juin, 2009

Arme à double tranchant et à double poignée qu’Internet du côté des réseaux Iraniens. Depuis la publication des résultats des élections, le Net Persan bouillonne d’activité, tant du fait du gouvernement en place que de celui des partisans de Mir Hossein Moussavi. Contrairement aux précédents cyber-conflits, le théâtre Iranien oppose des personnes situées dans un même espace géographique, et non plus à des milliers de kilomètres les uns des autres. Une différence notable, un facteur de risque jusqu’à présent jamais estimé et qui rend tout pronostic totalement aléatoire.

La première « cyberaction » critique a été déclanchée, expliquent nos confrères de Libération, par les bassidji gardiens de la révolution, qui ont remplacé manu-militari les fonctionnaires chargés du comptage des voix. Procédé nettement moins discret mais bien plus efficace que de modifier quelques lignes de codes dans le firmware d’une machine à voter.

Très rapidement, les services « Web 2.0 » ont relayé les protestations émises par certains électeurs.

Vague qui eut pour première conséquence la coupure des accès Web vers les principaux serveurs tels que FaceBook, YouTube et Webs d’information internationaux rédigés en Persan. La fréquence radio de BBC Internationale aurait été brouillée et les réseaux de téléphonie mobile suspendus en grande partie. Un seul médium semble avoir échappé à ce filtrage pendant un instant : Twitter. Une exception –un oubli ?- qui sert l’Administration Obama, laquelle demande très « ouvertement » aux administrateurs de Twitter de suspendre leurs travaux de maintenance. Le « fil » le plus consulté ces jours-ci ? #iranelection bien sûr.

En situant le discours sur un plan purement technique, la Maison Blanche module subtilement le discours officiel, qui tente par tous les moyens de prouver qu’aucune ingérence n’est commise dans les affaires intérieures Iraniennes. Mesure prudente, actes réfléchis, car il y a de fortes chances que toute prise de position officielle dénonçant soit une éventuelle fraude, soit un soutien au parti de Moussavi n’ait pour seul résultat que de durcir la répression. La moindre opinion allant à l’encontre du régime d’Ahmadinejad pourrait alors être utilisée pour accuser les protestataires de « collusion avec des puissances extérieures ».

Ergo, lorsque les politiques ne peuvent pas parler ouvertement, il suffit de laisser s’exprimer le peuple. Il est bien pratique, le peuple, dans de pareils moments, pour donner des conseils de rébellion et pour soutenir moralement et à distance des bras tendus face à des fusils. Parallèlement à cette « bataille Twitter » qui s’oppose à la « cybercensure » de la République Islamique, des éléments incontrôlés hors frontières provoquent des séries d’échauffourées IP, des attaques en déni de service contre des sites Iraniens, si possibles gouvernementaux.
L’équipe de l’Avert dresse une liste des serveurs touchés (encore attaqués à l’heure où nous rédigeons ces lignes) et tente de modérer les esprits de ces« patriotes combattant spontanément pour défendre les opprimés ». Des DDosseurs qui, pour certains, auraient bien été en peine de situer l’Iran sur une mappemonde il y a à peine une semaine.

Dancho Danchev, qui a suivi de très près les différents terrains d’opération, depuis l’Estonie jusqu’aux dernières escarmouches Chinoises, dresse un bilan bien plus complet, plus fouillé aussi, que celui de l’Avert. C’est dans les colonnes de ZD-Net. Il y décrit le côté relativement désorganisé, manquant de moyens et de coordinations. Du bricolage qui parvient tout de même à museler quelques sites officiels.

Même Neal Krawetz, entre deux considérations culinaires, glisse quelques mots sur la situation au pays de Darius le Grand. C’est le temps des changements, espère-t-il. Mais quels changements ? Et paradoxalement, ce n’est pas un blog technique, mais un quotidien national, celui de la BBC, qui fait le point sur les différents canaux de « fuites » d’information sur Internet, les derniers espaces de liberté d’expression.

Tout ceci dégage une forte odeur de manipulation en provenance de tous les bords. Il est impossible de vérifier la véracité des témoignages en provenance d’Iran, et il n’est guère plus aisé d’interpréter les signaux émis sur la scène internationale. Rappelons que cette sorte de « guerre des communiqués » a été entamée par Barack Obama lors du fameux « discours du Caire » (voir notamment le Figaro ), lequel discours s’articulait sur un amalgame et une simplification très populiste consistant à opposer les principes laïques de la République Française et le droit au prosélytisme religieux affiché par le port du voile. Le coup a porté avec une redoutable efficacité, provoquant des réactions de la part des mouvements féministes et de défense des libertés individuelles, comme en témoigne nos confrères de Libération. Il s’en est suivi une mise au pas de la diplomatie Française, comme le reflète Le Parisien. Mise au pas de courte durée, puisque, témoigne RTL, le Président de la République Française relançait le débat en critiquant ouvertement Ahmadinejad et son élection très discutée. Pendant ce temps, la Maison Blanche fait le dos rond, précise que, Ahmadinejad ou Moussavi, c’est bonnet blanc et blanc bonnet, et tente de conserver toutes ses chances diplomatiques pour l’avenir. L’opération de diversion semble avoir relativement bien fonctionnée, puisque l’attention des pays Arabes en général et de l’Iran en particulier se tourne plus vers la France que les Etats-Unis. La Maison Blanche rappelle ainsi discrètement que Benjamin Franklin était à la fois le père fondateur de l’Amérique et l’inventeur du paratonnerre.

