avril, 2009

Deux papiers à lire, sur le blog de Thierry Zoller cette semaine. Tout d’abord, une triple annonce de vulnérabilités découvertes sur Aladdin eSafe, Avira Antivir et Comodo. Nul détail technique compromettant ou dangereux, comme d’habitude de la part de ce scrupuleux chercheur. L’expérience et les communications précédentes de Zoller laissent clairement entendre que ces alertes sont on ne peut plus sérieuses.

Le second article est accrocheur en diable et s’intitule « Cher Thierry, pourquoi vous comportez-vous comme un trou-du-cul arrogant ? ». Une question posée directement au chercheur et qui lui permet de revenir de façon plus explicite sur sa politique de divulgation. Sans divulgation, plus d’aiguillon contraignant les éditeurs à faire des efforts, plus de confiance réelle entre le client et son fournisseur/vendeur de logiciels, plus la moindre crédibilité quand aux assertions faites par les éditeurs à propos de la qualité de leur « SDL » et de leurs publications de correctifs. La position de Zoller, ainsi que sa politique d’avertissement en fonction d’un calendrier et d’une série d’avertissements préalables, est fort proche d’une tentative de RFC écrite il y a quelques années (par deux chercheurs travaillant pour le compte de Microsoft, faut-il noter). La position de Secunia –Zoller le rappelle à son interlocuteur- est d’ailleurs issue en droite ligne de cette politique de divulgation liée à une série d’échanges d’informations préalables.

Thierry Zoller ne demande pourtant pas l’impossible. Seulement que soit appliquée une règle plus stricte, plus claire pour tout ce qui touche à la correction d’une vulnérabilité sitôt celle-là découverte. Il ne revendique pas une « mention de paternité » systématique –quoi que cela semble être la moindre des choses-. Il n’exige pas une « rétribution financière » comme d’autres de ses confrères. Simplement la reconnaissance du travail des chercheurs, un effort mutuel tant de la part de l’éditeur, qui doit faire son possible pour corriger ses erreurs, que de celle du chercheur, qui doit garder à l’esprit les conséquences dramatiques que pourraient avoir une publication détaillée du problème avant l’heure.

L’épidémie de peste porcine pourrait bien, dans les jours qui suivent, nous réserver quelques beaux spécimens d’escroqueries au Tamiflu, de superbes scam, des montagnes de spam et des propagations de fausses rumeurs dignes d’être chantées par un ténor rossinien. Le Sans supplie ses lecteurs et leur demande de ne pas enfermer leurs RSSI et spécialistes sécurité dans l’enceinte confinée de leur NOC, sous prétexte de quarantaine… Ce virus-là ne se propage pas sur un câble Ethernet, mais il pourrait bien être capable de provoquer de terribles attaques en déni sur les réseaux téléphoniques, si un vent de panique venait à souffler. Chez F-Secure, l’on commence à compter l’épidémie… de dépôts de noms de domaines. Il ne serait pas très étonnant d’y découvrir quelques registrars spécialisés dans le « domain parking » du côté des US ou de l’Ukraine. Dans moins d’une semaine, l’on pourrait craindre l’arrivée d’une vague d’emails qui, sous prétexte de peste porcine, entraînerait les internautes les plus naïfs dans les rets d’une attaque « drive by download » aussi classique que navrante.

« Méfiez-vous des logiciels d’installation douteux » titre le blog de l’Avert. Et d’épingler au passage le service de micropayement SMS+ (une association des trois principaux opérateurs de téléphonie mobile en France) utilisé par l’un de ces trop nombreux sites payants diffuseurs de programmes gratuits.

Si, à la haute époque des BBS et des transmissions à 300 bauds et des communications facturées au temps, l’on pouvait comprendre et admettre que certaines entreprises offrent un « service » payant consistant à collecter puis diffuser des freewares parfois difficiles à récupérer, ce point est moralement bien plus discutable à notre époque. Même si un vide juridique certain autorise de telles pratiques. Pour les chercheurs de l’Avert, en revanche, cela ne fait aucun doute : camoufler, dans une procédure d’installation, une routine qui inféode le téléchargement d’un programme Open Source tel que VNC à un mécanisme de payement, ce n’est pas du commerce, c’est « a tool used to carry out SMS fraud ». Du coup, la routine en question est classée dans la catégorie « Troyens » et est honorée du nom évocateur de Ransom-E.

