juin, 2009

Presque lundi, encore Loppsi , titre Cédric Blancher sur sa petite parcelle d’Internet. Sid, en se gardant prudemment de toute polémique, soulève quelques difficultés techniques que posera sans doute la mise en application des dispositifs prévus par la prochaine Loppsi. A commencer par le « logiciel d’espionnage » qui pourra, fort heureusement sous le contrôle d’un juge, être injecté sur l’ordinateur d’un suspect, soit directement au cours d’une opération discrète, soit à distance. Quelque soit la manière dont on éclaire le sujet et les motivations qui poussent à un tel acte, légitimes la plupart du temps, il ne s’agit là que de légaliser l’usage des outils mafieux par des représentants de la Loi: spywares, exploits Zero Day, rootkits et autres outils d’eavesdroping. Le point est moralement très délicat et repose une fois le plus la question des limites éthiques qui distinguent un policier d’un voyou et des dérives qui peuvent en résulter.

Techniques ou moraux, les problèmes liés à ces mises en application ne sont pas les seuls. Les acteurs du paranoïa business pourraient eux aussi en faire les frais. Car si jamais l’on apprend un jour le nom exact de l’antivirus et du firewall utilisé par un Carlos ou un Mesrine des temps modernes, c’en est fait de sa réputation. Le moindre soupçon de compromission d’un éditeur de produits de sécurité peut rapidement se traduire par une sérieuse perte de chiffre d’affaires (Symantec, il y a quelques années, à propos de la non-détection « patriotique » de Magic Lantern). Si ce soupçon est avéré, la perte se transformera en gouffre. Quel patron d’un McAfee France, d’un Sophos-Paris, d’un DrWeb Ile de France aurait assez peu de bon sens pour oublier que le mot collaboration est parfois suivi du mot épuration ?

Vient ensuite le risque de voir se généraliser les contre-mesures les plus folles. Les premières opérations de « dissuasion » d’Hadopi pourront, par exemple, servir à établir des métriques instructives quant à la généralisation des pratiques de chiffrement systématique : stockage, communications mail, transmissions de fichiers. Et si un public d’adolescent se met à « chiffrer PGP », « chatter VPN » et P2Piser en stégano, on peut aisément imaginer que de véritables truands ou chefs d’orchestres de réseaux pédophiles en viendront à employer des techniques un peu plus efficaces. Les services de police seront-ils encore en mesure de développer un « ver Loppsi » aussi discret qu’efficace ? Et quand bien même cela serait possible, cette généralisation de l’usage des techniques de chiffrement aurait pour résultat l’occultation de quasiment toutes les communications, et pour conséquence une intensification des actions policières sur l’ensemble de la population Internaute. Car il est vrai que les « honnêtes gens n’ont rien à cacher » -dans le sens ou les usagers du Net ne subissant pas la pression d’une suspicion ambiante ne cherchent pas systématiquement à préserver leurs données avec des moyens disproportionnés-. En stigmatisant une petite délinquance (celle du téléchargement) avec des moyens disproportionnés, Hadopi pousse les téléchargeurs et surtout les non-téléchargeurs (qui sont, aux termes de cette loi, responsables techniques et pénaux de leurs installations) à renforcer leurs protections… et donc noyer les services d’écoutes sous un déluge de bruit. Il y avait un « avant Hadopi » où l’on pouvait distinguer les communications protégées des entreprises, des services d’Etat (aisément identifiables) et… les autres, suspects par nature. Il y aura un « après Hadopi », où la confusion provoquée par la surprotection des informations interdira toute discrimination des flux à surveiller, et renforcera ainsi le camouflage des réseaux pédophiles. De là à en tirer la conclusion paradoxale qui consiste à dire qu’Hadopi limite potentiellement l’efficacité de la Loppsi et favorise le développement des réseaux pédophiles… Sans conclure à de tels excès, il est en revanche quasiment certain que, forcés à pêcher en eaux troubles, les cyberpoliciers seront contraints à multiplier les sondes, accroître le nombre de demandes de commissions rogatoires, intensifier les actions d’intrusion à titre préventif… et ainsi augmenter le risque de voir leurs techniques mises à nue ou leurs méthodes révélées. Abus de flicage nuit au flicage, excès de pression provoque des réactions. Des remarques que l’on retrouve aussi bien dans les mémoires d’un certain Vidocq ou celles du préfet « Claude ». Et pourtant, eux, ne connaissaient pas l’informatique.

