octobre, 2009

Chez F-Secure, le survol du trimestre est assez télégraphique. Mais les points soulignés sont importants et constituent peut-être la synthèse la plus complète et la plus objective du moment.

La première chose que fait remarquer l’éditeur d’antivirus Finlandais, c’est que le dernier trimestre sera « systèmes » ou ne sera pas. Sortie de SnowLeopard d’Apple et de Windows 7 Microsoft, propagande marketing autour du futur (et très science-fictionnesque) Google Chrome OS : l’année s’achève sur un sac de noyaux. Espérons que les vers y trouveront moins refuge. Un point important est à remarquer ; tant SnowLeopard que Windows 7 se présentent plus comme des versions « débuguées » des précédentes éditions Leopard et Vista que comme de véritables «nouvelles versions ». Chez Apple, cette super-mise à jour est vendue 30 $ en «upgrade », chez Microsoft, on fait sentir du côté du portefeuille toute la différence qu’il y a entre une « release » et une « silent release ».

Q3 fut également l’occasion de voir quelques changements du côté de la guerre des moteurs de recherche (contrat décennal Microsoft/Yahoo pour promouvoir Bing). Côté Malware, F-Secure chante un couplet sur la montée en puissance des attaques ciblant ou exploitant les réseaux sociaux ( Twitter, Facebook), et entame un long lamentoso sur les attaque par SEO (Search Engine Optimisation) en profitant des vagues de décès de quelques célébrités (Michael Jackson, Farrah Fawcett, Patrick Swayze) pour mieux vendre de l’antivirus marron. Ce même sujet fait l’objet d’un rapport détaillé de la part d’un autre professionnel de la sécurité, Finjan (voir ci-après).

L’automne, c’est la saison des « stats », des bilans, des rapports. Peu de temps avant que ne soient discutés les budgets sécurité 2010, comme par hasard. Malgré l’orientation de certaines de ces études, réalisées par des entreprises du sérail, il se dégage une certaine cohérence des observations. La crise aidant, les cybertruands deviennent plus méthodiques, plus efficaces, et surtout travaillent à plus grande échelle, quitte à abandonner du jour au lendemain une « vieille technique qui a fait ses preuves » pour une méthode plus radicale et parfois plus violente. Place aux chiffres.

C’est au cours d’une conférence de presse organisée en fin de semaine dernière qu’IBM, en la personne de Jean-Paul Ballerini, a publié les résultats de la Xforce d’ISS. Une analyse chiffrée dont les métriques sont parfois surprenantes par leur démesure : 3200 vulnérabilités déclarées durant la première moitié 2009. Un chiffre en baisse par rapport à l’an passé, mais qui masque mal une véritable montée en puissance du nombre d’exploitations, notamment des injections SQL et des attaques ActiveX. Proportionnellement parlant, précisent les bénédictins de l’ISS, 50,4% des vulnérabilités répertoriées sont celles d’applications Web. Reste que la palme de la plus belle exploitation, la plus populaire auprès des auteurs de malware, est indiscutablement celle qui tire parti d’une des nombreuses failles ayant, durant ces 6 derniers mois, affecté le format PDF.

Si l’on considère le problème sous l’angle des grandes familles de vecteur d’agression, ce sont les Troyens qui arrivent en tête, avec 55% des attaques constatées. Dans la catégorie « techniques d’exploitation, les liens Web « pourris » (redirections malignes) ont crû durant le premier semestre 2008 de plus de 508%. A noter que dans cette catégorie, de très importants changements sont survenus dans le paysage de la cyberdélinquance mondiale. Après une violente montée en puissance durant les mois de juin-juillet-août, le phishing s’est brusquement effondré, concurrencé par de nouvelles techniques d’attaques financières. Aujourd’hui, le phishing ne représente plus que 0,1% du volume de spam mondial.

D’où viennent ces failles ? D’un nombre restreint d’éditeurs affirme IBM. 24% des vulnérabilités publiées proviennent du top 10 des vendeurs de logiciels. Par ordre d’importance, Microsoft, Apple, Sun et Joomla, qui ont totalisé respectivement, tout au long de l’année 2008, 3,16, 3,04, 2,19 et 2,07% des trous de sécurité « officiels ». A noter, pour la période du premier trimestre 2009, que le tiercé gagnant était établi, dans l’ordre, par Apple (3,8%), Sun (3,6%) et Microsoft (3,1%), un renversement de tendance peut-être purement conjoncturel, mais assez surprenant pour qu’il soit mentionné.

