février, 2009

Après les prédictions relativement pessimistes de McAfee, voici celles guère plus joyeuses de la X-Force d’IBM/ISS. Prévisions imposantes, colossales mêmes, qui s’étalent sur plus d’une centaine de pages. Et s’il fallait résumer cette montagne de chiffres en quelques mots, l’on pourrait dire « plus Web, plus simple, plus opportuniste et plus brutal ».

Plus Web, ce n’est une surprise pour personne. L’Owasp le déclame depuis assez longtemps, les principales attaques exploitent des vulnérabilités qui affectent les applications Web. Et il n’y a pas de raison pour que tout cela change en 2009… on ne va pas imaginer que, pris par un remords soudain, les développeurs remettent à plat les milliards de programmes et de sites écrits jusqu’à présent. Plus Web également côté client, car ici encore, l’on est loin d’avoir éliminé tous les défauts des navigateurs ou des applications qui interagissent avec une page HTML –souvenons-nous des pluggin empoisonnés, des javascripts tueurs, des appels d’applications vulnérables-. Au total, ce sont là 55% des vecteurs d’attaque recensés au cours de 2008. Ce le sera encore en 2009. Parfois, les chemins sont détournés. Ainsi, les injections SQL automatisées, dont l’augmentation a été multipliée par 30 l’an passé, sont principalement destinées à détourner les internautes pour mieux les piéger. Elles sèment sur leur passage des mécanismes de redirection qui conduira le surfer vers des sites compromis qui, à leur tour, déclencheront de rafales d’exploits anti-navigateurs. Des toolkits qui déposent principalement des troyens, des clients Botnet. Près de 46% des malwares analysés par ISS en 2008 étaient des chevaux de Troie chargés de récupérer des crédences de jeux en ligne ou d’accès bancaire.

Plus simple et plus brutal également. Car plutôt que de chercher désespérément à contrecarrer les effets d’une politique de sécurité attentive conduite par certains éditeurs consciencieux, les auteurs de malwares auraient plutôt tendance à choisir des chemins plus aisés… en l’occurrence l’exploitation des failles qui n’ont jamais été corrigées. Sur l’ensemble des failles divulguées en 2008, estime la X-Force, près de 53 % n’étaient pas encore corrigées à la Saint Sylvestre. Pis encore, 46% des bug millésimés 2006 et 44% des trous de sécurité 2007 sont toujours en attente d’une rustine.

Ouvrons ici une parenthèse pour préciser que chaque faille n’est pas systématiquement exploitée ou exploitable. Cette comptabilité IBM est un peu trop alarmiste pour être prise au sérieux, car il manque là une véritable mise en perspective de chaque défaut et de son coût de correction (ou d’application de rustine). Et le décompte reprend : il s’est découvert 13% de failles en plus en 2008, et le taux de failles dites « critiques » est en nette progression de 15%. Ce qui peut être interprété de multiples façons. D’une part, le nombre de failles reflète la croissance du marché et du nombre de logiciels, pilotes, systèmes développés chaque jour. Il peut également être un indicateur du travail et de la vigilance des laboratoires de sécurité, des chercheurs indépendants et des « response teams » des différents éditeurs et équipementiers. Plus de trous ne signifie pas nécessairement plus d’attaques. Plus simple, encore, avec, nous prédit la X-Force, l’abandon des manœuvres complexes au profit de campagnes plus efficaces et plus directes. On le voit dans l’évolution du spam, par exemple. Au début 2008, l’on était témoin d’une recrudescence de spam technologiquement tirés par les cheveux : images bitmap à caractère aléatoire, fichiers pdf, intitulés variables, textes tirés de romans ou d’ouvrages poétiques afin de noyer les algorithmes bayésiens… tout çà est oublié. On « passe désormais en force » pour inciter les internautes à visiter tel ou tel site pharmaceutique ou de jeux en ligne. L’url se cache dans un simple courriel prenant l’aspect d’un rappel de facture, au détour d’une réponse de blog…

A remarquer, cette métrique qui laisserait entendre que le phishing a connu quelques fluctuations conjoncturelles. Les courriels d’incitation au hameçonnage ne représentent que 0,5 % du volume total de spam dans le monde. Et ce volume aurait été en légère décroissance de 0,2 % au second trimestre 2008, pour subir ensuite une augmentation de 0,8% dans la seconde moitié de l’année. Une remontée qui semble parfaitement en phase avec les contrecoups de la crise économique mondiale et les mille et une actions que tentent les escrocs du Net pour en tirer parti.

