mai, 2009

Tout comme les hordes de pirates qui menacent l’avenir de la culture et l’Art, le prétexte de la menace Scada est trop séduisant, l’efficacité de la rumeur trop importante pour qu’elle ne serve pas de catalyseur. A force de crier au loup et au risque Scada, certains experts pourraient bien provoquer des réactions des politiques totalement disproportionnées par rapport à l’analyse de risque.

En attendant les détails de la Loppsi (ou Lopsi2) en France, voici les promesses de la CyberSecurity Bill aux Etats-Unis. Internet est devenu un tel lieu de perdition qu’un projet de loi US vise à donner à la Présidence la possibilité de « fermer Internet » en cas de péril national, et de sanctionner par une « licence » la pratique du métier de cyber-expert en sécurité. Un Ordre National des Gourous du Hack en quelques sortes, assimilable à celui des Avocats ou des Docteurs en médecine. Une analyse passionnante qui nous est offerte par Joe Stewart de SecureWorks

.

L’idée même d’un centre de contrôle national centralisé capable de gérer tous les indicateurs d’une « cybermenace » relève un peu de l’utopie, fait remarquer l’auteur. Une utopie qui est d’ailleurs fort bien décortiquée au fil d’un tête à tête opposant Bruce Schneier et Markus Ranum, confrontation organisée par nos confrères de Security News. Chaque département, chaque secteur particulier doit posséder ses propres experts, rompus aux difficultés intrinsèques de son milieu. Le DoD se charge de la sécurité des armées, le FBI de la défense intérieure, et ainsi de suite. Ce qui ne contredit pas l’idée d’une sorte de cellule de crise unique fédérant les avis, chère à Ranum. Mais en aucun cas un modèle « top down » ne peut fonctionner. Un censeur central, un « manitou » de la cybersécurité –une chimère que poursuivent d’ailleurs tous les gouvernements occidentaux à tendance atlantiste- est un non-sens absolu, une folle prétention de tout connaître, un espoir vain de voir appliquer une sorte de « solution-décision radicale et unique » pour parer une menace qui serait évidente et aisément cernée. Une chose est certaine : quelque soit le pays, quelque soit la tendance politique, quelque soit la structure gouvernementale -des plus totalitaristes aux démocraties se réclamant d’un libéralisme éclairé- la mode est au contrôle et à l’écoute permanente des médias numériques. Que la chose soit techniquement envisageable ou non, que ces menaces poussent ou non les usagers à utiliser des mesures de contournement dignes des grandes heures de la résistance des maquis de 44, Internet pousse les politiques à verrouiller Internet sans même chercher à comprendre ni son utilité, ni les principes qui le régissent. Ceci en vertu du principe qui dit « celui qui peut détruire ou interdire l’accès à une richesse en détient le contrôle absolu ». Internet est paradoxalement une infrastructure Scada qui représente donc un danger pour les autres infrastructures Scada.

Reste le second point du projet de loi « Cybersecurity Bill » : la tentation de « l’ordre des CISO ». L’idée n’est en soit pas très révolutionnaire, et plus ou moins inscrite génétiquement dans les réactions des entreprises et des administrations. Car cette « licence » cybersécurité existe dans les faits : CISSP, SANS GCIA, MCSE, CCSA, CCSE, CSA, CCNA, CNA, Iso lead auditor … tout çà vaut bien une « équivalence » de permis de conduire un audit officiellement, après tout. Reste qu’un expert n’est généralement expert que dans un domaine précis. Et s’il en est lui-même très souvent conscient, ce n’est pas nécessairement le cas de ses clients, qui voient en lui un sauveur, un savant digne des grands maîtres de l’Universalisme, une réponse imparable à tous les problèmes. En bref, un antivirus ou un firewall fait homme.

Il suffit d’assister à quelques-unes des grandes conférences consacrées à la sécurité pour se rendre compte que le diplôme ne fait pas la science, et que les découvertes les plus importantes –ou les expertises les plus solides- sont parfois l’œuvre de gens qui n’ont cure des diplômes. Un Luigi Auriema, un Matthieu Suiche, un Paul (de GreyHat) sont les preuves vivantes de l’ineptie de cette course à l’expertise diplômée. Un cursus cadré est sans le moindre doute la preuve d’une connaissance acquise, mais édicter cette connaissance au niveau d’une « charge » professionnelle, avec patente et pas de porte serait le meilleur moyen de tuer la spontanéité de la profession. Et par là même son efficacité.

San Francisco, RSA Conference : Adobe vient d’annoncer la possible intégration de sa plateforme Flash dans tout appareil appartenant à la sphère « audio-vidéo grand public » : du décodeur TV au périphérique mobile, en passant par les nouveaux lecteurs DVD Blue Ray et autres home-cinéma. Officiellement, cette extension des outils flash –du player à toute la chaine de transmission- devrait permettre d’assouplir la diffusion de flux haute définition à l’ensemble des équipements de l’électronique de loisir.

