décembre, 2008

Monstrueux, Pantagruélique… Homérique : Le bulletin de préannonce Microsoft s´étale, ce mois-ci, sur près de 9 pages : 2 trous « noyau » exploitables à distance, tous deux concernant le couple Vista/2008, l´un en particulier affectant également 2000, XP et 2003. Le traditionnel « cumulatif Internet Explorer », cette fois, corrige plusieurs générations de navigateurs : d´I.E. 5.01 à la version 7 sur 2008. C´est là encore du « remote exploitation », donc une qualification de dangerosité oscillant entre « critical » et « patch Now ! ». Les outils de développement VB, Visual Studio, Project, Foxbase n´échappent pas à la rustine. Côté bureautique, Word, Outlook, Office en général, tant sur PC que sur Macintosh, Works, Powerpoint et Excel sont perclus de vulnérabilités, certaines remontant à la génération « 2000 ». Vient ensuite Sharepoint Server, 2007 et 2008, éditions 64 bits y comprises. Quelques failles Windows Media Player, de la 6.4 à l´actuelle (32, 64 bits) ferment ce cortège qui n´en finit pas. Compte-tenu du nombre de correctifs « noyau » affectant aussi bien les stations que les serveurs, certains redémarrages sont à prévoir. La journée du 10 sera longue pour les administrateurs de parc. Elle risque de s´avérer fructueuse pour les « reverse enginers » de l´industrie du malware.

Après une phase Beta entamée en octobre, voilà que le Service Pack 2 de Vista et de 2008 Server s´engage dans la dernière ligne droite avant diffusion. Ce stade s´appelle CPP, pour Customer Preview Program, l´équivalent d´une RTM ou d´une Beta Marketing. Il n´est donc pas encore nécessaire de s´inquiéter et de verrouiller les SUS Servers… on est, nous assure Mike Nash, toujours en période de tests et d´essais.

Ce Service-Pack sera téléchargeable sur les serveurs du Technet, destiné essentiellement aux usagers qui souhaitent entamer, le plus tôt possible, leurs tests de régression. Toute installation de ce code sur des machines de production, stations de travail et, à plus forte raison, serveurs, est fortement déconseillée. Cette nouvelle mise à jour pèse un peu plus de 600 Mo en version 64 bits. Outre quelques supports très « gadgets », telle une amélioration des outils RSS de la sidebar ou le support de Bluetooth 2.1, le SP2 permettra l´usage des lecteurs DVD « Blue Ray », une amélioration du service de recherche/indexation, une amélioration de l´intégration d´Hyper-V. Le bug fonctionnel qui frappait la gestion des anciennes licences RDP Terminal Server serait, paraît-il, résolu. Le nouveau TSE serait également capable de prendre en compte les vieilles licences Citrix.

En 2007, les laboratoires F-Secure ajoutaient 250 000 signatures à leur base de détection. En 2008, ce chiffre a franchi la barre du million. 2009, estiment les chasseurs de virus Finlandais, pourrait dépasser la barre des 500 % de croissance.

Sur les rivages des botnets, la situation n´est guère plus enviable. Les derniers recensements font état d´environ 1,2 milliard de machines zombies, soit une moyenne de 12 millions de réseaux de bot. Seul détail légèrement rassurant, une grande partie des bots seraient orphelins, machines infectées appelant sans cesse un C&C qui n´existe plus. Il arrive toutefois -le cas McColo en est un bel exemple-, que ces zombies soient capables, à périodes régulières, de rechercher un autre nom de domaine « maître », et soient récupérées soit par leurs propriétaires d´origine, soit par un successeur en mal de croissance. Cette infiltration permanente de programmes discrets a, parfois, provoqué des instabilités ou justifié des opérations exceptionnelles. L´étude mentionne notamment le cas de trois hôpitaux Londoniens paralysés, la décision du DoD américain de suspendre l´usage de clef USB le temps de désinfecter ses réseaux internes, ou l´affaire plus médiatique que dramatique du virus découvert sur un ordinateur portable embarqué dans la station ISS. Rares, en temps normal, sont les utilisateurs qui découvrent la présence de tels agents dormants.

