mai, 2009

Le mois de mai devrait-être maigre en matière de correctifs. Selon le bulletin préliminaire de notification, seule une faille critique affectant PowerPoint devrait bénéficier d’une rustine. Cette faille connaît au moins un exploit qui circule actuellement « dans la nature », de manière relativement restreinte, et a déjà fait l’objet d’un bulletin d’alerte le 2 juin dernier.

Si le week-end du premier mai fut légèrement agité pour la santé des serveurs de téléchargement Microsoft, le 5 du mois ne fut pas moins mémorable dans les anales des statisticiens du Web. Outre la disponibilité des « extensions de virtualisation », c’était également l’occasion pour l’éditeur d’ouvrir les vannes de sa « beta marketing » auprès du grand public.

Windows Virtual PC « beta » et son extension XP Mode s’adresse officiellement aux clients TPE, artisans et petites PME, à tous ceux qui vont acquérir les éditions Ultimate, Enterprise et Professional de Seven. Il s’agit là d’un proche cousin de Med-V, la solution de virtualisation du poste de travail destinée aux moyennes et grandes entreprises. Une forme de ségrégation peut laisser songeur, car l’on se demande par quel miracle technologique la tranche « grand public » -celle visée par l’édition « home »- serait épargnée par ces mêmes problèmes de compatibilité ascendante des logiciels.

WVPC-XPMode au pas de course
Ce “sauveur” capable de résoudre la plupart des problèmes de compatibilité ne se présente pas, comme son aîné, sous la forme d’un exécutable possédant sa propre interface. Gourous de Virtual Server, spécialistes d’Hyper-V, passez votre chemin… car il est impossible d’installer et d’exploiter ce complément logiciel –que les lecteurs les plus sensibles sautent ce paragraphe- sans lire attentivement la documentation d’installation. Le programme principal tient dans une DLL, et il faudra chercher longtemps avant que de comprendre que les réglages de l’ordinateur virtuel sont désormais intégrés dans … la barre de menu de Windows Explorer (plus particulièrement dans le répertoire contenant les fichiers d’initialisation de ladite VM). L’installation du noyau XP de compatibilité s’opère également de manière totalement automatisée, à partir d’un fichier MSI qui installera automatiquement un fichier VHD prêt à l’emploi, lequel sera le noyau « par défaut » de la VM. Chaque programme installé sur ledit noyau provoque la création d’un fichier de raccourci dans un répertoire spécial –baptisé « Virtual Windows XP Applications »-, raccourci pointant sur le logiciel qui sera alors exécuté en mode « seamless ». L’exécution de ces programmes seamless manque nettement de fluidité, et il est totalement illusoire d’espérer y voir s’exécuter un traitement de signal en temps réel. D’un point de vue sécurité, l’on peut toutefois apprécier le fait que si l’application est particulièrement explosive, elle ne provoquera d’écran bleu que dans le cadre confiné de sa machine virtuelle : le host sera sauf. Manque de fluidité et de rapidité également dans la prise en compte des périphériques USB. Si l’insertion d’une carte mémoire ou d’un périphérique HID s’effectue sans anicroche, la saisie de flux audio provenant d’une carte son ou un train de données rapide débité par une interface USB2.0 se solde parfois par des traitements hachés, voir des pertes de données. Passons également sur un « léger » détail financier : une bonne VM consomme peu ou prou autant de mémoire qu’une station de travail physique. En d’autres termes, les recommandation de Microsoft insistant sur le fait que 2 Go sont au moins nécessaires pour faire tourner un Seven et son Mode XP doivent être revues à la hausse : 4 ou 6 Go sur un portable, 16 Go sur une poste de bureau sont un minimum à respecter.

