novembre, 2009

FortiGate commercialise un nouvel UTM référencé 1240B. Cet appliance ffiche un débit de 40 Gbps en mode pare-feu et de 16 Gbps en mode VPN IPSec, avec 40 ports GbE dont 38 sont accélérés par des processeurs ASIC. La capacité annoncée approcherait 2 millions de sessions simultanées.

Le LHC de Ferney-Voltaire aurait, une fois de plus, été arrêté, suite à une panne provoquée par un… morceau de pain perdu par un oiseau survolant le site, nous apprend le Reg. L’accélérateur franco-suisse est gardé jour et nuit par une armée de vigiles et même quelques douaniers. Un couple de rapaces (munis de leurs passeports biométrique) pourrait peut-être éviter que se renouvelle une telle mésaventure.

En une minute, Markus Ranum explique sur Youtube tout ce que l’on doit savoir à propos de la sécurité du cloud computing. RSSI sérieux s’abstenir.

Firefox 3 .6 Beta 1 est disponible en téléchargement sur le site de la fondation. Une liste des nouvelles fonctions –et surtout des améliorations en terme de sécurité- à lire sur le blog de Tristan Nitot.

Lose/lose sur Macintosh, nous explique Laurent Heslault, Directeur des Technologies de Sécurité chez Symantec, est un jeu d’un genre nouveau. Derrière un jeu très classique de Space Invader se cache une espèce de partie de poker menteur : chaque vaisseau extra-terrestre abattu provoque irrémédiablement l’effacement d’un fichier situé sur le disque local. L’utilisateur est prévenu dès sont entrée sur la page de téléchargement, il ne s’agit pas d’un virus, mais d’une sorte de roulette russe : pas de propagation maligne, pas de « faux jeu cachant un code destructeur », mais simplement un programme divertissant cherchant à montrer à quel point est relatif l’attachement que nous-autres, informatisés, pouvons témoigner à l’égard de nos richesses numérique face à la promesse d’un bon moment de défoulement.

La célèbre Gigabyte en décembre 2003, peu avant son arrestation, avait pondu un petit programme fonctionnant à l’inverse de celui susmentionné. Des têtes de Graham Clueley défilaient à l’écran et le joueur devait bombarder le valeureux Dir-Com de Sophos avec des tartes à la crème. Probable influence du Gloupier, aussi Belge que Gigabyte. Chaque tête manquée provoquait l’installation d’une instance de virus – Qizy worm -. La partie terminée, une série de questions de rattrapage était posée au joueur et un « sans faute » nettoyait le disque dur de toute infection. Encore fallait-il tout connaître du langage utilisé par Gigabyte pour écrire le PoC Parrot, la disposition du clavier Belge ou, dans la série « Buffy », le nom du vampire ayant un circuit intégré dans le crâne ( Spike, alias William le Sanglant). Après de nombreuses enquêtes, personne, à la rédaction de CNIS, n’a pu retrouver la trace d’une seule personne infectée par ledit Qizy. Fait d’autant moins surprenant que ledit virus n’a jamais été diffusé « dans la nature » et n’a été communiqué qu’aux laboratoires d’analyse virale (dont celui de Sophos). L’affaire, comme tous ces « jeux viraux », amuse les hackers et excite les éditeurs d’A.V.

Une fois de plus, Bob Graham attrape un coup de sang. Car en lisant PC-World et en apprenant l’existence du logiciel (gratuit) Connectify, il réalise que n’importe quelle station de travail Windows 7 peut jouer le rôle de point d’accès pirate (rogue A.P. en langage wifiste). Graham explique d’ailleurs, au fil d’un pas à pas fort clair, comment combiner plusieurs cartes virtuelles pour réaliser un véritable réseau de proximité. Un réseau destiné à connecter les multiples accessoires 802.11 qui entourent un poste de travail : PDA, lecteurs MP3 perfectionnés, téléphones de nouvelle génération… en somme, tout équipement utilisant un brin WiFi pour se synchroniser ou accéder au Wan par le truchement du partage de connexion Internet (ICS). Une sorte de Bluetooth longue distance, en quelques sortes.

