janvier, 2009

Le gouvernement abandonne la riposte graduée … Britannique, le gouvernement. Motif invoqué : cela irait à l’encontre des intérêts de l’industrie toute entière et coûterait cher aux fournisseurs d’accès, lesquels refusent de jouer les miliciens-chasseurs de pirates. C’est là un témoignage de nos confrères Custom PC. En France, précise un article de Marc Rees, publié dans PC-Inpact, seul Illiad (alias Free) y met de la mauvaise volonté et invoque tant des problèmes de coût que des questions d’éthique. Il faut dire qu’en nos contrées, une success story telle que celle des Monthy Python n’est pas très politiquement correcte. Convertir des pirates en acheteurs aiguillonnés par un désir de qualité et de culture est terriblement subversif. Pensez donc, c’est plus ou moins admettre que le piratage est nécessaire. Et puis, il y a les mots qualité et culture… bien plus difficiles à dupliquer qu’un fichier MP3.

Pendant ce temps, en Hollande, Jart Armin, d’Internet Revolution, se penche sur les statistiques du piratage dans son pays. Sur quelques 16 millions de Bataves recensés, 4,7 millions d’entre eux –sur une population de 15 ans et plus- ont téléchargé illégalement de la musique ou un film sur Internet durant l’année écoulée. Les Pays-Bas : 25% de pirates ? Plus encore si l’on tente de moyenner ce résultat en éliminant les nourrissons ou les personnes âgées qui estiment « qu’internet, c’est pas de ma génération ». Reste que cette étude, commanditée par l’Institut pour l’information du Droit de l’Université d’Amsterdam, ajoute que ces « 25% » de la population représentent 45% des consommateurs achetant de la musique légalement. Ce qui implique que 75% de la population n’est consommateur que d’un peu plus de la moitié des ventes de reproductions audio et vidéo. Une impressionnante mise en évidence de la loi des « 80/20 ».

Question : si 100 % de la population Hollandaise passait immédiatement dans le camp des honnêtes gens, de combien plongerait l’industrie du disque, qui prétend chaque jour qui passe, ressentir les affres de l’agonie ?

Dans cette tourmente de chiffres, d’attitudes contradictoires et d’arguments plus souvent passionnés qu’objectifs, l’on aurait presque raté cet acte manqué du Gouvernement Français, que relèvent nos confrères de ZD Net : pas de taxe pour les ordinateurs pouvant recevoir les émissions de télévision. Précisons qu’il s’agit là d’une taxe touchant uniquement les machines capables de recevoir des émissions de télévision par voie hertzienne. Cette dérogation spécifique –alors que la loi jusqu’à présent concernait tous les appareils équipés d’un tuner, magnétoscopes compris-, n’est qu’une fausse reculade. Le problème de l’assujettissement des ordinateurs familiaux à la redevance TV reviendra sur le tapis dès lors que se multiplieront les offres TV-IP. Rappelons qu’originellement, l’amendement Dionis sur la redevance TV-informatique devait concerner la totalité des ordinateurs… y compris ceux non-équipés de tuner et appartenant à des personnes n’ayant souscrit aucun abonnement « triple play ».

Le rejet de la taxe –pourtant justifiée- visant les systèmes possédant un tuner TV, ne semble donc qu’une réaction à l’outrance et à l’iniquité des précédents projets.

C’est le « buzz » de ce milieu de semaine : les fiers cavaliers Kirghizes sont violemment attaqués par des ordinateurs des « pirates Russes ». Certains média en tartinent plus de 3 pages sans rien dévoiler, d’autres résument la situation en quelques mots. C’est le cas notamment du labo de SecureWorks, qui synthétise les faits ainsi : une attaque en déni de service semble lancée par des hackers manifestement pilotés par le gouvernement Russe. Cet assaut, qui passe presque inaperçu aux yeux des médias, serait probablement motivé par le désir du Kremlin de voir fermées les installations aériennes militaires américaines basée au Kirghizstan. Ces bases font partie de l’infrastructure logistique nécessaire à la présence des troupes US en Afghanistan. Le Président du Kirghizistan est perçu comme étant proche des Etats-Unis. De nombreux accords économiques ont été signés entre ces deux pays, accords pris par Moscou comme une intervention directe des USA dans la sphère d’influence de la Fédération de Russie.