Le reste a été décrit par nombre de « blogueurs internes » travaillant dans les laboratoires de développement de Microsoft. Parmi les points les plus appréciables, qui feront vite abandonner les précédentes éditions de Virtual PC, l’on peut citer le couper-coller entre VM et host (presse-papier commun), le partage automatique des disques physiques, l’exploitation des jeux d’instruction « VM » spécifiques des processeurs modernes, la mise en commun du répertoire de l’utilisateur courant (mes documents) entre VM et machine réelle, le partage d’imprimante… un tour du propriétaire relativement sommaire est donné par l’auteur du blog Virtually Yours, et Ben Armstrong en mentionne la sortie. Ce même Ben Armstrong signale d’ailleurs, toujours à propos de Windows 7, l’existence de quelques papiers techniques forts bien vulgarisés et écrits par l’équipe de développement elle-même.

Il est encore bien tôt pour entamer une analyse critique de cette nouvelle génération de VM sous un angle sécurité. Certains risques, pourtant, ne sont pas à écarter. A commencer par le « login automatique par défaut » qui facilite le lancement du système virtualisé et des applications en mode « seamless ». Le très probable excès de confiance des utilisateurs quand à la protection de la machine virtuelle elle-même pourrait bien constituer une faille exploitable par ingénierie sociale. L’on peut imaginer bien des choses à partir du moment où le simple échange d’un fichier VHD sur un ordinateur mal protégé peut avoir des conséquences insoupçonnées, tant en terme de fuite d’information qu’en matière de menaces directes contre l’intégrité de l’hôte. Critique positive, également, puisqu’en intégrant une VM en standard dans toutes ses versions haut de gamme, Microsoft habitue peu à peu ses usagers à l’idée même de la virtualisation, de la segmentation des fonctions critiques, de l’isolation des processus et de la sauvegarde/provisionnement des ressources disques exploitées.

Une question demeure : pourquoi, alors que l’éditeur possédait déjà toute la technique nécessaire pour concevoir cette version de VPC, une telle offre n’a-t-elle pas été proposée sous Vista, dès qu’a été évidente la grogne des utilisateurs face aux problèmes de compatibilité ? Voilà qui est révélateur du manque absolu de confiance de Microsoft envers son propre noyau.

Le hack de l’intermédiaire bancaire Heartland se traduit par une perte de 2,5 millions de dollars sur le dernier trimestre fiscal. Cette perte, précisent nos confrères de Security News, est essentiellement provoquée non pas par le vol des fonds perpétré par d’abominables crackers, mais par une charge de 12,6 millions de dollars dépensés en frais légaux, en amendes imposées par MasterCard et Visa (qui contribuent au déficit pour 1 million de dollars), ainsi qu’en frais administratifs divers. Rappelons que Heartland était certifié PCI-DSS.

Le U.S. Trustee’s office , nous apprend Groklaw, vient de publier un avis conseillant de convertir le « chapitre Onze » de SCO (correspondant à un règlement judiciaire avec gel des créances) en « chapitre Sept » (dépôt de bilan). Au premier trimestre de cette année, le net de l’entreprise atteignait 3,5 millions de dollars de dettes, sans espoir de voir la situation se redresser.

SCO était à l’origine une entrepris de Santa Cruz, Californie, spécialisée dans la conception, la finalisation et la commercialisation de noyaux Unix (dont le premier noyau Unix System V « Xenix » de Microsoft). Les évolutions du marché et la lente dégradation du marché des Unix « purs et durs » ont peu à peu contraint l’entreprise à s’orienter vers le secteur des services apportés autour de la sphère Linux, le développement d’environnement « remote desktop » (Tarantella), sans oublier quelques incursions infructueuses dans le domaine des noyaux temps-réel embarqués. Le nom de SCO ainsi que l’activité Unix/Linux fut revendu dans les années 2000 à Caldera, éditeur d’un parfum Linux, l’équipe californienne originelle tentant de survivre sous le nom de Tarantella. Ils seront rachetés en 2005 par Sun qui, à son tour, sera repris par Oracle.

Durant toute la période qui suivit, il semble que la principale activité de Caldera ait consisté à poursuivre IBM et menacer de poursuites certains grands comptes utilisateurs de Linux, sous prétexte que certaines parties du code source utilisées par certains auteurs du « libre » auraient été un peu trop inspirées de l’Unix dont ils avaient racheté les droits. Cette attitude a eu un impact non négligeable sur l’image de marque de Caldera/SCO, impact qui s’est peu à peu traduit par des difficultés financières grandissantes… les avocats, Outre-Atlantique, peuvent parfois coûter bien plus cher qu’une équipe de R&D.

