janvier, 2009

Downadup ? Il est vraiment très gros titre le dernier billet de F-Secure. Ses chercheurs ont tenté d’estimer le taux d’infection pays par pays, en observant les dialogues que le virus tente d’établir avec ses serveurs de mise à jour. Au total, 2,4 millions d’infections ont été répertoriées dans le monde… un chiffre très parcellaire, estime Mikko Hyppönen, la réalité étant probablement bien plus élevée. Rien qu’en Chine, le nombre d’IP résonnant aux accents de Downadup dépasse les 38 000. 38 000 entreprises, reprend Toni Koivunen du Response Team de F-Secure… ce ne sont que des IP visibles, qui masquent généralement des réseaux locaux. Cela ne présume en rien du nombre de machines infectées à l’intérieur de ces mêmes réseaux… multiplier ce résultat par 10 doit probablement nous approcher un peu plus de la vérité.

Dans le reste de l’Europe, le tableau n’est guère plus brillant : 2337 IP bavardant avec l’accent Downadup en Allemagne, 4392 adresses confites aux Downadup-Conficker, 1789 en Grande Bretagne (une métrique révolutionnaire), 13115 en Italie –cet écart est surprenant, – Ma… ma… ma in Ispagna son già mille e tre . Non, trois fois plus tout compte fait… 3300 plus exactement. Il faut la constance d’un Leporello pour chasser les exploits amoureux de ce ver envahissant. L’on en aurait aperçu un peu moins de 4000 aux Etats Unis et en Colombie, plus de 5000 à Taiwan et en Malaisie, plus de 11 000 en Argentine et en Corée, 15 000 en Ukraine, 16 000 en Inde 25000 en Russie, 35000 au Brésil. Les répartitions géographiques massives semblent incohérentes, ni en rapport avec un semblant de carte de progression géographique, ni non plus en relation avec le taux d’équipement informatique des pays, et pas nécessairement avec le niveau estimé de piratage des noyaux Windows. Même en admettant une certaine imprécision dans la résolution géographique des netblocs, il n’y a pas de logique immédiatement visible. La suite après quelques autres métriques ?

SecureWorks renoue un peu avec la tradition du Luhrq et de ses analyses fouillées des malwares. Aujourd’hui, l’équipe se penche sur la santé des botnets, ceux dont on parle souvent –et dont la santé n’est pas toujours des plus florissantes-, ceux aussi dont le nom passe inaperçu mais dont les ravages se font nettement sentir. Et pour commencer, les étoiles qui perdent dix places au top-ten : Storm, touché par la renommée -un poison mortel pour un vecteur d’infection-. Suivi par le couple Rustock et Srizbi, deux botnets dont une grande partie du trafic reposait sur l’hébergeur véreux McColo. La fermeture de cette usine du malware a pratiquement condamné Srizbi. On le verra plus tard, Rustock continue à se bien porter, pour diverses raisons, à commencer par une anticipation très nette de son ou ses gardiens. Enfin Bobax, alias Kraken, est lui aussi sur la pente descendante, après avoir cumulé plus de 185 000 zombies et avoir décroché le titre de « plus gros botnet du monde ». Là encore, la publicité faite autour de ce réseau de machines infectées a été fatale à ses possesseurs.

La relève est pourtant déjà sur pied, nous assurent les chasseurs de SecureWorks. A commencer par Cutwail, estimé à 175 000 postes, qui n’a pratiquement pas souffert de la coupure McColo… bien au contraire. Car, pensent les rédacteurs de ce rapport, il se pourrait bien que ce soit Cutwail qui ait « récupéré » une partie de la clientèle de Rustock et Srizbi. Dur métier que celui de fournisseur de services mafieux. Il est si difficile de fidéliser la clientèle.

Cette perte de clients est tout de même relative. Rustock a encore de beaux restes, avec 130 000 postes, suivi de près par Donbot et Ozdok –respectivement 125 et 120 000 machines. L’écart entre la quatrième et la cinquième place est très net, puisque Xarvester n’a infecté « que » 60 000 PCs. Mais son activité est très agressive, et son taux de croissante rapide. Viennent enfin Grum et Gheg, tous deux forts de 50 000 zombies, dans la mouvance des spam pharmaceutiques. Gheg est un botnet à fonctions et géométrie variables qui pourrait faire un dangereux adversaire en 2009, difficile à contrer avec des moyens conventionnels. Cimbot et Waledac, les deux derniers de la liste, ne comptent que 10 000 esclaves chacun. Mais leurs astuces technologiques (commande via P2P, chiffrement de l’exécutable..) et un important travail de re-engineering leurs promettent un avenir certain. Avenir d’autant plus certain que tant que des politiques chercheront seulement à chasser les « violeurs de jeunes filles et diffuseurs de recettes de bombes », autrement dit orienteront leurs recherches vers le « coupable du dernier kilomètre », ils favoriseront le développement des véritables institutions mafieuses. Mais n’allons surtout pas penser qu’il puisse exister une certaine communauté d’intérêt entre la notion de Pouvoir, l’orientation des lois et la préservation des épouvantails que sont les organisations criminelles.