On ne peut bien entendu que penser aux nombreux précédents qui ont mis en évidence le rôle des « groupes incontrôlés de patriotes » Russes, soupçonnés d’être noyautés par le FSB, et qui ont été notamment responsables d’une partie des « cyber-guerres » dirigées contre l’Estonie, la Lituanie ou, plus récemment, la Géorgie. Bien sûr, il n’existe strictement aucun lien officiel prouvant que le Gouvernement Russe soit mouillé dans cette affaire. Le strict cloisonnement des activités officielles et des actions officieuses, la « mobilisation spontanée » de milices patriotiques sont des caractéristiques typiques des sociétés collectivistes. S’il existe peu de documents militaires prouvant à quel point le Haut Commandement de l’ex-armée Soviétique s’intéresse de près aux mécanismes de la cyber-warfare et du recrutement de troupes compétentes dans les milieux du hack « noir », de nombreux rapports concernant sa proche voisine, la Chine, montrent qu’il existe un lien étroit entre ces deux mondes. Encore et toujours cette notion d’alliance objective si chère à la pensée marxiste. Les militaires ont besoin des groupes d’hacktivistes, lesquels hacktivistes acceptent cette collaboration en échange d’une certaine « liberté d’action ».

Il y a déjà plus de 8 ans, Toshi Yoshihara publiait une analyse d’une cinquantaine de pages intitulée « Chinese information Warfare : a phantom menace or emerging threat ? ». A lire à la lumière du rapport « Globalization and asymmetrical warfare » du Major William J. Hartman de l’Armée de Terre US, de l’étude « Cyber Warfare, an analysis of the means and motivations of selected nation states » du Collège de Dartmouth. L’on peut également ajouter à cette liste fort instructive, le rapide résumé d’un exposé sur l’ « unrestricted warfare » pensé par deux colonels de l’Armée Populaire de Libération Chinoise.

Websense vient d’annoncer le rachat de Defensio, pour un montant inconnu à ce jour. Personne, ou presque, ne connaît Defensio (http://www.karabunga.com/), programme développé par une petite entreprise Canadienne, Karabunga. Il s’agit pourtant d’un logiciel original, un antispam vendu sous forme de service et s’adressant aux usagers du Web 2.0. Car le spam frappe de plus en plus souvent les blogueurs et les administrateurs de réseaux sociaux. Lesquels sont généralement démunis face à ce genre de menace, et doivent souvent opter pour la fermeture pure et simple des « commentaires ». C’est d’ailleurs au « commentaire » traité qu’est facturée la version entreprise –environ 5 $ pour 100 000 messages par mois, spam compris-. Les licences utilisées dans le cadre de blogs personnels sont entièrement gratuites.

Cette information est à rapprocher d’une nouvelle race de logiciels, les outils de spamming visant les « webdeuzeries ». Ils ne sont pas encore très nombreux, mais leurs effets sont dévastateurs. Ainsi TweetTornado.com, qui prétend « créer un nombre illimité de comptes Tweeter, ajouter un nombre illimité de « followers », générer un trafic Web illimité, gagner de l’argent à ne plus savoir qu’en faire ». Et tout çà pour la modique somme de 50 dollars par mois – un outil de spamming commercial est nettement plus cher qu’un antispam-, tarif promotionnel, avant application du prix définitif de 250 $ par mois… achetez vite ! cela ne durera pas longtemps ! Passons sur les clauses léonines du contrat de vente qui sentent l’escroquerie à plein nez. Derrière chaque tweettornado qui apparaît officiellement sur le devant de la scène, il sort hélas 4 ou 5 produits concurrents spécialement étudiés pour polluer les WordPress et serveurs assimilés.

L’histoire des virus est un éternel recommencement, nous explique Shinsuke Honjo de l’Avert. Dans un article intitulé « Abusing Shortcuts files », le chercheurs nous entraîne sur les chemins des « raccourcis » Windows qui, soit sont chargés de lancer un virus, soit intègrent eux-mêmes une charge létale.

Tout le monde a encore en mémoire les « autorun » des clefs USB et autres mémoires amovibles que Conficker/Downadup utilise pour se répandre de ressource en ressource. Le principe est strictement le même. Chez W32/Mokaksu, c’est même devenu une spécialité. Le virus recherche tout raccourci passant à sa portée, et modifie illico le chemin de lancement du programme en y ajoutant sa propre position sur le disque. Ainsi, en croyant lancer un Acrobat Reader ou la calculette Windows, l’usager lancera tout d’abord l’exécutable du virus, puis, dans un second temps, le logiciel initialement désigné par le « shortcut ». Le tout, bien entendu, sans que rien d’anormal ne semble se produire à l’écran.

Mais ce n’est pas tout, raconte Honjo. Pour le troyen Downloader-BMF, la modification du raccourci sert également à exécuter non plus un programme, mais un script. En l’occurrence, un script ftp qui va à son tour récupérer un second script –mais en VBS-, lequel VBS se chargera du téléchargement des fichiers complémentaires nécessaires au Troyen.