Cet enterrement en catimini, conclusion logique d’une longue agonie, laissera peu de souvenir et aucun regret dans le monde des systèmes d’exploitation.

Windows 7 Fail titre F-Secure. Titre que reprend Brian Krebs dans les colonnes du Washington Post. Dans l’état actuel de la pré-version, le futur système d’exploitation renferme toujours des erreurs de conception monstrueuses, vitupère Mikko Hyppönen, le patron du labo Finlandais. Car malgré les nombreux signaux d’alarme émis par les spécialistes sécurité, Windows Explorer septième édition persiste à masquer le véritable suffixe d’un fichier si celui-ci possède plusieurs extensions. Ainsi, un « readme.txt.exe » sera affiché « Readme.txt »… Le simple fait d’ouvrir ce que l’usager croira être un document Texte provoquera l’exécution du programme ainsi masqué. C’est la vengeance des noms de fichiers longs, la faute à l’absence de véritable vérification de cohérence, par l’Explorer, entre le type de fichier affiché par son nom et la structure réelle de son en-tête… de quoi faire regretter le bon vieux temps de DOS et de ses noms de fichier 8+3.

Ce trou qui affecte Acrobat Reader aura fait parler de lui… non seulement parce que l’alerte est sérieuse, émise par l’éditeur et commentée par l’ensemble des spécialistes, de Qualys à F-Secure, sans oublier le très éducatif billet de Sid, mais surtout parce que, une fois n’est pas coutume, Adobe recommande de « disable JavaScript in Adobe Reader and Acrobat ». Depuis le temps que les principaux Cert de la création entonnent cet air là, on est tenté de se demander quel est ce virus ou troyen qui, par un malin plaisir, passe son temps à réactiver Javascript une fois le dos de l’usager tourné.

Par mesure de précaution, l’on peut effectuer un filtrage et une désinfection de tous les fichiers « truffés au script » grâce à PDFiD, l’utilitaire de Didier Stevens.

Cruelle ironie, savoureuse publication que celle du « rapport sur les menaces du premier trimestre 2009 » de McAfee. L’on peut y apprendre, outre quelques métriques toujours intéressantes, que le virus Koobface fait un come-back, que le nombre de zombie a augmenté de 12 millions de nouvelles adresse IP depuis janvier (+50% par rapport à l’an passé), que les USA décrochent la première place au palmarès des pays hébergeurs de machines zombifiées, que les cyberdélinquants font de plus en plus appel aux techniques de redirection ou d’aiguillage via les sites « Web 2.0 » pour mieux masquer leurs bases d’attaque, et que« Servers hosting legitimate content have increased in popularity with malware writers as a means for distributing malicious and illegal content ». En d’autres termes, les « méchants » aiment se cacher sur des sites légitimes.

Lorsque paraît ce bulletin d’analyse prémonitoire, McAfee est, depuis plus de deux jours, en train de tenter de colmater une série de failles de sécurité dont certaines constituent de véritables portes ouvertes aux ressources de l’entreprise. Le site même de McAfee Secure –branche spécialisée dans le « durcissement » des sites Web- était potentiellement victime d’une attaque en CSRF. Les détails techniques sont donnés sur Skeptical.org, qui égratigne au passage la prétendue classification PCI du chasseur de virus, ainsi que sur Read Write Web qui offre à ses lecteurs un petit cours sur l’injection HTML par la pratique. Du détournement des comptes utilisateurs à la fourniture de fausses informations à destination de ceux-ci, les risques étaient on ne peut plus importants. En de mauvaises mains, ces révélations auraient pu causer d’importants dégâts, sinon en termes de perte de données, du moins en dégradation d’image de marque. L’on peut dire que McAfee a senti le vent du boulet.

