avril, 2009

Il ne se passe désormais plus la moindre Black Hat, Defcon ou CCC sans que l’on y puisse entendre les exploits d’un nouveau hack radio. Hack généralement perpétré à l’aide de la seule base sérieuse qui soit en matière d’écoute et d’injection dans le domaine HF : une « Software Defined Radio », constituée d’une interface électronique minimaliste, elle-même accompagnée de sa suite de développement python GNUradio. Ont ainsi piraté les émissions Bluetooth (Shmoo.com), les transmissions GSM (The Hacker’s Choic), les conversations Dect (Dedected.org) etc etc. Rappelons qu’une SDR est une sorte de « nessus des ondes », une interface capable de capter et surtout de démoduler n’importe quel signal radio, de quelques kiloHertz à 5 ou 6 GHz. Les logiciels associés à cette électronique de pure réception se charge de l’interprétation (démodulation ou modulation) du signal, qu’il s’agisse d’une émission en modulation d’amplitude, d’une information en modulation de fréquence, d’un flux de télévision haute-définition, d’une série de trames WiFi et ainsi de suite, au gré de la qualité du développement.

Trend Micro UK vient de publier une étude tapageuse qui a eu le bonheur de passer dans la presse du Royaume-Uni sans beaucoup de recul ni d’analyse : sur 500 « jeunes » Britanniques de 12 à 18 ans, 10 % d’entre eux estiment que c’est « cool et amusant » d’usurper l’identité d’une personne en ligne. Un tiers des sondés aurait été tenté de hacker un compte ou un système pour de l’argent, et 40% avouent avoir « emprunté » le profil d’une personne pour en lire les emails, les détails d’un relevé bancaire ou les informations fournies dans un compte de réseau social. De ces indélicatesses, la presse grand public en tire des titres plutôt tapageurs : « 40% des ados ont déjà piraté » titre Métro. Security Portal ne fait guère mieux, tandis que Dark Reading s’intéresse plus à la tentation d’espionnage et IT Director sur l’appât du gain. Un alarmisme tel qu’il ferait changer de trottoir à tout adulte croisant un groupe d’élèves en maraude, avec ou sans uniforme. Et n’allons pas croire à l’innocence des jeunes filles ignorant tout du mal et des perversions de cet univers machiste et boutonneux qu’est l’informatique. Car si l’on compte deux fois plus de garçons que de filles capables de voler l’identité d’un petit camarade pour pénétrer les secrets de son réseau social, les demoiselles sont trois fois plus nombreuses que les boys lorsqu’il s’agit d’utiliser frauduleusement les crédences d’une personne afin d’accéder à un site de vente ou à une banque en ligne. On frémit à l’idée de voir près de la moitié des Lolita d’Angleterre jouer du keylogger et du spear phishing pour dévaliser Harrod’s Online en fredonnant « Living in a material world/ And I am a material girl ». Les médias les plus objectifs achèvent leur « couper-coller » d’article par la phrase « Buy Trend Micro internet security 2009. The latest software has enhanced parental controls. »

Dans une Grande-Bretagne bouleversée par une vague de fond sécuritaire à la limite de la paranoïa, face à une technologie de moins en moins comprise tant par les parents que par les politiques, cette forme de sensationnalisme et d’amalgames inconsidérés parvient à faire passer nos chères têtes blondes pour des émules hybrides de Bruce Reynolds) et des < i> Coucous de Midwich ). Les bêtises de potaches et facéties de collégiens commises à coup de pages Facebook prennent l’apparence d’un nouveau casse du siècle. Ce n’est pourtant pas par la stigmatisation et la suspicion que l’on parvient à établir des relations de confiance entre parents et enfants. Mais tout çà aide peut-être à redorer le blason des éditeurs d’antivirus.