Rod A. Beckstrom vient d’être nommé Président de l’Icann (Internet Corporation for Assigned Names and Numbers), le principal organisme de gestion et de régulation d’Internet et notamment des grands « top level domains », ou suffixes des adresses Internet. Une information diffusée notamment par nos confrères du Reg. Beckstrom était précédemment cyber-patron du Department for Homeland Security, le DHS américain, puis directeur du National Cyber Security Center. On est très loin des premiers gourous universitaires qui présidaient aux destinées de l’Icann dans les années 80.

En plaçant à la tête de l’Icann un parfait produit de l’administration sécuritaire US, la Maison Blanche marque indirectement son désir de voir pacifier la gestion du monde IP. Une pacification qui n’a aucune chance de s’opérer dans la douceur et dans l’allégresse. Car l’Icann, depuis la mercantilisation d’Internet au début des années 90, est en butte à un nombre croissant de pressions. A commencer par une contestation de plus en plus forte de la part des Européens, qui aimeraient bien voir tomber une partie de la mainmise US sur l’administration du réseau des réseaux. Une sorte de collégiale, de conseil international des sages…. Bref, une Société des Nations des télécommunications IP. Une ouverture qui ne serait pas franchement une atteinte à la toute puissance américaine tant que la gestion primaire des TLD et de « root » est toujours techniquement sous la main de Washington.

Beckstrom devra également résister –ou non- aux lobbys des marchands du Net, qui militent en faveur d’une extension des TLD, extension telle qu’elle permettrait de voir apparaître des suffixes de « raisons sociales ». Une telle tentative fut opérée et avorta dès les débuts d’IP, alors qu’il était question de concéder aux premières entreprises pionnières des « passe-droits » leur autorisant à arborer un « .Sun » ou un « .IBM ». Cette demande est à rapprocher des réclamations faites par tous les pays n’utilisant pas l’alphabet romain (écritures cyrillique, grecque, arabe, japonaise, chinoise…) dont la translation nécessaire pourra considérablement faciliter la vie des cybersquatters et typosquatters –qui profiteront des « vraies-fausses analogies » possibles entre deux alphabets- . Accepter des alphabets non « us-ascii 8bits » pourrait être perçu comme un signe d’ouverture par certain… ou une forme de régression très nette, une manière de créer une multitude de bulles ethniques et communautaires qui feraient s’écrouler la tour de Babel anglophone que sont le Web, l’email et ses quelques centaines de protocoles voisins. L’arme idéale pour les nations qui rêvent d’un internet filtré et géographiquement limité.

Alors que le Reg titre « I’m bad, I’m bad », la rédaction de Cnis préfère « I’m goin’ to Jackson, I’m gonna mess around » du vibrant Johnny Cash. Car à peine 12 heures après l’annonce du trépas de Michael Jackson, Websense publiait sa première alerte indiquant comment de peu scrupuleux diffuseurs de Troyens exploitaient l’information. Sophos, peu après, entonnait le contre-chant en signalant l’émergence d’un « adress harvester » (moissonneur d’adresses email) profitant de ce même filon. Goggle, en revanche, s’est fait surprendre par la déferlante des fans venus consulter les derniers potins liés à la disparition de leur idole. A tel point que les administrateurs ont crû à une formidable attaque en déni de service, nous apprend PC Authority. L’Avert y va de son couplet et mentionne également la mort de Farrah Fawcett, l’une des « drôles de dames » de la série TV des années 70. Jackson met KO Facebook et Fawcett plonge Twitter dans un coma bref mais intense. Des saturations de réseau causées principalement par une abondance de messages contenant des liens pointant sur des sites contenant des photos, des témoignages… mais également quelques virus et autres malwares. Des liens empoisonnés dont une bonne partie seraient le fruit de ces insupportables campagnes de SEO marrons, les « Search Engine Optimisation » de l’industrie du malware. En d’autres termes, ces SEO « noirs » ne sont que des méthodes destinées à améliorer le référencement des sites hostiles par les principaux moteurs de recherche. Comment Twitter ou Facebook deviennent-ils l’instrument de ces véritables pots de miel pour usagers trop naïfs ? Par simple gestion des « buzz » et diffusion des faux messages qui courent sur les réseaux sociaux. Dancho Danchev donne à ce sujet un cours magistral sur le business des « spécialistes du SEO pour les truands ». Ce n’est qu’une fois cette saine lecture ingurgitée que l’on peu comprendre comment l’intrépide « Jill » -Farrah à la ville- a pu servir les vils intérêts d’un vendeur de faux antivirus. Une technique simple comme ABC et 123, et droite comme une « yellow brick road ».

