septembre, 2009

Cela se passera durant la fameuse –et titanesque- Smau, du 21 au 23 octobre prochain. Une conférence sécurité ? Que nenni ! Une pré-conférence, un avant-goût de ce que sera la prochaine Secure.IT 2010 qui se déroulera l’an prochain en Sardaigne. La « Preview » de Milan sera divisée en deux temps : une période de deux jours consacrés à des ateliers de formation (sécurité autour de SAP, Oracle, tests de pénétration physique…) et une série d’interventions traitant de sécurité sous OS/X (signé, l’on s’en doute, par Dino Dai Zovi), d’exploitation SAP, de menaces Web 2.0 et d’analyses de malwares. Quelques détails sur les présentations et les intervenants sont disponibles sur le site, ainsi que le calendrier des ateliers de formation.

Keylockpicking et RepPrap (imprimantes 3D) sont dans un bateau. Qu’est-ce qu’il en sort ? Une « fausse » clef capable d’ouvrir les menottes de la maréchaussée Hollandaise.

Wireshark 1.2.2 vient de sortir. Bien des failles corrigées, une mise à jour nécessaire.

Il est loin, le temps où Milipol se réduisait à quelques tables, une poignée d’exposants et de discrètes présentations sur des gilets kevlar ou des jumelles auto-stabilisées à amplificateur de lumière. Cet important rendez-vous des concepteurs d’équipements de sécurité souffle cette année ses 25 bougies, et occupe tout le bâtiment 1 du parc des expositions de la porte de Versailles. Les formulaires d’inscription sont à remplir sur le site du salon, et les journées à réserver s’étaleront du 17 au 20 novembre.

Cela n’aura échappé à personne, en passant, la « nouvelle mouture » de la loi sur la protection pénale de la propriété littéraire et artistique sur Internet institue un « délit d’incompétence technique » et de « négligence informatique » sanctionnée par une amende de 1500 euros. Entre les vendeurs de disques –qui revendiquent un « contenu artistique » (sic)- et les associations d’internautes ou de consommateurs qui crient à l’inconstitutionnalité du texte, les vivas et les lazzis ne cessent de fuser. Les uns bénissant une « loi salvatrice » qui redressera une industrie qui ne s’est jamais aussi bien portée (mais dont les ventes chutent faute de contenu de qualité), les autres dénonçant une disposition ouvrant la porte à une « triple peine » qui interdit tout recours au présumé coupable.

Réactions dubitatives également du côté de nombreux experts en sécurité, qui doutent ouvertement du pouvoir d’incitation de cette loi. Les uns voient là la promesse à un recours massif aux techniques de chiffrement, donc à l’impossibilité de poursuivre les « gros fraudeurs », ce qui aura pour résultat des condamnations massives de « petits poissons » mal informés, fort heureusement plus nombreux, dont économiquement plus rentables. Les autres prédisent la promesse d’une série de dérapages judiciaires à l’encontre d’innocentes victimes (les fameuses inculpations de grand-mères accusées de ne pas savoir configurer un serveur OpenRadius sous Korn Shell), d’autres enfin présagent un accroissement des piratages de points d’accès WiFi par les téléchargeurs compulsifs en mal de robinets à données et par voie de conséquence, une disparition des condamnations en contrefaçon compensée par une augmentation des « délits de négligence technique ».