Cette guerre de communiqués fortement relayée par Internet se déroule dans un contexte encore totalement nouveau. Car, depuis la naissance de la WebPolitique sous l’impulsion de l’ex Vice-Président Al Gore, les cyber-affrontements se sont toujours déroulés entre deux états belligérants distincts et très souvent éloignés. Jamais –à quelques tentatives près lancées par des guérilleros d’Amérique du Sud- Internet n’a été utilisé dans le cadre d’un conflit intérieur. Il était trop tôt lors des soulèvements syndicaux de Pologne, trop tôt durant les événements de la place Tien-an-men. Qui gagnera ? Quelle sera l’importance d’Internet dans l’arsenal des futures guerres de propagande ?

On peut d’ores et déjà être certain qu’à l’instar des précédents conflits, il se dégagera un double discours, l’un diplomatique, relayé par les mass-médias, l’autre, plus instinctif et prompt à réagir, celui des masses utilisant leurs propres médias (blogs notamment, voir hacking divers). Toute la question est de savoir dans quelle mesure ces réactions ne sont pas sous le contrôle ou l’influence d’une puissance diplomatique ou d’une autre. Des puissances qui s’affronteraient à fleurets mouchetés, par hackers interposés et spécialistes de la propagande ou de la guerre psychologique. Il suffit de tellement peu de chose pour renverser une opinion publique. Surtout depuis une certaine Dépêche d’Ems.

L’ont peut également prévoir que ces « témoignages spontanés » populaires comporteront une part totalement invérifiable de manipulation et de désinformation ainsi les manifestations de soutien orchestrées par le parti majoritaire. Ce fut également le cas durant les cyber-conflits sino-américains, Russo-Estoniens, Russo-Géorgiens ou les débuts de la guerre d’Irak. Mais là s’arrête toute comparaison.

Car là commence l’inconnu. Les forces qui s’opposent sont principalement situées à l’intérieur des frontières physiques et IP de l’Iran. Les spectateurs extérieurs, privés d’informations vérifiables, en sont réduits à deviner, à considérer le pays un peu comme une marmite au couvercle fermé, dont on ne soupçonnerait l’intense activité interne que par les quelques soubresauts de vapeurs qui parviennent à s’échapper à périodes irrégulières. Le degré d’influence provoqué par les réactions internationale extérieures est d’ailleurs lui-même impossible à quantifier.

L’on pourrait également ajouter un dernier aspect, probablement même le plus important d’un point de vue humain. Un facteur qui déterminera d’ailleurs la durée et la dureté du conflit interne qui secoue l’Iran : la peur de se faire prendre. Dans le domaine de la sécurité informatique, on appelle çà de l’analyse de risque.

L’on a coutume de dire qu’une cyber-guerre ne provoque que des cyberblessures et fait des cybermorts totalement virtuels. Que l’on y perde de l’argent, c’est possible. La vie… c’est nettement moins probable. Aucun véritable cadavre. Les seuls qui souffrent réellement sont les ordinateurs et les équipements de commutation. Ce n’est pas le cas du théâtre Iranien. Chaque Twitter sur Internet, chaque témoin des événements ne communique qu’au péril de sa liberté et parfois de sa vie. C’est cette seule variable qui conditionnera le cours ce cette cyber-guerre civile. C’est cette seule variable que retiendront les gouvernements, démocraties comme dictatures, dans leurs propres évaluations des risques contestataires et de leurs conséquences.

Pure coïncidence : Le blog de l’Avert de McAfee et celui de l’équipe de recherche de F-Secure sombrent dans une crise d’angoisse. Une sorte de cri d’alarme que l’on pourrait résumer par « les virus pour téléphones portables, c’est pour bientôt ?! ». Tout d’abord un papier intitulé « Waiting for Mobile Malware Wave » chez F-Secure, qui fait remarquer entre les lignes que la première victime potentielle pourrait bien être l’iPhone. Il faut dire que, des années durant, F-Secure a publié rapports sur études et enquêtes sur analyses laissant entendre que le prochain Tsunami numérique qui nous submergerait serait téléphonique ou ne serait pas. Et pou l’instant, il persiste à ne pas être… ce qui agace quelque peu les pythonisses de l’analyse virale.