A qui la faute ? A l’acharnement de certains politiques qui persistent à toujours voir en Internet un « machin » au sens Gaullien du terme, qu’il faudra tôt ou tard transformer en un énorme Minitel facturé par palier ? Aux opportunistes qui profitent de l’ignorance –ou du manque de pratique- d’une vaste proportion d’internautes, lesquels ignorent tout des modèles gratuits, de l’existence d’associations telles Framasoft ou de la simplicité d’un téléchargement sur SourceForge ? Ou bien encore à l’absence du moindre comité d’éthique chez les opérateurs, qui cherchent plus à monnayer leurs services qu’à savoir ce que leurs services monnayent ? Question pudiquement laissée sous silence depuis précisément l’invention du Minitel, ou plus exactement de l’invention des sites « roses et plus si affinité » qui y fleurissaient alors.

La « cyber-guerre » échauffe les esprits et remplit les salles de conférences. Lors de la toute dernière RSA Conference, il était même impossible de ne pas avoir entendu parler du débat : Cyber Warfare: A New Cold War? s’interroge Ned Moran, tandis que Richard Stiennon nous enseigne l’art de Surviving Cyber War. Même les présentations techniques succombent aux charmes des bruits de bottes, Prefix Hijacking: Threat to Applications in the Cloud and Cyber Warfare disserte Ram Keralapura. Victor Ralevich s’étend sur le thème Cyber Warfare: Technology, Law and Ethics… même si associer les mots éthique et guerre relève d’une certaine exagération paradoxale. Ned Moran reprend Is There a Cyber Cold War? … car une guerre froide passe parfois inaperçue, à tel point que seuls quelques gourous sont capables de nous en montrer les signes révélateurs. Randy Sabett, enfin, détaille la situation américaine dans le cadre d’une causerie intitulée Cyber Security for the 44th Presidency – Assessing the CSIS Commission Recommendations, CNCI, and Current U.S. Strategy. Pour ceux qui n’auraient pas bien saisi la situation, tout porte à croire que nous vivons déjà au cœur de la « prochaine cyber-dernière », et que le fracas viral qui tonne autour de nous a pour origine l’œil de Moscou, le fantôme de Pékin, la main gauche de Washington ou toute autre puissance aussi occulte que vindicative.

Pendant ce temps, Markus Ranum accueillait les clients potentiels sur le stand de Tenable.

Mais certains ont la mémoire longue. Et notamment Richard Bejtlich, qui exhume une intervention dudit Ranum faite à l’occasion de la conférence Hack In the Box (http://conference.hitb.org/hitbsecconf2008kl/?page_id=65) de Malaisie en octobre dernier et intitulée « la cyber-guerre, c’est de la crotte de biquet ». Selon Ranum, l’équilibre des forces et le « retour sur investissement » laisseraient penser que seules les grandes nations peuvent se payer le luxe d’une véritable cyberguerre –les plus petites préfèrent l’efficacité d’une attaque suicide nécessitant peu de moyens-. En outre, l’efficacité réelle d’une telle attaque, autrement dit la possibilité de toucher une infrastructure vitale (Scada) n’est ni certaine, ni même réaliste dans bien des cas. Une pensée qui rappelle un peu la vision «terror movie plot » (scénario de série B) chère à Bruce Schneier.

Bejtlich, qui travaille parfois pour le compte du gouvernement US dans le secteur de la défense, voit la chose avec un tout autre éclairage, et répond à Ranum. En marquant toutefois quelques points, notamment en contrant le patron de Tenable lorsque celui explique d’une cyberguerre n’est pas capable d’occuper le terrain après que ses « troupes virales » soient passées à l’action. Et Bejtlich de répliquer que c’est également le cas d’un corps d’armée particulier : l’aviation. Les coups portés sont des attaques en profondeur, comparables à celles d’un commando, et le fait de ne pas occuper le terrain sur le champ n’est pas la preuve d’un échec.

Qui détient la vérité ? Ranum, Bejtlich… ou aucun des deux ? Car il existe une troisième façon de voir les cyber-conflits, plus Européenne, plus « vécue » aussi. Celle qui assimile ce genre de combat à une arme psychologique, à une action de propagande. Car la cyber-guerre est aussi virtuelle que la « cinquième colonne » des années 40, aussi pernicieuse qu’une dépêche d’Ems. Avec très peu de moyen –une série de sondes réseau, quelques exploits lancés contre des cibles aussi précises qu’improbables à détruire- elle monopolise les efforts de celui qui se croit visé, tend à détourner son attention, tout en maintenant une pression psychologique certaine sur les populations. Plutôt que de compter les points en termes de centrales électriques virusées, elle remporte la victoire en affectant, même de façon imperceptible, le moral de l’adversaire ou ses efforts logistiques. Toujours, d’ailleurs, avec les leviers classiques de la peur, d’autant plus prégnante que son origine est incertaine. La cyber-guerre ne serait donc par prête de détrôner les charniers de Craonne, et l’on entendra encore chantonner quelques siècles durant « Moi mon colon, celle que j’préfère, c’est la guerr’de 14-18 »