Peu ou pas d’intervenants, en revanche, se sont prononcés sur le fond de la question, et notamment la remise en cause de la « recevabilité de la preuve » apportée par un expert indépendant. Les procès-verbaux établissant une contravention seront, à priori, établis par les experts assermentés des ayant-droits, donc juges et partie. Ce qui aura pour probable conséquence une dévalorisation très nette des véritables experts dans toutes les affaires comportant un volet lié au téléchargement illégal. Autre point très délicat, la loi a su conserver une formulation excessivement floue (surveillance des « communications électroniques ») qui laisse à ceux qui en ont la charge la possibilité de capturer et analyser tout protocole transitant sur les réseaux publics. Pour certains médias, l’on peut y voir la résurrection des cabinets noirs de Napoléon III, du Gouvernement Tiers ou du régime de Vichy réunis (trois gouvernements réputés pour leur amour des correspondances privées). Quasiment personne en revanche ne fait remarquer que la formulation du texte peut aller jusqu’à banaliser les écoutes téléphoniques VoIP (à terme, la majorité des conversations entre particuliers et entreprises, hors réseaux militaires, policiers et d’Etat). Et ce n’est là qu’un exemple parmi les quelques 1024 protocoles serveurs dénombrés par le Iana. En faisant « passer » cette loi-prétexte, les députés ont implicitement travaillé à la préparation de terrain nécessaire à l’adoption de la Loppsi (Loi d’Orientation et de Programmation pour la Sécurité Intérieure –Lopsi 2 ou Lopsi 2009) : captation des données à distance (virus mouchards et spywares d’Etat), géolocalisation des internautes, censure de sites sur opinion du Ministère de l’Intérieur, obligation de filtrage par les FAI… des dispositions musclées qui n’auraient pas eu l’ombre d’une chance de passer si le précédent Hadopi n’en avait pas déjà fait le lit.

Le traditionnel rapport « Top Cyber Security Risks » du Sans vient de paraître une nouvelle fois. Et une nouvelle fois, la palme du nombre de vulnérabilités le plus important est décrochée par les applications (dont les applications Web), les bibliothèques système et les couches de transport. Les failles réseau et assimilées sont en queue de peloton. Ces statistiques sont le fruit d’une collecte –celle réalisée par le réseau d’appliances IPS de Tipping Point, les métriques vulnérabilité de Qualys et l’analyse des chercheurs du Sans.

Si l’on devait résumer par un mot cet imposant rapport, ce serait « encore ». Encore les vieilles vulnérabilités applicatives non « patchées » sur les postes clients – trous Acrobat ou Quicktime-. Encore les failles Web, qui comptent pour 60% des attaques recensées sur Internet. Encore trop de « Zero Day ». Et encore des failles dangereuses dans les systèmes d’exploitation qui, malgré les efforts de leurs éditeurs, sont toujours entâchés d’erreurs. L’on se souvient des ravages de Conficker, on parle peut-être moins de la formidable (+90%) vague d’attaques en Buffer Overflow qui a submergé les systèmes connectés à Internet de mai à août dernier.

Le rapport du Sans prend pourtant cette année quelques couleurs, avec une foultitude de graphiques, de camemberts, de schémas et de courbes, les uns donnant le biorythme d’une activité virale, les autres comptabilisant les attaques par pays et par type de vulnérabilités visées (soyons rassurés, les USA écopent au moins de 98% de cette mitraille d’appontage et de ces coups de canon à démâter). 25 pages-écran de statistiques dans l’ensemble peu optimistes, 25 raisons de ne pas passer à côté de l’un des bilans vulnérabilité le plus objectif qui soit.

La semaine prochaine, du 23 au 25 septembre, se tiendra VB2009, cycle de conférences annuel et itinérant organisé par le magazine Virus Bulletin. La manifestation siégera dans les salons de l’hôtel Crown Plazza de Genève. C’est la première fois, depuis sa création, que cet évènement se déroule si près des frontières Françaises. Les éditions européennes sont d’ailleurs relativement rares. Le programme réunit –outre quelques têtes très connues, tel Pascal Lointier, du Clusif, ou Guillaume Lovet de Fortinet- une impressionnante brochette de chasseurs de virus, d’analystes de botnets, d’observateurs des réseaux mafieux et de spécialistes du désassemblage de code. La rédaction de CNIS couvrira l’évènement durant tout son déroulement. Les inscriptions de dernière minute peuvent s’effectuer par fax ou par téléphone en se reportant aux indications fournies sur le site du Virus Bulletin.

