décembre, 2008

Disons-le fort et clair, ce n´est pas la fin du monde Mozilla. Tout au plus un sujet de préoccupation qu´il serait inconscient de négliger. En début de semaine, les chercheurs du labo de Bit Defender sont tombés sur un « add-on » de Firefox camouflant un programme de vol de mots de passe. Il est très intéressant de noter, dans les détails suivant l´analyse du malware, que ce sont essentiellement les banques européennes qui sont particulièrement visées par ce logiciel-espion.

Cette forme d´attaque fait philosopher GNUCitizen, pour qui l´idée du développement d´un add-on faisandé n´est pas nouvelle. Ces presque-systèmes d´exploitation que deviennent les navigateurs, cet empilement de langages, d´interprètes de commandes et d´accessoires divers -dont la plus grande partie provient de tierces parties-, rend quasi impossible le contrôle de l´ensemble d´un Firefox, d´un Chrome et programmes assimilés. Qu´un add-on prétende remplir une fonction miracle, et l´usager se fera prendre à ce miroir aux alouettes. Et, contre ce genre d´attaque en ingénierie sociale, la Fondation n´y peut rien.

L´une des meilleures preuves qui vienne étayer cette thèse est cette petite bombe médiatique lancée par les étudiants en communication de la Kooning Academy Hogeschool de Rotterdam. Lesquels ont annoncé la disponibilité d´une extension Firefox pouvant indiquer à tout internaute parcourant le catalogue de musique d´Amazon si le morceau en question est ou non disponible sur l´un des principaux sites d´échange P2P dans le monde. Ainsi, sur la page Bach : toccata et fugue en ré mineur BWV 565 par Marie-Claire Alain, disponible au prix de 15 euros, apparaîtrait un bouton « Download on Pirate´s Bay Now for Free ! » ( NdlC Note de la Correctrice : Marie-Claire Alain en P2P… tu rêves !). Bien entendu, les avocats d´Amazon ont réagi plus vite que leur ombre, et les étudiants ont transformé leur bombe médiatique en « parodie du système de diffusion de contenu sur Internet ».Une rectification qui, subtilement, les met à l´abri de toute poursuite pour incitation au piratage : certaines lois américaines protègent la liberté de brocarder.

Mais parodie ou pas, cet exemple -ainsi que la publicité qui en a été faite-, prouve que n´importe quel add-on peut conquérir le public. Toutes les précautions que pourront déployer les concepteurs de logiciels seront vaines dès lors que les attaques reposeront sur des leviers plus psychologiques que techniques.

Conformément aux annonces de la semaine passée, le dernier « Patch Tuesday » de l´année est pléthorique : 8 bulletins concernant aussi bien les noyaux Windows qu´Internet Explorer, les outils de développement ou les outils serveurs, pour un total de 28 failles détectées. Comme il est de coutume, la liste complète des correctifs est dressée sur le blog du MSRC. Parallèlement à cette annonce, un très long article détaille le fonctionnement et les travaux (MS08-075) effectués sur trois composants appartenant à Windows Media (Windows Media Player, Windows Media Format Runtime et Windows Media Services). La faille MS08-075 -un défaut du Windows Explorer sous Vista et 2008- a également droit à une revue de détail. Bill Sisk, dans son désormais traditionnel papier publié dans les colonnes de Security News, détaille tous les correctifs en insistant particulièrement sur la MS08-070. Dame, il s´agit là d´un contrôle ActiveX lié au RunTime de Visual Basic 6.0. Or, une faille dans un outil de développement n´affecte pas seulement l´éditeur de l´outil, mais tous les programmes ayant utilisé le langage et les bibliothèques concernées. Plus préoccupant encore, sur les deux trous de sécurité colmatés par cette rustine, l´un d´entre eux est connu et rendu public depuis août 2008, ce qui déclenche, dans l´équipe du Sans, une alerte rouge vif accompagnée d´un tonitruant « Patch NOW ! ». Notons également que -la chose n´était pas arrivée depuis longtemps- tous les bulletins de ce mois sont qualifiés de « critiques », tous les bulletins du mois sont susceptibles d´être exploités à distance ou peuvent déboucher sur une compromission importante. Officiellement, exception faite de la « faille VB », aucun autre exploit n´est disponible sur le marché underground.