Versons une larme, nous demande l’éditeur d’antivirus G-Data, sur ces cyber-criminels touchés par la crise. En raison de la récession économique générale actuelle, le prix du spam, sur ces 3 derniers mois, se serait effondré de 50% par rapport à l’an passé. Pour preuve, l’accroissement massif des envois de pourriel destinés à compenser la chute brutale des revenus. Augmentation telle que le courrier électronique appartenant à la famille « Viagra/Casinos/logiciels bradés » friserait désormais les 95% du volume mondial des échanges d’email (contre 72% au premier trimestre 2009). Les tarifs d’envoi en nombre pratiqués par les gros polluposteurs sont également revus à la baisse. Les 20 millions de courriers étaient vendus
en 2007 : 350 €
en 2008 : 290 €
en 2009 : 150 €
Une étude publiée par Microsoft avait, sans pour autant invoquer la crise, détecté une tendance semblable dans un secteur très proche, celui du phishing. L’accroissement du volume des emails d’escroquerie n’était, expliquaient les chercheurs, que le reflet d’une baisse brutale du rendement, un « épuisement du filon » principalement provoqué par l’amélioration des filtres de protection périmétrique et par un désintérêt croissant de la clientèle potentielle, laquelle était de mieux en mieux sensibilisée à ce genre de fléau. Il reste à espérer qu’après ce dernier baroud d’honneur, les spammeurs finissent par mourir d’inanition.

Notre éminent confrère John Leyden est heu-reux. Euphorique, presque, en annonçant la disparition de Zango, le dernier grand publicitaire du monde online qui aimait à propager ses messages à coup de spyware et conforter sa position à grand renforts de menaces d’avocats. L’information aurait, précise notre confrère hispano-britannique, été lâchée par l’ancien patron de Zango, Ken Smith, au fil de son blog. De son côté, ComputerWorld donne une version plus critique de l’information, et dément notamment que cette disparition soit liée à une éventuelle acquisition de l’entreprise par Blinkx, entreprise spécialisée dans la recherche d’informations vidéo en ligne. Le rachat ne concernerait en fait qu’une partie des actifs, et en aucun cas la totalité des activités de l’ancien publicitaire véreux, précisent nos confrères américains. Un Blinkx qui n’est pourtant pas d’une blancheur absolue, puisque certaines de ses campagnes ont également reposé sur la diffusion de « virus marketing » détectés comme malwares par les principaux antivirus de la création. Autant d’informations confirmées par un court billet publié sur le blog Hosts News, spécialisé dans la chasse aux diffuseurs de spywares commerciaux.
Rappelons que Blinkx collaborait étroitement avec Zango depuis plusieurs années, sans que cela semble poser le moindre état d’âme aux patrons du moteur de recherche. L’on peut également lire avec intérêt ce que Thierry Zoller avait écrit à propos de la sécurité très relative des outils « loudcash » -alias ZangoCash- tant vantés dans les colonnes du blog de Ken Smith. La disparition définitive de cet acteur sans scrupule du monde Web ne fera pleurer personne… si cette information s’avère définitivement exacte.

San Francisco, RSA Conference : Cela faisait quelques mois qu’il était attendu. Il, c’est VMSafe, un jeu d’API destiné aux éditeurs de produits de sécurité afin d’intégrer leurs programmes au sein même d’une machine virtuelle VMware. D’ores et déjà, la liste des partenaires VMSafe est longue, comptant notamment les principaux éditeurs d’antivirus, mais également des spécialistes de la sécurité réseau, du firewall, du contrôle d’accès, de l’inventaire de failles… Shavlik, F5, Fortinet, RSA, Stonesoft, Checkpoint, Tripwire pour ne citer que les plus connus. Jusqu’à présent, ces outils ne pouvaient guère protéger les VM qu’en assurant la protection du système « hôte », et ne pouvaient pas intervenir en cas de menace au sein du système virtualisé. VMSafe est intégré dans vSphere4, anciennement VMware Infrastructure, solution « datacenter » destinée aux infrastructures de grande envergure.

San Francisco, RSA Conference : Exaprotect, l’un des rares spécialistes français de l’analyse de logs, vient d’être repris par son concurrent Américain LogLogic. L’annonce a tout d’abord fait l’objet d’une déclaration sur le blog du patron de LogLogic, Pat Sueltz, déclaration accompagnée d’une déclaration de principe de Jean-Francois Dechant.

San Francisco, RSA Conference : Symantec annonce avoir acheté Mi5 Network, dans une transaction au montant non publié (Mi5 Network étant une entreprise “non publique”). Mi5 Network était spécialisé dans les passerelles d’analyse de flux entrants et sortants, dans le filtrage d’URL reposant sur un mécanisme de « liste noire », dans la détection et l’interception de malwares circulant sur le réseau et dans le blocage des protocoles jugés indésirables par l’administrateur (messageries instantanées, applications P2P, VoIP…).