Eclairée par la lanterne très polarisée de la sécurité, cet événement pourrait être, tout comme la langue d’Esope, la meilleure et la pire des choses. La meilleure car elle assurerait à la profession une phénoménale source de revenus, la pire, car elle aurait de très fortes chances d’étendre le domaine de la lutte virale sur des terrains jusqu’à présent épargnés. Avec l’apparition des premières prises Ethernet sur les téléviseurs, amplificateurs haut de gamme, lecteurs DVD, l’on pouvait redouter qu’un jour il faille « distribuer un patch Tuesday » dans la mémoire des équipements « bruns ». L’on peut, dès à présent, prévoir de quelle manière lesdites prises seront exploitées.

Actimize, un spécialiste de la « conformité dans le domaine du secteur financier », vient de publier une étude sur l’étendue des fraudes à la carte de crédit/débit principalement aux Etats Unis. Le communiqué de presse résumant ladite étude -et ce que pensent les banquiers- précise que (dito)

• approximativement 80% des sondés reconnaissent que le vol des données des cartes entraîne une baisse de la confiance des clients par rapport à ce mode de paiement.
• 57% indiquent également que ces vols génèrent une augmentation des frais généraux des institutions bancaires.
• 20% estiment que les centres d’appel reçoivent 10% de trafic en plus après qu’un vol ait été connu.
• Alors que la plupart des sondés estime que moins de 1% des comptes qu’ils hébergent seront exposés à la fraude, 15% d’entre eux renouvellent les cartes de plus de 20% de leur population de titulaires de cartes
• 70% des personnes interrogées constatent une augmentation des réclamations pour fraude en 2008, comparé à 2007. Parmi ces 70%, 58% ont détecté une croissance à deux chiffres.
• Plus de 80% s’attendent à ce que le nombre de tentatives de fraude à la carte et aux automates augmente en 2009 par rapport à 2008. 35% d’entre eux prédisent une augmentation entre 10 et 14%.
• 55% des sondés s’attendent à ce que les niveaux de fraude aux Etats-Unis augmentent fortement une fois que le Canada aura adopté les puces intégrées et le code PIN pour ses cartes, avec un point critique pour 2010. Cela sera l’effet de la migration des fraudeurs vers des systèmes opposant une résistance moindre à leurs attaques.
• 49% s’attendent à ce que les fraudes classées « first-party² » augmentent en 2009.
Est-il nécessaire de préciser que seuls les deux derniers points de ladite étude méritent une certaine attention ? Ils prouvent que, même avec un niveau de sécurité très faible (les cartes à puce n’existent pratiquement pas aux USA) le niveau de fraude demeure largement accepté par les établissements financiers américains. Le surcoût imposé par l’adoption d’une flotte de TPV, de supports CP8 et du réseau idoine semble encore trop élevé en regard des risques encourus.

L’on peut également, de manière plus générale, avoir une certaine idée de l’accroissement possible de la fraude à la carte de crédit sur Internet, là où les mécanismes de sécurité des transactions sont encore bien souvent sommaires. Il reste que l’étude ne porte que sur un vaste « sondage d’opinion » et non sur une quantification exacte des affaires de fraude ou une estimation chiffrée des pertes financières. A interpréter donc avec toute la prudence qui s’impose.

Ce malware est un injecteur de code Javascript utilisé dans le cadre d’attaques en « drive by download ». Il n’est en aucun cas particulièrement plus dangereux que d’autres malwares de ce type, mais il semblerait que la virulence de ce vecteur soit nettement supérieure à la« normale ». A tel point que le Cert US –pourtant rarement alarmiste- commence à pousser quelques cris d’inquiétude.

Gumblar, pour se propager, profite des faiblesses de crédence dans les accès ftp servant à gérer les sites Web. Une fois installé dans la place, le virus exploite les failles Flash Player et Adobe de chaque visiteur qui aurait eu l’imprudence de ne pas mettre à jour les logiciels installés. Les principaux domaines « port d’attache » de Gumbar, situés en Chine, ont été fermés dans un premier temps. Peine perdue, l’infection a derechef changé de base opérationnelle et s’est rabattue sur l’infrastructure d’une autre infection connue : Martuz –également d’origine Chinoise. Le Sans en écrit quelques lignes et répercute une statistique de Sophos, pour qui 42 % des sites web infectés de nos jours le seraient par ce Gumblar là.