Ces techniques sont intéressantes à plus d’un titre. En premier lieu, exception faite de l’exécutable chargé de modifier le raccourci, il est rare qu’un antivirus ou que les mécanismes de protection du noyau s’affolent lorsqu’un shortcut est activé. Après tout, ce n’est jamais qu’un ordre lancé par l’utilisateur, dans le cadre restreint de ses droits, ordre qui ne viole généralement aucun adressage mémoire ou la moindre restriction d’exécution. Il fait ce que n’importe qui est autorisé à faire. Ce sont les conséquences de son action qui sont dangereuses, et non l’action elle-même.

Ceci rappelle certains virus antiques sous Dos, déclenchés tantôt par un nom d’exécutable caché dans le « volume label », tantôt amorcé à l’aide d’une séquence Ansi, ou bien encore venant polluer l’Autoexec.bat de la machine. Cela rappelle également les exécutables destructeurs camouflés par une extension PIF, un fichier descripteur plagié par Microsoft et inventé par IBM pour les besoins de TopView. Sur des pensers anciens, faisons des vers nouveaux*.

*Ndlc : ver d’André Chénier

Chaque année, l’Avert Lab de McAfee se livre au jeu de la boule de cristal, et tente de prévoir les grandes tendances à venir en matière de délinquance informatique. A quelle sauce allons-nous être mangés ?

Sauce financière, avant tout.Car, estiment les experts du laboratoire de recherche, la crise économique mondiale actuelle va très probablement se révéler un terreau favorable au développement de fausses « bonnes affaires », allant de l’investissement mirifique à la transaction frauduleuse, en passant par les embrouilles légales les plus sombres. Croissance également sur le marché du travail… des mules. Face à un taux de chômage croissant, il ne sera bientôt pas très difficile de recruter des hommes de paille chargés du blanchiment d’argent sale, d’exploitation de vol d’identité bancaire et autres achats illégaux masqués par les activités d’un prête-nom complaisant. Entre l’hypothétique menace d’une condamnation pour escroquerie et la certitude immédiate d’une visite d’huissier, les scrupules ne pèsent jamais très lourds.

Les méthodes d’attaques, quand à elles, ont déjà entamé leur changement, et ces tendances ne pourront que s’accentuer dans les mois à venir. A commencer par une nette augmentation des vecteurs d’attaque injectés sur les serveurs. Côté postes clients, les mécanismes développés deviennent de plus en plus subtils. Certains virus (troyens, rootkits …) évitent certaines configurations. Les chercheurs du MSRC de Microsoft ont à ce sujet signalé que certaines versions de Downadup, par exemple, évitaient d’infecter les ordinateurs Russes ou Ukrainies. Principalement pour ne pas éveiller la ire des autorités locales et jouer sur l’impunité d’une totale « extraterritorialité de l’attaquant par rapport à sa victime ». Autres améliorations techniques, l’usage massif de techniques aléatoires ou à grands nombres de changements, dans les noms de serveurs de mise à niveau, dans les adresses mémoires, dans l’apparence binaire, dans les liens Internet utilisés, dans les protocoles de routage des postes zombifiés (protocoles P2P), dans les localisations IP des serveurs d’attaque –fast flux notamment-

Encore plus inquiétantes –mais est-ce parce qu’inconsciemment nul ne doute de la véracité de ces prédictions- l’Avert nous promet encore plus de malwares « ne parlant plus anglais ». Qu’il s’agisse de spam, de phishing, voir de programmes frauduleux genre scarewares, les cybertruands tentent de « localiser » leurs productions afin de gagner en efficacité. Elles deviennent lettres mortes, les lamentables tentatives de phishing prétendument émises par le Crédit Lyonnais ou la Banque de France, rédigées dans une langue qui n’a de Shakespeare qu’une lointaine apparence. Désormais, les outils d’attaque s’expriment « dans la langue du pays » (notons au passage que cela confirme l’analyse de Dancho Danchev sur la spécialisation des « places de marché » du cybercrime, dont les ventes sont de plus en plus découpées en fonction des pays visés, du niveau social des victimes, de leurs centres d’intérêt).

Plus d’ingénierie sociale aussi. Avec l’apparition brutale, courant 2008, d’attaques basées sur des événements d’actualité. Hier, on recevait un courriel intitulé « I love You », aujourd’hui, on apprend que Barack Obama se désiste et refuse de prendre la Présidence des Etats Unis… le piège social repose sur des ressorts légèrement différents, dont l’immédiateté événementielle offre une certaine crédibilité.

