février, 2009

En bref, la réaction « officielle » de Kaspersky après la revendication d’un hack touchant l’un de ses serveurs US :

« On Saturday, February 7, 2009, a vulnerability was detected on a subsection of the usa.kaspersky.com domain when a hacker attempted an attack on the site. The site was only vulnerable for a very brief period, and upon detection of the vulnerability we immediately took action to roll back the subsection of the site and the vulnerability was eliminated within 30 minutes of detection. The vulnerability wasn’t critical and no data was compromised from the site »

Les termes « a hacker attempted an attack », « vulnerable for a very brief period » et « no data was compromised » montrent à quel point la dialectique positiviste peut faire bon ménage avec la logorrhée marketing car, si l’on en croit le rapport de Dan Goodin du Reg, le hacker –les hackers même- n’ont pas fait que « tenter » une attaque, la période de vulnérabilité n’a pas été aussi brève que prétendue, et les données ont bel et bien été atteintes… Mais tout est relatif. Les serveurs ont été pénétrés mais pas trop, durant un temps d’autant plus court qu’il n’a pas été trop long et sans trop compromettre les données des clients.

Pendant que les Russes rusés comptent les tickets en caquetant et critiquant ce conte de toqué*, l’Armée Allemande, nous apprend Heise Online ouvre en grand secret une caserne de cyber-combattants. Après les sapeurs, les artilleurs, les fantassins, les cavaliers, les aviateurs, voici du « boudin » pour les hackers. Les recrues fraîchement émoulues de l’université de la Bundeswehr verront leurs quartiers installés à Bonn. Les révélations sur la création de cette nouvelle unité créent déjà quelques émois. Car ce ne seront pas là de simples « DSI en uniformes » chargés de protéger la sécurité des foyers informatiques. Ce Cyberstaffel devrait être capable de porter des coups, d’opérer sur le terrain des conflits virtuels, et, par voie de conséquence, en dehors des limites frontalières de l’Allemagne. Or, à l’exception des corps détachés dans le cadre d’opérations internationales –notamment humanitaires-, l’armée Allemande était interdite d’intervention en dehors du territoire national. Une idée de plus en plus contestée depuis quelques années. Nos confrères de Heise signalent que la constitution de ce corps est d’autant plus justifiée que les conflits informatiques « sans victime » d’Estonie notamment prouvent que la cyberguerre est bien une forme moderne d’affrontement. L’histoire ne dit pas dans quelles conditions seront entrainés les techno-pioupious du « premier régiment des armes informatiques », mais il y a à parier que la sélection physique sera aussi dure que celle exigée chez les commandos « traditionnels ». C’est qu’il en faut, du muscle, pour, le 3 octobre –jour de la Fête Nationale Allemande-, défiler en ordre serré tout le long de l’avenue Unter den Linden, en portant à bout de bras un serveur quadri-processeur-quadricore et sa baie Raid en configuration de combat.

Ndlc Note de la Correctrice : Plus ou moins Lapointe, une fois de plus !

Le refus des responsabilités porte un nom. Un nom qui, étrangement, se retrouve dans toutes les cultures. Mektoub dans les pays arabes, Fatalitas chez les Chéribibiens, Fatum pour les victimes des tragédies antiques, Destin dans le langage courant. Cette main du Destin, ce Deus Ex Machina, s’interroge Mari Kirby Nichols du Sans, serait-il en train de banaliser, d’excuser les fuites d’information de plus en plus monstrueuses qui se découvrent chaque jour ? Est-ce la faute aux médias ? Médias qui, après tout, ne font que bénéficier des conséquences des lois américaines sur l’obligation d’information publique. Nichols prend pour exemple une mésaventure qui lui est arrivé : son identité aurait été compromise après le hack du système de réservation des hôtels Wyndham. La lettre circulaire prévenant les victimes potentielles précise que cet acte a été perpétré « par un hacker excessivement sophistiqué ». La faute à pas de chance. Il était trop fort. On ne peut rien contre de telles personnes, savez-vous. Une façon insidieuse d’invoquer la main des trois Moires, une malédiction immanente qui rappelle l’argument avancé il y a quelques jours à peine par les administrateurs de Monster.com, site de petites annonces, dont les fichiers font régulièrement l’objet de « visites » indiscrètes : « As is the case with many companies that maintain large databases of information, Monster is the target of illegal attempts to access and extract information ». Ce n’est plus de l’œuvre de Tychè, c’est inévitable. C’est le côté obscur de l’Amor Fati.