Bien sûr, parmi les nouveautés 2008, F-Secure salue l´arrivée des « scarewares », ces faux antivirus qui combinent à la fois l´escroquerie, l´infection à distance et, dans certains cas, la constitution de botnets (bis repetita placent). Mention spéciale également pour une légère remontée des attaques en injection SQL visant les sites Chinois durant les jeux Olympiques, ou les opérations de hacking divers ayant tenté de tirer parti des élections présidentielles américaines. F-Secure mentionne le hack des serveurs démocrates et autres « Obamawares » plus ou moins dangereux, mais aucune mention du hack du courriel de Sarah Palin.

Ce bilan s´achève avec un petit chant de victoire, la cessation des activités d´Estdomain, la fermeture de McColo -un bonheur de courte durée-, et une mélopée d´inquiétude : celle des risques attendus pour l´année à venir. Entre les menaces visant les smartphones (une vieille marotte chez F-Secure) et les Macintosh (un vieux regret chez tous les éditeurs d´A.V.), l´équipe de Mikko Hyppönen nous reparle de la « professionalisation » croissante de l´industrie du Crimeware, avec ses serveurs, ses places de marché, ses sous-traitants, ses plans de reprise d´activité, ses optimisations d´investissement dans le domaine du développement… Les botnets aussi, changeront de physionomie, en voyant leurs architectures centralisées disparaître au profit d´une structure P2P, rendant encore plus difficile l´éradication de ce qui fait office de C&C. Une lecture pessimiste des choses que l´on ne peut que déconseiller aux administrateurs avant une nuit de repos.

L´Icann, le régulateur suprême des noms de domaine et des registrars, vient de désigner le successeur du défunt Estdomains. Ce sera Directi Internet Solutions. Cadeau empoisonné, car cet héritage sulfureux est toujours soupçonné de contenir une part importante de domaines mafieux. D´ailleurs, certaines mesures montrent bien que cette reprise de clientèle demeure sujette à condition. Habituellement, lors d´un transfert d´activité, le registrar-repreneur remet tous les compteurs à zéro et « offre » une année entière de gestion du compte à ses nouveaux abonnés. Ce ne sera pas le cas cette fois. En d´autres termes, Directi espère que les possesseurs de sites douteux ont déjà déposé de nouveaux noms, pointant sur de nouvelles structures, et qu´ils ne chercheront pas à récupérer leurs anciens meubles. Il faut dire que, dans l´industrie du phishing et du spyware, une interruption de service coûte cher.

Le raisonnement inverse risque également d´être observé. Paré d´une nouvelle virginité, l´on peut craindre que les plus turbulents administrés d´Estdomains profitent de l´étiquette Directi pour se lancer dans un dernier baroud, lavés de tout soupçon et rayés des blacklistes en raison de ce « changement de syndic ».

L´Europe se dote d´un « plan de lutte » contre le terrorisme et la pédopornographie. Deux mots qui font peur, deux mots qui justifient toutes les mesures, puisque, comme le relate notre confrère Marc Rees de PC-Inpact ou BBC Online, la Communauté devrait voir se développer une « cyber-patrouille » capable d´effectuer des « recherches distantes » afin de récupérer des preuves capables de confondre les criminels.

La nécessité d´unifier les instances judiciaires et policières d´Europe est une incontestable nécessité, particulièrement dans le domaine de la lutte contre la cyber-délinquance, qui se joue des frontières et des juridictions. Définir rapidement des « mesures pratiques » pour que circulent plus facilement les informations entre les différentes polices des Etats Membres, donner aux juges la possibilité de dialoguer et d´agir -sans toutefois empiéter sur les prérogatives de leurs confrères-, c´est là un souhait parfaitement louable mais qui semble administrativement impossible à réaliser. Le « Plan de lutte » parviendra-t-il à combattre les contraintes nationales, les pré-carrés et les prérogatives aussi efficacement que les mafias du Net ?

