décembre, 2011

Rendons à Brian Krebs ce qui lui appartient. Début décembre, le journaliste pourfendeur de cyberescrocs signale l’existence d’un site Russe capable de désigner les adresses IP des principaux internautes fervents pratiquants du téléchargement illégal. Slate s’empare de l’affaire, raconte comment un blogueur Français, Nicolas Perrier, s’aperçoit grâce à cet outil humoristique, que les adresses de l’Elysée ressortent en bonne place dans le palmarès des meilleurs pirates d’œuvres n’appartenant pas au domaine public. Probablement une erreur de contenu, ou un mauvais intitulé d’un flux vidéo provenant d’une caméra « de vidéoprotection ».

Certes, l’Elysée dément. Mais ne va pas jusqu’à affirmer que l’adressage IP associé à une identité est une fumisterie… ce qui contredirait la Commission Hadopi. Une attitude cependant contraire à ce que soutient mordicus le Quai d’Orsay lorsque l’on parle de cyberguerre, d’APT et de piratage semblant provenir de Chine : pour des raisons diplomatiques et techniques incontestables, il est strictement impossible d’associer une adresse IP à une personne ou à un pays, même lorsque ces « traces » peuvent se compter par milliers, voire par millions.

Il semble, cette fois, ne pas y avoir le moindre maillon faible, la loi du plus fort prévalant : tant qu’un numéro IP est associé à un flux P2P ET qu’il est situé à l’intérieur des frontières ET qu’il n’appartient ni à un commissariat de police, ni à une préfecture, ni à une quelconque branche dépendant de la Présidence de la République, alors son possesseur est passible de poursuites n’engageant pas la présence ou la décision d’un juge d’instruction. En outre, le recours devant la commission, semble le souligner une question du Député Christian Paul (publiée par nos confrères de PC-Inpact, http://www.pcinpact.com/news/67788-abonnes-province-christian-paul-frederic-mit.htm) serait une procédure soumise à des appréciations qui sembleraient contraires à la notion d’égalité de traitement des justiciables par l’Hadopi. Il serait peut-être nécessaire que ces quelques très rares exceptions à cette loi d’exception soient précisées clairement dans l’intitulé du texte.

Le bruit a tout d’abord couru sur les « mailing lists » spécialisées et fait l’objet de quelques entrefilets dans la presse anglo-saxonne : l’armée Iranienne serait parvenue à récupérer « sans crash » ni violence, un drone de l’armée US. La séquence vidéo hébergée par nos confrères de la BBC montre un officier de l’armée Iranienne inspectant un drone manifestement en bon état, exposé tel un trophée aux yeux des téléspectateurs. L’on peut noter que le dessous de l’appareil n’est pas visible et que le train semble être rentré. Si l’on écarte l’hypothèse d’une attaque aérienne (qui aurait probablement laissé quelques traces d’impact sur le fuselage) il ne restait que deux hypothèses techniques : soit une perturbation électromagnétique déstabilisant l’électronique de bord, soit une attaque « man in the middle » visant le système de navigation ou d’altimétrie.

La première hypothèse, peu probable, aurait eu pour conséquence soit une mise en « mode autonome » du drone, soit son crash. La seconde possibilité semble la plus probable. Selon le Christian Science Monitor,, la récupération de l’aile volante de type RQ-170 aurait été possible grâce à une variante de l’attaque en « evil twin », le jumeau maléfique si utile en attaque WiFi et ayant pour fonction de fournir de fausses données cartographique GPS au drone. Il est probable que cette attaque n’ait pas porté sur l’ensemble du flux de géopositionnement de l’appareil, mais seulement sur ses données altimétriques, ce qui expliquerait la façon dont est exposé l’appareil capturé.

Le maillon faible, une fois de plus, provient donc de l’absence de chiffrage « de haut niveau » des données descendantes provenant d’un satellite. Rappelons que, déjà, des images prises par des drones sur le théâtre Afghan avaient pu être récupérées pour les mêmes raisons : absence de chiffrement des liaisons vidéo entre le drone, le satellite relais et la station terrestre de commandement. La technique d’attaque « man in the middle » depuis la liaison descendante est un classique ayant fait l’objet de nombreuses publications. Le drone est aussi inviolable qu’un passeport Français. Ce qui n’est pas le cas des éléments périphériques qui sont nécessaires à son fonctionnement.