Plus inquiétant sont les résultats du recensement des correctifs visant à colmater les failles susmentionnées. Près de 49% des vulnérabilités découvertes Q1-Q2 2009 n’étaient pas corrigées au bout des 6 mois considérés. Le « grand vainqueur » dans cette course au trou béant est la communauté Joomla, avec 80% de failles non « fixées ». Apple vient en seconde place, avec 18% de failles laissées béantes, talonné par Microsoft avec 17% de trous « connus mais non bouchés ». Il faut, comme à l’accoutumée, lire ces chiffres avec une prudence extrême. Si l’on peut affirmer sans se tromper que les applications Web 2.0 mal entretenues (Joomla) sont à coup sûr de formidables vecteurs d’infection, les 17 à 18% de trous béants chez Microsoft et Apple sont souvent des bugs soit non exploitables, soit de conséquences mineures (quoique les événements récents, IIS-ftp, smbv2, tendent à prouver le contraire).

Un dernier chiffre pour la route ? Probablement celui qui fera le plus plaisir à l’Owasp : de manière générale, les attaques se répartissent comme suit : 75% (en volume) visent les applications Web et 25% tentent de s’introduire via les « couches réseau ». Comparativement, les budgets alloués aux investissements de défense sont à 90% affectés au poste réseau et à 10% dédiés aux applications Web.

Le temps est à l’orage sur les forums d’utilisateurs Novell. Surtout depuis que « kjhurni » s’est aperçu d’une légère modification des contrats de support garantis par Novell : l’accès à la base de connaissance ainsi que l’obtention des correctifs et des services pack seront réservés à ceux qui auront souscrit un contrat de maintenance. En toutes lettres dans l’avis Novellien : « maintenance or subscription authorization will be required to access service packs and patches (excluding stand-alone security patches) for most Novell products ».

En d’autres termes, et en simplifiant à l’extrême, Novell se réserve de vendre des produits imparfaits (à l’instar de tous ses concurrents) mais, contrairement à ce qu’il est généralement d’usage, soumet la correction de ces imperfections au payement d’un abonnement. Un abonnement que l’on peut difficilement ne pas appeler « impôt annuel d’utilisation». On ne parle pas là d’interventions et développements résolvant des pannes de fonctionnement ou d’exploitation, mais bel et bien de travaux visant à réparer des vices de conception et effectuer des mises à jour. En langage de Ciso, cela se traduit par “faire de la sécurité un centre de profit”. Mais habituellement, c’est du côté de l’acheteur que l’on entend cette formule.

Ce n’est certes pas la première fois que Provoh commet de telles erreurs tant stratégiques qu’humaines*. Très rapidement, le ton monte, les esprits s’échauffent, les insultes fusent, et les premières nuances apparaissent : Ne sont concernés que les produits « non open source » et entrant dans la catégorie des logiciels « disponibles de manière générale » (autrement dits en phase de vie active). Les programmes en fin de cycle de vie voient leur correctifs et ressources libres d’accès. Ce qui ne console pas particulièrement la majorité des clients.

Il faut admettre qu’il est rare que des produits réseaux ou services complexes soient vendus sans un contrat de support. Mais le fait de lier ce contrat et la correction des bugs est un morceau difficile à avaler et une condition pouvant provoquer des situations dangereuses. « Et si, demande un intervenant, un problème dans votre mécanisme d’authentification des clients ayant souscrit ledit contrat m’interdisait l’accès aux correctifs et service-pack ? je serais automatiquement vulnérable ». D’autres encore font remarquer qu’en général, une entreprise achète un logiciel en étant en droit d’espérer acquérir un outil le plus parfait possible, et que toute correction ultérieure ne doit pas être confondue avec un contrat de maintenance, originellement destinée à assister l’usager dans le cadre de l’utilisation quotidienne dudit programme.

Excédée par tant de grogne, la Senior Vice President, Novell Services, TeleWeb and Operations monte au créneau et tente d’expliquer que ces fameux patchs et correctifs contiennent de véritables morceaux de travail et de propriété intellectuelle, et qu’il est donc logique qu’ils soient facturés. L’aplomb avec lequel tout cela est affirmé est tel que pas un membre du forum ne demande à la sémillante Senior Vice President, Novell Services, TeleWeb and Operations si les trous de sécurité préalablement inclus dans les produits contiennent aussi une propriété intellectuelle et une valeur en « heure de développement d’erreurs ».

