juin, 2009

Les contestataires Iraniens, nous apprend un billet du Sans, seraient, outre des amateurs d’attaques en déni de service aux méthodes artisanales, de consciencieux lecteurs des blogs de sécurité. En effet, peu de temps après la publication des travaux de Rsnake, il semblerait que les attaques visant les principaux sites web Iraniens pro-Ahmadinejad utiliseraient Slowloris, une preuve de faisabilité capable d’ouvrir des sessions de longue durée et d’étouffer peu à peu le serveur visé par saturation de sa capacité d’accès. Dans ce même article, le Sans signale la disponibilité d’un correctif non officiel destiné aux serveurs Apache, et raccourcissant par un « time out » plus restrictif la durée de chaque session en fonction de la charge http. Comme l’exemple des activistes Iraniens risque d’être suivi par quelques script-kiddies en direction de cibles non nécessairement Iraniennes, un téléchargement au cas où du fichier diff peut s’avérer nécessaire.

Pierre Caron, du Cert Lexsi, revient également sur ces séries d’attaques, et se penche plus particulièrement sur l’usage du script « Page Reboot » et son évolution au fil du temps. Il s’attache aussi à l’étonnante efficacité dont fait preuve ce mouvement de protestation apparemment dépourvu d’organisation, d’unité de pensée, de ligne politique précise (exception faite de l’opposition à Ahmadinejad) et de leader déclaré.

Toujours à propos de ce cyber-conflit totalement asymétrique (l’un des premiers du genre, faut-il le rappeler), Jim Cowie, le patron technique de Renesys, se fait interviewer par nos confrères de Foreign Policies et explique comment les attaques en déni de service des anti-Ahmadinejad affectent la bande passante générale de l’infrastructure Internet d’Iran, et par conséquent limite à son tour les possibilités de communication des opposants tentant de communiquer depuis l’intérieur du pays. Situation d’autant plus critique que les instances gouvernementales seraient elles aussi à l’origine d’une restriction de bande passante au niveau des principaux points d’accès et backbones nationaux. Les fournisseurs d’accès secondaires voient leurs possibilités d’acheminement diminuées proportionnellement, phénomène accentué par le déluge de requêtes http provenant des internautes du monde entier qui tentent d’accéder aux contenus des blogs et sites webs personnels des opposants au régime en place.

A ces considérations générales, Cowie ajoute quelques constatations personnelles sur le Blog de sa société. L’on y apprend notamment que les internautes Iraniens partent en chasse du moindre serveur proxy capable de les désenclaver de ce siège numérique qui entrave les communications avec le monde extérieur.

En France, la polémique fait rage autour d’un article publié par nos confrères SVM : « François Fillon, premier Ministre et… geek » . Interview express qui nous montre un Chef du Gouvernement revendiquant sa geekitude et affichant ses deux Macintosh, son iPhone, le fait d’avoir entendu parler des logiciels Open Source et un long cortège de cadavres de PC « épuisés » par les travaux du Ministre. L’interview ne parvient pas très bien à faire le distinguo entre les ordinateurs véritablement personnels et les machines de travail octroyées par les services informatiques de l’Etat et les deniers du contribuable. Nuance de taille, car le geek n’est geek que parce qu’il se ruine personnellement pour obtenir la toute dernière nouveauté technologique… nouveauté délaissée dès que son usage est généralisé à plus d’une vingtaine de personnes. Ce qui est plus ou moins l’avis de Yann Guégan, de Rue 89, qui fulmine littéralement contre la prétendue geekitude affirmée du Ministre des Ministres. Car la vie de geek, explique-t-il, est un véritable sacerdoce, qui s’entoure d’un nombre incalculable de supports culturels étranges : films et livres de SF et de fantastique, littérature japonaise et collection encyclopédique de bandes dessinées alourdissent sa bibliothèque. A cette activité intellectuelle débordante, l’on se doit d’ajouter un attachement fanatique aux jeux vidéo, de rôle et de plateau (SuperMario Bros contre Alien IV dans les catacombes un soir de 15 août). Bref, tous les poncifs du « presque nerd » sont là, et l’on imagine effectivement très mal le Grand Timonier En Second du pays s’adonner à la lecture des RFC « dans le texte » ou au démontage consciencieux d’un vieux disque dur « pour voir comment c’est fait » plutôt que d’œuvrer au bien-être du peuple et à l’embellissement de la Nation. Un geek, un vrai, c’est terrible, si l’on en juge par ce que racontent leurs compagnes. Et c’est Madame Fillon qu’il aurait fallu interviewer pour que la lumière soit faite sur la véritable nature technophile de notre Premier Ministre.