Mais il y a un espoir. De plus en plus de navigation en ligne, chez les ados comme chez les adultes, de plus en plus d’interactivité et de téléchargement d’applications, de plus en plus de forfaits illimités, de plus en plus d’appliquettes « web 2.0 » qui sont autant de pièges et propagateurs potentiels de malwares. Avec 40 millions d’iPhones et iPod Touch vendus dans le monde (statistiques Apple), il faut reconnaître que la cible est tentante. L’hégémonie qui transforme un système d’exploitation en cible privilégiée, c’est précisément ce que la communauté Apple reproche depuis des années au monde Microsoft… arguant du fait qu’il est plus sûr d’acheter un Mac pour cette raison… Cela s’applique-t-il également au secteur du GSM et de la 3G ?

Il est vrai que le monde de la téléphonie a tendance à se concentrer autour d’un nombre de plus en plus limité de plateformes. Windows Mobile, le système Apple, peut-être Android dans un proche avenir, Symbian… et c’est pratiquement tout. Il est tout aussi vrai que le prix des communications a tendance à baisser à tel point que la notion de facturation au temps disparaît peu à peu. Il est en train de se passer dans le monde de la téléphonie exactement ce qui est déjà arrivé dans le secteur des communications terrestres. Lorsque ADSL a commencé à se répandre et que les connexions de tout un chacun sont devenues quasi permanentes, les auteurs de malware ont radicalement changé leurs méthodes de travail. Avec ADSL ont été créés les premiers grands botnets. Avec ADSL –et les « tarifs plats » des communication- le volume du spam a évolué de façon logarithmique. Avec ADSL, le niveau général de sensibilisation aux principes élémentaires de sécurité est tombé en chute libre. Ce fut également la porte ouverte aux places de marché mafieuses, fruit du travail des gangs spécialisés dans le vol d’identité. En d’autres termes, tant que le coût des communications pouvait impacter directement les grands spammeurs ou limiter le développement de leurs victimes, la cyberdélinquance demeurait marginale, en attendant son heure.

Peut-on prévoir qu’un jour le paysage de la téléphonie « surfante, streamante et téléchargeante » sera semblable à celui de l’informatique traditionnelle « WebDeuxisante » ? Ce n’est probablement qu’une question de temps.

Chez McAfee, l’on se pose strictement les mêmes questions. Mais sous un angle légèrement différent. Car ces téléphones intelligents, ces caméras et magnétophones numériques si indispensables au blogueurs-podcasteurs, ces baladeurs numériques quasi normalisés, qu’ont-ils tous en commun ? demande Kevin Beets. « Mais un espace de stockage USB dont le propre est de sauter de prise en prise , d’ordinateur en ordinateur ». C’est l’évolution socioculturelle et l’adoption massive de ces gadgets communicants qui constituent un formidable vecteur de propagation. L’utilisateur est vecteur d’infection lui-même, une infection qui profite de la généralisation des composants USB. Si, autrefois, un bon virus devait avant tout se camoufler dans un secteur de boot et espérer que la disquette infectée passerait de service en service, le malware moderne, lui, est quasiment certain qu’il trouvera un humain pour le véhiculer là où il le souhaite. Une attente pleine de bon sens. Des années durant, les gourous de la sécurité antivirale –notamment les deux susnommés, McAfee et F-Secure- se sont évertués à combattre un improbable virus se propageant par liaison WiFi ou Bluetooth. C’était voir trop loin, trop sophistiqué, trop technique. Les auteurs d’infections apprécient bien plus la simplicité de l’ordre « copy » et la fiabilité garantie par le comportement immuable des téléchargeurs compulsifs. La seule crainte, pour ces codeurs du mal, c’est qu’une loi du genre Hadopi modifie les comportements de toute une population et tende à limiter l’usage de ces espaces de stockage que sont les téléphones mobiles, les baladeurs, les appareils photos numériques, les clefs usb diverses. Mais à part quelques rares personnes totalement déconnectées de la réalité, qui peut croire à un tel scenario ?