Aux dernières nouvelles, Novell aurait légèrement fait machine arrière et accepterait de donner libre accès à sa « knowledge base ». Ce qui ne résout en aucun cas la question du payement des correctifs.

En toute logique, les clients Français ne devraient pas être touchés par cette mesure. Car l’achat d’un programme Novell quel qu’il soit, vices de fabrications y compris ne peut être soumis à la « vente liée » d’un contrat de maintenance… dont l’éventuelle souscription est laissé au libre choix du client. En attendant que ne s’enrichissent quelques avocats venus combattre de telles clauses léonines, la lecture du « forum communauté » du ci-devant numéro un des réseaux informatiques promet d’être passionnante et truffée de rebondissements

*NdC Note du Correcteur : C’est simple, j’ai une méthode bien à moi pour me souvenir des flops Novell. Denim et le départ du Docteur Schmidt (le big boss Google aujourd’hui), c’était les dents de mon petit dernier. Avec « let the plumbing down » et l’abandon « officiel » du développement de Netware. L’inutilité du 32 bits (sic) pour les serveurs d’applications, c’était la naissance de mon premier. Les multiples versions des « appwares », c’est quand j’ai connu la femme de ma vie (une scène de ménage par release de toolkit). Les danseuses technologiques telles que DigitalMe… ah, c’était en 99, l’année où on a changé de télé. C’est bête, parfois, les repères humains…

S’il est presque certain que le téléchargement d’un bêlement « staracadémicien » peut provoquer ipso facto une charge furieuse d’avocats enragés, un déluge de jugements expéditifs sans débat contradictoire et une pluie torrentielle de lourdes amendes, l’hébergement de sites mafieux et l’aide à la diffusion de codes destructeurs semblent à l’abri de telles avanies. C’est du moins ce que nous rapporte ce billet de Pierre Caron du Cert Lexsi, qui nous apprend tout des hébergeurs laxistes et du « palmarès des FAI infectieux » scrupuleusement tenus par le projet FIRE (FInd RoguE networks, découvrons des réseaux nocifs). Un projet Fire qui n’épingle au passage qu’un seul FAI français –OVH-, lequel décroche toutefois une très honorable 13ème place, avec une activité florissante dans le domaine des sites de phishing.

En tête, remarque Pierre Caron, on trouve sans surprise des hébergeurs Etatsuniens et Canadiens. Et OVH mis à part, accompagné d’un fournisseur Brésilien (9ème), il faut atteindre le 18eme rang pour trouver un Chinois suivi d’un Russe. 15 sur 17 des hébergeurs les plus faisandés au monde sont Nord Américains. Ce qui, insiste le chercheur du Lexsi, ne présume pas de la nationalité du propriétaire du site marron. Admettons. Ce qui surtout prouve que ces grands centres nerveux de l’escroquerie et des infections virales sont accessibles par les services de police de pays occidentaux, et qu’il n’y a manifestement pas de réel problème d’extraterritorialité et de frontières juridictionnelles dans des pays rongés par la corruption (entendons par là ex-URSS, Chine, ex pays d’Europe de l’Est…). Cette excuse a trop souvent été invoquée pour tenter d’expliquer les taux faramineux du spam, les records d’infections virales ou l’impunité de grands escrocs vendeurs de pilules bleues.

L’article se poursuit avec un florilège des excuses les plus consternantes données par ces hébergeurs peu pressés de balayer devant leur porte. Des propos qui ne trahissent ni la plus petite angoisse, ni franchement la peur du gendarme. Peut-être que les plus récidivistes pourraient recevoir une lettre recommandée ? Et guère plus d’ailleurs. Car le précédent McColo est là pour nous prouver que si « suspension de l’abonnement Internet » peut aussi toucher les FAI, il n’est généralement provoqué que par la communauté des autres FAI fatigués des agissements de certains, et dans des situations extrêmes. Les autorités de régulation et l’Icann ne viennent mordre l’ennemi que lorsque sa dépouille est froide.

Il reste à espérer que l’action du Fire et les billets saignants de Pierre Caron suffiront à stigmatiser les fournisseurs d’accès fautifs et les inciter à accroître leur vigilance.