John Hodgman, auteur, humoriste et acteur Américain, pose lui aussi cette question quasi méta-freudienne au Président Obama. Mais en des termes plus directs : Monsieur le Président, êtes-vous un Nerd ? A savourer sur Youtube, ces quelques 14 minutes décrivant par le menu ce qu’est un véritable nerd, égratignant au passage quelques irrécupérables paumés de la technique tels que les radioamateurs. Dont font partie, faut-il le préciser, Sa Majesté Juan Carlos d’Espagne, le roi Bhumipol de Thaïlande, le premier Ministre Rhajiv Ghandi, le président Carlos Menem, sans oublier les feu rois Hassan II du Maroc et Hussein de Jordanie. Ce qui tendrait à prouver l’établissement d’une fantastique conspiration occulte, l’existence d’une caste secrète plus puissante encore que l’Opus Dei et que les Francs Maçons réunis : les geeks et les nerds nous entourent et tentent de s’emparer de la planète toute entière pour devenir enfin les Maîtres du Monde. Funeste avenir que celui d’un ensemble de nations dirigées par des drogués de technique et de sciences, un monde où les matchs de football télévisés seraient remplacés par l’histoire romancée de la vie de Bill Gates (en 3 saisons et un « trailer » de deux heures), un monde où les débats de l’Assemblée Nationale consisteraient à échanger des lignes de code entre Ministres Développeurs et Chefs de Projets spécialisés dans l’intégration d’un Firewall Open Source pour Open Office, un monde enfin où les guerres fraîches, joyeuses et sanglantes seraient réduites à de pâles escarmouches opposants des joueurs de Wii à des régiments de Xbox.

Un dernier détail a failli nous échapper : Obama possède toujours sont Blackberry et Fillon a abandonné le sien pour adopter le Sagem National à Chiffrement Intégré. Ce qui laisserait sous-entendre qu’il est peut-être plus facile d’être RSSI du côté de l’Elysée que de celui de la Maison Blanche.

La vie s’est arrêtée le 24 novembre dernier, sur le blog consacré à l’antivirus Microsoft Live OneCare. Un communiqué en forme de faire-part de deuil, qui annonçait la mort commerciale de la suite « anti-virus-spyware-firewall » de Microsoft, et préparait l’avènement d’un successeur « gratuit, peut-être plus limité, qui bénéficierait de nouvelles technologies de mise à jour en quasi-temps réel, destiné à tous les usagers, particuliers et petites structures ».

Portant le nom de code Morro, mais diffusé sous l’appellation kilométrique de Microsoft Security Essentials (MSE), ce programme entame, à partir du 23 juin 2009, sa phase dite de « Beta Marketing », c’est-à-dire de pré-version pouvant être téléchargée. Un logiciel réservé aux personnes ayant à la fois une certaine soif de sécurité et un goût du risque assez prononcé. Car installer un programme en cours d’élaboration peut avoir des effets désastreux sur une machine de travail.

Le privilège d’essayer Morro est pourtant réservé à une élite. Très particulière, l’élite. Car, comme le précise la page de téléchargement de MSE, ne pourront récupérer le successeur de OneCare que les ressortissants des Etats-Unis, d’Israël (version anglaise uniquement), les habitants de la Chine Populaire et les Brésiliens. Si l’on se réfère aux statistiques de l’Antiphishing Working Group, Israël mis à part et Russie non-comprise, ce sont là les 3 pays placés, sur les 12 derniers mois d’activité, au « top ten » de la production de malwares, spam, phishing et autres amabilités du genre. Sage décision que celle de Microsoft que de faire tester ses logiciels de protection là où il y en a peut-être le plus besoin, mais également et surtout là où il risque de se trouver la population la plus importante susceptible de rechercher une faille dans son fonctionnement. Espérons, au passage, qu’une version spéciale aura été offerte à Thierry Zoller, LE spécialiste des failles affectant les antivirus. Un chercheur dont le blog, ces dernières semaines, s’est enrichi d’un nombre impressionnant de bulletins d’alertes visant notamment Fprot, Clamav, Norman, Icarus, Kaspersky, Avira, F-Secure…