« Méfiez vous des fichiers PowerPoint forgés » prévient le Response Team de Microsoft. Et il y a de quoi s’inquiéter un peu, puisque la faille –un « Zero Day »- est actuellement « exploitée dans la vrai vie ». De son petit nom Exploit:Win32/Apptom.gen, de la famille des « Trojan Dropper », ce vecteur d’attaque a immédiatement provoqué une frénésie d’écriture du côté de Redmond : une alerte sur le blog du MSRT, un article un peu plus technique sur le Technet, une description rapide et simplifiée du mode opératoire du malware une analyse encore plus fouillée du code accompagnée de quelques conseils abstrus dans les colonnes du blog « Security Research and Defense »… La lecture ne manque pas. Pour l’heure, outre les mesures de prudence habituelles concernant l’ouverture de fichiers de provenance inconnue, Microsoft conseille vivement d’éviter d’utiliser l’ancien format de fichier binaire au profit des nouveaux document XML (la note du Technet fournit à ce propos la modification de BDR nécessaire au blocage des binaires), et, dans le cas où les nécessités de compatibilité avec les vieux PPT seraient absolument à respecter, d’ouvrir lesdits fichiers dans le « Microsoft Office Isolated Conversion Environment » (Moice).

En ces périodes où l’antivirus prétend être le seul rempart qui protège la civilisation occidentale des ravages de Conficker, il est parfois utile de se rappeler que précisément, un antivirus –ou une appliance de protection périmétrique- n’est pas toujours d’une infaillibilité absolue. Thierry Zoller publie, tant sur son propre site que sur la ML du Full Disclosure, trois alertes concernant des produits de sécurité. Dans les trois cas, les failles sont liées à la gestion de format d’archives (ARC, Zip…), dans les trois cas, les éditeurs auraient immédiatement réagi en décidant de ne pas réagir. La palme de l’immobilisme revenant à Frisk –éditeur de Clamav- qui, bien que prévenu du problème, en a retardé la correction depuis plus de quatre ans. Zoller, comme à son habitude, ne publie aucun détail technique pouvant être exploité.

Ce n’est pas la première fois que le chercheur Luxembourgeois dénonce ce genre de défaut, qui frappe ou a frappé, à des degrés divers, la quasi-totalité des éditeurs d’A.V.

Grâce à McAfee, ce 3 avril ne sera pas un jour sans Conficker. Malgré la saturation médiatique qu’a provoqué cette infection, malgré l’apparent désintérêt que semble témoigner la presse après un long mois de surenchères alarmistes, l’éditeur d’antivirus sort (enfin ?) un petit utilitaire gratuit et simple de détection réseau. C’est propre, très « léché » côté interface, et capable de balayer plusieurs classes IP d’un coup pour en dénombrer les machines infectées. L’outil peut en outre brodcaster par « net send » un message prévenant l’usager de la machine malade. Ca s’appelle « Conficker Detection Tool » et c’est disponible sur le site de l’éditeur. Nous attirons l’attention de nos lecteurs sur le fait qu’il ne s’agit là que d’une opération de détection, et que l’éradication de Downadup est une tâche un peu moins triviale.

Soupir de soulagement, pour Christine Albanel, qui voit son projet Hadopi passer in-extremis devant l’Assemblée. Pourtant, les amendements étaient nombreux, qui auraient pu vider le texte de sa substance. A commencer par la proposition d’intégrer à la commission un membre de la Cnil, dont le rôle aurait été de contrôler le fichage des Internautes présumés coupables de piratage. D’autres idées totalement fantaisistes allaient même jusqu’à imaginer que ne soient pas sanctionnées les personnes coupables d’échanger des œuvres impossibles à acquérir en téléchargement sur le Net. Ou pis encore –une idée de l’UMP Lionel Tardy- que les sanctions contre les internautes soient du ressort de la Justice… On frémit.