Reste que ce genre d´affirmation est assez peu significatif. Non seulement parce que les capacités des auteurs de malwares en terme de reverse engineering s´améliore de mois en mois et de correctif en correctif, mais également parce que la « normalisation du silence par menaces procédurières » a totalement pacifié, ou presque, le monde de la recherche. Rarissimes sont les « chasseurs de faille » professionnels qui osent publier quoi que ce soit sous leur nom propre, de crainte de s´attirer les foudres des éditeurs en général et de leurs avocats en particulier. Une situation qui favorise à loisir le travail des « black hats » et organisations mafieuses, lesquelles préfèrent travailler en silence et voient d´un mauvais œil ces publications « sauvages » qui risquent de réduire à néant les secrets de fabrication de leurs infections. Ce mois-ci, un rapide coup d´œil sur les messages du Full Disclosure montre que les failles liées aux bulletins MS08-0 83, 84, 85, 86 et 87 sont le fait de chercheurs « masqués » derrière le « Zero Day initiative ». 08-071 et 73 sont revendiquées par iDefense, et 08-072 – 74 le sont par Secunia.

Notons que le flux de ce mois compte un nombre important de défauts touchant les produits bureautiques Office, notamment Excel et Word. Généralement, lorsque des failles de ce type sont découvertes, il ne s´écoule pas un mois avant de voir fleurir quelqu´exploit tirant parti de cette faiblesse.

Bouclons ce lot de bouchons avec un dernier bulletin « hors alerte », portant l´immatriculation Technet Security Advisory 960906, qui concerne le convertisseur de texte de Wordpad vers le format Word 97 sous Windows 2000, XP et 2003. Les mesures de protection conseillées par Microsoft sont assez lapidaires : utilisez un firewall et, en cas d´attaque, appelez le FBI. Espérons que le planton de service de Penn Avenue, à Washington, parlera couramment le patois basque ou savoyard.

Le traditionnel ZDE de jour de rustine arrive, cette fois-ci, à pied par la Chine. Il s´agit d´un troyen exploitant un problème de gestion des tags XML dans I.E. 7.x. La lecture de cette alerte par des non sinologues peut suivre deux chemins. Soit par l´utilisation d´un outil de traduction automatique, méthode relativement pénible et hermétique utilisée par Evil Fingers, soit par la lecture de l´Avert blog de McAfee. Dans les deux cas, cela nous promet d´intéressantes fêtes de fin d´année.

Les blogs Bebo, Myyearbook, Blackplanet, Facebook, Myspace, Friendster … tous sont frappés par le ver Koobface. Le principe de fonctionnement est simple : le lombric viral ajoute un pseudo-commentaire pointant sur une URL semblant diffuser une séquence vidéo, et l´on retombe sur une très classique demande de mise à jour de pilote Flash Player. Le procédé est usé jusqu´à la corde mais semble encore fonctionner avec bonheur auprès de la population socio-blogueuse. Il n´y a pas une semaine de cela, un proche cousin de ce ver là pointait le bout de son ombilic sur les terminaux Messenger, reconnaissable à son traditionnel « mes tofs » ou « privates pics ». F-Secure en parle longuement, mais sans entrer dans les détails. Il faut plonger dans la description qu´en fait Dancho Danchev pour se rendre compte que, derrière ce tout petit automate à contributions, se cache une organisation étourdissante : des centaines d´adresses IP perpétuellement changeantes se chargent de la diffusion de l´infection. Après ceci, le vecteur d´attaque transforme toute machine infectée en usine à d´infection via le port 7777, en obéissant à une subtile « présélection de l´abonné » en fonction de son origine… La simple liste des « hosteurs » de malwares dressée par le chasseur de sites douteux s´étale sur près de 6 pages. L´on y apprend notamment que l´organisation à l´origine de cette campagne utilise de plus en plus des techniques de typosquatting (noms approchants de domaines connus, ainsi Youtube-spy.5x .pl). Dans de précédentes attaques mettant en œuvre ce même ver Koobface, les virus étaient en grande partie stockés sur des sites légitimes dont la sécurité avait été préalablement compromise.