Le prétexte du terrorisme et les moyens de le combattre soulèvent, en revanche, de très graves questions. A commencer par cette notion de « recherche à distance ». Est-ce là une vision Européenne de ce que l´Europe a toujours dénoncé chez nos voisins Américains ? En d´autres termes, les Magic Lantern, les Carnivore -ou DCS1000-, les Oasis des agences à trois lettres ne seraient plus une idée à combattre mais un « mal nécessaire » que tout bon-citoyen-qui-n´a-rien-à-cacher ne peut redouter ? Citoyen du monde entier, car soit le Parlement Européen annonce franchement son intention d´étendre un flicage bigbrotheriste visant essentiellement les internautes Européens -et ceci à seule fin politique-, soit ce même Parlement cherche réellement à traquer les terroristes et les sites pédophiles. Lesquels, par expérience, sont plus rarement basés à Bruxelles ou à Pantin que dans les banlieues de Bogota ou les salons de Saint-Pétersbourg. Or, une telle décision ne peut se faire sans l´accord des gouvernements Américains, Russes, Chinois, Brésiliens… Alors, gesticulation, ou flicage ?

Se pose également la question des moyens « autres » que ceux dont disposent les polices européennes. Outre les policewares et les failles exploitables secrètement conservées, on ne peut ignorer l´éternelle chimère de la « backdoor dans le système », de la collaboration occulte des éditeurs de logiciels avec les systèmes policiers du monde entier. La fameuse faille NSA qui saperait les systèmes Unix ou Windows, le « démon de Maxwell » des antivirus et firewalls qui bloquerait les malwares mais laisserait passer les gentils rootkits des agents de la force publique… L´informatique, comme la banque, est une affaire de confiance. Peut-il exister la moindre confiance si l´on soupçonne l´outil de travail de porosité ? Porosité d´autant plus inquiétante qu´elle reposera peut-être sur un programme-espion dont on ne saura jamais rien. Un rootkit qui serait impossible à circonvenir et à retourner. Un rootkit qui ne frapperait que les malfrats. Un rootkit qui serait tellement bien écrit que les rois du spywares et les champions du botnet ne seraient même pas capables de le voir. Un informaticien peut-il croire à de telles fables ?

Autant de questions qui mêlent à la fois risques pour la démocratie et difficultés techniques insurmontables. Steve Bellovin en tire un résumé plein de réflexions et d´expérience. Mais la machine est déjà en marche. Les décrets devraient rapidement suivre, nous promet, dans un second article, Marc Rees, qui relate la décision de Madame Michèle Alliot-Marie relative au filtrage des sites pédophiles par les fournisseurs d´accès « par tout moyen et sans délai ». Ce report de responsabilité sur des entreprises privées chargées des mesures exécutoires est presque un aveu d´impuissance. C´est également un moyen fort pratique pour se dédouaner en cas d´échec. Car de telles décisions ne peuvent aboutir que sur un échec. La suppression d´une voie de communication- remember McColo/Atrivo/Eastdomain- n´est que provisoire et ne fait qu´accroître l´éparpillement des sources de diffusion. Comment bloque-t-on un serveur, une adresse IP, un nom de domaine ? Certainement pas en établissant des « blacklists » qui, en l´espace d´une semaine, seront totalement tombées en obsolescence. Et probablement pas par des moyens technologiques prétendument universels. C´est en remontant une filière, en coupant les têtes des responsables de cellules, en noyautant physiquement les structures que l´on peut gagner une telle guerre de guérilla. Mais çà, les policiers de l´OCLCTIC le savent déjà. Leurs collègues également d´ailleurs.

Ca va piaffer d´impatience, dans les rédactions des grands quotidiens nationaux. Pas d´importantes attaques terroristes bactériologiques ou chimiques avant 2013. Quant aux risques d´une guerre cybernétique, c´est de la roupie de sansonnet, du potage à feuilles de choux, du délire de journaliste… bref, çà n´a pas l´ombre d´une existence sérieuse. Ces prédictions sont celles du très sérieux Rapport de la Commission sur la Prévention de la Prolifération des Armes de Destruction Massive et du Terrorisme soumise au Sénat des Etats-Unis. Un document de 134 pages qui analyse les probabilités, les tendances et les évolutions des menaces terroristes. Tout comme le précédent rapport, les experts redoutent avant tout des attaques « low cost » bactériologiques et chimiques, probablement même des attentats nucléaires, mais de cyberguerre aucune. Point de démantèlement des réseaux Scada, pas la plus petite bataille anti-DNS.