Cédric Blancher en a d’ailleurs pris un coup de sang. Lorsque l’ampleur de l’accident devient incompréhensible, voilà la Fatalité qui reprend du service, le Destin Aveugle qui frappe avec une clairvoyance troublante, une nouvelle saute d’humeur de Fortuna. Pour peu, s’il n’y avait eu avant eux Eschyle, Sophocle et Euripide, les gourous de la Communication Moderne auraient breveté cette idée-là. Après tout, si çà marche avec les morts d’un retour de week-end de Pentecôte, pourquoi çà ne fonctionnerait pas pour une base SQL qui fuit ?

Mais çà ne marche pas à tous les coups.Surtout si l’on tente d’avancer cette excuse auprès de personnes morales ou physiques qui pourraient également recourir à cette ficelle grossière. Pour les « clients », passe encore, mais pour les banquiers… Au cours d’un sondage rapide orchestré par l’Independent Community Bankers of America, un club de grands et petits argentiers américains comptant près de 5000 membres et 18 000 établissements, il semblerait que le tout dernier hack de Heartland aurait affecté plus de 60 % des établissements ayant émis des cartes de débit, et 21% des banques offrant à la fois des cartes de débit et de crédit. Ce n’est là que « l’impression à chaud » des membres de ce club ayant accepté de répondre, et en aucun cas une froide analyse comptable. A la lumière des constatations factuelles établies par Dataloss.db, les dégâts sont moins importants. « Seuls », à l’heure actuelle, 97 établissements bancaires seraient concernés par cette évaporation d’identités. Certes, ce chiffre croît de jour en jour. Il était de 79 établissements-victimes le 6 du mois, 17 de plus 24 heures plus tard. On attend avec un plaisir non dissimulé le prochain sondage express à propos de l’affaire RBS Worldplay et les statistiques réelles en termes d’impact sur l’image de marque que de telles affaires peuvent provoquer. Après les cracks en série, les affaires Madoff, les subprimes qui fermentent ou la fermeture des parachutes des patrons servant à mieux masquer les taux d’intérêts actuels, il devient bien difficile de vendre de la « confiance ». Même avec le secours conjugué de Clotho, Lachésis et Atropos. Fort heureusement, en France, de telles fuites d’information n’arrivent jamais.

D’ailleurs, il n’y a pas que les banquiers qui en prennent pour leur grade. Le dernier Torrey-Canion binaire en date serait, à en croire une source étrange venue d’Outre Atlantique, Kaspersky US. Une information qui mérite quelques éclaircissements et confirmations avant d’être prise au sérieux, comme le précise fort prudemment Dan Goodin d’El Reg. Mais, malgré les conditionnels et les tournures prudentes, les « personnes faisant autorité » dans le secteur de la sécurité en débattent allègrement. La concurrence se réjouit. Et notamment le Chief Security Strategist d’IBM/ISS, Gunter Ollmann. Certes, plaie de donnée n’est pas mortelle (proverbe TJXien), surtout du côté de Moscou. Mais cela égratigne un peu plus l’image de marque de l’entreprise. Il y avait eu ce papier du Guardian, immédiatement suivi d’une rétractation à propos du passé d’Eugène Kaspersky, puis cet article un peu acide de Paul Roberts, sur la « kasperisation » de l’entreprise. Ce sont là les risques et les petits heurts auxquels s’expose toute entreprise qui assied son image de marque sur la personnalité de son dirigeant. Tôt ou tard, l’on tente de brûler l’icône. C’est arrivé à Bill Gates, Steve Jobs, Peter Norton, Ray Norda, Larry Ellison… Et c’est là un mouvement de réaction d’autant plus “naturel” et prévisible que le monde de la sécurité repose essentiellement sur des caractères forts. On connaît plus les frères Litchfield que NGSS, Schneier éclipse Counterpane, et même sur l’axe Cherbourg-Marseille, un HSC ne serait rien sans la présence d’Hervé Schauer. Ces tentatives d’attaques de l’image de marque ne doivent cependant pas excuser ou éclipser les conséquences de cette fuite d’information si jamais elle s’avère réelle.