Après la mode du « politiquement correct » qui transforma le postman en « postperson », les aveugles en « mal voyants » et les intégristes de tous bords en « orthodoxes respectables », voici que les censeurs de tous poils voient du pédophile à chaque coin de page Web et ne s´attaquent plus à la chose, mais à la représentation de la chose. Avec deux affaires cette semaine.

En Grande Bretagne, tout d´abord, pays où sévissent quelques lobbies moralisateurs qui viennent de persuader six fournisseurs d´accès d´interdire l´accès à l´article Wikipedia consacré à l´album « Virgin Killer » du groupe Allemand de hard rock Scorpions. Il faut admettre que la photo de l´album entre manifestement dans la catégorie des images franchement douteuses et racoleuses et qu´elle avait été, en 1976, interdite partout dans le monde… sauf en France. Mais cela donne-t-il le droit à des ligues bien pensantes de s´adonner au petit jeu de la réécriture de l´histoire ? Et pour quelle raison foudroyer spécifiquement Wikipedia, s´interrogent ses administrateurs, alors que, rétorquent-ils, des reproductions de cette pochette courent sur Internet depuis des années, que le disque en question se négocie encore dans les bacs des revendeurs de Soho ? Les amateurs des riffs d´Uli Jon Roth dans « Hell Cat » -aussi énergiques que ceux d´Aerosmith- pourront toujours fouiller dans les cagettes des puces de Clignancourt pour dénicher cette scandaleuse enveloppe, en passe de devenir un « cybercollector ».

Les Australiens aussi crient shocking !En voyant une parodie osée de la bande dessinée des Simpsons. Stuff.co.nz rapporte que le possesseur de ladite bédé a été condamné par le juge de la Court Suprême à une amende de 3000 dollars Australiens et deux ans de « probation ». On se demande quel est le pouvoir subversif d´une orgie de personnages jaunâtres en train de s´ébattre sur fond de Springfield, et où se trouve l´exploitation ou l´incitation à l´exploitation sexuelle des enfants supposées par la justice des antipodes.

Il est utile de rappeler, au passage, la situation géographique de l´Australie. Pays frontalier d´avec le Japon, un haut lieu de la culture bédéphile érotique dont certain Dojinshi hentai revêtent un caractère pédopornographique indiscutable. Si tous les juges du Commonwealth souhaitent « épurer » le web, leurs travaux deviendront aussi célèbres que ceux d´Hercule compte tenu de l´immensité de la tâche.

De l´immensité et de l´inutilité, devrait-on préciser. Car, sans remonter aux dessins préhistoriques, de tous temps, les artistes ont tutoyé les rivages troubles des interdits. Certaines de ces œuvres sont célèbres, tel le fantastique défouloir Disneyen de Paul Krassner. La publication de la première édition dans le Realist ne fit, contrairement à ce qu´affirme la légende, l´objet d´aucune poursuite par le très pudibond et très conservateur Walt Disney. Plus proche de nos cultures européennes, Alix de Jacques Martin, fut plus d´une fois mis à l´index. Le caractère suggestif des tenues et situations de ses personnages peut également rappeler la discussion entre Peter Graves et Ross Harris (âgé de 10 ans à l´époque) dans l´inoubliable film « Y´a-t-il un pilote dans l´avion ». Et que serait ce florilège du poison dans les arts graphiques si l´on oubliait Balthus et son érotisme sulfureux, ses esquisses équivoques et ses tableaux qui ont fait couler pratiquement autant d´encre que de peinture.