Pour Jean Michel Planche, interviewé par Jean Michel Billaud, Hadopi n’est que le premier coin enfoncé dans la structure juridique d’Internet. Une loi qui, progressivement, fait le lit de la future Lopsi (Loi pour la sécurité intérieure, dite Loi Sarkozy II), et qui légalisera un filtrage s’appliquant à l’ensemble des contenus IP. En « écoutant entre les lignes », il semblerait que l’efficacité d’Hadopi soit un aspect tout à fait secondaire. Ce qui importe, c’est que ce projet de loi soit parvenu à imposer à la France entière une vision bipolaire de la question, un manichéisme simpliste du problème, qui permettrait à son tour de justifier des mesures plus musclées. Une bipolarisation qui, pour reprendre le mot de la Ministre, permet d’accuser tout opposant à Hadopi de « se placer constamment du côté des cyberdélinquants». « Je suis contre Hadopi, contre le piratage et contre la licence globale » martèle J.M. Planche. Et de déconstruire, pierre après pierre, la logique de la loi Albanel-Lefebvre.

De façon un peu plus concrète, les détails d’Hadopi et les diables qui s’y cachent pourraient bien réserver à l’industrie des réveils difficiles et des nervous brèkdone. Car la première conséquence de cette loi sera de provoquer un sentiment de crainte de la part des « téléchargeurs compulsifs ». Sentiment qui trouvera très rapidement un remède technique dont les conséquences pourraient être lourdes pour les usagers « légitimes » du Net.

Contre le flicage du contenu transféré, il ne faut pas être un grand expert en informatique pour prévoir que, très rapidement, les mécanismes d’échange vont s’enrichir de fonctions de chiffrement. Et très probablement pas avec du hachage genre MD5. Sera-ce à dire que pour contrer cette pratique, l’on pousse la DCSSI à renouer avec ses vieilles chimères, en imposant des algorithmes de chiffrement limités ? L’impact sur le développement du e-commerce, sur l’externalisation, sur la dématérialisation du poste de travail serait lourd.

Sur l’influence d’Hadopi dans les futures évolutions de la Lopsi, l’on peut également se demander si, au titre des contre-contre-mesures antipirates, le gouvernement n’en arriverait pas à imposer aux opérateurs d’effectuer des filtrages de protocoles. En interdisant par exemple tel ou tel type de mécanisme P2P, voir en supprimant tout ce qui peut s’apparenter à un VPN ou à tout autre type de liaison « encapsulée » propriétaire (ICA de Citrix, RDP etc). Science-fiction que tout çà ? Coût exorbitant invoqué par les FAI qui ne peuvent en supporter la charge ? Allons donc… depuis fort longtemps, certains opérateurs –Free par exemple- pratiquent la religion du packet shaping, et suppriment pratiquement toute la bande passante de leurs usagers non-dégroupés dès lors que ceux-ci font mine d’utiliser un Azureus ou autre logiciel de cette même famille. Qu’importe le contenu –ISO de noyaux open source ou œuvres piratées-, tout le monde est placé sur un même pied d’égalité. On voit donc mal ce qui « coûterait plus cher » à un FAI d’étendre ces mêmes politiques de filtrage à l’ensemble de son réseau ou d’ajouter tel ou tel protocole à ses règles… dans le pire des cas, il y gagnerait en bande passante, donc en frais d’infrastructure. Notons à ce sujet que cette « réduction de débit » brandie comme une possible sanction (voir le début de l’article « A l’Assemblée, le baroud d’honneur des anti-Hadopi » in Rue 89 ) aurait été perçue comme un coup de Jarnac contre ces FAI qui pratiquent déjà ladite réduction de bande passante. En qualifiant cette mesure au chapitre des sanctions, le gouvernement donnait une arme légale à tous les provinciaux non dégroupés qui, eux, ne « peuvent pas devenir des pirates » et qui auraient pu légitimement invoquer un état de fait discriminatoire et poursuivre ainsi leurs fournisseurs d’accès. A l’heure où il est sage de s’attirer les bonnes grâces des marchands de kilobit/seconde, le moindre impair peut vite coûter un maroquin.

