juillet, 2009

L’approche du 14 juillet fera-t-il augmenter les ventes de téléphones portables utilisés en guise de détonateurs à distance ? Il serait temps que les Autorités compétentes interdisent le commerce de ces dangereux accessoires, pour le plus grand bien des comptes en banque des parents.

Alors que les restrictions budgétaires vont bon train dans les principales entreprises œuvrant sur le secteur de la sécurité des S.I., le Gartner publie une étude affirmant que l’année 2008 a été plus que prospère pour les éditeurs de logiciels de sécurité. Les ventes mondiales auraient atteint 13,5 milliards de dollars, en progression de 18,6% par rapport à l’année 2007. Une demande poussée notamment par l’envolée des appliances de protection email et Web.

Parmi les principaux gagnants, c’est Symantec qui arrive en tête, et qui détiendrait « encore » 22% du gâteau mondial, et malgré une légère diminution de son emprise, puisque le groupe pesait 24% du marché deux ans auparavant.

Cette légère baisse de forme pourrait être attribuée à une brusque montée en puissance de McAfee, dont la progression en termes de ventes aurait frisé les 20,5 % en 2008. Cette « bonne santé » affichée masquerait, si l’on en croit des rumeurs insistantes, des opérations d’allègement d’effectifs importantes dans les équipes marketing et l’on parlerait même d’un éventuel rachat de l’entreprise par un Dell ou un HP-Compaq.

Si le secteur des appliances se porte comme un charme, certaines de ces passerelles se comportent encore mieux, notamment sur les créneaux des SIEM (Security Information and Event Management, +50%), du filtrage de messagerie (+37,7%) et de la protection Web (29,9%). Les segments les moins profitables ont été, contre toute attente, ceux de la protection du « endpoint » (poste de travail, appareils mobiles etc) et de la gestion des accès Web. Ce furent pourtant ceux qui firent le plus couler d’encre du côté des attachées de presse et des journalistes de la presse spécialisée.

Sous un angle géographique, sans grande surprise, ce sont les pays de l’Europe de l’Est qui ont été les investisseurs les plus actifs. Croissance principalement provoquée par la nécessité d’acquérir et d’assembler des infrastructures de défense qui n’existaient pas jusqu’à présent, et bénéficiant également d’un Euro fort par rapport au Dollar. Les parts des marchés intérieurs de l’Amérique du Nord et de l’Europe de l’Ouest demeurent toutefois prédominants, pesant respectivement 46,4 et 29,9 % du marché mondial.

L’année en cours, prévoit le Gartner, sera bien plus morose, et la croissance du secteur devrait plafonner aux environs de 9%. Une progression très nettement supérieure à celle que connaîtront les autres secteurs d’activité. A titre de comparaison, l’actuel taux de croissance de la Chine (au niveau national) est estimé à près de 7%, et passe pour l’un des plus rapides de la planète.

Cadeau empoisonné que les adresses IP réattribuées à divers hébergeurs après la fermeture du très mafieux « Russian Business Network » et de McColo. Pierre Caron du Cert Lexsi nous apprend qu’une adresse située dans ces « blocs IP » frappés d’infamie a très peu de chances de retrouver sa blancheur virginale, même après avoir changé de main. Les listes de bannissement sont promptes à être dressées, mais la procédure consistant à effacer le casier judiciaire d’une IP peut prendre des années. Avec, pour première conséquence, un anathème systématique jeté sur toute personne ayant la malchance d’hériter de l’adresse d’un ancien seigneur du spam ou d’un roi du malware. Comme le champ d’adresses IP v4 a tendance à singulièrement se restreindre, et que le passage à v6 semble encore, en 2010, aussi irréaliste qu’un scénario de science-fiction signé Van Vogt, les victimes de la « malédiction McColo » ou de la « vengeance RBN » ne sont pas prêt de disparaître. La faute à la lenteur de réaction de certains ISP, la faute surtout à de nombreux éditeurs de logiciels de sécurité dont les fichiers de paramétrage par défaut contiennent encore des listes noires ayant largement dépassé la date fraîcheur.

L’ennui, c’est que cette mésaventure que l’on pensait exceptionnelle aurait plutôt tendance à vouloir se répéter. Car en se professionnalisant, en s’internationalisant, l’industrie du malware et du spam –et par là même des hosteurs et des registrars marrons- a fait s’intensifier les contre-mesures de la FTC ou de l’Icann. Le dernier en date, trucidé par la FTC, avait pour nom 3FN. L’on ne ressent aujourd’hui qu’un certain soulagement à la seule vue de la baisse du volume de spam qu’a occasionné sa fermeture, ainsi qu’en témoigne la toute dernière analyse de Google Enterprise sur le volume mondial du spam. Qui sera le prochain ? Et surtout qui acceptera de recycler ces adresses aussi nauséabondes que des « junk bonds » glissés dans un paquet de subprimes ?