Ce qui ne veut pas dire qu´Internet n´est pas dans la ligne de mire de la commission. Ce pourrait même, peut-on lire entre les lignes, un moyen de lutte efficace, les récentes affaires, notamment celle de l´attentat de Mumbai, montrant qu´une communication rapide des informations est un facteur déterminant dans cette guerre sans fin. Cette recherche de l´information « sur le terrain » serait d´ailleurs particulièrement vitale pour ce qui concerne le Pakistan, pays notablement instable, possédant des infrastructures nucléaires pouvant ouvrir la voie à la fabrication d´armes atomiques, et traversant actuellement une période de tension exacerbée avec l´Inde (autre pays nucléarisé faut-il remarquer).

A l´heure où le gouvernement Français envisage d´interdire les « kits main libre » pour les conducteurs d´automobiles, un article du très américain Journal of Experimental Psychology nous apprend qu´une conversation téléphonique peut captiver l´attention considérablement plus que « la conversation du plus bavard des passagers qui soit ». L´usage des téléphones mobiles durant la conduite est dangereux, affirme Lee Strayer, professeur à l´Université de l´Utah. Des propos rapportés par le site d´information Silicon.com. Un dialogue téléphonique ralentit les réflexes d´un jeune conducteur au même point que ceux d´une personne âgée. Le niveau d´incapacité est alors aussi élevé que chez un conducteur pilotant en état d´ébriété. Un passager, en revanche, fait preuve de réactions qui sont propres au milieu commun, réactions qui peuvent aider le conducteur à conserver toute son attention.

Voilà qui ne va probablement pas faire l´affaire des opérateurs, des vendeurs d´installation « Bluetooth intégré » et autres marchands de gadgets poussant à la consommation des unités téléphoniques. Ce lobby-là, qui, statistiquement, provoque bien plus de morts que certains sites pseudo-terroristes ou d´échange de fichiers MP3, parviendra-t-il à enterrer le projet de loi le visant ?

On ne dit plus « le patron est parti avec la caisse », mais « le VP s’est enfui avec le fichier client ». En ces périodes de décapilotade économique, il est souvent d’usage que les victimes des charrettes se payent sur la bête. Il n’est pas rare qu’un « commercial » s’en aille avec sa liste de contacts, ou qu’un chef de projet emporte avec lui une maquette prometteuse n’ayant encore fait l’objet d’aucune protection juridique. Procédé peu délicat et parfois difficile à plaider.

Mais lorsque Nick Belmonte, Vice Président d’une petite entreprise Canadienne de marketing direct, oublie de restituer les bandes de sauvegarde du fichier client, lequel contiendrait également les numéros de carte de crédit de certains d’entre eux, on crie au vol d’identité. Dame, 3,2 millions de noms dont 800 000 associés à des données bancaires ou financières, une valeur de 10 millions de dollars au marché noir… le Reg s’en fait l’écho, MXLogic reprend, ChutneyTech itou pendant que DarkReading bat la mesure. Un patron émargeant à plus de 150 000 $ qui disparaît avec les outils de production, quelle belle manchette pour les journaux.

Mais en fouillant un tant soit peu dans cette trop classique affaire de fuite d’information, l’on tombe sur un tout autre éclairage : celui du Sun de Vancouver, le journal local. Un Sun qui nous apprend que la plainte a été déposée par la toute nouvelle pédégette, Gloria Evans, laquelle n’a pas de mot assez dur pour qualifier le manque de sérieux de Belmonte, un homme qui ne venait au bureau que lorsque cela lui chantait. Et c’est, hasard étonnant, le fils même de cette pédégette, faisant office d’Administrateur Réseau, qui découvre la disparition de la fameuse bande de sauvegarde. Une bande dont les données étaient chiffrées « mais dont les mécanismes nécessaires à son déchiffrement étaient également situés sur la bande en question » (sic). Autre hasard tout aussi surprenant, ladite pédégette, fraîchement débarquée, succède à un certain Randall Thiemer, ami proche du VP soupçonné. Alors, affaire de succession ? Probablement plus qu’on ne peut le penser. Car Thiemer avait lui-même été associé à un certain Ray Ginnetti, lequel avait des accointances avec les Hell’s Angels de la région. Une fréquentation brutalement arrêtée le jour ou cet amoureux de la moto croise malencontreusement le trajet d’une balle de revolver. Ginnetti encore, dont le passé trouble n’est qu’une succession d’opérations de boursicotage douteuses reposant sur des listes de « gogos » -les fameux fichiers clients-. Il faut dire qu’on n’est pas regardant sur les achats massifs et les ventes brutales, au stock exchange de Vancouver. Cette place financière est réputée pour ne pas trop regarder qui échange et dans quelle condition. Et les retards de publication des bilans financiers (10K et 1Q form) sont monnaie courante. Mais revenons à Ginnetti. Il trempe également dans le « spam à la loterie », business légal en Amérique du Nord, mais notablement lié aux filières mafieuses de blanchiment d’argent. Scam, arnaque au pseudo délit d’initié camouflé derrière une société écran baptisée Genesis Ressources … le tout reposant sur des fichiers de « marketing direct » qui, dans d’autres pays, pourraient bien porter le nom de « base de données de phishing », voilà l’origine du clan Ginnetti/Thiemer/Belmonte. Car on ne peut imaginer un instant que le Vice Président d’une entreprise ne connaisse pas les rouages intimes qui sont à l’origine de l’entreprise qu’il vice-dirige avec vertu.