Une question que se pose l’Expert Français de Miami, Kostya Kortchinsky, à propos du très fameux et très récent « indice de probabilité d’exploitation » que Microsoft fournit désormais à l’occasion de chaque Patch Tuesday. « C’est une bonne idée » estime en substance l’auteur, « car elle donne au responsable sécurité un indice tangible du degré d’urgence qui caractérise le déploiement et l’application de telle ou telle rustine ». Reste que ce thermomètre de dangerosité n’est pas très fiable. Non pas, précise Kortchinsky, parce que certaines failles sont « minimisées », bien au contraire. Et de se lancer dans l’analyse de faisabilité d’un exploit portant sur une faille étiquetée « critique » dans le tout dernier bulletin Microsoft, indice d’exploitation 1 –le plus élevée sur l’échelle de Richter du Poc-. Notre chercheur s’escrime sur le code, déploie les trésors de sagacité que l’on lui connaît… en vain. Le lendemain, ledit bulletin voyait sa cote d’exploitation tomber au niveau 3, accompagné de la mention « remote code execution exploit is very unlikely », correction faite après les insistantes questions de iDefense. Des heures de travail en pure perte. La vie de forgeron du pentesting est un sacerdoce parfois bien éprouvant.
Une aventure qui remet en question la fiabilité des avis du MSRC ? Un simple « trouillomètre » dont les mesures sont liées à l’émotivité du moment ? Où, plus simplement, une erreur ponctuelle qui ne devrait pas remettre en cause le sérieux du travail effectué par les membres du MSRC. L’immense majorité des non-techniciens qui ne peuvent apprécier à leur juste mesure la subtilité et les interprétations de ces querelles d’experts, aura retenu une seule chose : Microsoft a peut-être poussé ses clients à appliquer un peu trop vite un patch qu’ils auraient éventuellement pu retarder le temps d’un test de régression. Pas de quoi fouetter un compilateur.
Microsoft se retrouve donc dans une situation à nouveau difficile à tenir. Longtemps, ses alertes de sécurité ont été systématiquement minimisées, occultées parfois. Les bugs de Windows étaient aussi officiellement inexistants que les failles exploitables dans le monde Apple. Un «négationnisme du trou » qui devait peu à peu disparaître, sous la pression des membres actifs de la liste de diffusion Full Disclosure : Liu Die Yu, http-equiv, Thor Larholm, Paul (de Greyhat) et tant d’autres. Il faudra plus de 8 ans pour retrouver une certaine confiance de la part du public, à grand renfort de blogs, de bulletins formatés, de rendez-vous fixes les seconds mardis de chaque mois, de promesses de « remise à plat » des noyaux, de politiques de développement à la sauce Software Development Lifecycle, de TPM et de trustworthy computing.
En souhaitant faire preuve d’encore plus de transparence, grâce à ce fameux indice d’exploitation, les équipes sécurité de Microsoft s’exposent une fois de plus aux critiques en cas d’erreur (humaine) de jugement. Critiques d’autant plus justifiées que, si les fausses alertes se répètent trop souvent, ces annonces pourraient provoquer un effet inverse à celui escompté. A force d’entendre crier « au loup », les vigilances s’émoussent. D’autant plus que les vigilances en question sont déjà au plus bas en temps normal. La récente affaire « conficker-downadup » a prouvé qu’au moins 40 % des grands comptes français lisaient lesdites alertes –ou respectaient lesdits avis d’urgence- d’un postérieur distrait, et ce, quelque soit le ton employé par le Microsoft Response Team.
La coupe serait pleine si, par malchance, l’un de ces indices d’exploitation « surévalué » pousse les usagers à déployer une rustine dans l’urgence et que ladite rustine provoque une régression générale. Bien que de plus en plus rare, ce genre de désagrément est déjà arrivé par le passé. Le spectre du « service pack qui tue » ou l’ombre du « correctif qui freeze » demeure encore très présent dans l’inconscient collectif des homo-informaticus.

Après une très nette baisse vers la fin des années 80, le phreacking et activités téléphoniques plus ou moins douteuses paraissent repartir de plus belle. Brian Krebs, du Washington Post, raconte l’histoire de ces trois pirates Philippins qui ont, pendant plus de trois ans, détourné à leur profit plus de 2500 PBX situés aux USA, au Canada, en Australie et en Europe. Trop souvent, ces équipements téléphoniques d’entreprise sont mal configurés, et il n’est pas très compliqué de découvrir que bon nombre d’entre eux utilisent encore les « mots de passe par défaut » figurant sur les documentations de maintenance. Chaque PBX piraté était revendu à des opérateurs de centre d’appels peu scrupuleux, pour la modique somme de 100 dollars pièce. Les premières estimations situent aux environs de 12 millions de minutes le temps de téléphone « volé » aux victimes, soit une somme proche de 56 millions de dollars. Une partie de cet argent, précise une dépêche Reuter, aurait servi à alimenter les caisses de mouvements fondamentalistes islamistes opérant dans le sud-est asiatique.

Autre mésaventure, que vient de subir Armelle Vincent, consœur journaliste correspondante aux Etats-Unis pour le compte de plusieurs magazines et journaux Français. A plusieurs reprises, raconte-t-elle dans les colonnes de Rue 89, ses appels téléphoniques passés depuis les USA à destination d’un téléphone cellulaire en Europe ont été détournés. De mystérieux correspondants font patienter la victime, dans le but probable de tirer un avantage financier lié à un appel effectué sur une ligne surfacturée. Comment, techniquement, un tel acte est possible ? Les faits sont difficiles à expliquer, d’autant plus que les indices sont minces, voir inexistants. Armelle Vincent n’a pas vérifié le montant de ses factures et ne peut assurer avec certitude qu’il s’agit d’une escroquerie. Le nom de son opérateur local est inconnu, ainsi que celui de ses correspondants –ce qui permettrait de donner quelques indices sur les « points communs » à tous ces détournements.