Chez LexisNexis, une intrusion aurait donné accès à une base américaine de près de 300 noms, prénoms, dates de naissance et numéros de sécurité sociale… De quoi, précise nos confrères de Security News, alimenter une petite industrie spécialisée dans la fabrication de fausses cartes de crédit. Ou du moins de véritables cartes de crédits attribuées à de fausses personnes. Pour couper court à tout risque supplémentaire d’exploitation, plus de 32 000 clients ont été directement prévenus de l’existence d’un danger potentiel. Le vol, expliquent nos confrères, aurait été commis discrètement, sur une période s’étendant de juin 2004 à Octobre 2007, par des personnes ayant eu accès aux boîtes à lettres rattachées aux services professionnels des Postes US. Déjà, en 2005, une attaque en règle, reposant sur un keylogger, avait exposé un fichier de plus de 300 000 noms.

La troisième affaire secoue l’Amérique, car elle concerne le vol des dossiers médicaux de près de 8,3 millions de patients. Le fric-frac numérique a visé le centre d’Etat des professions médicales de Virginie, coup de main revendiqué par le cybertruand lui-même, qui, après avoir chiffré les données, réclame une rançon de 10 millions de dollars en échange de la clef de chiffrement. Le texte de la demande de rançon est publié par Wikileak. Krebs en fait un long article, le Sans une note lapidaire, et le Security Focus se souvient que le mode opératoire rappelle une précédente affaire survenue en 2008. L’administration du corps médical de Virginie, quand à elle, affiche sur son site qu’elle est en train d’« experiencing technical difficulties which affect computer and email systems ». Ce n’est plus un euphémisme, c’est de la dialectique de haute volée.

Pendant ce temps, en France, il se perd toujours aussi peu de données …

Comment fabriquer un « bon » mot de passe, et surtout comment l’inscrire dans une politique sérieuse de contrôle des crédences, c’est là le sujet d’une récente publication du NIST intitulée « Guide to Enterprise Password Management ». Un document de 38 pages, assez touffu, couvrant tous les aspects de la gestion des accès dans le monde réel : solidité contre complexité, fréquence de renouvellement contre habitude des usagers, techniques d’initialisation des sésames oubliés contre habitudes des procédures immuables, méthodes de contournement, de divination, de cassage des clefs d’accès, adaptation « sociologique » des pirates aux réactions des usagers et armes psychologiques pouvant servir à compromettre ces secrets… il y a là tous les ingrédients d’un bon roman d’espionnage informatique. Bien que très complète, cette étude didactique est plaisante à lire et riche d’enseignements. A classer dans la catégorie « lectures pour un week-end prolongé »

Il était bien trop tôt pour que le tout dernier « spam report » de MessageLabs puisse prendre en compte la brutale progression du spam à base de grippe de cochon reconstitué. La tendance n’est pas très heureuse car, après une très nette chute des courriels cochons et pharmaceutiques, fin 2008, suite à la fermeture de l’hébergeur McColo, le niveau de spam est très nettement remonté, atteignant en moyenne 85 % du volume général des emails. Ce niveau serait d’ailleurs légèrement supérieur à l’ère « après-McColo », durant laquelle il plafonnait aux environs de 82%. A noter également, au fil de ce rapport, la confirmation chiffrée prouvant la nette diminution des attaques directes (virus, spywares) véhiculées par courriel. Les pourriels poussent plutôt les internautes à visiter des sites qui, à leur tour, infecteront les postes de travail dans le cadre d’un « drive by download » ou assaut similaire. Eternelle guerre d’usure que pratiquent les blackhats contre les gens bons.

Depuis, la grippe porcine a légèrement accru les volumes de spam. Ces pourriels porcins parcourant le pays poussent, patibulaires, les passants au faux-pas. Symantec en donne un exemple frappant, qui incite les surfers à remplir civilement un formulaire d’information sanitaire… Si, dans ce cas précis, l’opération vise à soutirer des informations personnelles aux plus naïfs des cybernautes, d’autres cherchent avant tout à en retirer un profit direct. Le spam pharmaceutique fait la manchette du blog de l’Avert, avec des techniques que l’on aurait pu croire éculées : la combinaison d’un nom de célébrité (Obama, Madonna, Gore…) et d’une maladie capable de décimer la population de la planète –à tout hasard la grippe porcine-. Le tout redirigeant vers… un célèbre vendeur de Viagra. Glissons au passage qu’il ne se vend pas là la moindre ampoule de Tamiflu. Un précédent billet de ce même Avert avait attiré l’attention des lecteurs sur une autre technique -assez abjecte et racoleuse- visant à attirer la victime vers un site infecté dans le but d’injecter un spyware de vol de crédences bancaires. Carders, spammers, vendeurs de fortifiants sexuels, hébergeurs marrons, mules et autres malfrats du Web sont toujours copains comme cochons.