« Ah, qu’il est difficile de bâtir un état policier » aurait rétorqué fielleusement une Laurence Boccolini virtuelle. Car si l’on en croit nos confrères du Parisien, du Figaro, de 20 minutes, de l’Express, de France TV Info pour n’en citer que quelques-uns, le « super passeport inviolable biométrique que même les méchants pirates informatiques ne peuvent compromettre » se falsifie à tour de bras dans les locaux des préfectures de France. Dans quelles proportions ? Entre quelques milliers et 10% des documents délivrés (chiffres avancés sans véritable preuve ou enquête sérieuse). Les données sont aussi vagues et les chiffre avancés aussi « estimés » que l’annonce est anxiogène.

Encore un coup des hackers de RFID ? Une sale blague des truands du « remote exploit » sur les ordinateurs du Ministère de l’Intérieur ? Un fric-frac à l’italienne qui a compromis les stocks des imprimeries hyper-gardées chargées de la production de ces documents de voyage ? Que nenni ! Car pour obtenir une telle pièce d’identité officielle, il suffit d’un extrait d’acte de naissance, papier qui s’obtient généralement par simple demande téléphonique ou par Internet. Le « maillon faible », c’est l’administration elle-même. Une administration qui n’y peut rien et qui se trouve confrontée à un problème déterministe digne d’un sujet du bac : doit-on prouver son identité lors de la demande d’un justificatif d’identité destiné à fabriquer un justificatif d’identité ? Face à un tel dilemme administrativo-cornéliano-policier, l’âne de Buridan et le rasoir d’Occam peut aller se rhabiller.

Du coup,des « milliers de vrai-faux passeports » auraient été délivrés pour le compte « d’étrangers en situation irrégulière, escrocs » et autres malandrins. La surprise est de taille !

Enfin, pas tout à fait. Ne sont surpris que quelques journalistes de la presse généraliste. La fabrication des vrai-faux passeports est une science typiquement française. Parfois d’origine mafieuse (ainsi le faisait remarquer notre confrère Bakchich il y a pratiquement 3 ans (http://www.bakchich.info/france/2009/01/15/comment-on-fabrique-de-vrais-faux-papiers-dans-les-arriere-cuisines-du-milieu-54495), démontant pièce par pièce la procédure utilisée), parfois d’origine plus ou moins officieuse et franchement politique (http://www.lexpress.fr/actualite/societe/justice/la-cavale-d-un-agent-double_476092.html) comme nous le rappellent les archives de la presse des années 86 (dont cet article synthétique de nos confrères de l’Express), parfois encore totalement historique (http://fr.wikipedia.org/wiki/Pierre_Kahn-Farelle). La fabrication des faux papiers officiellement validés par les Préfecture est, en France, plus qu’une tradition. C’est une référence culturelle, un patrimoine génétique du pays pétri d’encrage de Mariannes en patatogravure « taille douce ». Tenter d’interdire ce genre de filière est aussi vain que de prétendre développer un algorithme de chiffrement éternellement inviolable ou espérer que l’Etat et la Police seront toujours garants des libertés de pensée ou d’action. Ce serait oublier un passé encore récent.

A moins que… A moins que cette « révélation » soit une manière détournée, une « fuite orchestrée » visant à justifier un autre train de mesures législatives venant renforcer les « lois sur l’usurpation d’identité» déjà prévues par la Loppsi. Mais ce serait franchement médire.