Richard Bejtlich sert, cette semaine, un rapide article sur quelques méthodes praticables en matière de contre-espionnage numérique. Ce sont, insiste cet expert, des mesures extrêmes, qui relèvent, pour la plupart, des prérogatives des services de police car leur mise en œuvre peut attirer sur celui qui les pratique des retours de flamme dévastateurs. Ces avertissements et conseils de prudence étant précisés, voici les X lois de la contre-intelligence selon le Tao de la Sécurité :

– Chercher à savoir qui vend, propose de vendre ou accède à vos informations. Une première recherche purement passive qui permet souvent d’établir le périmètre des dangers réels et des risques potentiels.

– Solliciter les conseils des milieux underground à propos de la sécurité de votre organisation ou de la disponibilité de vos données sur les marchés parallèles. Cette approche est, précise l’auteur, relativement dangereuse et peut attirer « un peu trop » l’attention de ladite communauté underground sur la valeur des données en question. C’est la première approche « active » de la liste.

– Pénétrer l’infrastructure de l’ennemi, une technique résolument agressive qui consiste, par exemple, à prendre le contrôle des C&C d’un botnet ou d’une salle de marché. Certains ont essayé et se sont retrouvés totalement muselés par les réactions des cybertruands. A ne pratiquer que lorsque l’on possède la puissance de feu d’un croiseur et des flingues de concours *

– Infiltrer le groupe adversaire afin de savoir ce qu’il connaît de l’organisation de la victime.

– Se faire passer pour un éminent membre de la communauté underground pour attirer à soi les « cyber-criminels » que l’on soupçonne de piratage. L’auteur précise que ce genre d’initiative est très dangereuse et ne peut se faire que sous le contrôle et la protection de la police.
Techniquement et intellectuellement parlant, cette façon de voir est proche d’une stratégie à la Sun Tzu, qui favorise l’action discrète, le rôle de l’espion sur l’échiquier des conflits, l’exploitation taoïste du « vide » qui attire l’ennemi et place le combattant en position de force. Mais il ne faut pas perdre de vue que Bejtlich est un expert dans le domaine de la protection des SI des forces de l’ordre, des infrastructures Scada… et autres organismes d’Etat peu comparables à une PME. Les techniques de contre-intelligence, surtout lorsqu’elles visent des organisations mafieuses, sont affaires de professionnels. Pour le « RSSI Français Moyen », cette même liste doit être lue précédée de la mention « A ne pratiquer sous aucun prétexte ».

*Ndlc Note de la Correctrice : « Les Tontons », Lautner/Audiard, prélude à la « scène de la cuisine ».

Depuis que cette publication s’est occultée*, le magazine Phrack ne cesse de renaître de ses cendres. Si cet ouvrage n’est plus vraiment la « référence » en matière de création d’exploits et de recherche pure en sécurité informatique, c’est toujours une publication qui séduit par son éclectisme, parfois par la qualité de ses articles de vulgarisation, toujours par la distance et la dérision qui se dégage de chacune des contributions. On ne lit pas Phrack si l’on se prend au sérieux, on ne lit pas Phrack si l’on ne s’intéresse qu’à l’élevage des buffers overflows et des failles d’I.E.8, on ne lit pas Phrack si l’on ne supporte pas les textes imprimés en Pica 12 « fixed font ».
Pris au hasard des pages, ces articles traitant :

De la constitution de portes dérobées dans un firewall Juniper

Des infections Bios rémanentes

Du développement des rootkits sur Macintosh (c’est la section « science-fiction » bien sûr… un malware, sur Apple, ça n’existe pas, çà n’existe pas)

Du temps qu’il nous reste à vivre avant qu’« ils » piratent notre cerveau

D’un keylogger « bios level » sur machine P5Q Asus et bios AMI

Et ainsi de suite, ad libitum
Exceptionnellement, ce numéro de Phrack ne contient strictement aucun hack matériel… une tradition qui se perd ? Non pas que les bidouilles des numéros passés étaient à ce point d’un intérêt fondamental, mais parce qu’il s’agissait encore de la dernière publication ayant le courage de sortir des schémas électroniques totalement réalisés en « ascii art », et nécessitant donc un effort de décryptage et de lecture aussi intense, sinon plus, que celui nécessaire à la compréhension de l’article lui-même.

*Ndlc Note de la correctrice : référence qu’il ne fallait en aucun cas manquer, en raison du cinquantenaire de la disparition de Vian, Boris, également connu sous le pseudo Vernon Sullivan, Équarrisseur de première classe puis Satrape du Collège de Pataphysique. Lequel collège fut, tout comme Phrack, occulté en 1975 pour l’éternité (sa désocultation est considérée par certains comme pure hérésie).

