février 24th, 2009

Suites de différentes affaires ayant secoué la blogosphère sécurité ces derniers jours :
Joanna Rutkowska signale la mise à disposition du rapport et des « transparents » de sa toute dernière causerie traitant du hack de l’Intel TXT (Trusted Execution Technology) mentionné vendredi dernier à l’occasion de la Black Hat 2009 de Washington. Le rapport de recherche porte le titre de Attacking Intel Trusted Execution Technology, les « slides », quant à eux, sont de « belles images sans le son ». Le mélange des deux devrait faire comprendre à de rares experts la substantifique moelle du discours Joannien.
Egalement mentionné vendredi dernier, dans le cadre de Schmoocon, les travaux de Chris Paget sur le clonage des passeports à RFID « UHF » destinés aux frontaliers des USA. A force de malmener les « étiquettes intelligentes » et de prouver que leur usage est parfois –souvent même- mal adapté aux capacités dudit composant, un sénateur du Nevada a décidé d’interdire toute communication ou action spécifique au hack des RFID. Ce n’est, pour l’heure, qu’un projet de loi. Mais un projet fort gênant, si l’on considère que c’est au Nevada que se déroulent la BH d’été et la Defcon, principaux théâtres d’opérations où sévissent les spécialistes du genre. Loi prouvant une fois de plus que la « sécurité par l’obscurantisme » et la censure demeurent trop souvent l’unique réaction des politiques par rapport à un sujet qui les dépassent. Rappelons qu’en France, des textes semblables condamnent la publicité, la distribution, la détention et l’usage des principaux outils de tests de pénétration à partir du moment où l’usager n’est pas un expert patenté, reconnu et agissant dans le cadre précis d’une campagne de tests définis par contrat. Ceci probablement pour coller au plus près à la « réalité du terrain », celle des pirates… les vrais.
Après les barbouzes de la NSA, c’est au tour des Euroflics de s’inquiéter de l’imperméabilité de Skype. Paul Meller, de Network World, indique que la question des « écoutes VoIP » constituera l’un des principaux débats à l’occasion de la prochaine réunion EuroJust. EuroJust est un comité Européen de coordination des enquêtes et des poursuites judiciaires, chargé d’améliorer les communications entre autorités judiciaires des différents pays de l’Union. Ce serait l’Italie qui aurait le plus violemment attiré l’attention sur ce problème en particulier. Depuis un certain temps, les portes-flingues de la Mafia auraient pratiquement délaissé les lignes téléphoniques terrestres et les cellulaires de tous crins au profit de Skype, de sa fiabilité et de son chiffrement. Bien sûr, le « coupable » est montré du doigt, qui refuse de communiquer de quelque manière que ce soit l’art et la manière de poser des « bretelles » sur son réseau pour écouter les communications de ses abonnés.
Info ou intox ? Nul ne sait réellement –forces de polices mises à part- dans quelle mesure et surtout avec quelle rapidité il est possible de piéger un ordinateur tentant d’anonymiser ses communications, que ce soit à l’aide d’un programme VoIP propriétaire ou sous le couvert d’un tunnel tel que Tor, l’Onion Router. Nul ne sait non plus –faute de prise de position claire à ce sujet- quelle sera l’attitude d’eBay sur ce point : il est peu probable que la « récompense » promise il y a peu par la NSA ou que les pressions amicales des autorités d’Outre Atlantique ne l’incitent à garder le silence trop longtemps.

Elle est « critique » nous affirme l’éditeur, et touche indifféremment Adobe Reader et Acrobat. Et en plus, elle ouvre une backdoor qui servira à asservir la machine victime, nous certifie l’Avert Lab. C’est par le biais d’un document PDF forgé que des black hats peuvent parvenir à injecter un Troyen relativement néfaste. Shadowserver, pour sa part, préfère insister sur la seule parade applicable pour l’instant –la désactivation de JavaScript (air connu). Le Cert US en fait de même, en détaillant par le menu la nécessaire modification de la Ruche. Sur le blog SourceFire, l’on offre une rustine provisoire à la mode ZERT, qui « fonctionne contre l’attaque en cours, mais qui n’est pas nécessairement opérationnelle contre d’autres variantes qui pourraient bientôt voir le jour ». Tant qu’Adobe n’a pas publié de mise à jour , ce patch peut éventuellement servir en cas d’urgence. Mais précisons avant toute action irréfléchie que, malgré la « bonne renommée » de l’équipe Snort, toute rustine exogène mérite de passer par une batterie de tests de non-régression avant tout déploiement. En outre, cette attaque semble pour l’instant très ciblée, et ne chercherait à toucher que certaines institutions et administrations Américaines. Ce n’est pourtant là qu’un constat à moitié rassurant, compte-tenu de la rapidité avec laquelle certains vers sont adoptés et intégrés dans les « kits de malwares » à la mode.

Bob Graham –qui sévit cette fois non pas sur le Security Focus, mais dans les colonnes de Dark Reading- s’est penché sur la collection de 20 000 mots de passe diffusés lors du hack de PHPBB. Les résultats sont sans la moindre surprise : les mots de passe sont absolument « évidents » et à 94% récupérables dans le cadre d’une attaque par dictionnaire. 16% de l’échantillonnage est constitué de prénoms, 14% sont des suites de dactylogrammes genre 12345 ou azerty, 4 % sont des variations du mot « password », 5% sont des références populaires qui vont de Pokemon à Star Wars, 4% sont inspirés du matériel utilisé ou d’un objet périphérique –Presario, Apple, Dell etc-, ceci pour ne pas nommer les héros de séries TV ou les noms de grands footballeurs. Par ordre de popularité, les mots de passe les plus utilisés étaient 123456, password et phpbb, suivis de près par qwerty.

A remarquer que la longueur moyenne des mots de passe est de 6 lettres, soit une lettre de plus que la longueur moyenne des mots usuels de la langue anglaise.
Dans l’ensemble, cette analyse reflète très exactement toutes les études précédentes déjà rédigées sur ce sujet. L’application de politiques de mots de passe plus strictes ne change généralement pas ces comportements. L’obligation de mélanger lettres et chiffres se solde souvent par un choix identique à ceux susmentionnés, achevé généralement par le chiffre « 1 ». Les politiques contraignant de fréquents changements de mots de passe se sont toutes soldées par une désaffection notable du service en ligne qui tentait d’appliquer une telle pratique de sécurité.