En lutte ouverte

D’un point de vue stratégique, la sortie de MSE est un pavé dans la mare qui éclabousse les Kaspersky, McAfee, Sophos, Symantec, F-Secure… en un mot les spécialistes du logiciel de protection commercial à destination grand-public. Certes, chacun de ces acteurs possède un trésor de guerre confortable et réalise une partie importante de son chiffre d’affaires grâce à des licences « grand compte», des suites logicielles adaptées aux entreprises, des contrats OEM avec des intégrateurs (fabricants d’appliances notamment)… mais le marché de l’ordinateur personnel continue à représenter une part appréciable des revenus. Or, ce même marché grand public est de moins en moins enclin à acheter de manière régulière un programme destiné à protéger une machine des dangers provoqués par une faille logicielle connue… ce qui se traduit dans l’esprit du public par « un logiciel que l’on doit acheter pour se préserver des problèmes provoqués par les défauts de fabrication des logiciels eux-mêmes ».

A ceci vient s’ajouter le succès croissant des programmes offrants au moins une version gratuite, AVG Free, ClamAV et consorts, qui ne sont ni meilleurs… ni plus mauvais que leurs concurrents « commerciaux du haut au bas de gamme ».

Les contre-performances des A.V.

Comme si cela ne suffisait pas, voici que la superbe image d’absolue perfection desdites suites de protection se trouve de plus en plus souvent malmenée. Par des chercheurs en sécurité qui osent clamer haut et fort le peu d’entrain que certains éditeurs d’A.V. montrent à corriger certains bugs de conception. Par l’échec cuisant qu’a représenté la dernière grande infection Conficker, dont les mécanismes de contournement parvenaient à museler pratiquement toutes les procédures de mises à jour des programmes de sécurité. Par le fait, également que la discorde règne de plus en plus dans les rangs des éditeurs. Particulièrement depuis le lancement de Windows Vista, dont les principes de fonctionnement interdisent désormais certaines libertés de programmation qu’appréciaient tout particulièrement les auteurs de firewalls, antivirus et autres outils de filtrage et d’analyse. Ce sont notamment les auteurs d’antivirus Américains qui se sont montrés le plus virulent vis à vis de Microsoft. Les plus virulents et les plus lents à fournir des éditions Vista 64 bits de leurs outils.

Enfin, cerise sur le kernel, voilà que depuis une bonne année fleurissent de redoutables Scarewares, des antivirus plus faux que nature, souvent même porteurs de virus, mais prenant l’aspect, les couleurs et l’apparence de fonctionnement d’un véritable bouclier anti-malware garanti pur Microsoft ou Symantec Original. Des Scarewares dont l’impact sur l’image de marque de la profession est incalculable.

A toutes ces considérations, l’on doit ajouter de simples considérations économiques. L’assurance n’est chère qu’avant l’accident, a-t-on coutume de dire. Et dépenser 40 ou 50 euros par an pour un danger de moins en moins avéré… voilà qui est difficilement justifiable en temps de crise. Car les virus destructeurs et casseurs, les Attila du Noyau, les Tamerlan du disque dur se font de plus en plus rares aux yeux du public. L’infection se fait discrète, le virus moderne zombifie, vole des informations, transforme un poste innocent en usine à spam, mais jamais il n’impacte trop fortement le fonctionnement de la machine. La grande majorité des utilisateurs non professionnels sont persuadés posséder une machine saine, protégée par un A.V. non remis à jour faute de licence valide et ignorants de l’activité fébrile d’une dizaine de spywares et agents de zombification.
Tous les éléments sont là pour que s’achève doucement l’ère de l’antivirus grand public payant. Un modèle timidement amorcé par quelques outsiders Clamav, AVG, Housecall et de Trend, Bitdefender Free, Avast, ClamWin, Avira… , tous très rapidement adoptés dans un premier temps par les habitués des forums et geeks avertis, rapidement imités par une majorité de non-spécialistes. L’arrivée de Microsoft sur ce terrain pourrait certes sonner le glas d’un « paranoïa business » en perte de vitesse, mais également léser ce même marché des gratuits par le seul poids de son renom. Microsoft OneCare gratuit est un risque certain pour la survie des petits éditeurs et la diversité de l’offre non-marchande. Si cette diversité venait à disparaître, cela laisserait une fois de plus à Microsoft la possibilité de revenir brutalement à un modèle payant, prenant ainsi en otage une clientèle qui n’aurait plus aucun autre recours. Redmond a plus d’une fois recouru à cette méthode.