Les mécanismes d’authentification login/password/signature phonique à double facteur/double réseau existent depuis déjà fort longtemps. Généralement, le « second facteur » se présente sous la forme d’une carte qui, plaquée sur le micro d’un combiné téléphonique, expédie un code à usage unique (one time password) qui sera ensuite vérifié par le serveur distant. Une version « audio » des suites de chiffres que délivrent les célèbres « token ». Nexim, pour sa part, reprend peu ou prou le même principe à une différence près : pas de carte spéciale pour le client distant. Lorsqu’un utilisateur se connecte au serveur, le mécanisme de contrôle d’accès lance deux tâches : l’une appelle le téléphone portable de l’usager, l’autre envoie une séquence sonore sur les haut-parleurs du poste-client. En récupérant l’écho de sa propre émission (après installation d’un Javascript), le serveur sait que le téléphone utilisé se trouve bien en possession de la personne qui a entré le mot de passe. C’est donc une procédure de sécurité proche des fonctions « callback » datant de la haute époque des BBS et autres serveurs RAS. Si un intrus cherche à pénétrer à l’intérieur d’un réseau ainsi protégé, il devra non seulement embobiner sa victime en déployant des prodiges d’ingénierie sociale afin de connaître son mot de passe et son login, mais en outre il lui faudra dérober –ou dupliquer- sa carte Sim. Rien d’impossible, mais cela devient tout de même un peu plus compliqué.

Histoire d’alourdir les frais généraux et la facture téléphonique de Nexim, une page de test a été créée afin de mieux comprendre le principe de fonctionnement général. Le gestionnaire d’appel et la plateforme d’authentification est commercialisée soit sous forme de service, soit sous forme d’Appliance rackable.

Pierre Polette a été nommé Président du groupe Lexsi. C’est sur la décision du fonds Argos Soditic, (majoritaire depuis septembre de l’an passé suite à une prise de participation importante) que cette nomination a été décidée. Le cabinet de conseil compte actuellement 130 collaborateurs, 600 clients et a réalisé un C.A. de 12M€ sur le dernier fiscal.

Pas content du tout, notre confrère de Mac4Ever, après qu’il ait découvert qu’Apple se permettait manifestement de communiquer les coordonnées téléphoniques des clients de l’Appstore aux développeurs des applications téléchargées. Et, pour appuyer encore ses propos, la rédaction du magazine offre un petit PoC (qui ne fonctionne qu’en Helvétie) capable précisément de dévoiler le numéro d’appel de l’heureux client.

Si la profession de « data broker » spécialisé dans la revente de fichiers téléphoniques ne connaît pratiquement aucune limite aux Etats Unis et au Canada, elle reste fortement contrôlée en Europe. Il serait d’ailleurs très intéressant de connaître la proportion de « développeurs » ainsi alimentés par Apple et ayant déposé ces fichiers à caractère privé auprès de la Cnil. Tout comme il serait intéressant de découvrir dans quel paragraphe du contrat de vente Apple prévient ses clients des libertés qu’il compte prendre avec leurs données personnelles.

En mai dernier, Apple avait déjà montré à quel point le souci de la salubrité mentale de ses clients pouvait être porté au plus haut point. A peine quatre mois plus tard, c’est sans le moindre doute un légitime désir d’améliorer les relations client-fournisseur qui incite le constructeur-éditeur à ouvrir ses fichiers à toute personne susceptible d’enrichir son catalogue d’appliquettes. Rappelons que, des années durant, le leitmotiv des campagnes Apple reposait sur la dénonciation virulente de l’hégémonisme et du bigbrotherisme de son ennemi héréditaire, Microsoft.

La vulnérabilité signalée par RIM –annonce diffusée notamment sur le site Secunia – ne fais pas partie des failles dramatiques. Il s’agit pour l’heure d’une inconsistance pouvant conduire à une possibilité d’exploitation. Un problème dans la gestion imparfaite des certificats pourrait permettre à un attaquant d’aiguiller un possesseur de Blackberry vers un site compromis en lui faisant croire qu’il navigue sur un serveur « de confiance ». L’attaque utilise comme origine un SMS ou un email contenant l’URL d’incitation. En février dernier, une preuve de faisabilité signée Moxie (stripSSL) prouvait également tromper un usager en faisant passer un serveur compromis pour un autre « certifié ». En juillet, c’était au tour d’Alexander Sotirov et de Mike Zusman de monter un « man in the middle » plus ou moins similaire, qui allait jusqu’à afficher une barre d’adresse « verte » dans le navigateur du terminal.