février, 2012

Il s’appelle SecurityTube Tools et doit désormais figurer en tête des favoris de tout professionnel de l’analyse binaire. Dépouillé à l’extrême, ce site utilise une structure de Wiki, et classe une foultitude d’outils de hacking et d’analyse en respectant une indexation par « thème » intelligemment ordonnée. Récolte d’informations, cartographie réseau, IDS/IDP, reverse, cassage de mots de passe, anti « tout » (spyware, virus etc.), chaque entrée donne accès à une liste de programmes, puis à une description parfois excessivement détaillée de l’usage du logiciel en question. L’article s’achève par un lien direct pointant sur la ressource de téléchargement, aucun binaire ou source n’étant directement hébergé sur le serveur de SecurityTube.

Le lièvre a été soulevé par Korben et la faille découverte par l’auteur du blog Console Cowboy. Faille qui donne accès au flux des caméras IP d’origine Trendnet.

Des mésaventures semblables avaient également frappé les caméras Web Axis, et l’on ne compte plus les interfaces d’administration Web de routeurs Wifi et d’appliances diverses qu’un rapide « googlehacking » déniche en quelques secondes… pour peu que l’on connaisse généralement le « chemin » codé en dure de ladite page d’administration. Korben rappelle même l’existence de quelques sites qui évitent d’avoir à ingurgiter la prose technique de Johnny I_Hack_Stuff, père de cette si amusante technique de récolte d’information.

Security Exploded vient de mettre en ligne un guide entièrement consacré à l’analyse forensique des machines sous IOS, guide reposant sur l’utilisation des outils développés par les laboratoires de Sogeti. Même si l’on ne s’intéresse ni aux techniques de dump mémoire avancées, ni aux subtilités des attaques en brute force, on peut parcourir les premiers paragraphes qui expliquent de manière très didactique les méthodes employées. Une séquence vidéo commentée détaille les différentes étapes nécessaires pour retrouver le numéro de téléphone disparu de Tante Ursule.

La DefCon annonce l’ouverture de son vingtième « CTF » (Capture the flag, concours de hack), probablement la plus prestigieuse manifestation du genre …

Le vendredi 2 mars prochain aura lieu l’incontournable nuit Helvétique du hacking, la désormais fameuse Insomni’Hack 2012. Il s’agit là probablement du CTF le plus important de la région alpine. Cette manifestation, organisée par SCRT, se déroulera dans le centre de Genève, à l’HEPIA, 4 rue de la prairie (prévoir un compte off-shore pour s’acquitter des 40FS de vignette autoroutière, à usage unique pour certains).

Un cycle de conférences techniques débutera, pour la deuxième année consécutive, dans la journée précédent le concours de hacking. Passé 20 heure, les organisateurs tolèrent l’usage de certains produits dopants tels la Tome de Savoie, l’Abondance ou le véritable Gruyère (sans trou). L’usage de liens Internet par liaison GSM est très mal vu des compétiteurs, les ressources locales mises à la disposition des participants devant a priori suffire. Cette générosité ne va tout de même pas à fournir les outils de première nécessité (Backtrack, Wireshark et autres Nmaps ne sont pas offerts par la maison)

Oups, un bug Mozilla (possible DoS distant précise le CVE ) authentifié par l’éditeur. L’inventeur n’est pas un inconnu

Encore une dernière loi dictée par des impératifs de sécurité et passée pratiquement sous silence. Il s’agit de l’invention de la notion de « secret des affaires », qui donne à une entreprise le droit d’estimer ce qui relève du secret professionnel et ce qui peut être rendu public. De manière très schématique, ce texte, voté par l’Assemblée Nationale et proposé par le député UMP Bernard Carayon donne aux Directions de la Communication un droit de vie et de mort sur la liberté d’information en France, dès qu’elle touche à une entreprise… particulièrement de grande envergure. Notre consœur Sophie Fay, du Nouvel Obs, pose la question de manière synthétique : aurait-on, aujourd’hui, le droit de soulever une affaire comme celle du Mediator ou des implants mammaires ? Aurions-nous encore la possibilité de douter et de critiquer les déclarations d’un porte-parole d’Areva suite au piratage d’un de ses réseaux ? Et dans quelle mesure cette loi Carayon ne rend-elle pas totalement caduque les obligations de déclarations à la Cnil en cas de perte ou de vol de fichier nominatif ? Faute inavouée et protégée par le secret des affaires n’est pas à pardonner.

Il faut dire que les occasions de voir des Ministres ou grands fonctionnaires ruer dans les brancards manquent de moins en moins dans le domaine des lois sécuritaires. Mais les réactions sont moins épidermiques sur l’axe Brest-Strasbourg. Malgré une dangerosité mille fois moins élevée qu’un week-end de pentecôte, le risque de vol et d’usurpation d’identité a fait passer sans anicroche le projet de loi sur le fichage biométrique des « gens honnêtes ». Le blog Barabel donne une analyse dépassionnée de la question. En omettant toutefois de tirer deux perspectives, l’une historique, l’autre technique.