NDLC Note de la Correctrice : C’est avec l’énergie du désespoir et une abnégation sans borne que je suis parvenue à censurer les titres consternants que la rédaction de CNIS avait osé envisager d’utiliser. Du lamentable à l’absolument catastrophique, nos lecteurs ont échappé à :

– Morro est arrivé-é-é (hélas !)

– Morro ? Vache ! (Trois fois hélas !)

– Vaste Programme (disait le Général en réponse à l’exclamation « Morro cons ! »

– Morro Palestine (il paraît que c’est une « private joke » dans le monde de la sécurité)

– Morro virus

– Morro cité chez les malwares (consternant, je vous dis, consternant)

– L’Arrivage-ci, si : la, Morro saute ! (ce serait ce que dit un vendeur d’antivirus « payants » en enlevant de ses étagères les boîtes d’antivirus gratuits Microsoft, afin de faire de la place et du chiffre) (A-peu-près réservé aux amateurs de Dalida)

– 2A, 2B (celle-là, elle est téléphonée : Corses bas et Maures hauts)

– Eclats de voix et fuites de gaz par le haut (réponse : mots-rots, tiroir de charade dans la plus pure tradition de Pierre Etienne)

– Sonomètre suivra ! (contrepet de lettres pour « virus : Moro est né ». Il manque un « R », c’est un échec et çà ne fait rien au scrabble)

–

Au début de ce mois, Lumension –héritier de Patchlink et de Securewave- diffusait un utilitaire gratuit d’analyse et d’inventaire des périphériques. A l’heure où s’entame la guerre des antivirus gratuits contre payants, où les scanners de vulnérabilité se téléchargent sans bourse délier (Secunia, F-Secure), l’on pouvait presque passer à côté de ce petit bout de code. Pourtant, c’est l’un des rares outils d’inventaire réseau non payant, capable de balayer l’intégralité d’un domaine Netbios, une plage d’adresses IP ou une liste précise de machines. Rapidement indispensable pour passer au crible un Workgroup ou un petit domaine constitué de machines Windows, l’outil est toutefois limité par rapport à sa version haut de gamme : la liste du champ exploratoire doit être générée au format « ascii délimité », le programme ne reconnaît pas les machines et Appliance Linux/Solaris. Il se contente donc d’examiner à distance le contenu des BDR des machines visées.

Et on en apprend, en lançant cet analyseur. Le moindre composant USB est découvert, le plus petit pilote susceptible d’automatiser la connexion d’un périphérique de stockage également. C’est là l’équivalent matériel d’un logiciel d’analyse de vulnérabilités, la première pierre d’un édifice sécuritaire capable de maîtriser ces fameuses installations spontanées de clefs usb, d’ipods baladeurs, de disques d’archivages ou de cartes Ethernet non référencées qui sont autant de vecteurs potentiels de fuite d’information. Car derrière ce petit outil gratuit se profile la véritable spécialité de Lumension : la gestion des « politiques de sécurité » appliquées aux parcs matériels d’une part, la supervision et la gestion des correctifs multiplateformes/multi-applications d’autre part. A ces deux activités principales s’ajoutent la supervision des droits liés à l’exécution des applications (les « applications controls » disent les anglo-saxons), le tout parachevé avec des outils d’inventaires de parc. En d’autres termes, Lumension est un cauchemar pour un journaliste, car il est impossible de classer cette gamme de produits dans une catégorie particulière. A la fois un vendeur de DLP –le blocage des périphériques mobiles entre dans cette catégorie-, fournisseur d’outil de déploiement au sens large du terme, cet éditeur trempe aussi dans les logiciels de mise en conformité du poste de travail.