Contrairement à la Bibliothèque Nationale, il n´y a pas d´Enfer sur Internet. Pas de bibliothécaire immanent capable de juger, de classer et de répertorier un écrit, un dessin, une musique en fonction du caractère immoral de son contenu. En fonction de quelle morale, de quel pays, de quel temps d´ailleurs ? L´œuvre, contrairement au fait divers, n´appartient pas au temporel. Elle échappe, de ce fait, aux mêmes règles que celles qui régissent les vivants. En outre, il serait bon d´ajouter que ce n´est pas parce que le « Net » ne connaît plus de frontières qu´il devient possible, pour ses censeurs, de se considérer comme souverains sur tous les sujets qui s´y trouveraient. Internet n´est ni une culture ni une sous-culture mais un canal d´information. Et son état de médium ne lui permet pas de légiférer sur ces autres médias que sont la peinture, le cinéma, la musique ou la bande dessinée. Pas plus d´ailleurs que la musique -ou ses mercantis- ne possèdent le moindre droit moral sur Internet.

Deux petites alertes marginales dans le domaine du sans fil. En premier lieu RIM, contraint de mettre à jour sa base logicielle en raison d´un trou de sécurité situé dans… un programme de mise à jour. Plus exactement dans le « Roxio media manager » chargé de la synchronisation du téléphone avec les données d´une machine sous Windows. Cette faille, affectant un contrôle ActiveX, avait fait l´objet d´une alerte de la part du Cert US.

Presqu´aussi ésotérique, cet exploit très efficace signé Michael Brooks qui donne tous les droits d´administration et ouvre un énorme canal d´intrusion sur les routeurs sans fil fonctionnant sous DD-WRT v24-sp1. DD-WRT est un firmware open source destiné à certains routeurs sans-fil grand public ou professionnel. Le nom de ce développement vient de la référence produit du premier routeur pour lequel ce projet est né, le WRT 54 G de Linksys. La version affectée par cet exploit est la dernière « stable » actuellement diffusée.

La nouvelle s´est répandue aussi rapidement qu´un ver Koobface : un groupe de hackers « noirs » met en vente les identités de 21 millions de comptes en banque soit, très grossièrement, les données d´un Allemand sur quatre en âge d´utiliser un compte. L´affaire est révélée par deux journalistes du WirtschaftsWoche, alias WiWo, qui se sont fait passer pour des acheteurs potentiels. Au terme d´une négociation secrète, ces enquêteurs sont repartis avec un « échantillon » de 1,2 millions de noms, adresses, numéros de téléphone, dates de naissance, numéros de comptes et identifiants de virement. Outre le fait que ces données sont plus que « complètes », il faut ajouter que la cote du contribuable Allemand est très élevée sur le marché noir du trafic d´identités. Les experts estiment que les voleurs pourraient empocher, s´ils ne se font pas pincer avant, la coquette somme de 12 millions d´Euros.

Nos deux confrères rappellent, en guise de conclusion, que début octobre une affaire similaire avait ému les citoyens d´Outre-Rhin. Un fichier de 17 millions d´abonnés avait été perdu par T-Mobile, scandale que l´opérateur historique a tenté désespérément de cacher durant plus de deux ans. Ces pertes de données massives sont d´autant plus inquiétantes que l´Allemagne, sous les coups de boutoir d´organisations telles que le CCC (Chaos Computer Club) s´est dotée avec le temps d´un important arsenal juridique destiné à protéger les données privées des citoyens. Arsenal considéré par beaucoup comme étant l´un des plus contraignants d´Europe. En France, en revanche, aucune administration, aucun organisme financier, aucun corps constitué n´a jamais égaré le moindre fichier ou ne s´est fait dérober la plus petite crédence.

La biométrie, vecteur technologico-marketing totalement illusoire dans le domaine de la sécurité des outils « mobiles », vient, une fois de plus, d´être mise en échec par une équipe de chercheurs Vietnamiens. Les systèmes de reconnaissance facial Lenovo Veriface III, Asus SmartLogon V1.0.0006 et Toshiba Face Recognition 2.0.2.32 prennent pour de la véritable graine de Sésame le simple photomaton du propriétaire de l´ordinateur. La preuve en images est disponible sur le site du Bach Khoa Internetwork Security Center de l´Université d´Hanoï.