Les RSSI et Ciso Américains peuvent respirer, assurent nos confrères de Security News. Une grande partie (45%) de leurs projets sécurité qui avaient été budgétés, puis suspendus au moment le plus fort de la crise des subprimes, seront reconduits. Cette enquête statistique est d’autant plus significative que les grands chantiers informatiques en matière de sécurité sont essentiellement lancés à l’initiative du secteur bancaire, lourdement touché aux USA. L’enquête, précisent nos confrères, a pris en compte notamment les intentions de Bank of America, Citi, Wells Fargo, MassMutual et Wachovia, tous fortement sinistrés.

Investir, oui, mais dans quelle direction ? Dans la chasse aux fraudes et aux fuites de données principalement, ainsi que dans les outils de protection des identités. Les institutions financières, banques, intermédiaires de transactions, grands commerces ont tous, durant les trois dernières années, été à l’origine de pertes d’informations spectaculaires. Non pas que ces partenaires soient humainement concernés par les conséquences de ces impérities, mais ils sont chaque jour un peu plus durement touchés par les amendes infligées suites aux procès en résultant (ainsi TJX, condamné à près de 10 millions de dollars). S’ajoute à cela la pression des administrations et des organismes normalisateurs. PCI-DSS pour les acteurs financiers, par exemple, ou « Red Flag », un renforcement et une extension à la conformité des Sections 114 et 315 du Fair and Accurate Credit Transactions Act poussé par la FTC. Peu étonnant, dans ces conditions, que 36 % des personnes interrogées espèrent pouvoir déployer des DLP (outils de prévention de perte d’informations) dans le courant de l’année. Sœurs siamoises des DLP, puisqu’intimement liées aux outils de gestion de l’information, les technologies d’authentification entrent dans 42 % des annonces d’intention d’investissement dans les 12 mois à venir. Bien qu’en perte de vitesse par rapport aux promesses de l’an passé, les outils de contrôle d’accès réseau (NAC) pèsent encore 45,7 % des intentions de déploiement.

Ces prévisions doivent, faut-il le préciser, être interprétées avec toute la prudence qui s’impose. En Europe en général, et en France en particulier, les investissements dans le domaine de la sécurité ont subi un important coup de frein, moins drastique que celui constaté dans les biens d’équipements informatiques généraux. En outre, et particulièrement dans le secteur financier, les jeux des mises en conformité et des normalisations sont « analogues mais pas comparables » à ce que l’on constate Outre-Atlantique.

Les Etats-Unis sont probablement en train de parvenir à résoudre la quadrature du cercle de la cyber-sécurité, en chargeant un général « 3 étoiles » d’effectuer officiellement un travail de civil et en envisageant de confier à un civil une responsabilité de général de corps d’armée.

Le Général en question, à qui l’on promet déjà sa quatrième étoile, c’est Keith B. Alexander, nommé au poste de « Commandant-du-Cyberespace-militaire-chargé-de-la protection-et-de-la-défense-des-infrastructures-des-armées-US » (sic). Il devrait, en collaboration plus ou moins étroite avec la NSA, devenir le « super RSSI » d’une infrastructure tentaculaire qui compte près de 7 millions de machines réparties sur plus de 15 000 réseaux différents… qui ne sont pas tous, l’on s’en doute, interconnectés les uns avec les autres. Le New-York Times, le Washington Post, Security Focus et tant d’autres font remarquer que Keith Alexander a assuré les fonctions de directeur de la NSA avant d’occuper ce poste, et que sa nouvelle nomination ne devrait pas générer d’importants frais de mutation, puisque ce commandement devrait être basé à Fort Meade, également siège de la « No Such Agency ».

Officiellement, le rôle du général, insiste le pentagone, sera de tout mettre en œuvre pour assurer la protection des réseaux militaires, potentiellement exposés aux menaces des opérations de « cyberwarfare » des puissances extérieures. Les principaux médias américains passent sous silence les velléités du Darpa qui cherche à tous prix à constituer une véritable force de cyber-intervention, ainsi en témoignait notamment un article d’Aviation Week publié à la fin de l’an passé. Un tel scénario est peu plausible