L’Enisa (European Network and Information Security Agency) publie un rapport de 24 pages entièrement consacré à l’étude des différentes cartes d’identité « électroniques » dans les divers pays de la Communauté. Encore inconnue en France –son instauration est toutefois prévue- elle est déjà en application ou en phase de déploiement en Autriche, Belgique, Estonie, Finlande, Italie, Pays-Bas, Portugal, Espagne, Suède et Grande Bretagne. Elle est à l’étude dans la plupart des autres pays, à l’exception de la Grèce, Tchéquie, Bulgarie, Irlande, Lituanie, Danemark et Norvège. Mais ce qui étonne le plus, c’est l’apparente absence de concertation ou de tentative d’unification des mesures à l’intérieur de l’Europe. Pas même le plus petit commun dénominateur, ni sur le plan technique –bien que quelques tendances normatives tentent de s’imposer-, ni non plus sur le contenu. Chaque Allemand, par exemple, pourra refuser l’intégration de certaines données biométriques dans la mémoire de la carte –empreintes digitales notamment. Certains pays sont favorables aux cartes lisibles à distance, d’autres estiment qu’une lecture par « contact » est préférable pour limiter les risques d’interception d’informations. La possibilité d’ajouter des données ou non est également un point de désaccord. Si, en général, les données contenues ne sont pas chiffrées, la protection des méthodes de lecture varie également d’un pays à l’autre. Code PIN ou clefs symétriques pour certains, contrôle d’accès par certificat pour d’autres… quant aux contenus biométriques et aux possibilités d’accéder auxdits contenus, là encore, il faut un véritable « mémento du parfait agent Interpol » pour démêler le tien du mien.

Le moins que l’on puisse dire, semble conclure l’Enisa, c’est que l’on a du mal à distinguer la moindre stratégie dans tout cela. Un embrouillamini qui rend encore plus compliqué l’analyse des vulnérabilités et des risques potentiels apportés par cette nouvelle carte d’identité. Falsification du contenu, écoute à distance, attaques Man in the Middle, implications du porteur en cas de compromission de la chaine amont de vérification de l’information (serveur ou document « signé »), compromission de l’identité du porteur en cas de mésusage d’une carte d’identité prêtée (délégation de pouvoir), volée ou perdue, traçage de la personne, profilage du comportement du porteur, utilisation déviante du document comme preuve « de confiance »… au total, l’Enisa détaille 14 des principaux risques liés à l’usage de ce genre de carte. Certains sont probables, d’autres plus complexes à provoquer, mais dans tous les cas, ce n’est probablement là qu’un très vague aperçu des menaces qui planent sur les « eID’s » Européens. Au fur et à mesure que se développera le commerce électronique et les échanges de données, plus les prestataires de ces secteurs exploiteront les capacités numériques de ces nouveaux documents officiels, et plus l’on peut faire confiance dans le génie humain pour contourner ou détourner demain les sécurités mises en place aujourd’hui.
Prudent, l’Enisa évite deux chausse-trappes. En premier lieu, l’Agence évite soigneusement d’opposer les visées politiques et policières qui dictent parfois ce genre de choix. Il faut dire que, dans bien des pays –en Grande Bretagne notamment- les motifs les plus fantaisistes ont été invoqués… y compris la chasse aux terroristes. L’autre écueil à peine effleuré est celui de l’atteinte à la vie privée et à l’étendue des détails personnels qui pourraient être contenus ou ajoutés dans la mémoire de ces cartes.

Depuis le 28 janvier, le nom d’Alicia Cooper hante les pires cauchemars des dirigeants de Heartland. Heartland, c’est cet intermédiaire bancaire spécialisé dans le petit commerce, et dont une fuite du système informatique aurait potentiellement exposé plusieurs millions d’identités bancaires. Et Alicia Cooper, par le biais du cabinet d’avocats Chimicles & Tikellis, semble être la première « victime potentielle » à poursuivre l’organisme financier dans le cadre d’une class action. Les motifs invoqués vont de la négligence à la rupture de contrat, rupture des obligations fiduciaires et autres manquements aux obligations qui font toute la noblesse du métier de banquier. Ce n’est probablement là que le premier coup de semonce. Heartland traitait les opérations de près d’un quart de millions d’entreprises, dont bon nombre de commerçants travaillant sur la totalité du territoire US, et il est donc probable que la presque totalité des citoyens Nord Américains ait à craindre une compromission de certaines de leurs opérations bancaires. Il y a donc de quoi alimenter la class action la plus phénoménale de toute l’histoire judiciaire américaine.

