mai, 2009

Exceptionnellement, Nessus fait beaucoup parler de lui cette semaine. Avec notamment la sortie très attendue de Nessus 4.0.1. Il tourne désormais sur Windows 7, Mac OS X 10.4 (les précédentes éditions pouvaient parfois crasher) et Linux 64 bits (quelques messages d’erreur avec les précédentes éditions). Cette sortie provoque donc la mise à jour de la version portable « USB » de Backtrack 4, avec Persistent Change et NessusClient. Autant d’informations à récupérer sur Infosec Rambling, la bible de l’actualité sécurité « en brèves façon M6 ». Enfin, à lire absolument si l’on est développeur d’applications Web, cette série de conseils –une présentation PowerPoint et 4 articles de référence- intitulée « Utiliser Nessus dans le cadre des inventaires de failles dans les applications Web ». Une causerie initialement rédigée à l’occasion d’une réunion de l’Owasp.

En matière de gestion des mots de passe, les bonnes pratiques stériles et les «conseils avisés » stupides sont légion. Et le plus dangereux d’entre eux consiste à interdire aux utilisateurs d’écrire leurs mots de passe sur un morceau de papier. Cet interdit entraîne deux conséquences. Dans un cas, les administrés respectent cette consigne et utilisent systématiquement le même sésame pour toutes les applications ou demandes d’accès, professionnelles comme privées. Il suffit qu’un seul de ces secrets soit percé pour que l’intégralité des droits de l’usager soient compromis, et avec lui, le contenu des ressources sur lesquelles l’intéressé avait un droit de regard. Dans l’autre cas, l’utilisateur écrit quand même son mot de passe sur un morceau de papier, en intégralité, et le conserve le plus souvent dans un endroit facile d’accès : sur le bord d’un écran, l’intérieur d’un tiroir, sous ou sur le clavier, noyé parmi les milles et une notes d’un sous-main en papier, sur un tapis de souris… chaque Ciso ou RSSI peut, à ce sujet, raconter des heures durant les histoires fabuleuses du mot de passe baladeur.

F-Secure, cette semaine, offre aux lecteurs de son blog un conseil judicieux. Conseil qui n’est jamais que l’adaptation d’une pratique déjà prônée par Bruce Schneier depuis plus de 10 ans (dans un numéro de Crypto-gram datant d’avant la création de Counterpane… c’est dire !). La méthode est simple, puisqu’elle consiste à attribuer un préfixe différent au mot de passe à chaque type d’accès et caractéristique de l’accès en question : AMA pour Amazon, ORA pour Oracle, MSN pour Messenger, TEC pour Technet et ainsi de suite, l’usager pouvant bien entendu combiner lettres majuscules et minuscules à sa convenance.

A la suite de ce préfixe, il suffit d’ajouter un numéro unique. Un chiffre au hasard ou une suite connue mais variée. Même les plus amnésiques n’auront cure de le retenir, puisque le but est de voir ce mot de passe écrit sur un papier collé en évidence près de l’ordinateur de travail ou conservé dans un fichier. Et là s’arrête la fabrication de la « partie publique » du mot de passe. Car la véritable clef devra être complétée par un « code PIN » secret, toujours identique, jamais écrit et connu du seul utilisateur. N3rD+ ! par exemple. Ou g33k**… bref, quelque chose de mnémotechnique, d’absent de tout bon dictionnaire d’attaque en brute force et de légèrement « complexe ». Ajouté en fin ou au milieu du mot de passe, cette sorte de « clef privée » achèvera la fabrication du mot de passe final.

Schneier, pour sa part, et dans des cas précis, ouvre une boîte de messagerie spécifique à chaque nouvelle création de crédence publique, dont l’adresse respecte plus ou moins la même logique. Ama.cnis-mag@gmail. Com pour un compte Amazon, par exemple. Cette précaution supplémentaire permet de détecter immédiatement, en cas de spam massif, l’origine de la fuite d’identité.

Cette méthode est très loin d’être parfaite. Le « cassage » du code PIN –surtout si la « partie publique » du mot de passe est affichée de manière évidente- est d’autant plus rapide que ledit PIN est court. Ce risque s’affaiblit considérablement si les mots de passe partiels sont stockés sur une clef USB attachée à un trousseau de clefs ou inscrits sur une feuille contenue dans un porte-carte. Instinctivement, l’on préserve en permanence des biens matériels tels que les clefs d’une automobile ou une série de carte de crédit.