L’utilitaire Connectify, quand à lui, va un peu plus loin, puisqu’il autorise l’application d’ICS sur certaines cartes et adaptateurs USB 3G, afin de pouvoir partager un accès Internet par téléphone sans-fil (fonction de « proxy » que bon nombre d’opérateurs tentent désespérément d’interdire).

Ce Virtual Wifi là n’est pas une idée nouvelle. Elle remonte même à octobre 2005, date à laquelle Microsoft annonce son existence, idée développée en collaboration avec l’université de Cornell. Le but de Virtual WiFi était alors d’inventer une couche de transport intégrant des fonctions « Mesh ». Un véritable Mesh, autrement dit une infrastructure constituée de nœuds réseau capables de jouer indifféremment le rôle de carte client, éventuellement de point d’accès, et surtout de transpondeur. La notion de transpondeur est peu connue dans le domaine des réseaux sans-fil. Elle permet à une station très éloignée de son point d’accès légitime (en d’autres termes de l’A.P. appartenant à un même réseau caractérisé par un SSID commun) d’utiliser n’importe quelle carte WiFi passant à sa portée pour que celle-ci lui serve de réémetteur. Y compris si cette carte n’appartient pas au réseau concerné et travaille avec un tout autre SSID. Le tout, bien entendu, sans qu’il soit possible à l’intermédiaire de déchiffrer le contenu des datagrammes.

L’on comprend donc que le principal écueil dans l’établissement d’un réseau de type mesh, ne soit pas simplement une question de drivers ou d’écriture d’un mode « passerelle ». C’est surtout la conception d’un protocole de routage très particulier, capable d’établir une route géographique en fonction d’un chemin radio sujet aux aléas de la propagation des ondes. De tels protocoles existent depuis l’aube des années 80 ( RSPF notamment, une sorte de RIP radio) mais jamais appliqués aux communications Wifi… tant que les principaux opérateurs de services voyaient leurs revenus s’accroître en vendant de la communication facturée à la minute, il n’y avait strictement aucune chance pour qu’un médium grand-public potentiellement gratuit voit le jour.

Ce n’est peut-être plus le cas aujourd’hui. Le « poids » des liaisons binaires commence à peser lourd dans la gestion de la bande passante des opérateurs de téléphonie. Surtout depuis la généralisation des forfaits « Internet Illimité ». Un mécanisme de délestage des liens GSM pourrait séduire plus d’un Orange ou Bouygues. Surtout si cet outil de délestage est exploitable par les smartphone dotés de WiFi, capables d’emprunter un « wormhole » 802.11 (même si celui-ci parcours un trajet un peu alambiqué). Dans ce genre d’architecture et de « dérivation de trafic » capable d’utiliser un chemin en fonction d’un routage LCR (least cost routing), l’on retrouve une partie des travaux de Joseph Mitola et de sa conception des réseaux cognitifs.

Pour l’heure, la couche Virtual WiFi de Windows 7 est incapable de gérer des demandes de type « packet transponder » (ou digipeating) chiffré et appartenant à un autre réseau que ceux pour lequel il a été configuré. Mais le socle de développement est là, solidement intégré, et vieux déjà de plus de 5 ans. Le programme Connectify, quand à lui, tente de corriger les principaux défauts qui entachaient les développements de Cornell en 2005. A commencer par l’indigence des types de cartes prises en compte.

Est-il nécessaire de préciser que Virtual WiFi peut offrir une foultitude de possibilités aux chercheurs sécurité. C’est à la fois un outil capable de simuler un foisonnement de cartes 802.11 (un « véritable » FakeAP, parade potentielle aux attaques en wardriving), un accessoire très probablement utilisable dans le cadre d’une attaque MIM, un outil de segmentation propice à cacher des périphériques sans-fil que l’on ne souhaite pas voir apparaître sur l’écran d’un sniffer… et ainsi de suite, ad libitum.