L’initiative de McAfee est, sinon édifiante, du moins très distrayante : l’équipe marketing de l’éditeur a commandé la réalisation de petits films de sensibilisation à la sécurité. Mais des films tournés par des professionnels, avec un découpage précis, un fil conducteur rédigé… on est très loin des vidéo-blogs du monde bidouillant de la sécurité. L’aventure a pour nom “ Stop H*Commerce, The Business of Hacking You ”, une série de court-métrages qui compte déjà quelques épisodes haletants. L’on y traite du danger du Wardriving –une chimère qui a toujours passionné les gourous du hacking- du vol d’identité, des botnets, des virus… Espérons que l’antenne française de l’éditeur en éditera une version postsynchronisée ou au moins sous-titrée, pour que les équipes de sensibilisation puissent y puiser quelques séquences utiles

Quelques, mais pas toutes. Car sans aucun doute, l’un des tournages les plus passionnants –et les moins moraux- est celui qui traite de l’origine du hacking informatique, avec l’apparition des premiers phreakers, ces hackers du téléphone. Avec, comme guest star, Cap’n Crunch (aka John Draper) et Steve Wozniak, fondateur d’Apple, qui raconte avec des trémolos de nostalgie dans la voix l’époque où il « hackait » de conserve avec un certain Steve Jobs. Un moment d’anthologie et de véritable histoire, de moins en moins connue du public, et qui est régulièrement censurée sur les sites retraçant les débuts d’Apple.

La faille, qui affecte IIS 5 et 6 (les versions plus récentes ne sont pas concernées semble-t-il) a été découverte par Nicolaos Rangos, lequel a publié un bulletin d’alerte tout en prévenant que le défaut permet à la fois de contourner les mécanismes d’authentification et d’injecter des données –du code- à distance. Les différents Cert et Sans ont immédiatement réagi –notamment le CertA, et Thierry Zoller en a tiré un article expliquant par le menu les principes généraux de cette vulnérabilité. Il faudra attendre quelques jours pour que le MSRC réagisse à son tour, et publie coup sur coup une alerte et un billet sur le blog de l’équipe. Il est vivement recommandé, en attendant que soit publiée une rustine, de désactiver WebDav de ces anciennes éditions d’IIS. Chose plus aisée à dire qu’à mettre en application, si l’on se réfère aux liens fournis par Thierry Zoller.

TlhIngan Hol Daq « Antivirus » ‘oH ghobe glhlthran. Et encore, ce n’est qu’une façon de parler. Car tenter d’utiliser la toute dernière version de l’antivirus de Sophos, édition localisée en Klingon, pose parfois quelques problèmes pour celui qui ne maîtrise pas parfaitement la science Trekkie. A noter que, si Vista 64 accepte sans problème cette version, Sophos précise qu’il existe certains problèmes de compatibilité avec la dll MSxml utilisée dans les systèmes de camouflage de certains vaisseaux de guerre Romulans. Une chose au moins peut consoler les terrestres que nous sommes, c’est que les modules antispam, antiphishing et antispyware devraient, sur un système totalement Klingon, tourner sans trop impacter la charge CPU… faute de spam connu dans cette langue et compte tenu des mécanismes très particuliers d’authentification vocale généralement utilisés par les réseaux de banque en ligne de l’Alliance Galactique. Live long and prosper, youplaboum.

Toute aussi peu sérieuse, cette homélie égrenant les vingt manières de perdre efficacement ses propres données. Conserver précieusement les accès et boîtes mail des ex-employés, estimer que la technologie (antivirus, firewall) suffit amplement à protéger un S.I., s’abonner à toutes les listes de diffusion et autres alertes de sécurité disponibles sur Internet afin de ne surtout ni les lire, ni en suivre les recommandations … il y en a comme çà près de 3 pages écran : une belle collection de « classiques » du genre.

A ne surtout pas lire, donc, car l’on pourrait par déduction en tirer de solides recettes de bonnes pratiques.

McAfee est sur le point d’acquérir SolidCore System pour 33 M$ en cash, prix pouvant être revu à la hausse (47M$) si certains objectifs financiers sont atteints. Une jolie somme pour une entreprise très peu connue du public, car spécialisée dans la protection des appareils à « électronique embarquée » : distributeurs automatiques de billets (DAB), terminaux point de vente (TPV) et autres outils de contrôle et d’actuation d’infrastructures Scada. SolidCore est un spécialiste du « whitelisting » des applications embarquées. En d’autres termes, ses programmes –théoriquement très proches du noyau et développés en ring zéro- ont pour fonction de superviser les logiciels exécutés par la machine en fonction d’une série de certificats connus. C’est une approche diamétralement opposée à celle des outils de protection classiques qui, pour leur part, acceptent tout à priori et cherchent à détecter, en fonction d’une signature ou d’une analyse comportementale, la dangerosité d’un programme qui sera éliminé à posteriori. Le nombre d’applications « bénies » appelées à fonctionner sur un système embarqué est pratiquement figé, et en tout cas plus faible et plus clairement définissable que ce qui peut être installé sur une machine de bureau. Cette approche très radicale ne peut, pour des raisons de souplesse d’utilisation, être employée dans le secteur de l’informatique générale tel qu’on le connaît actuellement