Par un hasard troublant, quelques jours après l’action en justice contre Heartland, le Ponemon Institute rendait à PGP Corp, son commanditaire, une étude portant sur les coûts effectifs d’une fuite de données. L’addition s’élèverait à près de 202 dollars par enregistrement compromis, valeur moyenne estimée en 2008, en nette hausse par rapport à l’année précédente (197 $). Depuis 2005, l’augmentation de ce coût dépasse les 40%.

A noter cependant que ce n’est que depuis 2005 ou 2006 que se sont multipliées les lois d’Etat obligeant les entreprises défaillantes à rendre publique ce genre d’accident. La première disposition légale du genre est née en Californie il y a 5 ans à peine. Le vecteur de pertes financières le plus important serait, estime le Ponemon, essentiellement provoqué par le départ des clients échaudés par ce genre de mésaventure. Des chiffres à prendre avec beaucoup de prudence, la « volatilité » de la clientèle étant très variable d’un secteur à l’autre, et pratiquement inexistante dans le domaine bancaire compte tenu de la complexité et des tracasseries administratives d’un changement de compte. Les entreprises de commerce direct (en ligne ou traditionnel) ou de distribution sont plus directement touchées, preuve certaine que le public est à la fois informé et conscient des risques entrainés par de telles pertes.

Globalement, le coût total par incident s’est élevé à 6,65 Millions de dollars en 2008 (6,3 M$ en 2007). Les secteurs les plus sinistrés sont les organisations médicales (hôpitaux, mutuelles…) et les institutions financières –respectivement 6,5 et 5,5 % des cas, à comparer à une moyenne de 3,6%-. Dans 44% des cas, les fuites étaient provoquées par des « tierces parties », sous-traitants, intermédiaires etc. Ce sont également, compte tenu des coûts d’enquête, les cas qui reviennent le plus cher. Près de 84% des sinistres constatés sont survenus dans des organisations ayant déjà subi des accidents du même genre au cours de l’année… mais, l’expérience aidant, le prix d’une nouvelle perte se solde en moyenne aux environs de 192 $ par enregistrement… contre 243 dollars pour les entreprises qui font pour la première fois l’expérience de cette mésaventure. 88% des cas enregistrés en 2008 ont pour origine une négligence « interne ».

L’intégralité de l’étude peut être téléchargée contre « fuite de données personnelles » volontairement consenties, directement sur les serveurs du Ponemon.

Plus discret, ne dépassant à peine 2 sur l’échelle de Richter du hack, Chris Paget, interviewé par Dan Goodin du Reg (via Hackaday), nous apprend comment lancer une campagne de Wardriving contre les puces RFID. Un lecteur de cartes, une antenne, une automobile, et l’on récupère les identifiants de passeports comme d’autres vont à la pêche au crabe. Certes, les informations confidentielles contenues dans l’électronique du document de voyage ne sont pas (encore) accessibles… mais le numéro identifiant unique l’est parfaitement. Et comme il n’est pas rare, aujourd’hui, de trouver des porteurs de RFID « multirécidivistes », bardés de cartes d’abonnés ou de fidélité, de clefs d’accès, de sésame à parking etc, la corrélation des informations n’est plus franchement quelque chose de complexe. L’association « identifiant-identité » devient un jeu d’enfant. C’est tout de même plus préoccupant que quelques ventes de machins à laver manquées faute de Googlemining.

Lorsque Google « blackliste » le caractère « », cela donne une inépuisable matière à articles. Les plus touchés seraient les commerçants « en ligne » dont une grosse partie du business repose sur les retours de requête Google et le résultat des sites comparateurs. Entre 20 et 40% de perte de fréquentation et d’activité, estiment certains. Ce qui prouve que la notion de « client fidèle » et de « lecteur régulier d’un site » est, dans bien des cas, très relative. Ce qui prouve également –mais qui semble s’en inquiéter- que l’activité économique de certains et surtout la diffusion de l’information (donc l’orientation de l’opinion publique) dépend en grande partie (70%) de cet unique moteur de recherche. Le véritable « big one », ce n’est pas véritablement lorsque Google se plante, mais lorsqu’il fonctionne trop bien.