Alors, guerre de succession ou vol de données exposant les avoirs d’innocents clients ? Cyber-délinquance en col blanc ou traditionnel règlement de compte mafieux ? Qu’importe. Ce qu’il ressort de cette histoire, c’est qu’il est souvent bien pratique d’utiliser une accroche à la mode –la fuite d’information provoquée par un employé indélicat- pour mieux camoufler un banal fait-divers. Il est également parfois difficile de retracer l’origine exacte d’une affaire dans le bruit consensuel qu’Internet génère chaque jour.

Encore une découverte faite par l´équipe des laboratoires Trend Micro : un email de phishing visant les consommateurs des restaurants McDonald et leur faisant miroiter une prime de 75 $ à toute personne répondant à une enquête de consommation. Bien sûr, pour faciliter le versement de cette prime, il était nécessaire de fournir nom, prénom, numéro de carte de crédit, date d´expiration et code pin. « Do it Ronnie Way » disait le slogan de « Mc Do » dans les années 80. Un moto détourné et repris en cœur par les opposants américains à Ronald Reagan, élu Président à cette même époque… et qui pourrait également se faire recycler par les auteurs de malwares.

Les laboratoires CNIS-Mag, généralement plus prospectifs que ceux de Trend, craignent cependant une localisation de ce genre d´attaques. Certains bruits, récoltés sur les canaux IRC du Bas-Larzac et du Black-Périgord, laisseraient entendre qu´il se prépare une campagne de phishing visant spécifiquement une clientèle Française. Sous l´intitulé « Enquête de Satisfaction Gastronomique », l´on aurait vu des brouillons d´email débutant ainsi :

Lucas-Carton offre 150 Euros et une entrée au choix à toutes les personnes acceptant de répondre à cette enquête rapide…

Plusieurs variantes, usurpant indignement les noms de Ferdinand Point, Marc Veyrat, Fifi Moulin ou Michel Troisgros devraient suivre cette honteuse campagne de vol d´identité. Campagne qui risque hélas de s´avérer fructueuse car, outre la légère différence de qualité qui distingue ces restaurants des établissements de Monsieur Ronald McDonald, le montant des comptes en banque des victimes potentielles serait lui aussi légèrement plus confortable que celui des amateurs de viande hachée trop cuite.

Que d´efforts de développement, que de trésors d´ingéniosité pour récupérer une identité bancaire, un code d´accès, une crédence magique. Au Container Store, on a trouvé bien mieux et bien moins cher : le « Password Directory », un carnet à spirales spécialement étudié pour y noter tous les mots de passe nécessaires, tous les codes PIN indispensables. Un cadeau de fin d´année que chaque hacker ne manquera pas d´offrir à son administrateur préféré. Ironie mise à part, il est à remarquer qu´un lot de mots de passe écrits sur un support papier est plus difficile à pirater à distance et via TCP/IP que cette même information stockée sur un disque dur. Reste qu´il n´est pas impossible à un valeureux voleur d´identité d´ajouter à ses talents celui de pickpocket. Ceci est l´occasion pour rappeler l´existence d´un excellent utilitaire originellement conçu par Bruce Schneier et, depuis, distribué au format Open Source : PasswordSafe. Ce programme, chargeable sur une simple clef USB, existe soit en code Wintel, soit en Java, et donc totalement indépendant de la plateforme utilisée. Bien sûr, l´accès au coffre à mots de passe est lui-même protégé par un sésame « maître » qu´il est conseillé de ne jamais oublier.

