janvier, 2009

C’est la quatorzième ( !) édition du billet intitulé A Diverse Portfolio of Fake Security Software . Une fois de plus, Dancho Danchev braque les projecteurs sur les noms de domaine des vendeurs de faux antivirus et prétendus antispywares. Un papier d’autant plus important qu’en ce tournant d’année, bien des utilisateurs peuvent être tentés de «passer à la version 2009 » de leur logiciel de protection.

Pour corser un peu plus le contenu de sa harangue, Danchev y ajoute cette fois les coordonnées des propriétaires des domaines faisandés, information récupérée par une simple requête Whois. Sao Paulo, Moscou… sans oublier quelques noms Américains ou Chinois : l’origine de ces nids de guêpes logiciels n’offre aucune surprise. Et c’est peut-être là le principal danger : passé les effets d’annonces du procès « anti-scareware » intenté par Microsoft, et une fois apaisés les remous médiatiques de décembre dernier, le scareware est devenu une nuisance quasi quotidienne à laquelle le monde TIC semble s’être habitué. La banalisation de cette menace ne doit pas faire oublier qu’elle existe toujours. Un chasseur de faille français laissait entendre que ce genre de faux programmes pourrait bien constituer une menace majeure à la fin 2009. « Lorsque Microsoft aura officiellement adopté le modèle « gratuit » pour diffuser son antivirus, les auteurs de scareware spécialisés dans la diffusion camouflée de spywares et troyens imiteront cette attitude. Cela risque de centupler les téléchargements irréfléchis. Pour une personne étrangère au sérail informatique, il est d’ores et déjà impossible de faire la différence entre un véritable auteur de « gratuit », tel AVG ou Avast, et l’œuvre d’un escroc ».

Qui n’a pas déjà entendu parler du « scandale Heartland » ? Cet intermédiaire bancaire américain, dont près de 40% du volume de transaction est réalisé par de petites et moyennes structures (restaurants, boutiques etc), aurait été victime d’un « hack du siècle » ayant permis l’installation d’un programme actif au sein même des ses ordinateurs. Comment opérait ledit programme, quand a-t-il été probablement installé, comment est-il entré, (insider, injection, à quel niveau ?) combien de transactions ont-elles été compromises, depuis combien de temps les faits étaient réellement connus des dirigeants… ? Aucune information sérieuse ne filtre. La presse, les consommateurs, les clients mêmes sont dans l’ignorance totale de l’étendu du problème.

Le Post s’étend largement sur le sujet. Un chiffre donne la chaire de poule : Heartland compte 250 000 clients. Un quart de million de commerces, d’entités commerciales, qui chacun doit traiter les comptes de centaines, de milliers d’acheteurs toutes les semaines. Ce sont donc potentiellement plusieurs centaines de millions d’opérations de cartes de crédit qui auraient pu être trafiquées. Ou peut-être considérablement moins. Security Focus, le Reg, Security News, HNS, tout comme la direction de l’entreprise, insistent sur le fait que les « Social Security numbers, unencrypted personal identification numbers (PIN), addresses or telephone numbers were involved in the breach ». Ce qui veut dire implicitement que les voleurs sont très probablement en possession des noms, numéros de compte, dates d’expiration de carte des victimes. Un site web monté par l’intermédiaire financier pour les besoins de la cause, accompagné d’une Foire Aux Questions, ne donne pas plus d’information. Une chose est au moins certaine : dans le domaine de la maîtrise des fuites d’information, le DirCom semble plus compétent que le CTO et que la DSI. Il sera intéressant de voir si, en ces périodes de troubles économiques et de passage aux normes PCI-dss, ce faux-pas sera, à l’instar de CardSystems, fatal à cet intermédiaire.

A la une de CBS, le retour de la vengeance des cyberterroristes. Interviewé par Rita Braver, de CBS News, le Dr. Joel Brenner, l’un des patrons du National Counterintelligence US, remet sur le tapis l’épouvantail d’une cyber-guerre concertée par l’Internationale Terroriste. Pour appuyer les propos de Brenner, CBS a repassé un court extrait de la série 24H chrono durant lequel l’inoxydable Jack Bauer protège l’Amérique d’une terrible attaque visant les infrastructures énergétiques du pays. (voir également Die Hard 4 ). Avoir choisi une série musclée qui fait l’apologie de la torture et a anticipé l’élection d’un président « African-American » relève d’une subtile manipulation d’opinion. Les plus visionnaires, en chantonnant « Guantanamera …Guajira Guantanamera » pourraient également y voir une allusion indirecte au guêpier diplomatique de Guantanamo.