La logique dans tout çà ? c’est plus ou moins celle qui orchestre les principaux logiciels de network access control : dès qu’une station signale sa présence sur un réseau, sa configuration logicielle est contrôlée puis assainie. Le protocole débute par les pré-requis sécurité classiques (présence d’antivirus, application des correctifs sur l’ensemble des logiciels installés, vérification de la conformité NAC), puis peu à peu, selon les politiques décidées par le RSSI, il approfondit les investigations : inventaire des extensions matérielles autorisées ou non, chiffrement du contenu desdites unités amovibles, suppression des programmes et applications non autorisés, vérification de la cohérence des « local policies » tel que l’existence et la complexité des mots de passe de chaque compte, voir même l’optimisation des paramètres de gestion des économies d’énergie. Le découpage des tâches est plus ou moins assuré par une succession de modules très spécialisés, vendus indépendamment les uns des autres. L’un ne traite que de l’inventaire et du contrôle des périphériques et du matériel, l’autre ne résout que les questions de déploiement de correctif et d’inventaire de failles, un troisième ne s’occupe que de la gestion des logiciels et du nettoyage des installations sauvages, la vérification de l’application des politiques locales et l’intégration aux règles NAC dépendent de deux autres extensions. Cette approche morcelée ouvre de nouvelles perspectives. Notamment l’examen matériel ou logiciel d’une VM comme s’il s’agissait d’un ordinateur conventionnel. Cet examen s’effectue via les liaisons du réseau virtuel, puisqu’il est pratiquement impossible de « radiographier » les différents composants d’un système virtualisé lorsque celui-ci est en fonctionnement. Ce côté hermétique des VM est d’ailleurs un problème rarement abordé lors des déploiements massifs, poussés par la vague du « cloud à tout prix ». L’on oublie parfois que les machines hébergées peuvent relever de politiques dépendantes d’un serveur, d’un domaine différent de celui administrant l’hôte, voir même être dépourvues de politiques autres que celles configurées « par défaut » lors de l’installation du noyau.

Pour Alan Bentely, VP EMEA de Lumension, cette discrétisation des différentes tâches permet de répartir les investissements selon les urgences auxquelles doit faire face la cellule sécurité d’une entreprise. N’acheter que ce qui est jugé nécessaire est un argument de poids, en ces périodes de restrictions budgétaires. L’on peut citer, par exemple, la grande « peur du podslurping » qui a parfois fait se précipiter des DSI sur des logiciels DLP « universels » et monolithiques, capables de verrouiller le moindre port, alternative techniquement certes plus élégante que la méthode « Araldite dans la prise USB », aussi spectaculaire et radicale qu’inefficace. D’autres spécialistes arguent qu’une bonne sensibilisation doublée d’un avenant au contrat de travail fait parfois plus pour la sécurité du poste qu’une kyrielle de logiciels. D’autres enfin cherchent une voie médiane, et utilisent un logiciel pour avertir l’usager des dangers potentiels et responsabiliser son acte. Comme toujours, il s’agit de trouver le bon compromis, le juste investissement, la réponse adaptée à une analyse de risque sérieusement conduite.

Le 4 juin dernier, le Clusif organisait à Paris une conférence intitulée Fraude et malveillance interne : détection et gestion. Une conférence dont l’intégralité a été filmée et dont les séquences sont disponibles gratuitement sur le site de l’association. Aux propos introductifs de Pascal Lointier, du Clusif, suit l’exposé de Francis Hounnongandji, Président de l’ACFE France (Association of Certified Fraud Examiners). Un regard très distancié, très critique, sur la fraude interne, ses mécanismes, sa réelle évaluation, tant en pertes d’image qu’en déboires financiers. Regard décalé également, que celui d’Estelle Dossin, Psychologue clinicienne au Ministère de l’Intérieur. Elle tente ici d’expliquer les facteurs qui poussent un fraudeur –et plus spécifiquement un cyber-fraudeur- à passer du côté obscur de la force. De l’héritage éducatif aux facteurs sociaux, de la banalisation de l’acte virtualisé à une certaine forme de complaisance élitiste de la part des policiers qui les inculpent, le tableau psychologique du black-hat est brossé avec des mots, avec une perspective française. On avait jusqu’à présent l’habitude que de telles études soient essentiellement publiées par des universitaires américains. Surprises encore, avec la vision purement juridique de l’avocate Me Blandine Poidevin, qui explique par le menu la conduite à tenir en cas de constatation de fraude au sein d’une entreprise. L’on pourrait croire le sujet rebattu et les conduites à tenir parfaitement précises… Et pourtant, Maître Poidevin nous fait découvrir des aspects techniques surprenants lorsqu’il s’agit d’aborder les questions de recevabilité des preuves et de validité des constats d’huissier. Des règles qui vont, pour certaines, à l’encontre des pratiques d’un enquêteur technique.