Bien que le nombre d’opérations de récupération soit en forte augmentation, les budgets attribués au poste « récupération après accident » connaîtront une croissance nulle dans les années à venir, nous apprend une étude de Symantec intitulée « Disaster Recovery Research 2009 Results: North America ». Ces statistiques Nord Américaines ont hélas peu de chances d’être à l’opposé de ce que l’on pourrait mesurer en Europe, alors que les principales lignes de crédits attribuées au secteur des TIC sont également soit gelées, soit en diminution sensible.

L’étude de Symantec, qui portait sur les avis d’un peu plus de 1500 responsables sécurité d’entreprises US de plus de 5000 employés, fait également apparaître qu’au cours des tests et simulation de PRA, 1 opération sur 4 se soldait par un échec… due soit à une perte des données sauvegardées, soit à une non reprise pure et simple du S.I.. Cette situation va en s’empirant, puisque près de 35 % des personnes interrogées avouent n’effectuer qu’un seul test par an de leur PRA, voir moins. Les raisons invoquées sont principalement liées à des restrictions budgétaires qui impactent trop lourdement le travail des employés ou les services auprès des clients.

L’efficacité des procédures, en revanche, a fait un pas de géant. Il faut en moyenne moins de 3 heures à une entreprise pour reconstituer les fonctions vitales d’un S.I. après sinistre, et 4 heures pour qu’il redevienne opérationnel. En 2008, la remise en fonctionnement des opérations de base nécessitait près de 12 heures dans la majorité des cas, et près d’un tiers des sondés pensaient que cela leur prendrait près d’un jour entier.

Depuis, bien des choses ont changé, dans les S.I. modernes. Et notamment l’arrivée de la virtualisation, qui remet en cause pas mal de pré-requis en matière de plan de reprise. 64 % des personnes interrogées dans le monde entier sont convaincues que l’avènement des VM nécessite sinon une refonte, du moins une modernisation de leurs équipements et procédures de PRA…. Mais pour l’instant, rien n’est fait, et la virtualisation n’est pas testée dans les simulations actuelles. Les raisons de cette inertie ? Toujours les mêmes : manque de personnel, de crédits, d’espace de stockage, excuses citées dans plus de la moitié des cas. 53% même invoquent l’absence d’outils de gestion de stockage. Encore plus révélateur, il semblerait que 33 % des sondés n’effectuent aucune sauvegarde des machines virtuelles.

Virtual Box, la VM « poste client » de Sun/IBM, vient de voir publier sa troisième édition. Cette version se distingue notamment par la gestion des ports USB rapides, le support du client Terminal Server (RDP), la prise en compte d’OpenGL 2.0 pour Linux, Windows et bien sûr Solaris, et de Direct3D 8 et 9 sous Windows. Les administrateurs de fermes de clients déportés (précisément via RDP par exemple) doivent savoir que Virtual Box 3.0 est désormais compatible avec les mécanismes de gestion SMP comptant jusqu’à 32 processeurs par machine d’hébergement. Comme toujours, ce programme est fourni gratuitement aux utilisateurs hors entreprise. Cette VM existe en version pour hôte sous Linux, Windows, Solaris et Macintosh sous OS/X.

On en parlait depuis plusieurs mois déjà : depuis début juillet, Vupen ouvre officiellement son service de vente d’exploits et PoCs. Ces outils de tests de pénétration sont à destination des entreprises, des sociétés de services en sécurité spécialisées dans le pentesting et éditeurs de logiciels de protection. L’offre se place plus ou moins en concurrence de Core Impact ou de Canvas, mais, précise son fondateur Chaouki Bekrar, « Nous nous distinguons des autres de bien des manières. A commencer par le fait que chacune de nos publications sont documentées, avec binaire et source, le tout accompagné d’une documentation donnant des conseils d’utilisation et une liste précise des conditions de fonctionnement, et surtout d’une indication précise de l’exploitabilité de la faille visée. En outre, nous nous attachons à survoler l’ensemble du parc logiciel. Les applications clientes, notamment, qui constituent le « gros » des vulnérabilités ciblées par les malwares, mais également les serveurs, tels que Windows, Websphere… Et tout çà dans des éditions Françaises et Européennes, ce que n’assurent pas nos concurrents »