Même si cette technique est loin d’arriver à la cheville des générateurs de mots de passe aléatoires « certifiés DoD », elle s’avère considérablement plus robuste que l’éternel nom d’un membre de la famille, d’un club de football ou de l’éternel « aaa », « AZERTYUIOP » ou « 123456 ». Rappelons également que Bruce Schneier –encore lui- est l’auteur de Password Safe (http://passwordsafe.sourceforge.net/)n, un utilitaire Open Source et gratuit, inviolable dans l’état actuel des connaissances en cryptologie et dont le rôle est précisément de stocker les mots de passe classés par application. Une dernière solution consiste à « faire confiance » à ces coffres forts de crédence que sont les composants TPM, à condition de savoir très exactement comment sauvegarder les éléments nécessaires à la récupération des secrets en cas de panne matérielle.

Le prétexte sécuritaire et la protection de l’enfance, les deux mamelles de l’autocratie, sont parfois invoqués là où on les attend le moins. Apple, relate Boing Boing, vient de rejeter une appliquette iPhone baptisée Eucalyptus, sous prétexte que « it contains inappropriate sexual content ». Eucalyptus serait donc une couverture masquant une collection d’ouvrages pédopornographiques ? Cacherait-il une incitation manifeste à la zoophilie ?

Non. Le crime est bien plus grave encore. Eucalyptus est un « eBook reader », une interface de visualisation de livres électroniques. Mais pas n’importe laquelle : il est spécifiquement conçu pour afficher les œuvres tombées dans le domaine public et patiemment collectées par le « projet Gutemberg ». Plus de 28000 œuvres classiques gratuites donc, qui vont de la Bible au Kamasoutra, de la Cousine Bette de Balzac à la Religieuse de Diderot. Autant d’ouvrages où se succèdent de manière insoutenable des séances de coucherie révoltantes que seule la sagesse de la société de Cupertino a su censurer sans ciller, ça c’est sûr. Un public –surtout jeune- qui commencerait à lire le patrimoine littéraire de l’humanité via des téléchargements gratuits serait, par voie de conséquence, profondément perverti, hors la loi et peut-être moins consommateur de ces fondamentaux que sont la musique de variétés et les jeux vidéo commercialisés par les magasins en ligne Apple Store.

Les âmes dévoyées et itinérantes qui persisteraient dans la voie du péché de connaissance peuvent toujours télécharger le lecteur mobipocket compatible avec les terminaux BlackBerry, PalmOS, Symbian, Windows et Windows Mobile. Rappelons à nos lecteurs qu’il est grande forfaiture de « jailbreaker » un iPhone. Signalons également l’existence du lecteur Plucker qui, comble de l’infamie, ne se contente pas de « lire » les formats ebook, mais semble également capable de les générer.

Après une longue phase de pré-version, le Service Pack 2 du noyau Vista/Windows Server 2008 est disponible en téléchargement, en version 32 et 64 bits. Comme à l’accoutumé, la prudence impose de ne valider son déploiement qu’après une période de tests de régression. Fort heureusement, une partie de ces tests peuvent être effectués dans le cadre sécurisé d’une VM… problèmes d’incompatibilité avec les « couches basses » et drivers non compris.

Quelques jours après la clôture des Sstic de Rennes (qui se dérouleront du 3 au 5 juin ), quatre mois avant le FrHack de Besançon, Le HackFest se déroulera du26 au 30 Juin 2009 au /tmp/lab (centre d’art du 6Bis à Vitry sur Seine). Dans à peine un mois donc, et avec un calendrier particulièrement chargé et riche. Cette profusion de conférences techniques semble être une preuve de bonne santé du secteur de la recherche en sécurité en France.

Le HackFest de Vitry est moins « institutionnel » que ne le sont les Sstic, peut-être plus « débridé » que les prochaines rencontres de Besançon… en d’autres termes, on y retrouve l’éclectisme d’un CCC, « l’esprit Phrack » d’autrefois, la solidité technique d’une B.H.. Orateurs très spécialisés, passionnés d’électronique, amateurs éclairés des biocarburants ou du hacking de la choucroute, une chose est certaine : les sujets abordés seront tous d’un haut niveau sans que les intervenants ou que les participants se sentent obligés de se prendre au sérieux. Notons au passage que, si le programme est bouclé depuis un certain temps déjà, il sera toujours possible à ceux qui en expriment le désir de participer aux « rump session » en fin de manifestation.