Elles se font de plus en plus insistantes, les rumeurs qui laissent présager la nomination de John Thompson, CEO de Symantec, à la tête du Department of Commerce. Cette nomination surviendrait donc peu après le départ de Thompson de la direction du groupe. Thomson avait déjà joué le rôle de conseiller « sécurité » durant l’Administration Bush, comme membre du National Infrastructure Advisory Committee.

Ces rumeurs de nomination font suite à celles concernant l’éventuelle promotion de Padmasree Warrior, ex CTO chez Cisco et Motorola, au poste de Chief Technology Officer du gouvernement Obama.

Votons une motion de félicitation à l’équipe marketing d’Apple et à son consciencieux travail de sensibilisation. En persuadant judicieusement les usagers du Mac qu’un antivirus était une chose strictement inutile, ces sémillants développeurs de slogans ont fait le lit de deux profiteurs intelligents. En premier lieu, celui de l’auteur de OSX.Trojan.iServices.A, un troyen destiné à transformer un Mac en membre de botnet. Un troyen surtout déguisé sous la forme d’une application « piratée » disponible sur un gros réseau d’échange P2P (iWorks en l’occurrence). L’alerte d’Intego révèle également un effet pervers inattendu de l’attitude d’Apple : si le noyau est invulnérable, quelle raison aurait-on de craindre une infection provenant d’un fichier d’origine douteuse ? Ergo, l’invulnérabilité prétendue est perçue par certains comme un blanc-seing autorisant le piratage.

Bien entendu, cette affaire fit les gros titres de biens des journaux en ligne, et il est peu probable qu’un usager d’OS/X cherche désormais à récupérer le programme en question. Mais l’histoire ne s’arrête pas là. Quelques jours après la révélation de ce fameux iWork sauce piquante, avec un opportunisme remarquable, un gang d’escrocs lance une opération marketing vantant les mérites d’un logiciel de protection accompagné d’un abonnement « à vie »… Pour quiconque a un jour approché ce monde totalement altruiste et désintéressé qu’est celui des auteurs d’antivirus, l’idée d’abandonner le principe de la licence annuelle peut paraître surprenante. Mais admettons … Les utilisateurs de Mac, c’est bien connu, ne savent pas ce qu’est un antivirus, puisqu’ils n’en avaient pas besoin jusqu’à présent. L’alerte de Sergey Golovanov, de Kaspersky nous offre donc cette séduisante capture d’écran vantant les mérites de cette protection infaillible… infaillible surtout contre ce qui n’existe pas. A noter également cet autre article traitant de l’accroissement du nombre d’attaques virales visant OS/X.

Loin de nous l’idée d’amalgamer le discours marketing d’une entreprise et la façon de penser des clients de ladite entreprise. Le Macintosh demeure, à l’heure actuelle, l’une des plateformes les plus sûres du marché. Ne serait-ce qu’en vertu des arguments développés par Dan Geer dans son célèbre exposé The cost of monopoly . Mais ressasser inlassablement qu’elle est invulnérable ne peut avoir qu’une seule conséquence, le développement d’un sentiment de fausse sécurité.

Autre exemple avec cette loi stupide par excellence, car dénotant la totale ignorance du législateur : un projet américain obligeant les téléphones dotés d’APN de « cliquer » bruyamment lors de la prise d’un cliché. Après les prédateurs sexuels, voici les Camera Phone Predators .

Stupide car le nombre de moyens de contournement est probablement aussi élevé que le nombre de photos indiscrètes prises avec ces mêmes appareils. A la manière des « fifty ways … » de Fred Cohen, l’on pourrait citer :
-Le débranchement permanent du « bas parleur » du téléphone
– Le branchement d’un « kit piéton » qui redirige vers un inaudible casque –ou vers un connecteur « jack » relié à rien du tout- l’information audio révélatrice
– Le hack du firmware. S’il est si facile à l’heure actuelle de faire « désimlocker » un terminal mobile ou de dénicher l’information qui permettra de transformer un iPhone « Spécialement-conçu-pour-un-modèle-économique-de-vente-liée » en épluche légume ou media-center, pour quelle raison ce même genre de hack ne serait pas disponible pour rendre muet un téléphone-appareil photo ?
– L’achat de l’appareil à l’étranger, que ce soit directement auprès d’un revendeur agréé ou d’un particulier via un site de vente aux enchères
– L’abandon dudit téléphone-appareil photo au profit d’un véritable APN, moins cher, probablement encore plus discret et mieux conçu. Quitte à jouer les paparazzis et spéculer dans les actions du « flou et mal cadré », autant le faire avec un minimum de professionnalisme.
… et ainsi de suite.