Passons sur les atermoiements de certains journalistes qui commentent avec enthousiasme le « retour du Blackberry dans la sphère Présidentielle ». De toute manière, il ne pourra pas fonctionner le jour de l’investiture, pensent les experts du monde de la téléphonie. La faute au public smartphonisé qui, à grand renfort de photographies numériques expédiées sous forme de MMS, saturera immanquablement le réseau GSM de la Capitale Fédérale. Saluons plutôt la mise en place effective sur la quasi-totalité des postes-frontière des USA d’une nouvelle mesure de sécurité imposée par le DHS : la prise des empreintes des dix doigts pour tout « visiteur » franchissant la frontière. Sous l’impulsion de Robert Mocny, Directeur du US-Visit fin 2007 puis mis en place peu à peu tout au long de l’année en cours, cette mesure instituant « plus de biométrie pour sécuriser la biométrie » est désormais généralisée. « Since 2004, biometrics have facilitated legitimate travel for millions of visitors entering the United States /…/ The 10-fingerprint upgrade makes this proven system even more efficient and enhances the security of our nation »précise Mocny. Le département US-Visit dépend directement du DHS. Ce cadeau de l’Administration Bush, dont l’établissement initial était considéré comme une mesure exceptionnelle et limitée dans le temps, s’est transformé en procédure normale et définitive. La durée de conservation des données biométriques n’est plus limitée de manière formelle.

Qui sera le premier et prochain Chief Technology Officer des USA ? Car il est fortement question que l’Administration Fédérale Obama cherche à pourvoir un tel poste. Selon Business Week, le sprint final oppose deux gourous indiens (sic) : Padmasree Warrior, qui fut déjà CTO chez Cisco et Motorola, et Vivek Kundra, un CTO de la fonction publique en poste dans l’administration d’Etat à Washington. Traditionnellement, ce genre de fonction relevait plus du « grade » de conseiller ou de secrétaire de Sénateur. Cette officialisation de la technologie dans les rouages gouvernementaux tranche très nettement par rapport aux habitudes de la précédente équipe dirigeante. D’un point de vue diplomatique, la nomination de Warrior pourrait-être mal vue par les anti-lobbyistes.

Steve Bellovin ne retient de tout çà qu’une information : chaque membre du Congrès va pouvoir ouvrir son propre « canal TV » sur YouTube . Et le docte professeur de Boston de s’inquiéter des avalanches de cookies que provoque la simple visite de télé-sénat ou de Voyage autour de ma chambre version District of Columbia. Le tentaculaire Google espionne les citoyens qui cherchent à s’informer ! Bellovin, pas plus que nos confrères du New-York Times, évite pourtant de s’interroger sur un point pourtant évident : quand les hommes politiques créent eux-mêmes leurs propres canaux d’information, à quoi sert la presse, et est-ce véritablement ainsi que les pères fondateurs de l’Amérique voyaient évoluer la démocratie ? Certes, depuis Alexis de Tocqueville, les conceptions sur la démocratie et le libéralisme ont considérablement évolué. C’est peut-être en raison de cette perception très paradoxale de l’héritage de l’histoire et des contradictions du modèle libéral que l’actuel Président a choisi de prendre pour modèle Abraham Lincoln. Lui, le premier Président noir, et Lui, l’abolitionniste convaincu, Lui aussi le plus raciste des Chefs d’Etat Américains, dont le désir le plus ancré était de « renvoyer en Afrique » les esclaves libérés afin d’en effacer toute trace dans le Nouveau Monde.