Tirés au hasard du calendrier, quelques unes des conférences prévues :

Sauerkraut hacking (Dr Ferrand & Mister Rébus)
Fabrication de Biodiesel (Gaëtan & Sébastien Bourdeauducq)
HostileWRT (Itzhack & Mr. Parkinson)
Subverting Windows Embedded CE 6 Kernel (Petr Matousek)
Pushing the Limits in Open Source Licensing, and beyond (Philippe Langlois & Thiago Alves Maximo)
Vacuum tubes, your grandpa’s electronics (Sébastien Bourdeauducq)
Metasploit workshop (Jérôme Athias)
La richesse et la diversité du programme laissent présager une semaine d’une rare intensité. On est accessoirement prié d’apporter son fer à souder pour participer à l’atelier consacré aux microcontrôleurs… car, c’est là une tendance de plus en plus marquée, la science du hacking n’évolue plus sans tenir compte des bases matérielles. L’on attend donc beaucoup de conférences telles que celles consacrées au WRT, au GSM ou… aux lampes électroniques, encore très utilisées dans tout ce qui travaille au dessus de la dizaine de GHz.

Qui sera le Tzar de la Sécurité du gouvernement Obama ? La presse anglo-saxonne s’interroge et spécule sur l’étendue des pouvoirs de ce futur grand commis « technique » de l’Etat Fédéral. Le Reg pense qu’il viendra du sérail du National Security Council. Les frères ennemis que sont la NSA et le DHS et leurs multiples avatars, tentent d’imposer leurs hommes depuis l’investiture et l’annonce d’intention de voire nommé une sortie de « Ministre de la sécurité des S.I ». Une guerre d’influence qui était d’autant plus stratégique qu’initialement ce cyberTzar aurait pu directement en référer au Président. Depuis, précise Dan Goodin du Register, cette option a été supprimée. Le Ciso de la Maison Blanche devra rapporter ses avis à deux supérieurs hiérarchiques qui modèreront ses propositions en fonction de leurs impacts sur le tissu économique national. Ces « superTzars » sont respectivement le National Security Adviser et le White House Economic Adviser, conseillers du Président pour les affaires de sécurité intérieure et pour les affaires économiques.

Cette forme de compromission diplomatique, qui inféode la notion de gestion des risques à celle des impératifs financiers et militaro-policiers, risque fort de transformer ce poste clef en une fonction purement honorifique. Il n’est pas non plus certain que le jugement ou les décisions de ce « chef d’orchestre de la sécurité binaire »puissent être parfaitement appropriés en toutes circonstances. L’universalité de la charge, la diversité des tâches, la nature changeante des risques en fonction des secteurs considérés (scada, armée, gouvernement, industrie, administration, vie publique etc..) semble une tâche insurmontable pour un seul homme. Voir ou revoir à ce sujet les opinions divergentes de Schneier et Ranum sur la nécessité d’un « cerveau unique » à la tête de la cybersécurité des Etats-Unis (in CNIS du 26 mai ).

Rappelons que les précédents « Tzar », chargés notamment de la coordination des actions du DHS, ont tous, tôt ou tard, démissionné de leur poste. Les promesses des politiques non accompagnées des budgets adéquats d’un côté, l’apparente autonomie –voir totale et incontrôlable indépendance- de certaines administrations fédérales font que ce genre de poste devient très rapidement intenable. Le dernier en date à avoir tenu ce poste au DHS est parti début mars. Amid Yoran, celui d’entre ceux qui firent le plus parler d’eux, n’a pas tenu une année entière.