Existe-t-il une « conspiration du code propriétaire » ? s’interroge Joanna Rutkowska. Et ce, particulièrement dans le domaine de la cryptologie ? Et de soulever à nouveau l’éternelle question de la « solidité » d’un programme de chiffrement, de l’éventualité d’une porte dérobée dans son code ou d’une invérifiable erreur dans sa conception.

L’idée n’est ni nouvelle, ni ne relève du fantasme. Il suffit de lancer une requête Google avec la chaîne « Hans Buehler Crypto AG » pour se rappeler que le chiffrement est avant tout une « arme de guerre », et qu’à la guerre, tous les coups sont permis. Mais est-ce une raison, se demande Rutkowska, d’en conclure par l’absurde que tout ce qui n’est pas propriétaire, tout ce qui relève de l’Open Source est par conséquent dénué de chausse-trappe ? C’est là d’ailleurs une rumeur entretenue par les tenants du Libre, qui ne repose généralement sur aucune preuve tangible (ndlr, Rutkowska ne cite absolument pas l’affaire Crypto AG). Et de rappeler un défaut de conception qui avait frappé l’OpenSSL de Debian. Le bug malheureux est toujours possible en raison de l’origine humaine du code. Et rien de ce qui est humain n’est infaillible. Mais, sous-entend la chercheuse, peut-on pousser le raisonnement plus loin ? Peut-on imaginer, avec des techniques de camouflage, instiller une porte dérobée dans le source d’un des multiples parfums Linux par exemple ? Question qui en soulève une autre, qui donc peut affirmer le contraire, qui donc peut assurer avoir lu –et compris- les milliers de lignes d’un TrueCrypt ou GnuPG ? Les programmes propriétaires ne sont pas « plus sûrs » que les logiciels « ouverts », et vice versa. Car affirmer un niveau de sécurité donné implique nécessairement une analyse fine de l’ensemble du processus de chiffrement, une maîtrise de chaque élément. Et tout ceci ne peut se résumer à une simple analyse du source C/C++. Cela implique également un examen attentif de l’architecture du système, de la manière dont interagissent les différents éléments, et ce jusqu’aux couches basses situées parfois bien en dessous du « kernel land ». Des terres où, généralement, l’on ne rencontre pas souvent de langages autres que propriétaires.

Encore une histoire de fichiers nominatifs évaporés –de l’armée US cette fois- retrouvée sur un composant USB. En achetant un lecteur MP3 d’occasion dans un magasin « vide grenier », un Australien a découvert une soixantaine de fichiers contenant des rapports de mission, des notes sur le déploiement des équipements militaires et des informations sur le personnel de l’armée US. Des fichiers concernant des militaires dont certains étaient en opération en Irak et Afghanistan. Une fuite de plus, a nouveau révélée par un média anglo-saxon.

L’acheteur précise à nos confrères du quotidien The Age que l’appareil semblait n’avoir été utilisé que pour du stockage de fichier, et probablement jamais acheté pour son usage musical. Ce n’est donc pas là le résultat d’une erreur de manipulation. Ce qui explique d’autant moins le fait qu’un instrument sciemment employé comme unité de stockage ait été revendu sans la moindre procédure d’effacement. Le respect méthodique de la formule « à gratter, à repeindre et à reverser* » n’est donc qu’une pratique purement française. C’est très probablement pour cette raison que ce genre d’affaire n’arrive jamais chez nous.

*Ndt Note du Traducteur : formule militaire résumant les opérations de traitement du matériel réformé : à gratter et repeindre pour donner à l’équipement un aspect acceptable, à reverser sous-entend « à envoyer aux services du Domaine », qui se chargera de la vente aux enchères de ces « surplus ».

Un million chez les uns, 9 millions chez les autres, plus le temps passe, plus les métriques liées à l’infection Downadup deviennent floues, plus les messages deviennent inutilement alarmistes, promettant tantôt une énième fin du monde Internet ou la création du plus monstrueux botnet jamais créé.

Il ne fait strictement aucun doute que ce ver est dangereux et sérieusement empoisonnant pour tous les administrateurs réseaux. Il ne fait aucun doute qu’en pleine période d’amoindrissement de confiance –sinon de perte- envers les vendeurs d’antivirus, cette épidémie arrive à point nommé. Rappelons une fois de plus que les conseils de Microsoft et l’analyse de Sylvain Sarmejeanne sont plus que jamais d’actualité.