Annoncé la semaine dernière, le « patch Tuesday » d’Oracle est désormais officiellement documenté et détaillé sur le site de l’équipementier. Cette CPU massive compte 10 correctifs SGBD, 9 patchs pour le Secure Backup, 1 bouchon pour le TimesTen Data Server, 4 mises à niveau de l’Application Server, une seule pour la Collaboration Suite, 4 autres pour la E-Business Suite, une seule pour l’Enterprise Manager, 6 pour PeopleSoft Enterprise et EnterpriseOne et 5 pour BEA. A chacune de ces rutines correspond une faille –il n’existe pas, ou peu, chez Oracle, de notion de correction cumulative-, la liste CVE dressée par l’équipe de sécurité Oracle est longue comme un jour sans pain.

Le niveau général de dangerosité est élevé, prévient le Sans.

Le bulletin porte le numéro MS09-001 et la qualification de « critique ». Ce premier correctif publié par Microsoft en ce début d’année est à la fois unique et triple, car ce seul bouchon colmate 3 failles différentes, toutes affectant le protocole SMB. Deux d’entre-elles (CVE-2008-4834, CVE-2008-4114) sont susceptibles d’attaques en buffer overflow –la seconde n’ouvre qu’un simple déni de service-, la dernière (CVE-2008-4835) permettrait une exécution de code à distance… « là-dessous, y’a de la pâture pour hacker peu scrupuleux, du sérieux stack overflow prêt à être exploité » dit en substance Dave Aitel sur sa mailing list. Et généralement, cet homme a un œil perçant lorsqu’il s’agit d’estimer les potentialités d’exploitation. Les administrateurs sont donc « vivement encouragés » à déployer le plus rapidement possible ce correctif. On ne compte plus le nombre de virus, d’exploits, de portes dérobées, d’instabilités diverses qui entourent cet antique protocole (34 ans déjà), dont les origines se perdent avec celles d’OS/2. C’est la rançon d’une simplicité qui, à l’époque, était nécessaire pour que se développe la notion de réseau d’entreprise.

L’Israélien Aladdin Knowledge Systems annonce son absorption par un groupe financier de San Francisco, Vector Capital, dans une opération estimée aux environs de 160 millions de dollars. L’annonce, bien qu’attendue dans les milieux autorisés, peut surprendre. Des entreprises comme Aladdin, spécialisée dans les DRM et protections de contenu, se font généralement racheter par des industriels du secteur… plus rarement des VC ou des financiers. Surtout en ces périodes mouvementées pour les gestionnaires de fonds.

Bien que les activités de Vector soient excessivement diversifiées, il faut remarquer que ce n’est pas la première incursion de ce groupe dans le secteur de la protection des données. Safenet, à Baltimore, créée par des anciens de la NSA, fait déjà partie des « meubles ». Safenet qui, dès l’officialisation du rachat, publiait un communiqué annonçant « un travail en synergie sous la férule d’une direction unique »… Sans que le moindre nom ne soit encore avancé quant à l’identité du futur patron.

C’est la tradition, le Sans sort son habituel palmarès des « 25 fautes de programmation à ne plus commettre à partir de ce jour ». Il faut croire que les impératifs de rendement et le stakhanovisme des pondeurs de code rendent sourds, car les « fautes à éviter » de 2009 ressemblent à s’y méprendre à celles de 2008, légèrement assaisonnées d’un zeste d’inspiration fleurant bien l’Owasp.