Ajoutons également que les quelques idéalistes qui planifieraient une externalisation –cloudification- de leurs applications en seraient pour leur frais, car très rapidement, les protocoles sécurisés utilisés se confondraient avec ceux employés par les pirates et pourraient alors se voir « punis pour utilisation abusive de protocoles favorisant le piratage ». A moins qu’ils –les acheteurs de services externalisés- acceptent, par civisme et respect de la loi, de travailler en transmettant leurs données « en clair » sur le réseau public. Après tout, ceux qui n’ont rien à se reprocher n’ont rien à cacher… pas même leurs plans stratégiques, comptables, ou leurs secrets de fabrication.

Et quand bien même cette question du protocole chiffré serait un faux argument que la sanction prévue par la loi pourrait elle-même provoquer certains effets de bord inattendus. En schématisant à l’extrême, Hadopi se propose de suspendre l’accès à Internet à toute personne soupçonnée de piratage. Las, d’un point de vue technique, il existe une certaine différence entre une adresse IP et une personne physique. Qui télécharge ? Un Wardriver ou le propriétaire légitime de l’équipement désigné ? Et de quel équipement s’agit-il ? D’une console de jeu ? D’une imprimante réseau ? D’un Smartphone Wifisé ? D’un wormhole/troyen/backdoor pratiqué dans un réseau privé ? En d’autres termes, la moindre vulnérabilité, le moindre accès frauduleux non détecté peut avoir pour conséquence de couper du monde de l’entreprise tout télétravailleur qui ne possède pas au minimum une certification CISSP et un LAN dont la moindre prise serait passée au crible des Common Criteria. Or, le télétravail, le « remote desktop », l’outsourcing sont les mamelles de la relance espérée que chantent aujourd’hui les professionnels des services informatiques.

Ce à quoi les défenseurs d’Hadopi rétorquent qu’un logiciel « béni » par le Gouvernement sera proposé à toute personne se sentant incapable d’assurer elle-même la sécurité de son installation. Sur ce point, les différentes associations de défense du logiciel Libre ont déjà fait remarquer qu’un tel programme de « contrôle parental pour adulte » aurait peu de chance de tourner sur un Linux de tel ou tel parfum, et que cette obligation discriminatoire aurait pour première conséquence le sabordage de l’industrie Française du développement Open Source. On entend nettement moins, en revanche, la voix des Apple, Nokia, Microsoft, RIM, de tous les constructeurs de smartphones, de consoles de jeux, d’équipements audio-vidéo « branchés » pour qui nul logiciel Hadopi n’est prévu et qui sont autant de points de vulnérabilité qui font régulièrement les grands titres des Defcon et des CCC. L’on se demande également par quel extraordinaire prodige de la science un tel logiciel Hadopi ne serait pas, à son tour, victime de vulnérabilités ou de failles de conception. Par quel coup de baguette magique un appel d’offre lancé par la Place Beauvau réussirait là où même les Symantec, les Kaspersky, les McAfee, les Sophos, les AVG, les Cisco ont échoué et se sont fait épinglé qui dans le traitement des bases de signatures, qui dans la gestion des fichiers compressés, qui dans la solidité approximative d’une interface d’administration Web ou d’un Telnet furtif.

Ce ne sont pas là les seuls points techniques qui rendront la loi Hadopi soit inapplicable, soit inefficace. Si l’on se réfère à l’avis Oh combien expert de Frederic Lefebvre, le phénomène de la diffusion des œuvres audio et vidéo sur Internet s’apparente au trafic de drogue (http://www.20minutes.fr/article/302080/Media-Frederic-Lefebvre-Les-sites-comme-beeMotion-sont-des-dealers.php). Et tout comme pour le trafic de drogue –ou les réseaux de prostitution-, le meilleur moyen d’en arriver à bout, c’est d’en décapiter l’organisation plutôt que de poursuivre et pénaliser le « consommateur ». Des fournisseurs ou organisateurs qui, dans la quasi-totalité des cas, hébergent leurs serveurs en dehors des frontières de notre pays. Or, Hadopi est une loi Franco-Française, combattue ouvertement par la quasi-totalité des pays membres de la Communauté Européenne, et qui n’a pour l’heure que peu de chance de déboucher sur le moindre accord d’expulsion. Elle est donc incapable de juguler la source du problème, à moins d’instituer un filtrage non plus des liaisons du « dernier kilomètre », mais de tout flux qui peut provenir de l’extérieur de nos frontières.