La faille Windows smbV2 « non corrigée » est exploitable à distance sous Vista, affirme Kostya Kortchinsky au fil de son blog Expert : Miami. Sans « out of band », cette faille pourrait bien tourner à l’aigre.

Auditer la sécurité d’un processus de développement en 3 minutes et économiser les milliers de dollars que coûte Cobit ? Il suffit de répondre au questionnaire en 12 points de Thomas Ptacek, de Matasano. Attention, sujet épineux.

Il pourrait porter le titre d’un tube des Beach Boys, ce superbe hack de Andrea Barisani et Daniele Bianco. Ces deux transalpins, déjà connus pour avoir réalisé une attaque « MIM » sur des informations RDS, ont remis au goût du jour une vieille technique d’écoute à distance, longtemps utilisée tant par le KGB que par la CIA aux grandes heures de la Guerre Froide. C’est le « coup de la détection microphonique à l’aide d’un laser ».

Les détails techniques publiés par les chercheurs et dévoilés à l’occasion de la dernière Black Hat portent en fait sur deux genres d’attaques. La première, très classique, consiste à mesurer les rayonnements électromagnétiques émis par les claviers de type « connecteur PS/2 » et qui peuvent se promener sur tout le réseau électrique environnant. Jusque là, rien de très transcendant puisque les « claviers PS/2 » ont tendance à disparaître au profit des IHM sur bus USB (nettement moins bruyant) et que n’importe quel apprenti électricien peut, à l’aide d’un tore ou bâtonnet de ferrite, confectionner une self de choke avec ledit câble, bloquant ainsi tout rayonnement et risque d’écoute.

La seconde technique, en revanche, est bien plus amusante. Elle consiste à « écouter » la modulation d’un faisceau laser incident pointé sur la carcasse d’un ordinateur portable. L’on fabrique de nos jours de forts petits lasers à longue portée, ne travaillant pas dans le domaine du visible, et qui, affirment Barisani et Bianco, se réfléchissent très bien sur le miroir constitué par le logo généralement très brillant du logo de l’ordinateur. Dell, Toshiba, Asus sont des spécialistes du genre. IBM risque de poser quelques difficultés.

En récupérant le signal incident, nos hackers peuvent écouter les vibrations des touches frappées par la personne espionnée. Certaines touches ont un bruit caractéristique : retour chariot, barre d’espace… pour les autres, c’est un peu plus compliqué. Il faut alors avoir recours à une forme d’attaque par dictionnaire se basant sur le nombre de lettres que comporte chaque mot, sur une analyse heuristique et sémiologique de la longueur des phrases, sur une association entre les règles d’analyse des séquences et les échos vibrants que diffusent le clavier sur l’ensemble de la carcasse de la machine… une sorte de « super T9 » en quelque sorte.

Déjà, dans les années 50 et 60, les barbouzes américaines et soviétiques s’écoutaient mutuellement en utilisant cette même technique pour « écouter » les vibrations des vitres provoquées par les conversations de « l’ennemi ». Combien de carreaux d’ambassades et de vasistas de consulats ont été ainsi balayés par des pinceaux lumineux cohérents… l’expérience peut même être réalisée avec peu de moyens. En recouvrant le haut-parleur d’un poste radio d’une feuille de plastique réfléchissante et en pointant un laser sur ladite feuille, l’on récupère un signal modulé en amplitude récupérable des centaines de mètres plus loin grâce à un simple phototransistor.

A moins de ne plus travailler qu’avec des claviers en gomme récupérés sur d’antiques TO-7 ou de dactylographier un email qu’assis sur une machine à laver branchée en permanence sur le programme « essorage », cette attaque est imparable. Elle impose cependant quelques contraintes spatiales liées au trajet lumineux… une chaise, un rideau, un changement de position de la machine espionnée interrompt immédiatement l’écoute.