Ce sera le mois du « lourd » chez Microsoft nous prévient le MSRC. Le prochain Mardi des Rustines, nous promet le bulletin prévisionnel de Février, comprendra deux bouchons colmatant des défauts jugés « critiques » et deux autres estimés « important ». Dans le lot, le premier correctif « critique » concerne le serveur de messagerie Exchange Server. Il est accompagné d’un patch important pour SQL Server. A ceci l’on doit ajouter un défaut Visio et l’incontournable, l’inévitable bouche-trou I.E. –c’est d’ailleurs le second bulletin qualifié de critique. Comme à l’accoutumé, les mises à jour de l’outil d’éradication de programmes dangereux seront également diffusées à cette occasion.

Pour Cisco, c’est dans la catégorie Walter que l’on se bat, avec de « multiples failles » affectant les routeurs sans fil (http://www.cisco.com/warp/public/707/cisco-sa-20090204-wlc.shtml). Des risques d’attaque en déni de service ou d’élévation de privilège peuvent affecter les Wireless LAN Controllers (WLCs), Catalyst 6500 Wireless Services Modules (WiSMs), et les contrôleurs intégrés dans les Catalyst 3750.

Quittons –ou tentons de quitter- la toile tissée par Ananké en suivant les 42 pages de conseils prodigués par des spécialistes de la protection d’identité informatique : les membres du Consortium Kerberos. C’est dense, touffu même, parfois technique, mais surtout « universel ». Car, une fois n’est pas coutume, les sectateurs de Carnegie Mellon ne distillent pas une logorrhée bien pensante, qui pèse chaque mot, qui s’inquiète de la moindre déviance par rapport à la pensée orthodoxe universitaire. Non, cette fois, ce sont des spécialistes qui parlent « pratique », qui osent mélanger Internet Explorer, Safari, Firefox et Konqueror, qui associent Apache et IIS, « dot Net » et Ruby. Avec des exemples peut-être un peu trop piochés dans les tld en « edu » (Stanford, Stockholm) mais connus pour leur stabilité. Les puristes vont hurler ! On ose parler de « produits » et « d’implémentations propriétaires ». Bref, de choses utilisables. Les auteurs même insistent sur le fait que leurs travaux et leur éclairage des choses ne « reflètent pas la pensée des initiateurs de Kerberos et n’engagent pas leur responsabilité ». A lire, ou à archiver pour une lecture prochaine.

Cette semaine-ci, c’est Thomas Gayet qui prend la relève sur le Blog du Cert Lexsi. Il en profite pour revenir un peu plus en détail sur différentes caractéristiques du ver Conficker/Downadup –notamment sur sa fameuse fonction « autorun » qui sait se « localiser » en fonction de l’ordinateur qu’il infecte. Mais le morceau de bravoure de cet article demeure la liste récapitulative des quelques 250 noms de domaine quotidiens que génèrent chaque jour les occurrences de cette infection. Des noms de domaine qu’il est nécessaire de filtrer.

Chez Microsoft, l’on signale la création de deux nouvelles pages d’information sur ce même sujet. L’une destinée au grand public, avec dessins et capture d’écran à l’appui, l’autre, plus spartiate, s’adressant aux entreprises. Paradoxalement, il y a plus de marketing prônant l’achat de solutions de protection périmétrique estampillées Microsoft dans la page « professionnelle » que dans celle s’adressant à Monsieur Toutlemonde.

Ils sont toujours passionnants, les billets de Neal Krawetz traitant de la désinformation par l’image. De l’affaire des missiles Iraniens qui se multiplient au décollage sous l’effet de la propagande, en passant par les images idylliques du paradis écologique Chinois ou les trahisons techniques du format Jpeg par rapport à PNG… Mais il faut avouer que cette fois-ci, Krawetz a fait preuve d’une abnégation sans borne, d’un stoïcisme admirable en se plongeant, probablement des heures durant, sur la plastique des cuisses et du nombril des mannequins de Victoria’s Secret. Car, nous apprend-il, le « shopping » (entendons par là le « traficotage d’images par PhotoShop ») touche également les catalogues de lingerie. Les modèles les plus pulpeux de la section « nuisette et dessous chics » sont parfois aussi retouchés que les sous-secrétaires disgraciés du Kominterm durant les périodes les plus noires de la stalinisation. Et Krawetz donc de nous expliquer comment les mollets moulés et le mignon minois d’une langoureuse Lolita sont littéralement « reconstruits », repeints et repensés sous prétexte qu’une ombre vient assombrir un giron, qu’une côte légèrement saillante montre qu’un 36 est souvent le signe révélateur d’une anorexie commandée, et que l’éclat d’un bikini ne doit pas grand-chose à la couleur « garantie grand teint » d’un fabricant de tissus. La leçon de ce travail technique sur le pixel et la densitométrie numérique ? « Il n’y a pas de « beauté ana » » dit en substance Neil Krawetz. « Les super-mannequins que l’on voit sur les images des magazines ne sont pas tels qu’on les représente. Mesdemoiselles, plutôt que de détruire votre santé à tenter d’imiter ce rêve, achetez-vous plutôt une version de Photoshop ».