Les erreurs les plus courantes sont classées en trois catégories : Interactions dangereuses entre différents composants, gestion des ressources risquées et défenses poreuses. Et l’on retrouve dans la première section les injections SQL, les XSS, les injections de commandes noyau et autres accès au shell, les CSRF, les « race conditions » et les « indices » révélateurs fournis par les messages d’erreur. La deuxième classification regroupe les BoF et autres jeux sur les limites d’adressage mémoire, la récupération de données externes empoisonnées ou de chemins d’accès, l’injection de code, la récupération de données ou de programmes sans le moindre contrôle d’intégrité et les calculs à résultat erroné (un classique qui remonte à la haute époque des « crics » des calculatrices scientifiques et autres « ordinateurs personnels de poche » des années 80). Dans la catégorie « défenses poreuses », là encore, rien que du classique, du solide, de l’immuable : mauvais contrôles d’accès, algo crypto dépassé (vous avez dit MD5 ou WEP ?), mots de passe « codés en dur » dans des fichiers de paramétrage ou des applications, par exemple, générateurs aléatoires prévisibles ou absence de générateur de données aléatoires (voir les attributions de port IP de la dernière faille Kaminsky et la dernière attaque en date contre l’implémentation de MD5 dans certains SSL), usage abusif de niveaux de privilèges inadaptés (admin pour exécuter Notepad et Solitaire) ou délocalisation sur les postes de travail des mécanismes de contrôle d’accès serveur.

Les forums bruissent de ses effets, les éditeurs d’A.V. et les centres de veille sécurité ne cessent de tirer le signal d’alarme : le ver Downadup/Conficker, qui se propage via la faille signalée dans le bulletin MS08-067, provoque des crises d’urticaire à tous les admins réseau d’entreprise. L’un des premiers effets de cette infection est de… bloquer les comptes utilisateurs si une politique de sécurité vérifie le nombre de tentatives de login infructueuses. C’est le premier « effet de bord » de Downadup, puisque ce dernier lance une attaque « brute force » de recherche de mot de passe. Une seule station infectée au sein d’un lan peut provoquer une sérieuse pagaille dans l’organisation du travail, déplore un bulletin du Sans.

La méthode la plus simple pour se débarrasser de cette engeance est de « figer » ce polymorphe puis d’appliquer le correctif diffusé par Microsoft. Las, tant que le virus parvient à communiquer avec Internet en général et ses centres de commande en particulier, la chose est quasiment impossible. Il est donc conseillé de bannir les noms de domaines que connaît le virus –une liste dressée grâce au travail de reverse engineering de plusieurs chercheurs, et notamment ceux de F-Secure-. La chose est plus difficile à faire si la gestion des DNS est, comme c’est le cas la plupart du temps dans les PME, externalisée et confiée à un prestataire extérieur. Ceci fait, la suite est presque simple. Fort heureusement, Sylvain Sarmejanne du Cert Lexsi, vient de rédiger une procédure pas à pas excessivement claire, décrivant à la fois le fonctionnement de l’infection – les fonctionnements devrait-on dire- et les multiples parades à prévoir pour circonscrire, puis éliminer, l’infection de Conficker, pour ensuite s’attaquer au travail de remise en état du réseau (et notamment des services de mise à jour annihilés par le ver). Les plus à plaindre sont peut-être les « administrateur-password-admin »… s’ils ont survécu.

A 24 heures d’intervalle après son frère ennemi Symantec, McAfee publie son « premier rapport 2009 sur le spam ». Les métriques sont strictement identiques ainsi que la plupart des constatations. L’on y reparle notamment de la chute de McColo et de l’impact phénoménal que cela a eu –durant une trop brève période- sur le désencombrement de la bande passante. Bien entendu, à l’instar de Symantec et des autres entreprises américaines spécialisées dans la défense périmétrique, aucune remarque n’est émise sur les causes de ce fléau, aucune critique n’est formulée à propos des dispositions juridiques américaines qui favorisent ce business et protègent les grands polluposteurs. Trop grand respect des institutions ou alliance objective ?

A noter toutefois un éclairage original et une prévision qui semble hélas sinistrement juste. L’éclairage nouveau, c’est celui du hit parade des spam en vogue. La jeune fille esseulée qui cherche une âme sœur, le coup en bourse mirifique sur une entreprise inconnue du Nasdaq, la dernière version d’AutoCad à prix cassés, la trilogie Paris Hilton/Angelina Jolie/Britney Spears dans le plus simple appareil, tout çà bat de l’aile.

Les pharmacies en ligne et leurs fortifiants amoureux ainsi que les montres Rolex (dont les ventes désormais bénéficient de sites Web de support plus « sérieux ») sont des valeurs qui montent. Le luxe et la puissance sexuelle… les spammers sont d’attentifs étudiants qui suivent scrupuleusement les lois de Fowles (lequel n’a jamais fait que reprendre celles de Ford).