La première perspective, c’est celle qui consiste à se demander non pas « si », mais « quand » les institutions ayant un droit d’accès à ces fichiers, et notamment la police nationale, systématiseront les accès à ces données menant à un usage abusif de ces dernières. Les lois considérées comme justifiées aujourd’hui peuvent se transformer en redoutables instruments de bigbrotherisme demain… la démocratie est une chose si fragile et surtout si instable dans le temps. La seconde perspective est purement technique. En gravant dans les tables de loi ce fichage biométrique systématique de tous les citoyens (ou de tous ceux demandant une carte d’identité ou un passeport), on prend le risque de transformer ces mesures d’identification en objets d’authentification… Dans le domaine informatique, le propre d’une authentification est d’être répudiable… Remember Diginotar, remember RSA, des accidents pourtant réputés hautement improbables… voire impossibles. Comment s’appelle alors la procédure de répudiation d’une signature biométrique conservée par l’administration ? Combien de députés se sont posés la question ?

L’on pourrait également s’interroger sur la façon dont une telle loi a été présentée. Aurait-on suggéré de créer un fichier d’empreintes biométriques de tous les automobilistes verbalisés pour stationnement interdit (voir même d’excès de vitesse) que l’on aurait entendu une clameur monter de tous les fauteuils de l’Assemblée. Mais aucune réaction lorsqu’il s’agit d’éviter d’« ouvrir une centaine d’enquêtes dans le cadre d’une plainte pour vol d’identité », un argument par défaut qui met en avant l’efficacité des outils offerts à la Police chargée de rechercher les voleurs d’identité, et non le fichage des personnes innocentes.

Ajoutons qu’après l’article de nos confrères d’Owni, Mediapart a également abordé le sujet. Aucun écho dans la presse audiovisuelle.

La nouvelle a fait le tour de la blogosphère en l’espace d’un Twitt : Helena Drnovšek Zorko, dépendant du Ministère des Affaires Etrangères de Slovénie, ayant rang d’Ambassadeur au Japon, publiait en fin de semaine une lettre d’excuses pour avoir, « par négligence politique », osé signer Acta ( accord commercial anti-contrefaçon ). Un accord dicté par sa hiérarchie, mais qui a valu à cette grande servante de l’Etat une avalanche d’emails de protestations et d’explications. Laquelle avalanche de protestations a permis à Madame Drnovšek Zorko de reconsidérer sa position et convenir qu’elle avait joué un rôle de « député godillot ». Cette attitude de contrition responsable tranche avec l’usage Français, de droite comme de gauche, qui consiste soit à demeurer « droit dans ses bottes », soit à « fermer sa gueule ; si ça veut l’ouvrir, à démissionner ».

… les habitants de la station ISS par exemple. 350 kilomètres sans le moindre obstacle, 350 kilomètres situés en dehors de tout moyen d’action répressif, de ceux de la Rue du Texel à l’IRCGM, 350 kilomètres d’altitude depuis lesquels il est possible de recevoir tout ce qui porte le nom de « sans fil ». Certes, n’allons pas imaginer un instant qu’un de nos Jean Luc Beaudry, Claudie Haigneré ou Jean-Loup Chrétien puissent, même frappés par le mal de l’espace, se livrer à des actes que la LCEN et que la morale réprouvent. En revanche, un simple smartphone accroché à un ballon sonde peut servir de système d’écoute avec une efficacité remarquable. L’article de Jimmy Shah de McAfee (http://blogs.mcafee.com/mcafee-labs/schmoocon-to-cover-hot-mobile-security-topics) décrit avec des accents anxiogènes ce que n’importe quel radioamateur sait depuis sa plus tendre enfance électrohackeuse : un récepteur dans un aéronef ou sur un point haut (et à plus forte raison dans un satellite) fait toujours des miracles. C’est d’ailleurs pour cette raison (et probablement pas pour de vagues histoires de perturbations des équipements aéronautiques) que l’usage des téléphones mobiles est interdit en vol*.

Cet intérêt aux choses mobiles en général et aux médias de transmission radio en particulier se constate de plus en plus à l’énoncé des programmes des grandes conférences sécurité. Jimmy Shah passe en revue les multiples exposés sur le sujet qui seront donnés durant la prochaine ShmooCon. L’on peut toutefois remarquer que les « spécialistes du hacking radio » de cette année ont encore une vision totalement étriquée de la question, et continuent à penser « un type de transmission, un type de modulation, un seul type de terminal radio dédié ». Pourquoi, en effet, envoyer 130 grammes d’iPhone dans l’espace proche pour décoder une trame WiFi ou Bluetooth, alors qu’avec ces mêmes 130 grammes l’on peut commencer à jouer avec des outils à définition logicielle qui peuvent tout recevoir et parfois tout écouter.

* hypothèse confirmée par le fait que les avions équipés de microcellules GSM (à l’accès facturé au prix du platine en barre) ne tombent toujours pas comme des mouches.