L’Avert de McAfee pousse un cri d’alarme : le temps s’écoulant entre la révélation publique d’une faille et la publication d’un exploit raccourcissent comme jours en hiver. Pis encore, alors qu’il fallait 335 fois 24 heures en 2001 pour que Nimda naisse des cendres de la MS01-02, Gimmiv, l’an passé, s’envolait à la date même de la publication de la MS08-067. Et Vinoo Thomas en dresse un tableau historique inquiétant. Parti comme çà, en 2010, les exploits seront publiés 15 jours avant l’émission de la plus petite rustine. Microsoft devra totalement revoir sa procédure de « pré-annonce » privilégiant ses clients grands comptes et acteurs importants du monde le la sécurité. La publication des CPU Oracle aura un goût de moisi et de déjà-vu, et l’on sera terrassé d’étonnement lorsqu’une publication « hors calendrier » corrigera une faille encore répertoriée dans les boîtes à outils de développement de malwares. Pour peu, ce seront les Response Team qui devront faire du « reverse engineering » de virus pour découvrir l’existence d’une faille dans Internet Explorer 11 ou Firefox 7.1.5.3.8.5.9 (beta 4). Le ZDE devra changer de nom. L’on parlera de « Week before patch Exploit » ou WBPE, le « Minus One Month Exploit » ou MOME et le « F… anticipated yearly exploit » (Faye, qui, une fois corrigé par sa rustine salvatrice, prendra l’appellation de Faye done away). Précisons que le tableau de Thomas n’est qu’une succession d’exemples particuliers, et non le fruit d’une moyenne lissée. Si tel avait été le cas, ce raccourcissement aurait été discernable, certes, mais considérablement moins marqué et surtout moins alarmiste. Bien sûr, ce raccourcissement des temps de réaction des auteurs de malware n’est pas chose nouvelle. Plus l’industrie du spam et du spyware progresse, plus se professionnalise la cyber-délinquance et plus les moyens mis en œuvre pour exploiter un défaut se perfectionnent. Le pirate de 2001, ce dilettante égotiste, a cédé la place au spécialiste du fuzzing noir, à l’expert du spyware facturé à la pièce. Une menace, estime Vinoo Thomas, qui ne peut s’éviter que d’une seule manière : en complétant ces imparfaites armures que sont les antivirus et les firewalls personnels « workstation » par une protection de réseau intégrale : le « HIPS sur le Endpoint » (HIPS pour Host Intrusion Prevention System). Un outil que bon nombre d’administrateurs commencent à considérer comme inefficace. Un outil né lui-même de la mort par inefficacité des IPS, les systèmes de détection d’intrusion, qui prévenaient plus qu’ils ne protégeaient, qui assourdissaient surtout les responsables réseau de leurs logs pléthoriques. Alors que les HIPS « serveur » et NIDS (IDS orientés réseau) semblent entamer un déclin marketing, remplacés par des cocktails d’IDS, de NAC, de contrôles comportementaux et de trafic, il semblerait que l’industrie cherche à recaser au niveau du poste de travail ses technologies dépassées. Encore au stade du firewall (presque la préhistoire de la sécurité), le marché du « endpoint » pourrait encore amortir les investissements entamés il y a 5 ou 6 ans et renouveler les ventes déclinantes de la périmétrie appliquée au PC de base. Argument financier d’autant plus important que le business de l’antivirus « seul » ne rapporte plus un seul centime. Le jour où Microsoft, malgré l’échec commercial de OneCare, offrira son A.V., fin 2009, plutôt que de le vendre, une page sera tournée. Le « personal Hips » sera à la mode, espèrent McAfee et ses confrères.

Nous n’en parlerons pas. Lorsqu’a éclaté le pseudo scandale –ou orchestration médiatique- provoqué par l’article « Marc L… »du Tigre, la rédaction de Cnis-mag a décidé d’ignorer l’affaire. Tant pour éviter de plonger dans le bain sulfureux et voyeuriste qui entourait cette histoire que pour ne pas revenir une fois de plus sur une évidence, un truisme, une lapalissade que tout responsable sécurité connait bien : l’on trouve aujourd’hui sur Facebook bien plus d’informations que dans le journal intime d’une collégienne des années 50. Que des ados ou adultes soient assez inconscients pour rendre publique des pans entiers de leur vie privée est un fait connu, bien antérieur à l’invention du « web Deuzéro ». Cette forme d’exhibitionnisme virtuel que l’on pensait réservé à un public restreint et qui fait la joie des journalistes et des recruteurs, est né avec les premiers protocoles IP, à commencer par nntp (les newsgroups).