Jeremiah Grossman lance un appel à tous les chercheurs en sécurité, afin de dresser un « palmarès des plus belles techniques de hacking Web de 2008 ». Le jury sera composé de Rich Mogull, Chris Hoff, HD Moore, Jeff Forristal –rien que du beau linge-. Le gagnant toutes catégories se verra offrir un billet « tous frais payés » (notes de bar non comprises) pour la prochaine BlackHat.

Qui seront les heureux élus ? La bataille risque d’être serrée, car cette année fut riche en découvertes. Le clickjacking, les CSRF, le détournement du presse-papier Flash, les empoisonnements d’images GIF avec des archives java (aka Gifar), les interceptions DHCP et injections DNS de nouvelle génération, les cookies sublimés… le choix sera de toute manière cornélien et contesté.

Le «chiffrement sauvage » provoqué par un ingénieur réseau de la ville de San Francisco semble avoir inspiré Rajendrasinh Babubahai Makwana. Cet informaticien travaillant chez Fanny Mae, l’une des plus importantes banques de prêts US, aurait implanté, le jour de son licenciement, un script à retardement chargé de détruire les données sur les 4000 ordinateurs servant au fonctionnement ainsi qu’à certaines sauvegardes de cette banque de prêts. Fanny Mae, ou Federal National Mortgage Association, est sous contrôle de l’Administration Fédérale US depuis septembre dernier, après une spectaculaire dégringolade financière provoquée par la crise des « subprimes ».

Le Département de la Justice précise que le script a été découvert in extremis, et devait se déclencher le 31 janvier. Makwana, mis en liberté sous caution après versement de 100 000 dollars, risque une peine d’emprisonnement de 10 ans maximum. Le DC Examiner indique que la découverte du script-suicide a été totalement fortuite. Comble de l’ironie, la mort programmée de Fanny Mae, volontairement provoquée par un être humain conscient que cette action aurait des conséquences apocalyptiques, est une allégorie utilisée par Franck Herbert dans son roman l’Etoile et le Fouet. Hélas, il n’existe pas de BuSab pour corriger l’impéritie des grands patrons de banques ou les vengeances des employés aspirés dans des charrettes chaque jour plus importantes.

Mais où donc est passé le « A » de CIA ? s’interroge Thierry Zoller. Le chercheur Luxembourgeois parle bien sûr de l’acronyme mnémotechnique Confidentiality, Integrity, Availability –les trois mots d’or de la sécurité informatique.

Car Availability, la disponibilité d’un système, est une chose qui, subrepticement, est balayée sous le tapis par les équipes marketing de bien des constructeurs, éditeurs ou équipementiers. Lorsque la disponibilité disparaît, c’est souvent le fruit d’une attaque en déni de service. Des DoS qui, lorsque l’on se penche sur le degré de dangerosité d’une faille, « déqualifient » un risque systématiquement. Un trou « critique » implique une exécution distante… un déni de service, c’est de la faille mineure.

De qui se moque-t-on, demande Zoller. Un déni de service, c’est une vulnérabilité. Aussi importante qu’une autre. L’ennui, c’est que de l’attaque DoS, il s’en découvre bien plus que des « remote exploits »… et comme le jeu des éditeurs consiste toujours à mesurer les failles en fonction de leur nombre et de leurs dangerosités respectives, il est logique que cette armée de défauts qui dérange finisse par disparaître et ne pas être considérée comme « aussi dangereuse ». Ce n’en sera que mieux dans les statistiques. Et Zoller de prendre ses propres recherches à témoin : « Sur 800 vulnérabilités découvertes et reportées durant ces deux dernières années, 2 seulement ont été prises en compte. /…/Et encore ! L’un des deux éditeurs concernés a préféré « noyer » cette vulnérabilité dans une alerte « cumulative » englobant 8 défauts distincts. » Au final, un seul bulletin d’alerte… dormez en paix braves gens, les défauts sont moins courant qu’on veut bien le dire.

Et le chercheur d’insister, en racontant en substance comment la découverte d’une faille pouvant conduire à un déni de service est considérée par un éditeur… en fonction du segment de marché considéré, le défaut passe de « totalement inintéressant » à « excessivement sérieux ».