Notons également qu’Hadopi semble séduire fortement d’autres gouvernements hors des frontières de la CEE. Aux Etats-Unis, une proposition de loi vise également à limiter la bande passante, voir à couper totalement l’accès à Internet nous rapporte le Register. Mais une telle proposition semble émouvoir les ligues de défense des libertés individuelles, qui pensent que cela donnerait au Président trop de pouvoir sans le moindre contrôle. Cette loi a donc peu de chance d’être avalisée par le Sénat. Il faut dire que les motifs invoqués Outre-Atlantique paraissent nettement plus fantaisistes que ceux ayant présidé à la création d’Hadopi, puisque ce projet serait applicable en cas de « situation d’urgence pouvant toucher une infrastructure stratégique (scada) » d’Etat ou Fédérale. Mise à jour : Le projet définitif a été adopté dans le courant du 2 avril devant un hémicycle pratiquement désert, prouvant le désintérêt des députés face à des débats trop « techniques ». Les réactions des associations des éditeurs du libre –dont April et de quelques développeurs indépendants ne se sont pas fait attendre. Cette loi, estiment-ils, sanctionne non pas le téléchargement illégal, mais le niveau de protection et la configuration des ordinateurs des internautes. La seule protection contre une sanction qui ne dépendra pas –faut-il le rappeler- d’une décision de justice consistera à équiper chaque machine, au frais de l’usager, d’un « mouchard filtrant » dont l’interopérabilité n’est absolument pas garantie.

L’Owasp vient de publier l’édition 1.1 de son monumental ouvrage Owasp Security Code Review Guide. Un pavé de plus de 200 pages qui traite de l’épineux problème de la relecture d’une application Web dans le but d’en chasser toute vulnérabilité. Ce troisième tome de savoir succède aux Security Developer Guide et Owasp Security Testing Guide, tous pouvant être téléchargés sur le site de l’organisation. Est-ce là la panacée ? Certainement pas. Mais c’est, de l’avis de ses auteurs, la méthode la plus rapide et la plus sûre pour écarter les principaux bugs après la phase de développement. Cette méthode -car il s’agit essentiellement d’une méthode- ne prétend pas remplacer l’intégralité des approche « programming lifecycle » ou les outils statiques ou dynamique de révision de source.

Cette semaine, CNIS-Mag lance la nouvelle formule de sa Newsletter hebdomadaire. Un récapitulatif des informations parues dans le courant de la semaine écoulée, et destiné à tous ceux qui n’ont pas toujours la possibilité de consulter quotidiennement les titres sur notre site. C’est un moyen pratique pour prendre connaissance, à tête reposée et du premier coup d’œil, les titres qui ont « fait l’actu », puis d’en savoir plus en suivant le lien qui accompagne chaque résumé. L’inscription à ce service via email est gratuite après avoir rempli le formulaire d’inscription.

Egalement depuis le tout début de cette semaine, un flux RSS d’information en temps réel offre à nos lecteurs un lien direct et dynamique avec la Rédaction de Cnis-Mag. Soyez prévenu de la publication de chaque papier au moment même ou il « tombe » sur le site.