En simplifiant à l’extrême, BES 5.0 (BlackBerry Enterprise Server), RIM réinvente des services qui existent depuis des lustres dans le domaine des serveurs de fichiers. A commencer par une console d’administration Web unifiée, qui envoie au rancart l’ancienne application sous Win32 et ses nécessaires corvées de mise à jour. Ajoutons à cela une gestion des droits et des groupes plus « granulaire » et une architecture redondante permettant à un serveur secondaire d’assurer le rôle de serveur primaire en cas de panne ou d’immobilisation de maintenance. Autant d’améliorations visant à renforcer la sécurité structurelle et administrative des serveurs de téléphonie mobile d’entreprise.

Dans les détails, BES 5, c’est avant tout une console d’administration Web. Une console d’autant plus indispensable qu’elle autorise désormais la création de politiques de groupes ainsi que l’intégration d’un groupe d’utilisateurs dans un autre groupe. Pour qui s’est un peu frotté aux arcanes de la gestion de droit, il est clair que sans outil d’administration performant, les problèmes d’héritage de droit et de manipulation des attributs deviennent rapidement un casse-tête complexe. Outre cette adaptation particulière de ce que l’on pourrait appeler des « GPO » (politiques de groupes chez Microsoft), il est également possible désormais de nommer des administrateurs délégués chargés –sans compromission possible des niveaux hiérarchiques supérieurs- de l’administration d’une branche ou d’un département.

La constitution de ces règles, cette gestion plus évoluée est la conséquence d’une extension technique de taille : la possibilité de déployer des applications –et correctifs- en mode « push » sur l’ensemble du parc de terminaux mobiles. Or, un déploiement nécessite des outils de filtrage impitoyables. Tant pour des raisons de sécurité et de confidentialité d’accès que pour des raisons évidentes de coûts de licences et d’optimisation des ressources. Bien sûr, serait-on tenté de dire, ce filtrage des autorisations fonctionne également dans l’autre sens. Il est tout aussi possible d’interdire l’installation d’applications non autorisées par la DSI ou par le Ciso.

Pourquoi cette brusque mutation ? Principalement en raison de l’évolution du marché des téléphones portables. Longtemps, RIM a surfé sur la vague du relayage des grands serveurs de messagerie, Exchange et Notes. Des applications sérieuses qui inspiraient confiance. Mais la mode, les produits concurrents, la vague Web 2.0 et son lot d’applications participatives, le succès des messageries instantanées etc… ont conduit RIM à offrir plus que de l’échange smtp. BES supporte désormais, par exemple, le partage de fichiers et l’accès aux ressources sur les serveurs d’entreprise, la gestion des dossiers des poste client, ou les API Google Apps (notamment les agendas « cloudifiés », coqueluche des road warriors des temps modernes). De quoi, sans le secours d’une gestion des autorisations et une administration drastique des déploiements, transformer un réseau de mobile en une dangereuse infrastructure échappant à tout contrôle.

Egalement ajoutée à la version 5 –et absente de l’édition 4.1 SP6-, le fonctionnement du serveur en mode « haute disponibilité ». Il s’agit en fait d’un fonctionnement en tandem d’un serveur BES principal et d’un système secondaire, lequel, en temps normal, sert à répartir la charge de traitement et qui, en cas de détection de panne du serveur principal –par mesure d’un « heartbeat »-, prend la place du maître et s’occupe de la gestion de l’annuaire et des tâches de synchronisation. C’est l’adaptation d’une idée antique, celle de Co-standby Server ou de SFTIII. Ajoutons enfin que BlackBerry Enterprise Server 5.0 a obtenu la certification Common Criteria Evaluation Assurance Level 4 (EAL 4+), une certification qui possède au moins le mérite d’ouvrir la porte de certaines administrations.

Le DoS, ou déni de service, est une forme d’attaque d’une simplicité brutale qui consiste à interdire l’exécution d’un service ou d’un logiciel. Soit en le noyant sous un déluge d’information (attaques SynAck par exemple), soit en le tuant via une faiblesse de conception. Le Dos, en informatique, c’est le coup de Jarnac, une technique peu élégante, un acte de « script kiddy » ou d’adolescent du code, une pratique de barbare dépourvue de subtilité. Car la « belle » compromission, elle, se fait dans la discrétion absolue, l’invisibilité subtile, genre mousse et pampre, avec deux doigts d’imparfait du subjonctif et le petit doigt en l’air. En d’autres termes, un hack de qualité est un hack qui « injecte » un agent plus ou moins dormant, qui exécute à distance, qui détoure des informations à l’insu du plein gré de sa victime. Pour peu, on lui décernerait un satisfecit, on élèverait cette pratique de truand à la hauteur d’un art.

A tel point que bon nombre de bulletins d’alerte affirme qu’une vulnérabilité capable de conduire à un déni de service ne puisse mériter le qualificatif de « critique ». Seule la faille nécessitant doigté et longues recherches est promue au rang des « über failles ».