A l’heure H du lancement du service, Vupen possède déjà une collection de près de 150 codes, stock qui s’enrichit d’une vingtaine d’exploits par mois en moyenne. L’accès au service est ouvert sur la base d’un abonnement annuel, commercialisé aux environs de 20 000 euros pour les entreprises et sociétés de sécurité, et de 50 000 euros pour les éditeurs de sécurité. La différence de prix s’explique par différence de « profondeur d’information » fournie avec chaque PoC. Dans le premier cas, la documentation s’attache à expliquer la dangerosité de l’attaque potentielle, doublée du binaire de l’exploit, de son source commenté, le tout accompagné de quelques conseils d’utilisation. Il est évident que l’usage de ces outils nécessite une compétence certaine et d’une solide expérience dans le domaine du test d’intrusion offensif.

La version éditeur bénéficie en plus d’une analyse binaire complète du PoC, des causes de vulnérabilité et des méthodes de détection envisageables. L’on se trouve donc là en présence d’une aide à la conception d’outils de détection.

Une fois par an, l’Epitech organise une sorte de « concours de piratage éthique » qui consiste à lâcher de petites équipes d’étudiants de quatrième année à la recherche de certificats cachés au fin fond des ressources d’un réseau. Car, affirment les chargés de cours de cette école, c’est en piratant que l’on parvient à comprendre les méthodes de pirates. En termes plus châtiés, les spécialistes de la sécurité diraient « c’est en effectuant des campagnes de pentesting à périodes régulières que l’on est à même d’évaluer le niveau de solidité des défenses périmétriques et internes de l’entreprise »… langue de bois ou franc-parler, le résultat et les méthodes sont les mêmes.

Mais plus intéressant encore que cette expérience formatrice, c’est que n’importe quelle entreprise peut, dans le cadre d’un contrat très précis, participer à cette expérience et ainsi bénéficier d’un audit quasi gratuit et effectué dans les règles de l’art. Parallèlement à ce concours, l’école propose aux participants d’analyser les activités de leurs filtres antiviraux afin de les aider à ajuster leurs politiques de sécurité. Les bénéficiaires réalisent une économie non négligeable, les « attaquants », quant à eux, apprennent à travailler dans des conditions réelles qui dépassent, et de très loin, le cadre restreint d’un « T.P. ».

Toute entreprise intéressée par cette offre peut contacter Arnaud Maillard. Les détails et explications relatives à cette campagne de « hacking éthique » sont disponibles sur le site de l’Epitech.

Il y a les véritables bugs qui affectent Twitter et ses services périphériques, il y a les remarques fort désobligeantes de Matthieu Suiche qui ose laisser entendre qu’un mot de passe de 4 lettres ou chiffres ne serait pas suffisant pour protéger un accès (ce qui rappelle étrangement certains propos sur la sécurité de Bluetooth), et il y a Aviv Raff, encore plus désagréable, qui vient d’ouvrir, comme promis, son « mois du bug Twitter », MoTB avec un XSS très simple visant le service bit.ly. (Corrigé après un mois et demi d’efforts de la part des concepteurs). Juillet sera chaud dans le Web deuxzéro.

Toujours dans le petit musée des horreurs « gazouillées » -puisque le mot Twitter évoque la douceur d’un chant d’oiseau- signalons ce petit développement découvert sur le forum Open Framework. Il s’agit d’un outil de capture de frappe clavier (keylogger) capable d’expédier sur Twitter les séquences interceptées. Grâce au Web 2.0, le carding vient de franchir un pas de géant.

Barnaby Jack sera interdit de conférence lors de la prochaine Black Hat 2009, annonce Juniper dans un communiqué de presse laconique. Le gourou sécurité avait initialement prévu une conférence intitulée « Jackpotting Automated Teller Machines » (faire Jackpot avec un DAB). « Faire de telles révélations avant que les fournisseurs de distributeurs aient pu corriger les failles découvertes auraient, affirme l’équipementier, exposé à un risque certains de leurs clients». Il faut avouer que les banques américaines n’ont pas besoin de çà actuellement. Tout aurait été mis en œuvre pour tenter de déployer les correctifs nécessaires avant la fin de la BH, mais en vain… Barnaby Jack ne pourra pas parler des trous de sécurité des DAB américains.

Le mois dernier, plusieurs chasseurs de virus, dont l’anglais Sophos, avait mis en évidence l’existence de troyens keyloggers découverts dans certains distributeurs. Bien évidemment, en France, pays où la sécurité bancaire fait pâlir d’envie les amateurs de la finance que sont les Helvètes, de tels défauts sont hautement improbables. Et quand bien même cela serait que nos Grands Argentiers possèdent une technique bien à eux pour faire taire toute rumeur et « patcher » d’un coup l’ensemble d’un parc de DABs, ainsi nous le rappelle cet article de Legalis.net à propos de l’affaire Humpich.