Tout commence par une chanson, postée sur Youtube, et intitulée « 50 ways to inject SQL ». Paroles de Paco Hope, musique de Paul Simon, exploits d’un peu tout le monde, idée originale, faut-il le rappeler, de Monsieur Fred Cohen, inventeur du mot « virus » et père de la toute première série des « 50 Ways to… » consacrée au hacking. Si la voix n’est pas aussi précise que celle de Simon, les paroles valent le détour
Try a quick hack, Jack

Moins chantonnant, plus hard-rock, l’annonce saluée par tous de la dernière édition de l’analyseur de protocole Wireshark 1.2, le successeur d’EtherReal. Support de Windows 64 bits, de Mac OS/X, des recherches de localisation GeoIP sur la cartographie OpenStreetMap… toujours gratuit, toujours téléchargeable, source et documentation y compris, sur le site de l’équipe.

Largo ma non troppo sur le blog Ha.ckers qui nous parle de Slowloris, une œuvre –une preuve de faisabilité- signée RSnake et qui sert à conduire des attaques en déni de service contre des serveurs Web. L’idée originelle n’est pas nouvelle, ce qui ne signifie pas que l’attaque est inefficace. Loin de là. Le principe de Slowloris est de maintenir ouverte une session http le plus longtemps possible. En général, les sessions sont de très courtes durées, http n’étant pas un protocole orienté connexion. Il est donc nécessaire d’envoyer contre le serveur, lors d’une attaque en déni de service classique, des millions de requêtes depuis une armée de zombies. Avec Slowloris, les sessions s’accumulent jusqu’à ce qu’asphyxie s’en suive, avec très peu de connexions, rendant inutile un gros réseau de Bot. Chi va sano va lontano.

Des heures de conférences, des mégaoctets de savoir sont à télécharger, pour et par tous ceux qui n’ont pu avoir la chance de participer aux dernières Sstic de Rennes. Le fil rouge est à suivre sur le blog de Cédric Blancher. Certaines des interventions sont d’un niveau technique impressionnant –le papier de Loic Duflot par exemple-, d’autres, tel que celle de Marie Barel ou de Nicolas Ruff, sont abordables par des humains normalement constitués. Il y a là au moins deux à trois bonnes semaines de lecture.

Malmenée, la sécurité bancaire, ces derniers temps. Avec, notamment, la réapparition de l’affaire des virus contaminant les DAB (Distributeurs Automatiques de Billets). Le sujet avait agité la presse mi-mars. Il vient récemment d’être complété par deux analyses techniques et fonctionnelles effectuées respectivement par Shevchenko de TreatExpert et Trustwave. Certaines fonctions de la porte dérobée en question sont d’une subtile efficacité, notamment en ce qui concerne l’usage hors norme de l’imprimante destinée à la délivrance des tickets.

Pendant ce temps, la Caisse d’Epargne, la vieille Dame Digne du Livret A, se fait phisher depuis plus d’une semaine. Le courriel d’incitation est émis par différents zombies européens, et rédigé dans un style bancaire irréprochable. Seules ombres au tableau –hormis le fait qu’une banque n’expédie jamais ce genre d’email-, aucune lettre ne possède de caractère accentué et le charset utilisé est encore le bon vieux « Windows-1251 », tant apprécié par les spécialistes Russes du hameçonnage. Les sites hébergeant les fausses pages de phishing sont généralement des web personnels. Le véritable site de la Caisse d’Epargne, quant à lui, ne contient aucune alerte, aucun communiqué immédiatement visible. C’est dommage. Car très souvent, les phishers ne comprenant pas ce qu’ils intègrent dans leurs pages « multiframe », glissent sans le savoir les cris d’alarme anti-phishing de la banque visée.