San Francisco, RSA Conference : Pour la deuxième année consécutive, Scott Charney, Corporate Vice President, Trustworthy Computing, revient sur le « end to end trust », la sécurité –les réseaux de confiance- de bout en bout. Si, lors de la précédente RSA Conference, tout cela était encore très théorique en avril 2008, les choses, depuis, ont pris du corps. Tout d’abord avec une réelle prise de conscience de la part des communautés de développement de l’importance du SDL, du « Security Development Lifecycle ». Une prise en compte de la sécurité des applications de leur conception jusqu’à leur exploitation au jour le jour. Il faut dire que Microsoft, tout au long de l’année écoulée, n’a pas été le seul à militer en faveur d’une meilleure conscience dans l’écriture des programmes, dans l’entretien de ceux-ci … L’Owasp, pour ne citer qu’un autre de ces militants, a largement contribué à cette prise de conscience. Ajoutons également –le récent rapport de Microsoft sur « les données de sécurité » le confirme- que les efforts de stabilisation des programmes et noyaux portent ses fruits. De patch en patch, de service pack en restriction d’exécution (UAC de Vista), la protection des logiciels MS est, sinon absolue, du moins relativement efficace. Une stratégie de protection du poste de travail qui continuera avec Windows 7, notamment, cite Scott Charney, avec « Bit Locker to go » (sécurisation des données « hors TPM » pour les périphériques de stockage mobiles) ou bien App Locker (signature des applications dépendant d’une politique de groupe définie par l’administrateur), ou encore Direct Access, un tunnel IPSec sur IPv6, qui permet de connecter dynamiquement un poste distant à un serveur en particulier, en fonction du la nature de la tâche à effectuer. Les anciens utilisateurs du RAS apprécieront.

End to end trust,continue George Stathakopoulos, (General Manager Security Engineering and Communication) c’est aussi –et surtout pour les architectes systèmes- la gamme d’outils de protection actuelle et à venir destinée aux serveurs. Forefront tout d’abord, et sa prochaine version Stirling, dont une nouvelle préversion est téléchargeable à des fins d’évaluation. Il faut ajouter à cette évolution naturelle de la technique et des programmes, une évolution dans le comportement de Microsoft. Avec notamment l’ouverture de Stirling à d’autres programmes, d’autres solutions de sécurité proposés par de tiers acteurs : Brocade, Guardium, Imperva, Juniper Networks, Kaspersky, Q1 Labs, StillSecure, Sourcefire Inc., Tipping Point. Le dernier en date, en provenance de RSA, porte sur les technologies de prévention de fuite d’informations. Viendront ensuite de nouvelles techniques, de nouveaux serveurs, tel que Geneva, outil de gestion des identités qui étendra au monde extérieur et à la notion d’identité « revendiquée » (ou réclamée) les déjà trop vieux « Active Directories » qui étaient restreints au périmètre des utilisateurs et des machines d’un domaine. Jusqu’où cela s’arrêtera-t-il ? End to end trust n’a pas de limite. Tel que défini par Charney il y a un an, cette chaine de confiance couvre tout, de la microélectronique à la macrogestion et comprend :
– Les composants et processeurs spécialisés, tels que les TPM
– Le système d’exploitation et ses composants « signés », accompagnés d’outils de vérification capables d’assurer un suivi des journalisations des mises à jour (afin que l’installation d’une ancienne DLL vulnérable et exploitable ne puisse demeurer inaperçue, par exemple)
– Les applications, elles-mêmes approuvées par une politique de signatures assurée par l’administrateur, par l’éditeur via le noyau, ou même par l’usager. Sur ce point de nombreux progrès sont encore à faire, si l’on en juge par l’efficacité des « scarewares », dont l’installation « volontairement acceptée » par l’usager, ne doit son « authentification » qu’à une attaque en ingénierie sociale bien conduite
– Les personnes. Or, s’assurer de l’identité d’une personne sur Internet est la chose la plus difficile et la plus risquée qui soit. Même les meilleures contremesures techniques sont susceptibles de tomber sous les coups de boutoir des spécialistes du vol d’identité.
– Les données… combien de fois les alertes des différents éditeurs s’achèvent par un trop traditionnel « n’ouvrez pas de document provenant de sources inconnues ». Face à ce risque, les solutions sont encore rares : signature authentifiant la provenance et l’intégrité du fichier, ouverture des données dans une « sandbox », gestion des identités et contrôle d’accès des usagers réclamant une information.
– Les audits, qui vérifient régulièrement la cohérence des 5 points précédemment décrits.