L’avenir, prédisent les experts de l’Avert Lab, pourrait bien voir se multiplier les détournements systématiques des outils du Web 2.0. Les hébergements gratuits, les blogs mal protégés deviendront très probablement des relais de spam, de nouveaux moyens de diffusion à bas coûts. Probable, également, la montée en puissance des attaques en phishing et en chantage visant spécifiquement des entreprises, avec l’arrivée des botnets « intra-muros » infectant les machines situées à l’intérieur du périmètre de défense. Enfin, et c’est là hélas la plus plausible et la plus certaine des prévisions, McAfee nous promet une très nette croissance des scams et escroqueries ayant pour sujet les « emplois à la maison » et autres revenus complémentaires. La période de crise que traverse le monde occidental servira de levier à bon nombre de truandages. Ce pourrait également être –ceci étant la conséquence de cela- un facteur d’augmentation et de dispersion des réseaux de mules, qui pourraient ainsi devenir de plus en plus mobiles, insaisissables et éphémères.

Gene Spafford, Chef Sécurité, spécialiste de la recherche de preuves informatiques et du contre-espionnage de l’Université de Purdue, blogue un billet de mécontentement à propos de son dernier cadeau de noël : un couple de lecteurs Samsung « Blue Ray ». Des bijoux de technologie, des tourne-disques des temps modernes qui nécessitent un accès Internet, tant pour diverses fonctions liées aux loisirs interactifs que pour… les mises à jour de firmware. Car il y a de l’intelligence à revendre, dans ces produits bruns. Quelques jours après les premières mises en service, l’un des appareils tombe en panne, pour une raison totalement inconnue. Le SAV Samsung attend encore, semble-t-il, certaines pièces de rechange. Spafford n’en a cure, et se rabat sur le lecteur Numéro Deux. Lequel, dès sa mise sous tension, augmente brusquement celle de son propriétaire en réclamant une « mise à niveau ». L’expert en techno-catastrophe, spécialiste du close-combat contre les Service Pack et instructeur-démineur spécialiste des bugs-dans-les-correctifs-de-bugs, décide de temporiser, d’attendre quelques semaines… en espérant tomber un jour sur une rustine dépourvue de trou. Peine perdue à Purdue : la rustine retardée s’avérait mortelle et Numéro Deux trépassa. La faute à une mauvaise version… « non Monsieur, nous ne savons pas si et quand ce problème pourra être résolu… de toute manière, nous avons bon espoir de corriger cette erreur dans le courant du mois… ». Bref, conclut Gene Spafford, les cercles de contrôle qualité qui ont fait la fierté de l’industrie Japonaise ne sont plus ce qu’ils étaient. Tout cela confirme la théorie énoncée en début d’article : il y a quelque chose de pourri dans tous ces processus de mise à jour en ligne. Il suffit d’un accident du « master » ou une compromission du système d’authentification garantissant l’identité de l’émetteur pour que toute une frange de la population cliente soit rayée de la carte des systèmes opérationnels. Thierry Zoller avait, il y a longtemps déjà, dénoncé ces risques en critiquant les mécanismes de mise à jour de Zango, alias Gator, le « spyware commercial qui n’est pas un spyware ».

Tant que ces risques ne touchaient que les biens informatiques –autrement dit des outils organisationnels- l’homo-technicus informatensis vivait dans le secret espoir de pouvoir survivre, en s’appuyant sur des grigris technologiques : certificats, firewalls, IPS, quarantaines, tests de non-régression etc. En d’autres termes, en cherchant à parer avant même que le danger survienne, une bévue émise par un éditeur que l’on sait pertinemment « non fiable ». L’informatique embarquée, l’omniprésence du Web « deuxzéro » que même les plus incompétents des politiciens utilisent « tous les jours », la course à la vente de services venant s’ajouter à chaque appareil, du ratatine-ordure à l’épluche-bébé, tout çà pourrait bien provoquer de formidables campagnes de hack, de titanesques attaques en déni de service. Et l’on reparle du virus qui frappe les réfrigérateurs, de l’écran bleu qui verrouille la porte d’entrée du conapt, du « bug des TV Thomson » ou du « crash update des Xantia II modèle 2010 ». La modernitude de notre époque ne doit son mérite qu’à la lumière des erreurs passées.

Le Times of India nous apprend que les agents de police de Bombay pourraient prochainement jouer aux wardrivers durant leurs rondes et opérations d’ilotage. En sniffant les points d’accès tombant à leur portée, les pandores de la capitale du Maharashtra, de valeureux et durs Indous, pourraient détecter et verbaliser tout routeur WiFi dépourvu de protection Wep, WPA et autres tunnels. Cette campagne d’incitation à la prudence vise à limiter l’usage que les groupes terroristes feraient de tels points d’accès. Les récents attentats de Delhi et d’Ahmedabad auraient été précédés d’envois de tracts et de revendication sur Internet, précisément via des routeurs mal configurés, précise le quotidien.