La conférence FrHack (du 7 au 11 Septembre, au Grand Kursaal de Besançon), commence à étoffer son programme avec un étalage de célébrités digne d’un colloque Américain ou Allemand. Seront à priori présents Brett Moore, Cesar Cerrudo, David Hulton, Joanna Rutkowska, Richard Stallman, Rodrigo Rubira Branco (BSDaemon) et Sebastian Muñiz. Déjà, une grande partie des festivités est arrêtée. La liste des interventions, outre celle des « têtes d’affiche » déjà mentionnées, devrait s’enrichir des causeries suivantes :

All browsers MITM keylogging on remote, par p3lo
GSM/GPRS/UMTS security, Forensic on GSM mobiles phone, par PaTa
Un petit cours de crochetage de serrures par Alexandre Triffault
Wireless Sensor Networking as an Asset and a Liability avec Travis Goodspeed
Un cycle de formations techniques par atelier, sur inscription, permettra aux spécialistes confirmés de se pencher sur un certain nombre de points tels que la sécurisation des applications Web, le pentesting, les audits sans-fil, l’univers Oracle, l’analyse de malwares…

Dangereuse ou négligeable ?la faille WebDav fait couler de l’octet sur les blogs sécurité. « Pratiquement inoffensive » estime l’équipe de Netcraft, qui ne considère le problème que sous un angle de pures statistiques. Il est vrai qu’il n’est pas très élevé, le nombre de serveurs IIS 6.0/5.0/5.1 encore en fonctionnement, accessibles depuis Internet et intégrant WebDav (qui n’est pas activé par défaut). Il n’en demeure pas moins que, dans le cadre d’une attaque ciblée, cette vulnérabilité est exploitable, donc potentiellement dangereuse. Et ceci « presque simplement », nous apprend Thierry Zoller. Lequel vient, une fois de plus, d’apporter quelques renseignements techniques complémentaires. Et ce, notamment avec une courte séquence vidéo qui passe en revue les différents « pré-requis » nécessaires à l’exploitation du défaut. En cas de doute, les administrateurs de sites et de réseaux peuvent utiliser l’un des scanners disponibles : un script Metasploit ou Nmap, ou un simple outil de recherche Webdav (fort utile également pour passer en revue les différents navigateurs situés sur le réseau).

Si, en France, on adore gloser sur les grandes idées, les américains préfèrent les aspects pratiques ou pragmatiques. Alors que les experts font étalage de leurs argumentaires et se battent à fleurets mouchetés, les hackers qui s’intéressent aux infrastructures Scada passent aux travaux pratiques.
Commençons ce tour du monde des attaques Scada avec ce « long journey to Africa with Johnny Long », l’homme du « johnny I hack stuff », le père du googlehacking qui raconte comment sa vie de hacker a débuté, une nuit de mars 1999, caché sous le réservoir de pétrole d’une raffinerie, en battle-dress noir. Johnny Long, membre d’un commando chargé d’attaquer une infrastructure pétrolière, c’est à écouter sur Vimeo, du début… à la fin. Long est devenu évangéliste missionnaire en Afrique, un hacker qui, grâce à ses revenus, supporte les ONG dans leur long combat contre la misère. Mais cela justifie-t-il le prosélytisme religieux qui entoure ses actions ? Le véritable altruisme, c’est celui qui ne demande aucune contrepartie, pas même un merci ou une prière.
Moins évangéliste, plus radicale,cette attaque en règle contre US Marshall Américains. Depuis quelques temps, nous révèle une dépêche de l’A.P., les Shérifs sont attaqués par un virus très spécifique. Le FBI est sur les dents, et les représentants de l’Ordre et de la Loi doivent déconnecter leurs ordinateurs du réseau général les reliant au Département de la Justice. Les accès Internet sont, eux aussi, totalement désactivés. Ce scénario, digne des meilleurs épisodes de « Judge Dredd », rappelle également les petits problèmes que Conficker a pu causer à « la Marine Française ».
Mais quoi que puisse dire la Marine Française, celle des Etats-Unis compte bien servir d’appoint tactique aux « kaki hackers » du Pentagone. Aviation Week, tout au long d’un article de trois pages, décrit comment pourraient être coordonnées les troupes sur le terrain et les spécialistes de l’attaque Scada cybernétique. D’un côté le bras armé, de l’autre la logistique et la charge virale. Les uns renseignant sur les ressources techniques locales, détruisant, le cas échéant, celles qui sont découvertes par sondage IP, ou facilitant l’accès à celles-ci en fonction des désidératas du haut commandement et de leurs spécialistes des armes savantes. Le conflit en Ukraine ne faisait que préfigurer avec brio ce que risquent de devenir les conflits armés entre nations modernes. Une guerre en réseau, nous prédit Aviation Week, c’est un soldat équipé d’un terminal relié à son central en temps réel, terminal doté d’une interface assez simple pour qu’un non spécialiste puisse tout de même s’y retrouver et être efficace lorsqu’il pénètre dans le nexus technique d’un pays ennemi. Un terminal qui permet également de remonter des informations afin que l’action et ses conséquences puissent être immédiatement quantifiées en termes d’efficacité et de risque. Un terminal, enfin, utilisé par des centaines d’opérateurs sur le terrain, capable de fournir une vision élargie et précise de ce qui se passe réellement et simultanément en une multitude d’endroits différents. C’est l’antithèse de Fabrice à Waterloo, quelque chose de bien plus puissant et plus organisé que Die hard 4 et de ses conduites de gaz qui passent par des routeurs IP.
Dans les mauvais films de science-fiction des années 70, les méchants extra-terrestres de la planète Zlorg parvenaient régulièrement soit à prévoir les mouvements des héros terriens grâce à des ordinateurs plus puissants, soit à immobiliser leurs vaisseaux en paralysant le cerveau électronique de leurs adversaires –alors que l’idée de virus n’existait pas encore. Invariablement, il se trouvait un héro encore plus héro que les héros et plus intelligent que tous les supérieurs hiérarchiques du monde occidental et civilisé, qui gagnait la guerre à lui seul en « débrayant les automatismes et en passant en manuel. Non, Jim, ne fait pas ça ! Si Scotty, c’est le seul moyen de s’en sortir… même si je n’en reviens pas ! ». Acte de foi en l’éternelle ressource de l’initiative humaine. Mais existe-t-il, aujourd’hui, une seule de ces infrastructures Scada qui puisse encore être « pilotée manuellement » avec des automatismes conventionnels ? Et la complexification de ces mêmes infrastructures peut-elle se permettre, pour des raisons de sécurité évidente, ne reposer éternellement que sur des mécanismes sinon primitifs, du moins simplifiés ? Les sinistres accidents de TMI ou de Tchernobyl ont prouvé que, dans certains cas et dans certains milieux, l’insider se montrait souvent plus dangereux qu’un très hypothétiques attaquant extérieur.