« Elle » est enfin bouchée, la faille Duqu. Après deux mois d’existence officielle (mais peut-être plus de manière clandestine), cette vulnérabilité exploitée par un espionniciel est corrigée alors que les administrateurs dudit virus ont déjà plié bagage. Un résumé des fonctions de DuQu est toujours disponible sur le site de Dell/Secureworks. Mais le « mardi des rustines » de décembre ne se limite pas à ce seul bouchon. Duqu non compris, le lot de rustines de ce mois-ci met fin à l’existence de trois trous exploitables : MS11-087, MS11-090 et MS11-092, l’un se situant dans t2embed.dll qui est dépendant de la gestion des fontes Truetype (Duqu), les autres corrigent des hiatus découverts activeX et Windows Media Player. Tous les détails sur ces colmatages et sur les 11 autres défauts sont à découvrir sur le Technet. Le bulletin du Sans est particulièrement carmin (http://isc.sans.edu/diary/December+2011+Microsoft+Black+Tuesday+Summary/12193) ce mois-ci. Ajoutons, pour clore le chapitre Microsoft, que le blog du Response Team publie sa traditionnelle rétrospective analysant la criticité des failles de l’année, et compare le résultat 2011 avec ceux des années précédentes. Les trous les plus exploitables sont en nette diminution, dépassant à peine le seuil des 30 % (le niveau le plus haut a été mesuré en 2006, avec près de 62 % de trous critiques sur l’année). L’appréciation de la dangerosité sera toujours un sujet de discussions byzantines. Pour les ingénieurs de Redmond, n’est critique qu’un défaut exploitable à distance… et seulement important (près de 65 % des failles cette année) lorsqu’il nécessite par exemple une « interaction avec l’utilisateur ». Rappelons que des fléaux comme Iloveyou exploitaient un défaut qui nécessitait aussi une interaction avec l’utilisateur.

Comme à l’accoutumé, Adobe publie également ses lots de correctifs le second mardi de chaque mois. Correctifs en grande partie fonctionnels d’ailleurs. Un seul trou de sécurité est colmaté dans Java 6 mise à jour 30…

Bruce Schneier parle un peu moins de poulpes et un peu plus de sécurité ces derniers temps. Et vient de signer un tout petit article qui, en moins de 6 lignes, rappelle que les industriels Européens ont toutes les raisons légitimes de se méfier des conséquences du Patriot Act, ce blanc-seing de la Maison Blanche qui permet, sous prétexte de chasse au terrorisme, de fouiller sans trop de procédures légales dans les données détenues par des entreprises US. Un papier de Wired et le journal Politico (qui en sort d’ailleurs un article de 3 pages) qui laisse apparaître que l’Administration Obama commence à prendre conscience des conséquences de cette loi. Une loi qui devient un frein au développement d’acteurs tels qu’Amazon, Google, Microsoft et confrères. Un comité des sages planche sur le sujet. Mais leurs conclusions déboucheront-elles sur seulement de vagues promesses rassurantes ? Dans un contexte de crise, où toutes les occasions de guerre économique sont bonnes à prendre, on imagine que les sénateurs Etats-Uniens vont se retrouver entre la chèvre et le chou : restaurer la confiance pour gagner de nouveaux marchés au risque de perdre une source de renseignements si pratique à invoquer ? Ou conserver la ligne dure du Patriot Act ? De leur côté, les entreprises Européenne peuvent-elles se contenter de vagues promesses qui n’engagent que ceux qui y croient ? Toute abolition du Sénat dans un sens favorable à la restauration de la confiance envers les prestataires de services Cloud peut faire l’objet d’un moratoire ou d’un revirement politique. Tout au plus ces clients potentiels peuvent-ils espérer que cessent de se développer au sein même de nos frontières des dispositions ou projets équivalents pour qu’une industrie du Cloud « made in vieux continent » puisse faire contrepoids et jouer d’égal à égal avec les acteurs d’Outre Atlantique.

Mais qu’est-ce qui fait « buzzer » les médias techniques ces temps-ci ? Mais les malwares sur « smartphones » bien sûr. La page de garde de nos confrères de Network World en est toute chamboulée. « Google retire 22 applications de plus de sa place de marché », « un nouvel Age des malwares » (interview d’un spécialiste de l’ICSA Labs traitant bien entendu des menaces frappant les téléphones intelligents). El Reg s’exclame « 10 000 téléchargements pour un jeu faisandé ». Le blog de Sophos donne la liste des appliquettes douteuses retirées de la situation, F-Secure parle de « troyens SMS de premier choix sur l’Android Market »… Il n’existe quasiment aucun éditeur de logiciel de protection périmétrique qui ne mette pas en doute la confiance que l’on porte à ces nouveaux outils de téléphonie.