Ce qui, en revanche, est assez étrange, c’est l’écho qu’ont pu en faire les différents médias, ceux de la presse institutionnelle, ceux des blogueurs influents. Des médias partagés entre l’indignation et l’ironie. Indignation consistant à s’interroger sur les limites déontologiques et l’exploitation du sensationnalisme de nos consœurs et confrères du Tigre, ironie envers la « victime » dont la techno-naïveté n’avait d’égal que son inconscience. Très peu de médias –a l’exception du Monde, peut-être, -en filigrane- n’ont cherché à approfondir le principal propos du Tigre : ce n’est pas tant le caractère intime des informations publiées qui est inquiétant, mais le fait qu’elles puissent être concaténées rapidement grâce à des moyens informatiques en général et aux moteurs de recherche comme Google en particulier. Une histoire qui en rappelle une autre, celle du fichier Edvige* : la crainte principale n’est pas que les Renseignement Généraux « fichent » avec un même zèle penseurs, syndicalistes, barbouzes, mineurs, criminels de droit commun et personnages publics… c’est là une habitude de basse police qui remonte à la nuit des temps. Ce qui est à craindre, c’est que les outils informatiques modernes puissent offrir des capacités d’investigation et de relations considérablement plus puissantes et plus rapides qu’aux temps anciens de la fiche cartonnée et de l’aiguille à tricoter. Dans l’industrie, on appelle çà de l’intelligence économique. Dans la vie privée, on préfère ne pas l’appeler du tout, car elle rappelle de bien mauvais souvenirs.

L’autre « interrogation manquée », c’est celle de la périmétrie IP d’une personne morale ou physique et de l’authenticité de l’information. Si le faux site FaceBook d’Obama –monté de toutes pièces par le parti Républicain- ou le détournement du compte Twitter du Premier Etats-unien ou de Britney Spears ont fait autant de bruit, c’est en raison de l’iconoclastie de l’action. On ne touche pas à l’image d’une institution ou d’une idole, même si l’on sait inconsciemment que cette image est entièrement construite… voir le résultat d’une forgerie. Elle n’est que le reflet déformé, contrôlé, policé, poli d’un personnage public. Qui donc peut croire une seconde qu’il puisse exister une parcelle de vérité spontanée ou la moindre franchise idéologique sur ce genre de site ? Et pourtant, le moindre changement y est commenté. C’est là toute la puissance du « statement », de la prise de position officielle qui ne passe pas par les canaux officiels, et qui en prend par conséquent une solidité, une consistance accrue. Le rayonnement IP (emails dévoilés, voyeurisme orchestré et fausses confidences des blogs), la maîtrise des caisses de résonnance (blogueurs et journaux en ligne qui répercutent l’information), les sites Web de promotion ou de présence sont la « vérité perçue » des mondes politiques, industriels et commerciaux.

Personne n’est dupe de ces supercheries, de ces déformations dialectiques, de ces nouvelles formes d’expression que sont le Web « deuzéro » et ses multiples avatars. Alors, pour quelle raison l’histoire de « Marc L… » racontée par le Tigre choque-t-elle ? Parce que personne ne doute un instant que ce qui se raconte sur la vie de Marc L… n’a été forgé, déformé, adapté, hacké ou filtré. C’est du « vrai » et çà heurte les sensibilités. Alors que précisément, le blog n’est généralement que l’expression d’un ego qui se montre tel qu’on voudrait qu’il soit, et non tel qu’il est.

Il en est de même dans le domaine de la sécurité. Qu’un chercheur indépendant ose publier sur son propre site le résultat d’un hack ou une pensée non conventionnelle, et il passe pour un agitateur instable, un individu peu fiable. Qu’il le fasse sous l’étiquette d’éditorialiste invité pour le compte d’un organe de presse, et il se transforme en « faiseur d’opinion », en individu respectable, en analyste visionnaire ou en technicien de haut vol. A contrario, tout « blog personnel » rédigé par une personne clef ou une équipe institutionnelle liée à une entreprise, un parti politique, un groupe de pensée, un journaliste même, sera pris plus au sérieux que son équivalent officiel véhiculé par un médium papier, radiophonique ou Web « officiel ». Il n’est donc, sur le Net, d’information perçue comme objective que des données personnelles « officialisées » par une édition officielle, ou des messages institutionnels rendus plus crédibles par le filtrage d’une publication qui prend les aspects d’une confidence privée.