Une dernière tranche de spam qui pourrait arriver à bon porc : celle détectée par F-secure, et qui contient une simple pièce attachée au format PDF. Pièce attachée frappée d’une toxine botulique (encore un programme de vol de crédences), laquelle lance à son tour un second fichier, aussi blanc et pur que le porcelet qui vient de naître, afin de faire diversion. Toute tentative de détection virale envers cet innocent fichier s’achève en eau de boudin.

Durant plus de 300 jours, les personnes ayant récupéré la récente « Release Candidate » de Windows 7 –clients Technet, MSDN, étudiants bénéficiant des abonnements MSDN éducation etc- pourront utiliser ce système sans bourse délier. Une opération de marketing viral qui fera sans le moindre doute vitupérer les défenseurs du « libre » et qui, le jour même de sa mise en application, a eu pour conséquence l’écroulement des serveurs de téléchargement de Microsoft.

La seconde vague de download massif est prévue pour ce mardi, 5 mai, date à laquelle est disponible l’extension XPM (pour XP Mode), une version légèrement toilettée de Virtual PC associée à un kernel XP. Cet « add in » devrait servir à assurer la compatibilité ascendante des applications ancienne manière et achever de convaincre les utilisateurs de XP d’adopter le monde merveilleux de Vista et de ses successeurs. Renommée Windows Virtual PC pour les besoins de la cause, cette verrue diffère très peu d’un Virtual PC original. Il accepte « enfin » de gérer les ports USB –ce dont était incapable la précédente édition-, et peut exécuter une application en mode « seamless », autrement dit sans que celle-ci ne s’affiche dans un mode fenêtré particulier. Rien de remarquable à cela, cette forme d’adressage écran était déjà intégrée dans OS/2 1.3… C’était en 1991.

Windows Virtual PC ne sera livré que dans les versions Ultimate et Professionnal –gratuite pendant un an, doit-on le rappeler-. Les clients de l’édition Home en seront quitte pour télécharger le non-moins gratuit Virtual PC (ou tout autre outil de virtualisation, de VMware Station à Virtual Box, Qemu/kvm etc) et de ré-installer leur ancien XP et applications associées. La solution est un peu plus lourde mais n’a aucune raison de ne pas fonctionner efficacement, pour peu que le processeur possède les jeux d’instructions adéquats (VT ou SVM). Le meilleur de la virtualisation à des fins de compatibilité pourrait –avec forces conditionnels- arriver avec la prochaine version de Windows, alias Midori, qui devrait intégrer un véritable hyperviseur (moteur de paravirtualisation). Ce sera, pour Microsoft, le seul moyen technique qui permettra à ses développeurs de ne plus avoir à écrire des logiciels en étant contraint par la « compatibilité ascendante » des produits –et donc de trancher et abandonner des conceptions erronées les conduisant à fabriquer des programmes « bug pour bug compatibles »-. Ce sera également une phase nécessaire pour que lesdits programmes puissent enfin exploiter les outils de prochaine génération capables d’exploiter les architectures multicore et leur capacité de traitement parallèle.

« Seven » et son noyau virtuel, sera-ce assez pour convaincre les petits entreprises et artisans d’abandonner XP ? Autrement dit d’acheter une nouvelle licence, de délaisser nombre de périphériques qui ne sont plus supportés faute de pilotes, de changer la totalité d’un parc machine âgé parfois de plus de 10 ans, tout çà en des temps où la moindre ligne budgétaire doit être comptée, pesée et justifiée ?