L’ennui, c’est qu’à part quelques rares articles dans la presse généraliste, le grand public n’est pas franchement au courant de ce qui se passe. Si l’on élimine les geek, les RSSI, les développeurs et quelques homo-informaticus génétiquement modifiés, personne ne se penche sur les blogs de Sophos, les romans de F-Secure ou les écrits de CNIS-Mag. Et dans un sens, cela n’est pas un véritable drame. Car en termes d’impact réel (on ne parle là que d’éventuelles atteintes à l’image de marque des boutiquiers de la minute facturée ou des épiciers de l’application « two tiers »), les virus pour smartphone sont encore loin, très très loin d’égaler en virulence les malwares qui visent les ordinateurs conventionnels, exploitent les multiples failles de navigateurs « patchés » avec approximation ou succombent sous les coups d’applications Flash. Certes, le modèle de sécurité des Smartphones ressemble à une vaste galéjade, mais il faut bien admettre que même s’il était plus sérieux et s’il arrivait à égaler celui applicable à l’informatique traditionnelle, cela ne diminuerait en rien le niveau de risque et le nombre d’attaques. Il n’y a encore rien de très intéressant à glaner sur un téléphone mobile pour un hacker mafieux (l’on ne parle pas des officines de barbouzes qui ont d’autres intérêts). Mais le jour où le téléphone mobile remplacera la carte de crédit, soyons certains que les petits troyens que l’on découvre aujourd’hui seront plus virulents. Et ce, quel que soient les efforts prodigués autour du modèle de sécurité.

Cette vision certes pessimiste ne décourage pourtant pas les équipes de l’Enisa, qui publient ce jour même un opuscule intitulé « Smartphone Secure Development Guidelines » , document rédigé en collaboration avec l’Owasp. Il n’est pas toujours nécessaire d’espérer pour entreprendre ni de réussir pour persévérer disait Guillaume d’Orange.

Allez, deux dernières petites attaques téléphoniques pour la route. La première, signée Winrumor. Ces confrères Américains ont découvert un « SMS de la mort qui tue », ou plus exactement qui fait rebooter un smartphone utilisant Windows Phone 7.5. Ce DoS par « krikitu » n’est pas sans rappeler la fameuse séquence ATA publiée par l’équipe de Monsieur Hayes et qui faisant rendre l’âme à tout modem utilisant son jeu de commandes et ne possédant pas une licence d’utilisation payée en bonne et due forme.

La seconde attaque est celle, bien involontaire, d’un installateur US d’infrastructures téléphoniques 4G dont les émetteurs brouillent l’écoute des systèmes de positionnement GPS. Nos confrères de Tom’s Hardware précisent qu’opérateurs clients et fournisseurs d’infrastructure se renvoient la balle… la recherche d’un MacDo ou d’un KFC rendue impossible par la modernisation d’un système de téléphonie sans fil, voilà un véritable drame de la vie moderne.

On l’a très nettement constaté peu de temps après la récente publication d’une attaque « académique » sur le réseau Tor : même la communauté hacker peut se montrer excessivement virulente et agressive en cas de « full disclosure » non chapeauté par la partie éditrice. Une réaction d’un puritanisme étonnant de la part d’une communauté si prompte autrefois à ironiser lorsqu’une belle et séduisante faille esseulée et de bonne famille (entendons par là appartenant à un logiciel propriétaire) rencontrait un exploit aventurier et séducteur.

Mais si cette réaction épidermique peut amuser, force est de reconnaître que les réactions en général se font de plus en plus violentes. Aidées en cela avec une progression très nette, tant Outre Atlantique qu’en Europe, de règlementations et des textes de loi électoralistes ou égotistes. Bref, dire que le roi est nu plaît de moins en moins.

Cette tendance , explique Bruce Schneier au fil d’un de ses récents papiers, ne serait que la conséquence de l’accroissement du périmètre informatique à des domaines jusqu’à présent épargnés. Une idée émise par Robert Lemos, qui faisait remarquer que cette attitude se serait amplifiée depuis que les opérateurs télécom se seraient retrouvés dans la tourmente et que les professionnels des systèmes embarqués (entendons par là les vendeurs d’automates programmables par exemple) auraient essuyé le feu de quelques Stuxnet.

Plutôt que d’admettre que cet appât du gain « sous n’importe quelle condition » était la cause première des déboires d’aujourd’hui, ces entreprises ont tout naturellement cherché à blâmer les premières victimes accessibles. A commencer par les chasseurs de failles, faciles à désigner, faciles à condamner, rarement capables de se défendre. Car courir après les véritables auteurs d’attaques Scada ou les pirates « noirs» a peu de chances d’aboutir. Autant donc se rabattre sur celui par qui le scandale arrive et qui ose raconter que le Roi est Nu.