Combien existe-t-il alors de « blogs personnels » qui ne sont que des couvertures, dont le contenu est entièrement forgé, dont le moindre message est sciemment analysé, dont le caractère outrancier est distillé avec science, pour « choquer le bourgeois » sans « déplaire au peuple » ou donner une image flatteuse ? Dans quelle mesure un chef du personnel –tel que celui cité par Monsieur Alex Türk dans le papier du Monde- peut-il assoir son jugement sur une personne sur la simple « preuve » d’une image publiée, d’un propos déniché sur la Toile ?

*ndlr : notons à ce sujet que les détails d’Edvige, désormais devenus lettre morte, sont toujours accessibles dans la cache Google. L’on en arrive à se demander qui surveille qui… quid custodiet ipso custodes ? Pour l’heure, Google flique plus les RG que les RG n’ont la possibilité de fliquer Google.

Est-ce le fruit de certaines affinités électives ou, au contraire, une « attirance des contraires » ? Toujours est-il que politique et malwares font, ces jours-ci, un mariage prometteur. A commencer par la prise de fonction du Président des USA qui, sans grande surprise, sert de plateforme de lancement à W32/Waledac.gen.b (ou Waledec selon le détecteur utilisé). L’Avert signale la chose en précisant que le site web servant de vecteur d’infection est conçu de manière « très professionnelle ». F-Secure, de son côté, offre trois captures d’écran, trois images qui résument l’attaque, du courriel d’incitation à la page html d’hébergement du malware, en passant par une série de ping qui met en évidence le rapide changement d’IP du Web « fast fluxé » pour les besoins de la cause. A noter que les noms de domaine servant cette infection sont tous enregistrés en Chine. Ca, c’était l’histoire des malwares qui profitent de la politique. Officiellement, l’investiture du nouveau Président ne fait réellement trembler que les services de sécurité, qui partent à la chasse aux illuminés et autres activistes d’extrême-droite. Dans ce cas précis, les hommes de la sécurité redoutent un peu plus une balle perdue qu’une attaque virale ou qu’une opération de phishing.

Passons maintenant à la politique qui profite des malwares, avec ce papier de Dancho Danchev qui s’est penché sur une sorte de groupuscule d’« étudiants » sympathisants pro-israéliens qui recrutent des cyber-guerriers pour combattre les ordinateurs Palestiniens à grands coups de dénis de service. En Israël comme en Chine ou en Russie, l’étudiant patriote incontrôlé est une valeur sûre et qui sait obéir au doigt et à l’œil. Si seulement tous les conflits pouvaient se résumer à quelques escarmouches de code… Quoiqu’il en soit, les patriotes israéliens susmentionnés sont peut-être vindicatifs, mais ils sont surtout prudents. Leurs hébergements changent de domaine avec une régularité métronomique, histoire de ne pas attirer trop rapidement une riposte des cyber-policiers locaux. Danchev rappelle que malwares, politique, guérilla et hacking en période de conflits armés ont toujours fait bon ménage : blitz Russo-Géorgien, cyber-guerriers Chinois partant en guerre contre les infrastructures diplomatiques du monde occidental, manuels de combat numérique à l’usage des cyber-jihadistes… et ce ne sont là que quelques uns des plus récents évènements recensés. L’un des premiers « warwares » recensé est le fameux Jerusalem B, alias Vendredi 13, un antique virus à exploitation d’interruptions créé en 1987, et dont l’écriture a été revendiquée non-officiellement par l’OLP.

La liste des 25 « fautes » de programmation les plus souvent commises (voir article « happy new bug » du 14 janvier ), ne semble pas soulever un enthousiasme général. Quelques esprits critiques pensent que de telles listes ne servent à rien, et qu’elles pourraient même provoquer un effet contraire à ce qui est recherché. A lire donc deux interventions, l’une de Gary McGraw dans les colonnes d’InformIT, intitulée « 11 raisons expliquant pourquoi les listes ‘’top ten’’ ne fonctionnent pas », et l’autre publiée sur le blog de Matasano, titrant « Pourquoi les spécialistes des tests de pénétration détestent les listes de vulnérabilités ». En résumé, nos deux experts pensent –ceci étant le reflet de leur expérience-, que polariser l’attention des usagers sur une « dizaine d’erreurs majeures à ne pas commettre ou à corriger » limite considérablement leur attention aux points mis à l’index. C’est, expliquent-ils, une sorte « d’effet Owasp », un effet pervers inattendu des campagnes de sensibilisation. D’ailleurs, pour 25 failles ou erreurs mises sous les feux de la rampe, l’on peut en trouver 25 autres tout aussi dangereuses et qui ne sont pas autant médiatisées… et il suffit d’une seule faille exploitable pour qu’un système soit compromis.