Entre les véritables présents et les cadeaux empoisonnés, il est difficile de s´y retrouver, en cette période de fêtes.
Elle est pourtant la bienvenue, cette annonce faite par Dan Goodin, du Reg : Srizbi, le botnet qui, tel les morts-vivants des films de Romero, devait revenir d´entre les morts après la décapitation de l´hébergeur véreux McColo… ne reviendra pas. Du moins, pas immédiatement. Son mécanisme de résurrection pointait sur un certain nombre de serveurs situés en Estonie, et il semblerait que des décisions rapides aient été prises pour enfoncer un pieu de buis béni dans le cœur de ce vampire de la bande passante. Seul, en Allemagne, un serveur-spammeur subsiste. Sera-ce pour longtemps ?

Toujours est-il que la trêve fut de courte durée. Les boîtes de courriel recommencent à être envahies par des offres pharmaceutiques intitulées « Bonjour », les propositions d´adhésion à certains casinos en ligne redoublent… les fêtes de noël et leurs dépenses associées intéressent également les cyber-magouilleurs. Il est à craindre que cette chasse aux McColo et autres gros robinets d´alimentation à botnet ne débouche sur un éclatement des ressources, une atomisation plus discrète des machines dédiées à la mise à jour de ces réseaux de bots. La chasse aux héritiers de McColo pourrait bien devenir un sport difficile, en 2009. En attendant ces jours maudits, certains experts jouent les Cassandres et nous prédisent l´arrivée d´un nouveau Botnet, encore plus gros, encore plus dangereux, encore plus envahissant que tout ce que pouvait diffuser McColo. Il s´agirait, nous expliquent nos confrères de ComputerWorld, d´un botnet reposant notamment sur la faille MS08-067, la fameuse « hors cycle » qui fit déjà tant couler d´encre. Le petit nom de son exploit varie en fonction des éditeurs d´antivirus : Downad.a chez les uns, Downadup chez les autres, Conficker.a chez Microsoft… ce serait tellement plus compliqué d´utiliser une nomenclature unique. Par exemple, Exploit-CVE-2008-4250. Mais franchement, avec un nom pareil, difficile de « sensibiliser » l´usager et de le convaincre d´acheter un indispensable outil de protection périmétrique. Les auteurs de scarewares n´ont pas de tels scrupules, eux qui inventent des infections aux noms apocalyptiques…

Toujours à propos de ces histoires de vulnérabilité et de propagation virale, Christian Seifert pose une fois de plus, dans les colonnes de son blog, l´éternelle question relative à la responsabilité de Microsoft dans l´établissement de ces fameux botnets. En invoquant la lutte contre le piratage de ses productions, l´éditeur justifie le fait qu´il puisse contrôler le téléchargement des « service pack » et autres rustines de sécurité. Les vilains profiteurs ne bénéficieront pas du « service après vente » d´une chose qu´ils n´ont pas acheté. De prime abord, la réaction peut paraître logique. Mais, fait remarquer Seifert, cet argument de suffit pas à motiver les intentions d´achat, et les postes piratés demeurent des postes piratés. Et vulnérables… puisque non « patchés ». Ergo, chaque poste piraté fragilisé contribue un peu plus à rendre Internet peu sûr, et vient gonfler les armés de zombies enrôlés dans les botnets.

Seifert oublie toutefois une composante essentielle du jeu de la sécurité et du renouvellement de parc : à l´heure actuelle, même des licences légalement acquises représentent un danger monumental. C´est notamment le cas de l´innombrable armada de postes Windows 98 encore en service… ce sera bientôt celui des générations de XP qui ne seront plus supporté par MS. Ce qui est scandaleux, dans cette situation, c´est la totale irresponsabilité du budget des utilisateurs, qui ne sait pas adopter une plasticité indéfiniment extensible.