Reste que ces grands acteurs ont de la voix, et une voix qui porte et qui influence. Si « çà » semble marcher pour eux, si ce retour à une « sécurité par l’obscurantisme » et cet art de cacher la poussière sous le tapis parvient à préserver la pureté cristalline d’une image de marque, pourquoi cette méthode ne s’appliquerait-elle pas à nouveau au secteur I.T. ?

En guise de désert, l’on pourra lire avec délectation cet article de Ruben intitulé « Reversing Industrial firmware for fun and backdoors » , et, en matière de pousse-café, ce papier corrosif en diable de Muckrock News qui explique que le « freedom of information act », cette loi qui permet à tout citoyen de demander une autorisation de dé-classification de documents administratifs, ne peut être appliquée sur tout ce qui touche l’utilisation par le FBI du fameux « spyware Carrier IQ » pour téléphones mobiles.

Il y aura les optimistes qui verront le verre à moitié plein… mais les conclusions du test comparatif d’AV-Test.org sur les antivirus gratuits pour plateforme Android sont éloquents : seuls 10% des malwares sont interceptés. Seuls deux programmes sortent du lot : le Kaspersky (qui n’est pas gratuit), et qui bloque 50% des attaques, et Zoner AntiVirus Free qui en détecte 32%. Les autres produits concurrents sont soit totalement inefficaces, soit à peine capables de deviner 10 % des infections. Voilà qui va relancer, si besoin en était, le débat sur l’utilité d’une protection antivirale sur plateforme mobile.

Msnbc relate les recherches d’Universitaires de Columbia qui ont passé en revue les différentes failles d’une imprimante laser HP. Au nombre des trous de sécurité les plus importants, la possibilité de reflasher le firmware à distance, procédure n’effectuant aucun contrôle d’authentification puisqu’aucune signature n’est prévue dans ce genre de procédure. A partir de là, tout ou presque est permis selon le niveau d’intelligence de l’électronique embarquée : vol et fuite d’information, accès au réseau local, déni de service… voire mise en panne de l’imprimante, sans aller, comme l’ont titré certains de nos confrères un peu catastrophistes, jusqu’à provoquer un incendie par « surchauffe » du papier.

Ce qui est préoccupant, dans toutes ces « révélations », c’est qu’il n’y a pas franchement de révélations. Une grande partie de ces défauts sont connus ou du moins fortement soupçonnés, et certaines attaques ont depuis longtemps fait l’objet de communications lors de conférences de sécurité. Ce qui tend à prouver que les efforts de protection des équipements périphériques « intelligents » sont encore et toujours les parents pauvres des TIC. Des femtocell aux points d’accès WiFi, en passant par les imprimantes ou les automates programmables, tous ces appareils ont un point commun : ils sont connectés physiquement aux réseaux locaux et déconnectés logiquement de leurs mécanismes de contrôle et de protection périmétrique.

Silicon Valley Tour

Grâce au Smart Grid, nous sortons de l’âge de pierre en termes d’infrastructure électrique. En France, un décret d’Août 2010 indique que d’ici 2016, tous les compteurs installés en France devront être communicants, sachant que dès 2014, la moitié doive déjà l’être. La modernisation de l’infrastructure électrique est en marche, une modernisation qui n’est pas sans rappeler la profonde mutation du monde télécom, quelques années auparavant.

D’après wikipedia, « un système électrique intelligent ou Smart Grid est un système qui fournit de l’électricité du producteur à l’utilisateur en utilisant de la technologie numérique basée . sur une communication à deux sens qui contrôle les appliances disposées chez les particuliers. L’idée étant d’économiser l’énergie, réduire les coûts et augmenter la fiabilité et la transparence. Le smart grid, superposé au circuit électrique physique, est composé d’un système d’information et de mesure qui incluent des compteurs intelligents. Un système électrique moderne en quelques sortes qui est promu par beaucoup de gouvernements de par le monde pour résoudre les problèmes d’indépendance de l’énergie et de situation d’urgence ». Modèle centralisé versus modèle distribué, pour Marie-Luce picard, chercheur chez EDF.

eMeter est en plein dans la mouvance Smart Grid, plus précisément dans le domaine du MDM (Meter Data Management). Selon le cabinet d’analyses Gartner et son fameux « quadrant magique », eMeter fait figure d’unique visionnaire dans le secteur du MDM. Une société qui, après 13 ans d’activité dans un domaine en pleine explosion aujourd’hui (de par, entre autres, les plans gouvernementaux de différents pays allant dans ce sens …), récolte enfin les lauriers de son labeur. C’est Siemens qui, très actif dans le secteur du Smart Grid, décide de passer la bague au doigt à eMeter. Quels atouts a donc la mariée pour faire chavirer le cœur du géant européen du domaine SCADA ?