Tout commence par un papillon glissé sous l’essuie-glace : « Stationnement interdit. Votre véhicule est en infraction. Pour obtenir des renseignements et photographies des places de stationnement qui vous conviendront le mieux, visitez le site….. ». Lorsque Lenny Zeltser, du Sans, découvre ce bout de papier, il flaire un piège et se rue sur le site en question. Un site qui affiche un certain nombre de photographies de véhicules mal garés, et offre de télécharger une « toolbar » capable de fouiller dans les archives photographiques d’on ne sait quel commissariat pour retrouver la trace du voiturin appartenant à l’internaute hameçonné.

Faut-il préciser que la barre d’outils en question n’est pas franchement inoffensive ? Une fois installée, la barre joue le rôle de « dropper », et recherche, sur un serveur d’alimentation en malwares, sa pitance d’agents infectieux pour ensuite les installer à demeure.

C’est probablement la première fois, dans la bondissante histoire de l’industrie virale, qu’un virus se propage par médium papier. Cette nouvelle forme de phishing devrait, si elle s’avère efficace, connaître de nouveaux développements. Par voie d’affiche, par exemple –qui donc vérifie l’immunité d’une URL affichée dans le métro ou par appel téléphonique– « Madame, Monsieur, vous avez été tiré au sort et venez de remporter un lot d’une valeur de 250 euros. Pour en connaître la teneur, rendez-vous sur www. MonSiteQuiTue.gasp ». A quand, à ce rythme-là, l’infection radiophonique entre deux résultats de hit-parade ? Exagération ? Que nenni. Bonne ingénierie sociale tout au plus. D’ailleurs, les auteurs de malwares ou les escrocs du net mettent bien souvent à profit des inattentions que les spécialistes eux-mêmes commettent sans s’en rendre compte. Comment, par exemple, ne pas mettre en relation ces deux informations troublantes : d’un côté, le 15ème épisode de la saga « A Diverse Portfolio of Fake Security Software» de Dancho Danchev, qui, une fois de plus, dénonce des pseudo-antivirus qui ont « presque l’air vrai », et ce billet sur le blog de F-Secure, relatant un grand meeting réunissant les « ISP et opérateurs partenaires ». Que F-Secure revende son antivirus via des fournisseurs d’accès est une bonne chose, tant sur le plan du business que de la sécurité. Ce qui est troublant, en revanche, c’est le petit diaporama qui illustre cet article, une succession de captures d’écran qui montre les diverses éditions de la suite antivirale de l’éditeur Finlandais, mais avec de « légères » différences. Pour un spécialiste, cela ne fait aucun doute : c’est bien là une version « OEM » du programme. Mais un néophyte est-il capable de différencier une véritable Suite F-Secure relookée par un FAI moldo-valaque d’un faux authentique made in Tchernobyl se faisant passer pour l’original ? Bien souvent, l’imitation est plus crédible que l’original revampé. S’est-on posé ce genre de question, à Helsinki ?

Encore une nouvelle version, immatriculée 3.0.6. Cette édition de Firefox corrige 6 failles d’une importance relativement faible. Le bulletin d’alerte générale précise qu’un seul de ces défauts peut être considéré comme critique : c’est l’avis 2009-01, un crash du programme qui semble provoqué par une corruption de la mémoire. Or, qui dit corruption mémoire pense logiquement « possibilité d’y injecter du code » et, par conséquent, risque, même ténu, d’exploitation à distance. Un peu moins critique, mais à prendre au sérieux, une faille pouvant favoriser une attaque en Cross site scripting. La nouvelle version à télécharger est disponible sur le site de la fondation.

L’Ofcom,autorité des télécoms Britannique, publie son rapport annuel sur l’évolution des télécoms en Grande Bretagne. Une étude qui, bien que focalisée sur les infrastructures de Sa Gracieuse Majesté, utilise en permanence des références et métriques européennes, voir mondiales. C’est donc là une mine de renseignements, qui couvre en détail, notamment, l’évolution des accès Internet sur l’Ile et dans l’ensemble de la Communauté Européenne. Ce pavé de statistiques compte 300 pages de chiffres, diagrammes et interprétations. Un certain courage est nécessaire pour en parcourir les grandes lignes.