Chi va piano va sano. Jusqu’à présent, Adobe essuyait le feu des critiques en raison d’une politique de correction de faille pour le moins… nonchalante. Une situation qui ne pouvait plus perdurer, compte tenu du nombre croissant de « failles Adobe » et « d’exploits Acrobat » révélés par poignées pratiquement chaque mois. Un phénomène d’autant plus dangereux que ce composant, extérieur à Windows ou à OS/X, n’est pas pris en compte par le processus de correction de noyau des principaux éditeurs, Microsoft et Apple.

L’équipe de sécurité d’Adobe vient donc d’annoncer quasi officiellement que désormais, rendez-vous sera pris tous les trois mois, à l’image du Patch Tuesday Microsoftien. Une réponse faite dans l’unique but de donner un semblant d’organisation et de rigorisme à un processus de traitement des défauts logiciels, et essentiellement destiné à rassurer les départements sécurité des grandes entreprises. L’expérience Microsoft et Oracle, les deux principaux inventeurs du jour des rustines, a eu deux conséquences que l’équipe d’Adobe semble vouloir ignorer. En premier lieu, les « découvreurs »de failles ont un malin plaisir à publier leurs exploits la semaine ou le jour précédant le rendez-vous des bouche-trous. Ce qui ouvre une fenêtre de vulnérabilité de plus d’un mois dans le meilleur des cas. En outre -l’inoubliable expérience Conficker n’a fait que confirmer le phénomène- cette régularité de publication conforte les grandes structures à respecter un calendrier très protocolaire… et qu’importe la dangerosité d’une éventuelle exploitation. Le « patch » sera déployé et appliqué dans le mois suivant son mois de publication (afin de tenir compte des tests de régression officiellement déclarés), mais pas avant. Ce dogmatisme de la publication programmée, cette attitude régulière qui tente, en vain, de s’opposer aux pratiques précisément stochastiques des auteurs de malwares, est à l’image d’une armée régulière tentant de contrer, avec les moyens et les méthodes d’une armée régulière, les actions d’une guerre de guérilla. Adobe, en promettant une politique plus rigoureuse, a décidé d’aller dans la bonne direction… mais pas nécessairement avec les meilleurs moyens.