Tout commentaires et suggestions sont les bienvenus, et peuvent être envoyés directement à la rédaction

PCI DSS est inefficace, et il serait souhaitable que toute l’infrastructure de traitement des payements par carte de crédit soit enfin sécurisée. Ainsi commence l’article de Robert Westervelt de Security News, qui rapporte les conclusions d’une enquête conduite par une branche du DHS ( Departement of Homeland Security). La Présidente du comité d’étude va même jusqu’à dire “ les industriels du payement par carte ainsi que les banques émettrices doivent se décider à investir pour améliorer leur infrastructure, ici, aux USA ». Et dans les décisions salvatrices, deux moyens techniques sont recommandés : le chiffrement des données contenues sur la carte d’une part, et d’autre part l’adoption de la carte à puce, technologie encore inconnue Outre Atlantique.

A ces retards technologiques s’ajoutent certains freins comportementaux. Ainsi, explique l’un des interviewés, si les recommandations incitent les commerçants à ne conserver que le moins longtemps possible les données liées à un achat, les banques émettrices font, de leur côté, pression sur ces mêmes commerçants pour que lesdites données soient conservées pour servir de preuves en cas de litige. « En gros, rétorque le Président de la Fédération des commerçants US, PCI DSS n’est jamais qu’une série de mesures conçue pour et par les banques, afin de les désengager de tout risque en cas de problème.

Sans surprise, les défenseurs du parti des banques invoquent les surcoûts provoqués par une obligation du chiffrement des données, contrainte technique qui frapperait en premier lieu les commerçants les moins riches. La situation semble donc s’orienter vers une voie sans issue, qui risque fort de s’achever par un sabordage pur et simple de la norme PCI-DSS. Soit le Gouvernement Fédéral Américains parvient à imposer, par voie de décret, une série de mesures « a minima », dont le premier effet serait de déposséder la PCI (Payment Card Industry) de toute forme de pouvoir, soit cette même PCI campe sur ses positions, tente de conserver les choses en l’état, et coupe définitivement les ponts avec l’industrie bancaire européenne qui, jusqu’à présent, acceptait PCI-DSS en traînant des pieds.

Héritiers des grands poètes Vogons, les enquêteurs et sondeurs de Kroll Ontrack, spécialistes de la récupération de données, viennent une nouvelle fois de publier un rapport dénonçant les attitudes aussi catastrophiques qu’irresponsables du pire ennemi de la sécurité informatique : nous avons nommé l’utilisateur.

« … 40% des personnes interrogées ont déclaré que leurs entreprises respectives avaient instauré des directives bien définies pour stocker les données dans des espaces clairement définis. Cependant, les résultats de l’étude révèlent également que 61% des sondés effectuent la plupart de leurs enregistrements sur un disque local au détriment du réseau de l’entreprise. Les risques liés à un enregistrement sur un disque local pourraient être minimisés au moyen d’une sauvegarde sur un disque externe ou un logiciel spécifique. Cependant, 44% des sondés avouent que leur système de stockage est dépourvu de sauvegarde efficace. »

Il faut avouer qu’en cas de crash disque, la récupération de données est plus simple si tout a été enregistré sur une seule et même unité et qu’une politique de backup « centralisée » est bien plus facile à conduire qu’une sauvegarde poste à poste, assurée soit par le biais d’une procédure de type « protocole basket », soit par le truchement d’un agent logiciel.

Mais ce que semble surtout nous apprendre cette constatation tirée par les spécialistes de Kroll, c’est que les administrateurs, plus que les usagers, sont responsables de cet état de fait. Responsables mais pas nécessairement coupables. En général, une sauvegarde de document locale est motivée par deux raisons. Soit parce que, par le passé, le « service informatique » a, par inadvertance, détruit de façon répétitive le travail d’un administré… L’aventure est fréquente, généralement couverte par une réaction de défense du genre « Mais on avait envoyé un mail d’avertissement, on avait des opérations de maintenance à faire… ». Soit –et c’est généralement le cas le plus fréquent- parce que les automatismes de déploiement d’applications ne forcent pas le chemin par défaut des répertoires d’enregistrement. L’intégration d’une UNC dans un fichier INI ou un script MSI n’est pourtant pas quelque chose de compliqué. Cela n’a généralement rien à voir avec les nécessités d’une « communication » ou d’une « sensibilisation »particulière.