chargé de la Prospective, de l’Evaluation des Politiques Publiques et du Développement de l’Economie Numérique, auprès du Premier Ministre sous le coup de la LCEN, pour participation active à l’entretien des botnets.

Bien sûr, il y a Gnu-Linux (et BSD) et ses noyaux allégés. Mais les expériences à long terme laissent entendre que ces parfums sont souvent incompatibles avec des non-informaticiens totalement débutants. Ce qui impliquerait la présence de relais associatifs chargés d’aider les « newbies » en cas de problème, quelque soit le lieu, quelques soient les circonstances. Or, l’énergie que déploient les bénévoles n’est pas une matière inépuisable. Sans relais, avec des moyens limités, il est peu probable que les vœux pieux de ces ordinateurs « 1.0 » maquillés en « 2.0 » puissent se réaliser un jour.

27 millions de dollars Singapouriens (13,4 millions d’Euros) : c’est ce que Cisco envisage d’investir à Singapour sur les trois prochaines années, afin d’y implanter un centre de recherche. L’information a été révélée par nos confrères de Channel News Asia, qui précise qu’y seront conçues les équipements de demain dans le domaine de l’ultra large bande des années 2012 et au-delà.

Eclipsé par les foudroyantes annonces du ZDE I.E. 7.0 (voir 6.x et 8.0 nous apprend le Sans), un tout autre zéro day touchant un produit Microsoft était annoncé durant la journée du 11. Le PoC, publié par les chercheurs de l’entreprise Australienne SEC Consult, ne semble pas aussi facile à exploiter que son frère siamois. Il nécessite certains préalables, notamment soit une authentification sur la base de données en service, soit une pénétration via un exploit de type Injection SQL via une application Web vulnérable. Reste que ce genre de situation ne relève pas de l’impossible. Il n’existe, pour l’heure, aucun correctif… et aucun exploit relevé « dans la nature ».

La très séduisante Window Snyder, patronne sécurité de la Mozilla Foundation, vient d’annoncer son départ « pour des terres qu’elle a toujours chéri ».. Ex Director of Security Architecture chez @stake (anciennement L0pht Heavy Industries), puis Senior Security Strategist chez Microsoft, elle retrouve l’équipe du @stake qui, après l’OPA de Symantec, se transforme en Matasano. Elle devient CSSOO (Chief Security Something-Or-Other) de la MoFo fin 2006. Elle partage, avec Bruce Schneier, une passion immodérée pour le bon sens appliqué à la sécurité informatique ainsi que pour la vie des poulpes, qu’elle commente parfois au fil de son blog www.dec.net. Ceci n’a probablement pas de rapport avec cela, mais l’on est, depuis plus de deux mois, sans nouvelle du Blog de Matasano. L’actualité sécurité sans les commentaires de Jimmy Rauch, sans les billets acidulés de Thomas Ptacek et Joel Snyder attaquant Joanna Rutkowska, ce n’est plus tout à fait l’actualité sécurité.

Il pleut du ZDE comme il neige en Savoie : par brassées entières. Comme annoncé lors du précédent article de CNIS consacré au « Patch Tuesday » Microsoft, l´exploit Zero Day Chinois est sur le point de devenir international. Revue de détail des vecteurs de développement et d´information.

Prélude à l´après-midi d´un fauve du code : tout commence par le papier de Cedric Pernet qui, dans la journée du 10, s´était déjà lancé dans l´analyse du Shell Code de l´exploit. Sans surprise, son conseil tient en deux mots : « utilisez de préférence un navigateur autre qu’Internet Explorer 7, le temps que la rustine de Microsoft soit prête ! ». Voilà qui tombe à merveille, Firefox entame la seconde phase de sa Beta 3.1, laquelle bénéficie d´une amnésie paramétrable des sites visités. Cet historique des sites était à la fois une menace sérieuse pour la sécurité et une atteinte permanente à la vie privée des internautes.

Episode 2 : l´Empire du Milieu contre-attaque : En parcourant Milw0rm d´un mulot distrait, l´on découvre que quelques idées se propagent. Attention, la dernière url contient un authentique JS.Shellcode.gen réellement dangereux.

Il est Minuit, docteur Zoller. Le chercheur Luxembourgeois publie une synthèse succincte mais très complète de la situation : articles, codes, analyses, exploits. Il signale notamment l´article très fouillé signé par H.D. Moore. Rappelons que Moore est l´initiateur du « month of browser bugs » et père de Metasploit, l´outil open source de pentest.