OpenWRT est un firmware d’une puissance remarquable. Il offre, une fois installé sur un routeur WiFi grand public généralement vendu aux environs de 40 euros, les fonctions d’un équipement haut de gamme commercialisé aux environs de 600 à 1000 euros. QoS, gestion des VPN, prise en compte et administration de Vlan, multiples serveurs DHCP, administration fine des règles de filtrage via IPtable… Las, l’interface d’OpenWRT est, c’est le moins qu’on puisse dire, relativement spartiate. Un concours a donc été lancé par Ubiquiti Network pour encourager le développement d’une interface d’administration graphique. Le résultat vient d’être rendu public : c’est Netshe et PyCi qui remportent ex-æquo la première place. OpenNet obtient le second prix, mais ne doit pas être vu comme un participant de « moindre qualité ». Ce développement est complémentaire des deux autres, et sert à pouvoir déployer et administrer à distance un réseau complexe de routeurs sans-fil. C’est donc plus une console d’infrastructure.

3Com est « enfin » racheté. Par HP, pour un montant de 2,7 milliards de dollars, nous apprend le communiqué de presse officiel. En juin dernier, 3Com avait reçu une offre de 2,2 milliards de dollars de la part de son concurrent Huawei et d’un groupe d’investissements, Bain Capital Partners. L’affaire n’avait pas été conclue en raison d’un avis négatif du Committee on Foreign Investment in the United States (CFIUS). C’est ce même comité qui avait fait en sorte, en 2006, que l’Israélien Checkpoint ne puisse acquérir SourceFire.
Avec cette opération, HP transforme plusieurs essais. Il élimine un concurrent sur le marché de la commutation –une grande partie des catalogues respectifs des deux entreprises s’adressent aux mêmes clients- et récupère une ligne de produits qui lui faisait défaut –dans le secteur haut de gamme pour opérateurs-, les routeurs multiservices MSR, un secteur essentiellement occupé par Cisco. Enfin, HP récupère dans la corbeille de mariage la société satellite TippingPoint, et renforce du coup sa présence sur le marché de la sécurité tout en récupérant un confortable thésaurus de vulnérabilités glanées jour après jour par le biais de la branche « Zero Day Initiative ».

Une émission de TV américaine, signée CBS, soulève des tempêtes de billets sur les blogs sécurité. L’émission en question se penchait sur les différentes pannes qui ont affecté le réseau électrique Brésilien et plongé Rio de Janeiro dans le noir en 2005 et 2007. La faute, affirme l’équipe de reportage, aux méchants hackers qui s’en sont pris à une infrastructure Scada.

Les hackers ? S’étonne Wired. Que nenni ! la panne a été provoquée par une mise à la terre franche et massive des lignes haute tension, par simple effet d’écoulement de l’électricité sur les isolateurs. Des isolateurs sérieusement pollués et recouverts de suie, suie elle-même produite par différents incendies et feux de broussailles. La pluviométrie faible de ces dernières années n’aurait pas permis un nettoyage naturel desdits isolateurs. Robert Graham, d’Errata Security, n’en décolère pas : Les pannes Brésiliennes n’ont PAS été provoquées par des hackers titre-t-il. Il arrive que des ordinateurs tombent en panne sans la présence de cyberterroristes, et une coupure de réseaux (la chose s’est déjà produite) peut fort bien être le fait d’employés indélicats, explique-t-il en substance. Et de reprendre les propos de Wired, tout en établissant un parallèle historique : les pirates du Brésil, ce sont les sorcières de Salem, des prétextes forts pratiques pour justifier une intensification des flicages d’Internet et un renforcement des contrôles policiers.