En revanche, cela ne risque plus d’être le cas dans un proche avenir. La gestion des « applications signées » est un cheval de bataille qu’a enfourché Microsoft depuis belle lurette… et qui devrait finir par s’imposer une fois que seront résolus les « légers » problèmes concernant l’autorité gérant lesdites signatures. En outre, la mode de la « virtualisation » -et notamment la tendance à la discrétisation des « rôles » serveurs, chacun exécuté dans une VM particulière- milite également en faveur de cette approche très sélective de la sécurité. Un « bon » serveur ne fait plus 36 choses à la fois, et l’établissement d’une politique de sécurité reposant sur l’authentification d’un petit nombre de codes exécutables devrait, sinon rendre infaillible, du moins limiter une grande partie des dangers liés à une exécution de code étranger nocif.

En bref, quelques pratiques cybermafieuses à la mode. Sur le blog de Dancho Danchev, l’on découvre ce qui se cache derrière ces jeunes, séduisantes et pulpeuses jeunes femmes slaves qui cherchent désespérément un époux par email –si possible occidental et riche-. Ce qui parait être une véritable agence matrimoniale Russe camoufle parfois une formidable machine à escroquer, conçue pour que chaque visite, chaque échange de courrier se transforme en une succession de payement de services et de petits cadeaux généralement dispendieux. En jouant sur la corde de la séduction et des « présents librement octroyés » par le prétendant, ces aigrefins se mettent à l’abri de pratiquement toute poursuite judiciaire. Le véritable amour n’étant pas une denrée commerciale, rien n’oblige effectivement la prétendue demoiselle de retourner une preuve d’affection garantie sur facture et proportionnelle aux témoignages de ses prétendants transis. L’envergure de ces professionnels de l’exploitation de la misère affective de certains est d’autant plus insoupçonnée qu’il est rare que les victimes portent plainte. Un célibataire Canadien décrit par le menu le fonctionnement de ce piège essentiellement orchestré par la prétendue agence matrimoniale –et la complicité au moins partielle de la séduisante slave-.

Sur le blog de F-Secure, l’on revient sur l’homme qui a arrêté Cha0, le célèbre « carder » dont la production de fausses façades de DAB touchait à la perfection. Une interview à lire, donc, dans les colonnes de nos confrères de C-Net, ainsi qu’une belle brochette de captures d’écran du forum underground DarkMarket, lieu de réunion de tous les mafieux et plateforme d’échange des trafics les plus divers. Un pot-pourri des techniques les plus remarquables de l’année 2008 a été tourné par l’équipe, qui commence précisément par l’arrestation de Cha0. La plus intéressante des méthodes est à admirer à partir du « Time Code » 6,44 de cette même séquence vidéo : le cybertruand pénètre nuitamment dans les locaux d’une banque Suédoise, délaisse les coffres et les caisses de l’établissement, et demeure caché durant plus d’une demi-heure sous l’un des bureaux de l’agence, avant de fuir en entendant les pas du veilleur de nuit. Il apparaîtra bien plus tard que ce « coup raté » était en fait couronné de succès. Le casseur avait largement eu le temps d’installer un keylogger, une webcam et un routeur WiFi, qui lui ont permis d’accéder à distance aux systèmes bancaires, après avoir pu vérifier que plus personne ne se trouvait dans les locaux ainsi piégés.

Mauvaise semaine pour la Défense Nationale Britannique. Le premier mai dernier, le MI6 a avoué avoir du abandonner une opération d’infiltration entrant dans le cadre de la lutte anti-drogue, peu de temps après qu’une des « espionnes de Sa Majesté » ait perdu son sac à main lors d’une correspondance en Colombie. Le sac en question contenait une clef USB renfermant une liste des agents en opération, qui ont dû immédiatement être réaffectés, nous apprennent nos confrères de SC. L’on avait déjà l’habitude de retrouver des données du MI6 sur des appareils photo mis en vente sur eBay, voir de lire les détails des opérations du MI5 à la télévision. Pour couronner le tout, voilà qu’une étude conduite par British Telecom et l’Université de Glamorgan révèle que 34 % des disques durs que l’on peut acheter sur eBay et autres sites d’enchères en ligne contiennent des données privées et des informations sensibles. Cela, on le savait déjà. Mais ce qui est plus inquiétant, c’est qu’au nombre de ces données, l’on puisse retrouver, nous apprend la BBC Online, des informations techniques sur le système d’arme Thaad de missiles antimissiles.