McGraw se demande également à qui s’adresse ce message. En priorité, semble-t-il, aux sociétés d’Audit. Car, si la sensibilisation « marchait » auprès des développeurs, cela ferait belle lurette que l’on ne découvrirait plus de trous conduisant à des XSS, BoF et consorts. Les directions, quant à elles, n’ont cure de ce genre d’alertes… trop techniques, pas assez « gestion des risques », trop éloignées des considérations financières qui font équilibrer coûts des procédures de développement et pertes potentielles en cas d’exploitation. Et puis, continue McGraw, cette zoologie de la faille, cette taxonomie des dangers n’est que le prélude à une éventuelle campagne de nettoyage… il serait bien plus intelligent de sortir des codes propres, autrement dit de modifier les habitudes de programmation à la source plutôt que de tabler sur le succès d’opérations correctives a posteriori. D’ailleurs, cette liste des dangers est à peine apprise qu’elle est déjà dépassée. Les failles évoluent avec les technologies, et s’échiner à rechercher des catégories de failles plutôt que de se concentrer sur un cahier des charges de la sécurité est vain. D’ailleurs, pour chercher des failles, il y a des outils automatiques qui font çà très bien. Ce dernier avis est peut-être un peu spécieux. L’on peut d’ailleurs se référer aux démonstrations d’André Gironda sur le « continuous prevention testing » …

Certaines semaines s’achèvent dans le calme et la béatitude. Certaines seulement. Conflicker/downadup, que l’on sait réellement empoisonnant, réserve encore quelques surprises. Désagréables bien entendu. F-Secure continue son analyse de la situation (http://www.f-secure.com/weblog/archives/00001580.html) et comptabilisait mercredi dernier 3,5 millions d’IP uniques infectées. 1 million de plus que la veille. La situation est grave mais pas désespérée.

Dans les labos de l’Avert, on dissèque du virus –toujours le même- pour s’apercevoir que ces tripes sont farcies de ruby. La charge utile servant à la propagation du ver repose en fait sur un code Metasploit très précis, ms08_067_netapi.rb. Le niveau de correctif et de service pack, la localisation du noyau, son numéro de version… en un mot comme en cent, les auteurs de malwares font plus que s’inspirer des développements de sécurité open source… ils les pillent littéralement, sans en changer une ligne.

Mais il y a plus retors. Lorsque Downadup frappe, il cherche à infecter toutes les ressources auxquelles il peut accéder. Les shares réseau, bien sûr, mais également les périphériques de stockage, dont les clefs USB. Une propagation qui s’accompagne de la création d’un module de lancement. C’est un vieux réflexe d’auteur de virus, qui remonte à l’aube des infections « boot sector ». Mais cette fois, le lanceur prend la forme d’un fichier Autorun, nous dit Bojan Zdrnja du Sans. Mais un autorun dont l’exécution s’affiche avec la formule « Ouvrir le dossier et afficher les fichiers » dans la section « installer ou exécuter un programme ». Une très légère inattention, et l’opérateur-victime, croyant déclencher un simple browse de répertoire, lance l’exécution du virus. C’est là une preuve éclatante que les auteurs de Downadup maîtrisent parfaitement les techniques de social engineering.

Les fonctionnaires de l’Etat de New York semblent avoir apprécié la lecture du dernier document du Sans. Au début de cette semaine, les labos de Raleigh avaient en effet publié les résultats d’une étude approfondie dressant une liste des « 25 erreurs de programmation à ne plus commettre à l’avenir ». Si ces erreurs sont parfaitement connues, elles devraient pouvoir être évitées, pensent lesdits fonctionnaires. Ils envisagent alors d’utiliser ce document comme référentiel, intégré dans tout nouveau contrat de développement ou de sous-traitance informatique passé avec l’Etat. C’était simple, il suffisait d’y penser, nous apprend Security News. En précisant par contrat qu’il ne doit plus y avoir de risque de cross site scripting ou de possibilités de buffer overflow, les logiciels seront bien plus sûrs, car « coded security in mind ».