Cette étude marque une étape importante dans les progrès apportés par la biométrie dans le domaine de la sécurité des informaticiens. Notamment sur deux points : il n´est plus nécessaire de porter d´étouffants masques en silicone à la manière de Mission : Impossible pour circonvenir une machine laissée à l´abandon, et surtout, il n´est plus obligatoire de décapiter l´admin pour obtenir son mot de passe. Les autres motivations poussant un administré au meurtre de leur « Root » (sauvegardes irrécupérables, effacement de données sous prétexte de maintenance ou de nouvelle version, changement abrupt de logiciel qui, jusqu´à présent, fonctionnait, filtrage stalinien des accès Internet…) demeurent, toutefois encore totalement valables.

C´est là un Hack de petite, toute petite technicité, puisque le fait est connu des adolescents américains, lesquels ont depuis belle lurette découvert cette méthode pour circonvenir les distributeurs automatiques de boissons alcoolisées et de revues pour adultes. Ceci étant précisé, le principal avantage d´un système de login biométrique sur une machine portable, c´est avant tout sa simplicité et son ergonomie. Dactylographier un mot de passe complexe sur le clavier virtuel d´un PDA est une torture physique qu´une simple prise de photographie fait immédiatement oublier. De là à estimer que c´est un outil de sécurité fiable, il y a encore quelques progrès à faire. Du moins dans le cadre des machines et des périphériques « grand public ».

Le Sans Institute signale l´existence d´un nouveau Troyen découvert par Symantec, capable de détourner des internautes sans que leur propre machine soit infectée. Cette engeance se nomme Trojan.Flush.M et simule le comportement d´un serveur DHCP pour mieux orienter les usagers du Net vers des sites particulièrement dangereux. Voici, de manière très schématique, comment se déroule l´attaque :

* Reynald, homme toujours débordé et peu soucieux de la santé de sa machine, vient déguster un Royal Cheese dans sont fast-food de quartier. Lorsqu´il raccorde son ordinateur portable au réseau Wifi de ce que l´on peut difficilement appeler un restaurant gastronomique, il réveille du coup son appétit et le fameux cheval de Troie « Flush ».
* Peu de temps après, Cyrille, informaticien soigné et méticuleux, amoureux des « patchs Tuesday » et respectueux des « java update », vient assouvir une soudaine soif de boisson carbonatée de couleur brunâtre (un vice passager chez ce charmant individu). Au démarrage de son ordinateur, la couche réseau expédie une requête DHCP afin d´obtenir un numéro IP et un lien avec le DNS préconisé.
* A ce moment précis, la machine de Reynald intercepte l´appel, y répond en indiquant le numéro IP d´un DNS pirate. Toutes les recherches d´adresses émises par l´ordinateur de Cyrille seront adressées à ce DNS, et non plus à un annuaire réputé.
* Cyrille envisage de consulter son compte en banque sur www. credit-populaire d´épargne.fr, ce qu´il fait chaque fois avant de boire un verre, histoire de se mettre en appétit. L´URL qui s´inscrit dans la barre d´adresse de son navigateur est bien celle de sa banque, sa machine n´est infectée par aucun virus ou rootkit, ses fichiers de paramétrage sont exempts d´erreur ou de corruption… mais le site web qu´il a sous les yeux est hébergé en Estonie.
* Cyrille entre, comme de coutume, son couple « login/mot de passe ». De l´autre côté de l´Europe physique, un programmeur fou s´exclame « Da ! françousky kaputt ! »
* Cyrille, ruiné, finira sa triste de vie de programmeur à la solde des mafias Russes en mal de sous-traitance.

Le taux propagation de Flush.M est, de l´avis même de l´équipe Symantec, relativement faible. Il dénote toutefois du niveau d´inventivité extrême dont font preuve les codeurs de virus. L´une des seules parades connues contre ce genre d´attaque demeure la toolbar Netcraft, qui indique généralement la localisation géographique du site visité. Las, cette indication de localisation n´est pas toujours d´une fiabilité absolue, et l´ajout de ce BHO diminue très fortement la rapidité des navigateurs.

Une faille du PABX privé open source Asterisk, signalent les agents du FBI, serait actuellement exploitée par des pirates. Ce trou de sécurité donne la possibilité de transformer le central téléphonique VoIP en question en une véritable machine de guerre à composition téléphonique massive, dans le cadre d´une opération de vishing (phishing VoIP) (gageons que la Commission de Défense de la langue Française parlera de Tameçonnage, pour hameçonnage Téléphonique).