Même Schneier émet de sérieux doutes quant à la probabilité d’un hack concerté des infrastructures électriques du Brésil, et rappelle, l’air de rien, que la rumeur a également été colportée par le Président Obama, lors de son discours sur la cybersécurité. Il n’est pas de meilleure invocation que celles des millions de pédophiles, escrocs, terroristes, pirates sanguinaires assassins de labels musicaux et cybernihilistes lorsqu’un gouvernement cherche à justifier une Loppsi ou un Hadopi quelconque.

Seul Richard Beijtlich -précisément un spécialiste des infrastructures sécuritaires gouvernementales-, prend la défense de ce bidonnage d’information. Certes, dit-il, l’on peut douter avec raison de l’existence de ces pirates-prétextes et hackers-épouvantails. Mais cela ne remet pas en cause le fait que les infrastructures Scada du monde occidental sont toutes relativement fragiles. Et de recommander la lecture du rapport Grumann traitant des efforts de cybermilitarisation fournis par la Chine. Qui dit cyberguerre pense immédiatement attaque des infrastructures de communication et d’alimentation en flux (eau, électricité, gaz, transports…), et si l’on a tendance à exagérer le rôle des hackers « noirs », semble dire Bejtlich, l’on sous-estime grandement la dangerosité réelle constituée par une menace véritablement militaire.

Seulement voilà : lorsque se détecte une vague de tentatives d’intrusion semblant orchestrée par un pays étranger, il n’est diplomatiquement pas correct d’en parler publiquement. Ce qui coupe toute possibilité d’utiliser ces attaques comme prétexte –comme déclencheur- à une véritable politique de sécurisation des infrastructures. Le « hacker noir » a ceci de plus pratique qu’il ne peut être situé de manière précise, qu’il ne dispose pas d’un siège aux Nations Unies, qu’il ne possède aucune ambassade, qu’il ne promet aucun marché juteux dans les secteurs de l’avionique, du nucléaire ou des équipements téléphoniques.

Reste à espérer que l’invocation de ces hackers providentiels semble jusqu’à présent essentiellement employée pour promulguer des lois visant à restreindre, à entraver les usagers légitimes d’Internet, à accroître les contrôles policiers sur tout ce qui touche à l’économie numérique. Les grands chantiers de protection Scada sont, quand à eux, relativement négligés, l’échéance d’une éventuelle menace dépassant probablement les échéances électorales.

Double reboot pour les usagers de Vista. Ce mois-ci, le patch Tuesday, s’il n’est pas aussi pléthorique que celui d’octobre, n’en est pas moins sérieux. Trois bulletins -63, 64 et 66- sont des portes ouvertes à l’injection de paquets, voir à la prise de contrôle à distance totale. L’indice de dangerosité, publié comme chaque mois par le MSRC, précise que la sévérité des failles est très élevée pour ce qui concerne 3 alertes, et les possibilités d’exploitation fortement probables dans trois cas également.

MS09-063concerne les services système de Vista et 2008. C’est l’un des (rares, précise Microsoft) bugs qui affecte la partie « totalement réécrite » de la nouvelle génération des systèmes d’exploitation. MS09-064 affecte le License Logging Service de Windows 2000 servers (exploitable à distance également), et MS09-066 pourrait être utilisé dans le cadre d’une attaque en déni de service visant les contrôleurs de domaines ADS. Un mois essentiellement « failles serveurs » donc.

Côté stations, MS09-065 est un défaut « noyau » pouvant être exploité via une page Web ou un document Office forgé (gestion des fontes de caractère OpenType). Attaque pouvant conduire à une prise de contrôle totale de la station compromise. Seules les dernières versions du système –Seven et 2008 R2- ne seraient pas concernées. La rustine en question corrige également un défaut pouvant servir à une élévation de privilège. MS09-067 et MS09-068 corrigent deux trous de sécurité Office, respectivement dans Excel et Word, tant sur plateforme Windows que sous environnement Macintosh.