On ne peut que s’incliner devant la toute puissance imaginative de l’Amérique. Car qui, avant eux, aurait eu l’idée d’écarter tout risque d’erreur de programmation en ajoutant un simple avenant dans les contrats de service? C’est en précisant les choses, en les formulant qu’on évite tout malentendu. D’ailleurs, ne demande-t-on pas aux voyageurs traversant l’Atlantique de signer, sur l’honneur, un formulaire les engageant à n’avoir jamais été membre du parti Communiste ou Nazi, ou de n’échafauder aucun plan machiavélique dans le but d’attenter au Président des Etats-Unis ? Ainsi, engagé moralement par sa propre signature, le touriste passant devant la Maison Blanche sortira plus volontiers son Nikon Coolpix que son canon portatif de 105 sans recul. Tout comme le programmeur, qui hésitera à outrepasser la vérification des champs de saisie ou à faire fi des mécanismes de protection mémoire tels que DEP et ASLR. On sous-estime souvent la puissance pacificatrice d’un bon contrat soutenu par une horde d’avocats prêts à en découdre. Le codex l’emporte sur le debugger et la méthode de développement structurée.

Ce genre de bonne résolution, toutefois, risque fort de ne pas dépasser les frontières de l’Etat de New York. Car, si d’autres Etats, si le Gouvernement Fédéral, pire encore, si toutes les Administrations du monde Occidental Civilisé venaient à avoir la même idée, l’industrie informatique de ce même monde civilisé pourrait bien en vaciller sur ses bases, pour enfin s’écrouler. Il faut savoir que la collégiale chargée d’établir ces règles du « secure coding » susmentionnées compte des gourous sécurité émargeant chez Microsoft, Oracle, Apple, Red Hat… Et qu’adviendra-t-il lorsque l’Etat de New York ou lorsque leurs émules invoqueront ces nouvelles règles lors du renouvellement des licences des systèmes d’exploitation, outils bureautiques ou SGBD ? Pour que le monde logiciel puisse survivre aux impacts dévastateurs de cette « bug free software assurance », il faudrait lui adjoindre un addendum exonérant de toute obligation les entreprises ayant participé à la rédaction de ces bonnes pratiques. Une sorte de témoignage de reconnaissance pour services rendus à la cause du développement.

Torturée, la dernière trouvaille d’Amit Klein, CTO de Trusteer ? Probablement. Mais indéniablement efficace. Imaginons un internaute en train de consulter l’état de son compte en banque en ligne, nous raconte Klein. Il s’authentifie normalement, après avoir vérifié la solidité de sa session SSL, la date fraîcheur et la qualité du certificat SHA1 échangé… et muse, parallèlement, sur d’autres sites Web. Soudain, un « popup » aux armes de sa banque s’affiche. Soit pour réclamer une nouvelle authentification après expiration d’une session trop longtemps inactive, soit pour inviter le client à remplir une enquête de satisfaction. Rien de très inquiétant au contraire, puisque l’usager sait pertinemment que ces messages ne peuvent provenir que de sa propre banque. Mais est-ce bien le cas ?

Pas forcément, nous explique le chercheur. Un défaut du moteur JavaScript commun à tous les navigateurs (Internet Explorer, Firefox, Safari, Chrome) permet à un site Web de vérifier si un utilisateur est, à un moment précis, logué sur un autre site Web. Le reste est simple à imaginer. Il suffit d’imaginer compromettre un site marchand ou d’information réputé et souvent consulté. Ledit site possède une liste précise d’organismes financiers-cibles et une panoplie de « popup » adaptés à chaque situation. Et ce n’est que lorsque se présentera un visiteur arborant précisément ce « drapeau » JavaScript très précis que l’attaque sera lancée.

La probabilité de tomber sur un internaute « multitâches » consultant très précisément le site d’information compromis est faible. Mais est-il aussi faible que le taux de réponse aux courriels d’incitation d’une attaque en phishing ? En outre, l’attaque n’est active –donc décelable- que dans cette configuration exceptionnelle. Le reste du temps, il ne se passe rien, si ce n’est un dialogue très anodin de vérification JavaScript. Enfin, ajoutant que la victime étant psychologiquement réconfortée par le bon déroulement de sa première session d’authentification, les chances de voir l’attaque psychologique couronnée de succès sont excessivement grandes… pour ne pas dire absolues.