Dans la vraie vie, il en va tout autrement, nous explique RSnake, sur le blog Ha.ckers. Le déni de service, c’est la base du cracking, et la prétendue simplicité de sa mise en œuvre n’est pas le corolaire d’une efficacité amoindrie. Et, au fil d’une Ode au DoS, l’auteur nous livre quelques unes de ses idées. Un déni de service à l’encontre d’un service Web peut notamment servir à :

– Gagner du temps en interdisant à d’autres personnes de fournir une information, surenchérir lors d’une vente, répondre à un appel d’offre dans les temps impartis.

– Couper du monde des personnes en mission de toute source d’information leur permettant de prendre une décision –et ainsi de les rendre vulnérables-.

– Créer une diversion, en attirant l’attention des experts sur une attaque très visible, qui cachera d’autant mieux une injection ou une intrusion qui aurait été rapidement détectée en période de grand calme.

A ces quelques idées, les lecteurs de RSnake en ajoutent quelques autres, dont le vice qui s’en dégage mérite, pour certains, un coup de chapeau. Mais le résumé initial donne une assez bonne base de départ pour toute spéculation criminalistique. D’ailleurs, sans déni de service, comment pourrait-on conduire une attaque WiFi en « evil twin » par exemple ? Sans ce prélude, nécessaire à l’isolation des postes clients, il serait impossible de monter un faux point d’accès (Rogue A.P.). Si le déni de service n’était qu’une arme d’amateur, pour quelle raison est-il utilisé –et de façon massive- lors des grandes opérations de cyber-guerre ? En témoignent les événements d’Estonie, Géorgie ou, plus récemment, contre Charter 97, un média de Biélorussie. L’analyse technique qu’en fait Jose Nazario d’Arbor Networks montre combien ces vagues de violence binaire sont orchestrées, réfléchies et efficaces.

Le DoS contre les serveurs, c’est presque du classique. Le DoS contre les clients, voilà qui est plus original. Le Sans signale à ce sujet un article du Reg signé Dan Goodin, et qui raconte comment il serait possible de couper l’électricité à des milliers d’américains en exploitant une petite faille affectant leurs compteurs « télé-opérables ». Oh, trois fois rien… une totale absence de chiffrement et d’authentification, explique Josh Pennell, Président d’IOActive et patron du célèbre Dan Kaminsky. Cette fois, le défaut qui autorise le déni de service est la conséquence d’un déploiement trop hâtif, d’une étude mal achevée, le tout saupoudré de quelques considérations électoraliste. Détenir le pouvoir de supprimer une richesse ou de bloquer son acheminement, c’est détenir la richesse elle-même. Qu’elle se présente sous forme de gaz transporté dans un pipe-line, d’électricité régulée par des milliers de compteurs trop intelligents pour être honnêtes, ou d’informations issues d’un unique serveur ou groupe de serveurs.

La nouvelle version du navigateur porte le matricule 3.0.11 et ferme la porte à 11 vulnérabilités. Il faut avouer qu’après le « patch Tuesday » pléthorique que nous ont offert à la fois Microsoft, Apple et Adobe au milieu de la semaine passée, l’on pourrait presque ne pas remarquer cette série de rustines pourtant bien fournie. Bien fournie et nécessitant, précise la Fondation, une mise à niveau si possible rapide, compte tenu de la dangerosité et des possibilités d’exploitation probables. Notamment d’un DoS possible par corruption mémoire, d’une potentielle attaque en « race condition » et d’un risque d’exécution distante de javascript « hors contexte ». Les autres vulnérabilités sont considérées comme moins exploitables.

A toutes ces questions existentielles, les professionnels répondent soit par un attentisme prudent, soit par des conseils techniques que l’on sait limités. L’on apprend beaucoup à ce sujet en écoutant l’interview de Philippe Courtot par nos confrères du Help Net Security News. Le patron de Qualys explique comment minimiser les risques avec des solutions techniques… et parfois beaucoup de conditionnels, beaucoup de prudence. Il reste encore à ce que les différents partenaires de l’aventure Cloud, clients comme fournisseurs, s’entendent et définissent de nouvelles règles, et surtout que les mentalités évoluent, explique-t-il. Depuis toujours, les administrateurs ont considéré que la sécurité procédait d’une vision centralisatrice de l’infrastructure, seul moyen pour garantir une maîtrise des données et des processus. Et il leur est très difficile d’admettre que cette vision centralisatrice disparaît avec le cloud computing, même si le prestataire extérieur garantit un niveau de protection des informations de loin supérieur à celui en vigueur dans l’entreprise. Précisons que Qualys est une entreprise américaine, un pays vaste, un pays surtout d’où proviennent et où sont implantés les géants du cloud computing. Pour une entreprise US, bon nombre de questions que peuvent se poser les RSSI et CSO Européens sont sans objet de l’autre côté de l’Atlantique. Et notamment en terme d’extraterritorialité des données, de recours juridique, d’étendue de la juridiction policière…

Et c’est ce que l’on remarque tout au long des « success stories » que nous relate la presse américaine. Dave Keams, de Network World, en fait une sorte de recette de cuisine aussi appétissante que logique. Chiffrement, SSO, VPN, SLA… tout est histoire d’ingrédients et de bon dosage. Mais là encore, on ne parle pas de flux de données transfrontières, d’éventuels hiatus juridiques. Les experts américains demeurent à l’intérieur de l’Empire, et s’évitent ainsi bien des tracas. Plus morcelée, encore entravée par ses frontières politiques, l’Europe et ses RSSI ne peut en faire autant.