Un courage vite récompensé. L’on apprend par exemple que le citoyen Britannique tient à son accès haut débit plus qu’à sa chaîne HiFi, son club de gymnastique, son téléphone mobile ou son hygiène corporelle. Si un budget devait être sacrifié en raison de la crise actuelle, ce serait en dernier lieu après les dépenses de produits de toilette, les factures téléphoniques, les achats de disque ou de mobilier, et même les sorties au restaurant ou au pub.

Outre ces constatations sociologiques inquiétantes mais révélatrices, une grande partie de cette étude explique comment, et dans quelle proportion, la télévision pénètre de plus en plus dans la vie Britannique. Nettement moins regardants sur le contenu que ses voisins Français ou Allemands, les sujets du Royaume Uni sont de ceux qui passent le plus de temps devant le petit écran. Petit écran soit de haute qualité, avec, après les Etats Unis et le Canada, la plus forte progression en matière de TVHD, soit de niveau proche de l’irregardable, avec le développement progressif des services de télévision sur terminaux mobiles.

Un article de Kevin Poulsen, dans Wired, révèle ce qui semble être le plus gros casse à la carte de crédit jamais commis à ce jour. La veille de Noël dernier, en moins de 30 minutes, une centaine de mules a siphonné 9 millions de dollars de cash dans de multiples distributeurs, à l’aide de fausses cartes. Des cartes portant l’enregistrement de vrais comptes avec de véritables identifiants. Le vol n’a pu être possible que parce que le « cerveau » de l’affaire a eu accès au centre de traitement d’un opérateur bancaire, la RBS WorldPay. Cet opérateur émet notamment des cartes de débit alimentées directement –soit par virement de salaire, soit par dépôt direct. Généralement, des garde-fous techniques limitent le montant maximum qu’un porteur peut prélever à chaque opération. Mais cette limite a manifestement pu être levé, laissant aux mules la possibilité de tirer du liquide jusqu’à plus soif (et probablement épuisement des distributeurs de billets, puisque le montant moyen par mule frise les 90 000 dollars).

Fox News précise que le coup révèle une organisation quasi militaire. La série de vols s’est déroulée dans 49 villes différentes, visant 138 distributeurs situés majoritairement sur le territoire américain –Atlanta, Chicago, New York- mais également dans d’autres pays. Le vol a été détecté notamment à Montréal, Moscow ou Hong Kong, prouvant que même la répartition des risques et la prévision d’une fuite éventuelle avait été prévu. Un coup digne de Philippe IV, dit le Bel, qui arrêta les templiers dans le monde entier, le même jour. En 1307, le réseau téléphonique commuté et Internet n’étaient pas aussi fiables et rapides que maintenant.

Si la somme dérobée marque les esprits par son importance, on ne doit pas oublier que d’autres biens ont été subtilisés durant cette opération audacieuse. Et notamment des numéros de sécurité sociale et autres données personnelles contenues sur la piste magnétique de la carte et sur les fichiers associés à chaque compte.

Comment le liquide prélevé par les mules a-t-il été récupéré ? Comment a-t-il pu traverser les frontières US ? Par quel moyen l’équipe du cerveau est-elle parvenue à hacker le réseau RBS WorldPay ? Comment, si l’on en croit les rapports, les données de 1,5 million de comptes ont-elles pu demeurer accessibles ? Pourquoi les fichiers en question n’étaient-ils pas chiffrés et morcelés ? Y a-t-il eu complicité interne ? Comment se fait-il que, sur 130 DAB, seulement 3 personnes ont pu être photographiées et fassent l’objet d’un avis de recherche ? Le FBI semble ne posséder aucune réponse, aucune piste. La révélation de cette affaire par les médias semble bien tardive, d’autant plus qu’un procès en class action a été déclenché par un certain Keith Irwin le 9 janvier de cette année. Les victimes ont donc probablement été averties dans les jours qui ont suivi l’opération.

Cette affaire confirme, si cela était encore nécessaire, l’aisance avec laquelle il est possible de recruter des intermédiaires. La crainte d’une peine d’emprisonnement, quasi certaine grâce aux systèmes vidéo qui équipent la grande majorité des « ATM » américains, n’est rien en comparaison des conditions de vie des populations qui vivent dans des situations précaires.