Que deviennent-elles, ces cartes de crédits virtuelles nées d’un vol d’identité ? Elles se vendent, à faible prix, sur des places de marché mafieuses. Comme à Rungis, le client peut même goûter à la marchandise et en éprouver la qualité. Le « cent » de numéros peut être testé par échantillonnage avant que ne soit conclut la vente. Et cet échantillonnage s’opère de manière très simple, en effectuant un achat sur quelques sites cybermarchands pris au hasard sur la Toile. C’est ainsi que le truand-prospecteur obtient trois informations capitales : la validité du numéro de la carte, la solvabilité de son propriétaire originel, et le montant de crédit associé. C’est également ainsi qu’un cabaretier de l’Idaho (état renommé pour ses pommes de terre et ses sympathiques troquets d’agriculteurs), a découvert l’existence de ces incessants prélèvements de « tests ». Une aventure abracadabrante racontée par Brian Krebs du Post. Mais l’histoire ne s’arrête pas là. Car l’une des victimes dont le compte a été « testé » parvient, en quasi temps réel, à suivre l’utilisateur de la fausse carte de crédit, en informe sa banque, appelle chaque magasin afin que les bandes de vidéosurveillance situées au dessus de chaque caisse ne soient pas effacées et puissent être transmises aux autorités. Belle présence d’esprit, remarquable travail d’enquête qui, pourrait-on espérer, aurait pu valoir à son auteur les remerciements de la banque. Que nenni ! Alors même que madame Keri Tetlow signale les forfaits à son chargé d’affaires, celui-ci lui conseille de « souscrire une assurance contre le vol d’identité ».

Les « branchés » l’attendaient avec impatience, se l’échangeait même sur les canaux P2P. Les utilisateurs normaux, quand à eux, l’on découvert dans le courant de la nuit du 17 au 18 juin. Lui, c’est le lot de correctifs et le firmware 3.0 de l’iPhone, le smartphone d’Apple. Une mise à jour lourde, de plusieurs centaines de Mo, truffées de fonctions nouvelles dont l’activation est laissée à la libre appréciation des opérateurs, et surtout corrigeant un nombre conséquent de failles de sécurité. Nos confrères du HNS –parmi tant d’autres- en ont fait une énumération méticuleuse, tandis que l’on commence à voir fleurir quelques divulgations « post rustiniennes » sur le Full Disclosure et des exploits de failles iTune sur Milw0rm.

Cela faisait fort longtemps que l’on n’avait assisté à l’ouverture d’un « mois du bug ». Aviv Raff tente de relancer la mode avec un MOTB, Month of Tweeter Bug qui débutera le premier juillet et s’achèvera avec le mois. Depuis quelques semaines déjà, les hébergeurs de blogs et de réseaux sociaux font l’objet de nombreuses tentatives de hack, dont beaucoup sont conduites avec succès. Si certaines d’entre elles sont de faible niveau technique (politiques de mots de passe faibles, failles ftp classiques…) d’autres, en revanche, sont d’un niveau un peu plus subtil. En ces temps de cloudification à outrance et de réseausocialisation débridée, l’on peut craindre que l’idée d’Aviv Raff ne fasse du chemin et que la communauté sécurité s’intéresse d’un peu plus près aux FaceBook, Linkedin et autres géants du Web 2.0. Lesquels n’ont certainement rien à craindre si l’on en juge par les propos rassurants qu’ils distillent depuis bientôt deux ans.

Pour clore le chapitre en guise de pied de nez, signalons cet article légèrement humoristique « Et si Twitter était le seul outil de communication en sécurité ». Pour lecteurs geek only. Avec la complicité involontaire –mais oh combien crédible- de Bruce Schneier, Markus Ranum, Alex Hutton, Ribolov (aka Michael Smith du blog Guerilla Ciso ) et du tout nouveau Tzar de la Sécurité des Etats-Unis.