Pendant ce temps, à Moulinsart : Bill Sisk réagit in-petto et publie un billet inquiet sur le blog du MSRC et signale l´existence d´une nouvelle entrée dans les fiches sécurité du Technet. La nouvelle alerte portera le numéro 961051. Action suggérée : protégez votre ordinateur. Voilà qui est étrangement différent des conseils de Cedric Pernet. Pour le reste, les recommandations sont habituelles : régler le niveau de protection des zones « internet » et « sécurité » au niveau le plus élevé, désactivez l´Active Scripting…

SANS a peur, SANS reproche : le quotidien du Sans n´en finit plus de publier des addenda sur le sujet. L´auteur des lignes, Bojan Zdrnja, fera une longue carrière dans la diplomatie. Suivre les conseils de Microsoft ou changer de navigateur ? Bien que proposant les deux solutions, il ne se prononce pas franchement. Ignace de Loyola ou Pierre Favre n´auraient pas fait mieux.

ShadowServer fait de l´ombre : alors que tous les auteurs susnommés se sont appliqués à « flouter » leurs captures d´écran afin que les adresses des sites infectés et/ou attaquants ne soient pas publiées, voilà que ShadowServer joue les Dancho Danchev et dresse une liste impressionnante des sites d´exploitation. Un simple coup d´œil sur les noms de domaine et sur les netblocs Chinois montre qu´il s´agit là d´une opération très organisée.

Les coulisses de l´histoire : nos confrères de Network World reviennent sur le passé de l´exploit. Un exploit dont la « fuite » provoquée par KnownSec aurait été totalement involontaire, mais qui faisait déjà l´objet de tractations et d´enchères depuis le mois dernier. Le ZDE I.E. 7.0 se serait déjà négocié à plus de 15 000 $ US. Ce petit « détail » de l´histoire renvoie en fond de court les protestations spécieuses des « anti-divulgations » et prouve une fois de plus l´importance d´une information libre et rapide. En commettant cette « bévue », KnownSec a désamorcé une bombe que comptaient employer des gens peu scrupuleux. Certes, une concertation intelligente avec l´éditeur aurait été préférable… ne serait-ce que pour bénéficier d´un correctif le jour de la divulgation. Mais nécessité fait loi.

Question Rouge et Banco : certains témoins affirment avoir vu passer d´autres types d´attaques utilisant ce même exploit. Et notamment accompagnées de quelques injections SQL. Combien de temps faudra-t-il pour que ce ZDE originellement cantonné à Canton devienne, en nos contrées, une arme contondante ? Enfin, question que personne n´ose soulever : combien de temps devra-t-on attendre pour que Microsoft publie son dernier « out of cycle patch » de l´année 2008 ?

Pendant ce temps, Google lance l´opération Native Client , une technologie (une émulation/virtualisation ?) capable d´exécuter un code natif X86 confiné dans le cadre étroit d´un navigateur… quelque soit la plateforme. Du http « niveau 7 » en quelques sortes, qui risque de faire dresser les cheveux sur la tête de plus d´un administrateur de firewall. C´est d´ailleurs pour couper court à toute spéculation catastrophique que Google lance un appel à l´aide et offre cet outil aux développeurs et responsables sécurité souhaitant le tester.

La technique, insistent les ingénieurs de Google, est avant tout une mesure de sécurité, car l´exécution du programme s´effectue dans une véritable sandbox, totalement isolée du noyau du système hôte. Souvenons-nous que c´est avec ces mêmes mots que les gourous de Sun ont présenté, à l´époque, le monde merveilleux de Java. Gardons à l´esprit que Google, ennemi juré de Microsoft, est affecté d´un handicap certain par rapport à son adversaire : l´absence de système d´exploitation à son catalogue. Native Client pourrait bien n´être que la première pierre d´un édifice capable de concurrencer Windows. Depuis plusieurs mois d´ailleurs, d´incessantes rumeurs font état de développements secrets conduits par les équipes d´Eric Schmidt. Native Client est également une réponse ou un contre-feu partiel à Softgrid (Microsoft Application Virtualization) ou à VDI (Virtual Desktop Infrastructure) de VMWare, voir aux produits de Citrix.