Le propos devient d’autant plus important que l’ensemble de l’industrie informatique ne jure plus que par l’externalisation, la virtualisation, l’accès distant, les datacenters, le streaming, les communications sans fil… autant de domaines où le mot « déni de service » correspond à une totale inaccessibilité des outils ou des infrastructures. Si la pression marketing est effectivement l’une des principales raisons de cette forme de négation, force est de reconnaître que les chercheurs eux-mêmes sont en partie responsables de cet état de fait. Le hack « noble », la recherche « sérieuse », celle qui fait les têtes d’affiche des Defcon et des CCC n’accepte de parler que de « prise de contrôle », d’« accès aux données », de « pénétration »… mais très rarement des techniques incapacitantes, jugées trop primaires. Peut-être parce qu’il est tout aussi frustrant d’admettre qu’un peu moins d’élégance, un peu plus de pragmatisme permet de parvenir aux mêmes résultats. Le DoS est à la recherche en sécurité ce que le coup d’épée d’Alexandre fut au nœud Gordien.

Cynisme ou lucidité ? McAfee –qui ne cesse de publier rapport sur rapport en ce début d’année- sort une étude essentiellement consacrée aux risques liés à l’éparpillement en général et à l’externalisation en particulier du traitement des données. Un travail commandé à l’Université de Purdue et au Center for Education and Research in Information Assurance and Security (CERIAS).

Le Unsecured Economy Report (exceptionnellement disponible en Français dit en substance que les données « expédiées à l’étranger », sous quelque prétexte ou forme que ce soit, sont de plus en plus en danger. Et lorsque les analystes de l’Avert parlent de données expatriées, ils désignent aussi bien les informations expédiées dans des centres de sous-traitance que celles communiquées à des partenaires via un intranet, ou à des clients pour des raisons diverses. En visant une diminution drastique des coûts de fonctionnement, les grands patrons ont probablement tressé la corde qui les pendra.

L’étude porte sur un échantillonnage de 800 responsables TIC, lesquels estiment une valeur de 12 millions de dollars en données « sensibles » expatriées. Ces mêmes entreprises auraient déclaré l’an passé près de 4,8 millions de dollars de pertes de propriété intellectuelle. En extrapolant ces chiffres, le Ceria estime que le montant global des pertes de propriété intellectuelle a frisé les mille milliards de dollars durant l’année écoulée. Un bilan qui peut paraître alarmiste, mais que peu de gens perçoivent ou redoutent. Les avantages masquent parfois bien des aspects négatifs : les données sont « dans le nuage », accessibles toujours, partout, immédiatement, d’un bout à l’autre de la chaîne, « pour nous et pour nos clients et fournisseurs » se félicite un responsable de « supply chain management ».

Aux patrons informatiques du monde occidental –US et Britannique- les enquêteurs du Ceria ont ajouté des DSI du Japon, de Chine, d’Inde, du Brésil et du Moyen Orient. Et c’est avec surprise qu’ils ont constaté que les pays en voie de développement technologique, notamment la Chine, l’Inde, le Brésil, déclaraient des dépenses en infrastructures de sécurité considérablement supérieures aux budgets généralement consacrés en occident. En Inde, l’enveloppe « sécu » peut atteindre 35 % du budget TIC, à comparer aux quelques 4% dépensés en moyenne en Grande Bretagne. Un écart qui s’explique notamment par le fait que ce sont ces mêmes pays qui jouent le rôle de sous-traitant. La majorité des DSI de Chine ou d’Inde estiment que leurs investissements en sécurité est précisément celui qui leur permettra de décrocher des contrats, de convaincre et d’attirer des clients. En Europe et aux Etats-Unis, en revanche, la sécurité est une « obligation » dictée par les impératifs de conformité aux normes et aux lois.

La situation risque fort de s’aggraver dans les mois à venir, nous promet le rapport McAfee. Car avec la situation économique globale, l’on est pratiquement certains que les vols et les destructions de données vont se multiplier. Soit par esprit de vengeance, après une brimade ou un licenciement, soit par « précaution »… un vol de fichier peut servir de véritable parachute doré pour un employé pouvant partir « à la concurrence ». Un vol qui n’est pas nécessairement commis par un employé, sous-traitants, consultants, fournisseurs, revendeurs… de plus en plus de personnes peuvent accéder à toute ou partie des données d’une entreprise.

Des vols de données vis-à-vis desquels les autorités des pays en voie de développement « ferment les yeux » avec d’autant plus de complicité que cette récupération d’information « évaporée » est un vecteur non négligeable de développement. Les espions Chinois ? Les fondamentalistes Pakistanais, les truands de la mafia Russe ? Tout le monde connaît. Pourtant, 26 % des responsables interrogés admettent stocker leurs données en Chine, 27% au Pakistan, 19 % dans les pays de l’ex-URSS. Après la lecture attentive de ces 28 pages de rapport, plus personne ne signera un contrat de sous-traitance de la même façon…