Barnaby Jack, qui ne craint pas trop la hargne des avocats du GIE Cartes Bancaires, s’était déjà illustré, lors de la BH 2006, en montrant combien il était facile de hacker des systèmes embarqués. Sa technique, fort répandue depuis grâce à des « fuzzer hardware », consistait à effectuer des intrusions dans les firmwares embarqués via les prises Jtag. Comme lesdits firmwares ne sont généralement jamais protégés en lecture par cette sorte de « port série de maintenance », ce genre de technique ouvre toutes les portes à un usager souhaitant outrepasser certaines limitations d’usage imposée par le constructeur. Du téléphone à la console de jeux, en passant par les machineries d’ascenseur ou les routeurs, tout équipement possédant l’équivalent d’un Bios dispose de ce genre de prise ou d’un point d’entrée similaire.

Le Hacker Space Festival (HSF) du tmp/lab de Vitry s’est achevé cette semaine, après 4 jours d’intenses activités. Plus de 250 inscrits, des dizaines de présentations, tables rondes ou ateliers, quelques fêtes et surtout beaucoup de travail.

Qu’est-ce que le HSF ? Essentiellement un moment de rencontre entre hackers. Mais une définition du mot hacker très étendue, non restreinte uniquement au seul domaine de la connaissance et de la maîtrise des systèmes informatiques ou des protocoles de sécurité. La définition du HSF –tout comme celle des autres « hacker space » Européens ou Nord Américains- est plus proche de ce qui aurait pu décrire un Pic de la Mirandole, un Rousseau, un D’Alembert, un D’Holbach ou tout autre esprit des Lumières. Ici, l’on se passionne pour Tout. Pour la fabrication de biodiesel et autres carburants, table de Mendeleïev en main et lunettes de protection à l’appui. Pour le « hacking du vivant », autrement dit la biologie moléculaire et l’activité des champignons, des enzymes, des bactéries et de leur rôle dans les opérations de fermentation. Pour bien sûr des activités plus classiques, tel que le pentesting des réseaux sans fil, les frameworks de test d’intrusion Open Source comme Metasploit. Pour des sujets plus ludiques également, ainsi la fabrication de A à Z d’une console de jeu Open Source à base de FPGA, intelligente… et dépourvue de DRM. HSF, ce fut également l’occasion de découvrir une foultitude de projets artistiques associant les nouvelles technologies et le graphisme, l’écriture, la musique. HSF est donc indescriptible, polymorphe, nécessairement instable en raison de son évolution permanente. On y retrouve la passion des communications qui a présidé au lancement des tous premiers BBS –une forme primitive des liaisons Internet-, l’amour de l’informatique, à des degrés oscillant entre le niveau « Microtel Club » et la thèse de troisième cycle, la passion de l’électronique –car la compréhension d’un système informatique passe nécessairement par son support physique- et surtout l’intérêt pour tout ce qui est « autre » et susceptible d’apporter un peu d’eau au moulin de la science.

Mais plus important que ces manifestations annuelles (le HSF fête son second anniversaire), la présence d’un espace permanent, le tmp/lab (http://www.tmplab.org/wiki/index.php/Main_Page) de Vitry, donne à toute personne qui en exprime le désir, la possibilité de trouver un cadre facilitant les échanges de points de vue et les réalisations. Une sorte de « club de clubs » plus orienté recherche que réalisation. Au tmp/lab, on parle avec son fer à souder, avec son compilateur, et surtout avec une écoute scrupuleuse et un respect absolu des opinions et des recherches d’autrui. Il n’y a pas de sotte passion, si ce n’est celle de ne chercher qu’à reproduire ce qui a déjà été fait sans en tirer ni enseignement ni désir d’amélioration.

Vers quoi tout cela débouche ? Ainsi qu’il était mentionné plus avant, sur des projets susceptibles de commercialisation ou de diffusion publique. Comme la plateforme de jeux ouverte, les réalisations liées à l’exploitation des énergies renouvelables ou issues de récupération, le portage d’outils d’une plateforme à l’autre ( Milkymist, ou Milkdrop sur FPGA) ou l’enrichissement des noyaux GNU Linux avec des fonctions similaires à celles intégrées à des systèmes d’exploitation commerciaux. Le seul point qui soit fortement désagréable, dans l’organisation du HSF, c’est qu’il faille attendre 360 jours avant que ne se déroule le prochain.