Pour Bruce Schneier, tout se résume à une question de confiance. A la rigueur, l’on est déjà obligé de « faire confiance » aux fabricants de matériels, d’équipements réseau, de logiciels, aux opérateurs télécoms… le Cloud n’est jamais qu’une extension du domaine de la confiance, qui ne se limite pas aux simples problèmes de sécurité, mais également de fiabilité, de disponibilité et de continuité du business. Cela fait beaucoup de choses d’un coup. Les sous-traitants d’externalisation qui disparaissent, çà existe… surtout en période de crise. L’Outsourcing est dans le sens de l’histoire, explique Schneier, mais ce chemin n’est pas garanti sans risque, et personne ne souhaite faire un jour partie des victimes d’un « dommage collatéral », d’un accident de parcours de l’évolution. Une vision Darwinienne intéressante qui transpose au monde informatique ce qu’est l’évolution de la vie : l’inné n’existe pas, ou n’est jamais que la traduction d’un acquis plus ancien, lui-même filtré et conservé par le temps et la disparition progressive des branches statiques. Mais toute évolution n’est pas une garantie de succès. Elle se cherche. Et c’est durant cette phase de recherche que se succèdent les essais infructueux, les essuyages de plâtres.

Encore une opinion américaine nuancée et prudente, celle d’Art Coviello, patron de RSA. Certes, en tirant le signal d’alarme de l’insécurité du Cloud, RSA/EMC prêche pour sa propre chapelle et espère vendre un peu plus de solutions de sécurité, de chiffrement, de contrôle d’accès. Mais ignorons un instant les motivations pour mieux examiner les arguments. « Enabling the “Hyper-Extended” Enterprise in the Face of Unprecedented Risk » titre une étude d’une bonne vingtaine de pages sur le sujet. « unprecedented risk », on ne peut trouver de terme si anxiogène. L’on retrouve dans cet ouvrage les conseils de prudence et de mesure du Cert IST Français. « Si nous y allons, il faut que ce soit sans précipitation » insiste le rapport. Et d’ajouter en substance « Il est souhaitable que les Ciso fassent passer ce message de modération, cette nécessaire prudence auprès de la Direction, afin que ne soit prise aucune décision hâtive qui pourrait s’avérer rapidement catastrophique ». Une seconde enquête, également commandité par RSA, révélait que sur 100 responsables Sécurité travaillant dans des entreprises dont le C.A. dépassait le milliard de dollars, près de la moitié avaient entamé un processus d’externalisation de type « cloud » (ou étaient sur le point d’en entamer un dans les 12 mois à venir), et que les deux tiers d’entre elles n’avaient défini aucune stratégie de sécurité adaptée à cette nouvelle forme de travail.

Achevons cette tournée météorologique et nuageuse avec un article –en Français- écrit par Bruno Kerouanton sur… non, pas sur son blog, mais sur le site du « club des vigilants ». « L’information n’est plus sous contrôle, Danger ! » écrit-il. Derrière le Cloud, il y a le risque d’une prise en otage des données –outils et procédures propriétaires obligent-, voir d’un véritable marchandage au plus offrant des informations qui n’auraient pas fait spécifiquement l’objet d’une clause contractuelle de protection particulière. L’on peut également ajouter à tout ceci un autre risque de dépendance, celui de l’accoutumance à l’externalisation, celui de la perte de compétence dans le domaine de la gestion des données. Or, cette compétence, même si elle coûte cher à entretenir en interne, constitue parfois la seule véritable richesse de l’entreprise. Même dans le « brick and mortar », cette richesse est de plus en plus constituée de corps de métier relevant du secteur tertiaire. La valeur d’une politique d’approvisionnement, d’un fichier client, des échanges entre fournisseurs, la qualité du « supply chain management » sont aussi importants que le produit manufacturé qui sort en fin de chaine. Et c’est cette richesse de gestion qui est le plus souvent « cloudifiée ». Le passé de l’externalisation de la production des produits manufacturés est constellé d’exemples de sous-traitants qui, du jour au lendemain, se retournent et deviennent concurrents de leurs anciens donneurs d’ordres. Cette dépossession pourrait également survenir le domaine de la gestion et du traitement de données, pour les mêmes raisons, avec les mêmes conséquences.