Toujours pas nommé, le futur « Cyber Tzar » de l’administration Obama. Il faut dire que les candidats sont de moins en moins nombreux. Les précédents titulaires ont pratiquement tous démissionné sous prétexte qu’ils n’avaient strictement aucun pouvoir réel. Cette situation pourrait-elle changer ? C’est du moins ce qu’espère le concurrent en lice considéré comme le meilleur « Tzarisable », le sénateur Tom Davis. Un républicain qui connait le sujet, puisqu’il est le co-rédacteur du Fisma, le Federal Information Security Management Act, l’ardent défenseur –tout comme l’était le sénateur Obama- des écoutes téléphoniques hors cadre juridique, le principal chantre de la théorie du cyberterrorisme et l’évocateur régulier d’un très probable Pearl Harbour numérique. Son portrait sans complaisance vient d’être fait dans les colonnes de nos confrères de Wired. Pourquoi ce soudain intérêt pour ce poste et pour le probable candidat ? Parce que Time Magazine publiait, la semaine passée, un article présentant la nomination de Davis comme quasi certaine et imminente.

Un homme aux principes « musclés » et réputé pour ses positions expéditives correspondrait effectivement assez bien aux désirs de l’actuelle présidence. Une présidence qui espère un remaniement coordonné et de fond en comble de tout ce qui touche aux grands modèles informatiques. Cela passe par l’institution d’un gigantesque fichier des identités nationales jusqu’à la refonte et à la modernisation des infrastructures stratégiques vitales, alias Scada. Le travail du prochain Cyber-Tzar et de son département est d’ailleurs défini dans un rapport sur la cybersécurité établi le mois dernier par la Maison Blanche. Le « contrat de travail » du futur Ciso américain, détaillé aux pages 37 et 38 de ce même rapport, semble pratiquement insurmontable… à moins que la Présidence le soutienne et lui octroie les pleins pouvoirs.

Qui, de Keith ou de Davis, aura la meilleure place et les coudées les plus franches ? Le militaire nommé pour officiellement organiser une « défense passive », administrer le S.I. des armées (et officieusement développer un corps spécialisé dans la guerre informatique) ? Ou le civil, à qui l’on confie un poste de général et que l’on confronte à un formidable champ de bataille (et à qui officieusement l’on n’est pas certain de pouvoir procurer les moyens de sa politique). Peut-être la situation serait-elle plus simple à débrouiller si l’on nommait Davis aux Armées et Keith à la cyber-protection civile….

A peine la société Adobe a-t-elle institué une périodicité précise dans la publication de ses correctifs que voilà la première exception à la règle qui n’a pas eu le temps d’en devenir une : un correctif Shockwave à appliquer d’urgence, colmatant une faille qualifiée de critique. Est-elle dangereuse ? Que nenni ! nous jure l’éditeur. Aucune exploitation n’aurait été constatée « dans la nature ». Ce serait même, apprend-on à la lecture du bulletin, un problème qui avait déjà fait l’objet d’une tentative de correction dans le Player 11.0.0.465, mais ladite rustine n’avait pas survécu aux évolutions ultérieures. Sont considérées comme dangereuses toutes les éditions antérieures à la version 11.5.0.596. Pour simplifier le tout, Adobe précise qu’il est préférable d’opérer en deux temps pour éviter tout risque : désinstaller proprement l’ancienne édition de Shockwave, puis installer la 11.5.0.600. La nature du trou de sécurité est détaillée dans le bulletin avec le même souci de transparence et d’exactitude et de complétude que dans une alerte Apple ou dans un programme électoral. Dans le doute, il est préférable de mettre à jour.

Pas de jaloux : Sourcefire 3D System 4.9 sera capable de protéger aussi bien les machines d’hébergement que les systèmes virtuels. Pour l’heure, la sphère Microsoft/Citrix est ignorée, et l’annonce de cette pré-version n’intéresse que les administrateurs d’ESX, EXXi et VSphere. L’IPS, ou « appliance virtuelle » comme le désignent ses auteurs, devrait être capable de filtrer des réseaux affichant un débit de 20 à 250 Mb/s, reliant soit des hôtes avec des hôtes, soit des VM avec des VM. La 4.9 devrait être commercialisée vers la fin de l’année 2009.

La chaine de magasins TJX, dont le fichier des cartes de crédit de sa clientèle avait été volé par Wifi interposé, a été condamnée à verser 9,75 millions de dollars de frais de justice, dans le cadre d’un « accord à l’amiable », avec les Procureurs Généraux de 41 états

Pirater une liaison SSL dans une attaque « man in the middle » ou un proxy « pirate » : la toute dernière œuvre pas romanesque du tout de R.Snake, encore ébloui par les feux de l’actualité et l’usage inattendu de son Slowloris dans le cadre de la cyber-guerre civile Iranienne