Technologie numérique et communication sont les armes d’eMeter, éditeur spécialiste du Smart Grid pour énergie électrique. Sa plate-forme logicielle, Energy IP, apporte la flexibilité nécessaire dans l’univers électrique pour répondre aux besoins des producteurs et distributeurs du milieu en termes de fonctions et d’applications qui permettent de résoudre l’équation : évolution, coût et économie d’énergie. En bref, il propose une surcouche logicielle placée après le parefeu en sortie du réseau. Le réseau qui véhicule jusqu’à Energy IP les données issues des compteurs intelligents disposés en front end chez les utilisateurs d’équipements électriques. Et de l’autre côté, en back end, la surcouche logicielle devient le point de passage obligé pour alimenter les plates-formes des producteurs ou distributeurs, voire les deux (clientèle cible d’eMeter). Des plates-formes immuables et souvent obsolètes qui n’arrivent pas ou difficilement à rendre les nouveaux services attendus par leurs utilisateurs finaux, particuliers ou entreprises. Energy IP permet d’envisager le système distribué versus le centralisé dans le domaine de l’énergie électrique. Il supporte la montée en volume des applications du secteur comme l’arrivée de nouvelles. Comment ?

En fait si l’on considère Energy IP de l’intérieur, c’est une espèce de bus (un backbone) sur lequel viennent se connecter les applications, anciennes comme nouvelles. Si une application « monte en volume », alors autant de copies que nécessaire de cette dernière peuvent être rajoutées sur le même bus. Par ailleurs, le même procédé est utilisé pour les nouvelles fonctions. C’est ce backbone qui établit le lien entre toutes les fonctions montées en mode silo pardessus. De la même façon, les interfaces avec les données viennent se plugger ici pour alimenter les applications. Jusqu’à présent lorsque qu’un incident grave avait lieu sur le réseau électrique à un endroit donné, l’ensemble du système était obligatoirement éteint avec toutes les conséquences possibles relatives à un « blackout » électrique. Aujourd’hui, l’infrastructure d’Energy IP permet également une granularité dans l’approche, granularité qui va jusqu’à la notion d’entité « client ». La plateforme peut donc éteindre tous les foyers excepté les places vitales (feux de positionnement sur la route, salles d’opération …) par exemple. Autre point fort, le support de nouvelles fonctions impossibles à supporter par l’ancien système : les comparaisons de coût de l’installation, la gestion de la maison, le prépaiement … Au bout de la chaine, la palteforme Energy IP vient tout simplement se connecter sur les systèmes irremplaçables de ses clients, producteurs et/ou distributeurs, leur apportant toute la flexibilité nécessaire aux exigences et à l’évolution du système électrique actuel.

Sur le marché, il est à noter que des acteurs tels que eMeter permettent de relier deux mondes jusqu’à présent séparé : ceux comme Siemens directement reliés aux besoins des producteurs/distributeurs de l’univers Scada et de l’autre côté, ceux comme Oracle directement reliés aux entreprises et utilisateurs finaux afin de répondre à leur besoin de façon verticale…

L’évolution de ce marché, laisse clairement entendre dans un futur proche un échange de flots de données imposant à terme qui résultera de la plus grande complexité de gestion engendré par les MGM qui font interagir tous les composants, désormais distribués de l’infrastructure électrique. Et également la mise en place, outre les compteurs intelligents, de toutes sortes de nouveaux éléments (sondes, routeurs intelligents, bases de données distribuées, traitements des données et évènements à temps réel…) de par tout le réseau qui permettent de relever toutes sortes d’informations nécessaires pour alimenter le système et répondre aux interrogations des clients : qualité de service, granularité fine des services, évolution de services …