Non seulement les conséquences en terme de facturation peuvent être très graves -tous les opérateurs VoIP n´assurent pas les mêmes tarifs selon la destination d´appel- mais encore faut-il redouter un impact assez fort sur l´image de marque de l´entreprise victime. En effet, c´est l´identifiant de l´appelant qui sert de blanc-seing à toutes ces communications pirates.

Pis encore, rien n´interdit d´imaginer le scénario diabolique suivant :

* Un roi du phishing expédie quelques milliards de pourriels signalant une compromission de compte. De plus amples renseignements sont disponibles sur www. credit-populaire d´épargne.fr (encore lui !)
* Sur le site en question, nulle demande de mot de passe, nulle incitation à livrer le moindre numéro de compte. Mais un champ de saisie, précédé par un « indiquez vos noms, prénoms et numéro de téléphone -portable y compris- où notre conseiller financier pourra vous joindre en toute confidentialité »…
* Sur la base de cet annuaire alimenté par les victimes, relais est donné au vecteur de vishing qui appellera directement le « client ». Et lui demandera, de manière préliminaire, les numéros de carte bancaire, code cryto et date d´expiration, de ses cartes de crédit. Autant de données numériques qu´il est simple d´entrer via un clavier de terminal téléphonique. Clavier qui, bien des enquêtes conduites par le FBI le prouvent, inspire plus confiance que la voix d´un éventuel correspondant. Une forme de crédit aveugle en la technologie, en quelques sortes.

On n´apprend pas à un éditeur de sécurité comment l´on doit se protéger. Pour SonicWall, le meilleur moyen d´éviter le piratage de ses œuvres consistait à effectuer un contrôle « en ligne » permanent de la validité des licences logicielles acquises par ses clients. Or, dans la nuit du 2 décembre, le serveur de validation a littéralement rayé de la planète une partie des programmes de l´éditeur. Une amnésie informatique qui a coûté cher. Car contrairement aux pratiques généralement admises, cette absence de validation ne se contente pas d´interdire la récupération d´une mise à jour : elle évapore le système. Car le programme, en l´absence d´aval du serveur, se considère comme non payé.

Pas d´argent, pas de protection. Du coup, les usagers légitimes ont été, une journée durant, exposés aux 4 vents, explique, dans les colonnes de ComputerWorld, un administrateur apoplectique. Insistons sur le fait que seuls les usagers légitimes ont été lésés. Les administrateurs ayant déployé des logiciels piratés, et donc dotés d´un « crack » évitant cette incessante requête de validation de licence, n´ont pas le moins du monde souffert de cette situation.

Dans la soirée du 3, les serveurs de SonicWall semblaient peu à peu reprendre le goût de la vie. Le site Web de l´éditeur, durant toute la durée de la panne, n´a affiché strictement aucun message d´alerte ou d´information sur sa page de garde. La seule information accessible était cachée au détour d´une navigation hasardeuse.

Se lance, aujourd´hui, un débat sur le sexe des anges : n´aurait-il pas été préférable que la protection de SonicWall se soit mise en position « passe rien » plutôt que « passe tout » ? Epineuse réponse qui laisse au constructeur, à l´équipementier, à l´éditeur le droit de décider ce qu´il y a de mieux pour le client en cas de défaillance de ses serveurs de validation. Car ce qui est préférable pour l´un ne l´est pas nécessairement pour l´autre. Un filtre « passe rien » sur la validation d´un système d´exploitation aurait des conséquences mondiales incalculables… Microsoft l´a d´ailleurs fort bien compris et n´a pas attendu que survienne un accident planétaire. D´autres, en revanche, partent du principe que le client est coupable par défaut… Par contumace, pourrait-on dire. Allons bon… la catastrophe SonicWall n´était donc pas une première du genre ? Des signes avant-coureurs auraient déjà été constatés ? Voilà qui est surprenant. Reste que, dans tous les cas cités, les usagers les moins concernés demeurent ceux qui utilisent une licence illégale et correctement « crackée ». Moralité : il n´y a plus de moralité.