mai, 2012

Attention aux fausses publicités sous Wikipedia, préviennent nos confrères de Network World. Plusieurs cas de détournement de pages auraient été détectés

Présenté comme l’outil de synchronisation ultime destiné à garantir la pérennité des donnés utilisateurs, iCloud d’Apple voit une nouvelle fois sa sécurité critiquée par des spécialistes. Elcomsoft, entreprise moscovite spécialisée dans la récupération des mots de passe oubliés et autres contournements de mécanismes de chiffrement, a découvert qu’il était possible de récupérer les données d’un mobile Apple en clair, directement depuis les services de stockage iCloud. Cette absence totale de sécurisation des données est compensée par le fait que l’accès aux données stockées ne peut être autorisé qu’aux possesseurs de l’identifiant et du mot de passe de l’appareil… lequel n’est pas très difficile à récupérer si l’on est client Elcomsoft et possesseur de la dernière édition de leur « password breaker ». Le mot de passe peut également être extrait des fichiers de sauvegarde « hors ligne » effectués à l’aide d’iTunes.

Application paradoxale que Scrambls. Il s’agit d’un outil de chiffrement de contenu destiné aux outils de réseaux sociaux. En d’autres termes, ce plugin qui s’adapte aux principaux navigateurs sert à camoufler les propos diffusés par un mécanisme de diffusion conçu pour que la parole de chacun soit entendue par le plus de gens possibles.

A quoi cela peut-il bien servir ? Les plus idéalistes parlent de masquer les propos des opposants politiques dans les pays soumis à une dictature du Net… pays qui, précisément, soupçonnent et pourchassent toute personne cherchant à camoufler quelque chose. Sur le principe totalitariste du « les gens honnêtes n’ont rien à se reprocher, donc rien à cacher », l’usage public d’un outil de chiffrement est souvent une preuve de culpabilité. Il est plus important que soit mis en œuvre des canaux de communication pensés en termes de « dénégation plausible ».

Scrambls est donc un utilitaire destiné à trois profils d’utilisateurs : les groupes d’usagers des réseaux sociaux qui souhaitent organiser leur propre communauté cachés aux regards des autres (une simple mailing list pourrait pourtant faire l’affaire), les « wanabe conspirateurs » qui veulent se donner des airs d’agent secret au vu et au su de tout le monde…. Et les gardiens de botnets qui ont là peut-être un système capable de masquer le contenu un peu provocateur de leurs messages de commande.

Chambre avec vue ou Wifi avec exploit ? le FBI prévient les habitués des hôtels branchés (au sens numérique du terme) des risques d’attaques utilisant le réseau Wifi . Entre fausses pages de login, fausses mises à jour de codecs, fausses pages sécurisées, les réseaux hôteliers high tech sont moins sûrs que les bouges de la catégorie Auberge Rouge. Après les chambrières diaboliques de Joanna Rutkowska, voici le temps des cyber-groom démoniaques et des techno-portiers infernaux. La vie des « road warrior » est désormais parsemées de sournoiseries ancillaires*.

Elle a été Tweetée, Facebookée, Skypée, Messengerisée cette photographie prise lors d’une interview à l’occasion d’un championnat de baseball. Il s’agit pourtant du « demi fail » puisqu’il est de tradition que les crédences d’accès aux réseaux Wifi des salles de presse soient quasi publiques, affichées aux yeux de tous. Après tout, ce qui s’y dit, s’y écrit, s’y filme ou s’y raconte sera le lendemain dans tous les journaux.

Le magazine en ligne Basta ! publie une enquête très complète sur l’imposition « en force » par le gouvernement sortant de bureaux de vote virtuels sur Internet. Première utilisation : les prochaines législatives. Fraudes et caviardages possibles à tous les étages. L’on peut également noter, parmi les arguments avancés par la Cnil, encore cette ancienne croyance de l’absolue sécurité offerte par le protocole https. Ni du côté des personnes favorables à l’extension d’un mode scrutin aisément falsifiable, ni du bord des autorités de contrôle, les informations les plus élémentaires en matière de sécurité ne sembleraient avoir fait leur chemin. A l’instar des missions de filtrage de sécurité aux aéroports, l’on pourrait regretter que la mainmise d’officines privées sur des fonctions régaliennes fragilise chaque jour un peu plus les piliers techniques de la démocratie.

Scytl,les « professionnels du vote en ligne » déjà mis en cause dans l’article de Basta !mag, annoncent triomphalement le portage de leur « isoloir virtuel » sur plateforme IOS et Android : d’un côté le système le moins documenté et le moins ouvert du monde mobile (mais souvent hacké) et de l’autre le système réputé le plus aisément hackable de ce même monde mobile. Systèmes émanant d’entreprises réputées pour leur haute estime des libertés individuelles.

Demi-fail de la Cnil, qui publie, en date du 10 mai, un communiqué débutant par la phrase « Suite à plusieurs articles de presse relatifs à la sécurité des cartes bancaires sans contact, la CNIL mène actuellement des investigations techniques ». Il est à rappeler que la conférence de Renaud Lifchitz sur le sujet s’était déroulée le 13 avril, quasiment un mois avant la réaction de la Commission, et que, des dires même du chercheur, la Cnil avait été informée largement avant publication des recherches en question dans le cadre d’une communication de « divulgation responsable » comprenant les banques concernées, les organismes de carte de crédit, la Cnil et la gendarmerie. Hack non publié n’est pas à investiguer.

Belle opération financière de l’éditeur Russe Pirate Pay, qui a mis au point une méthode d’injection empoisonnée dans les protocoles d’échange P2P. Nos confrères de TorrentFreak nous apprennent que Microsoft aurait aidé financièrement cette petite startup avec un chèque de 100 000 dollars. Mais « Fail » malgré tout, car de tels outils intrusifs sont inapplicables dans bien des pays européens, et plus particulièrement en France, pays de liberté numérique qui, grâce à ses LCEN, Loppsi, Lopsi et autres textes, protège les systèmes d’information et les accès réseau des joyeux piretoupiristes.

*Ndlc Note de la Correctrice : plagiant honteusement Audiard, l’auteur avait initialement écrit « des conneries de la boniche ».

Cryptome publie plusieurs liens et documents directement liés aux écoutes « tempest », en d’autres termes aux extractions d’information pouvant « fuir » d’un local sous forme de rayonnements électromagnétiques, de signaux optiques, de vibrations mécaniques et ainsi de suite. Terrain apprécié des barbouzes de tous poils et qui commence à sérieusement passionner la gente hackeuse, la fouille de ces « poubelles rayonnantes » donne souvent des résultats appréciables moyennant l’utilisation d’outils souvent très peu coûteux. Pourtant, la quasi dictature de la « logique logicielle » imposée par les gourous du hacking traditionnel a souvent occulté cet aspect des choses. Qui donc n’a jamais entendu des mantras du genre « il faut déployer des fortunes en ingénierie et en électronique pour capter un signal Bluetooth à plus d’un kilomètre » ou « les écoutes des rayonnements des CRT nécessitent l’usage de récepteurs spécialisés » voir encore « mon routeur possède un processeur de chiffrement intégré, il est strictement impossible de récupérer mes transmissions « au fil de l’eau » ». Dans le premier cas, la « fortune en ingénierie » ne dépasse pas une cinquantaine d’euros, dans le second, l’on trouve sur le marché des récepteurs « à définition logicielle » à moins de 15 euros capables d’effectuer une analyse de signal dans le domaine temporel et à l’aide de logiciels gratuits et open source, quant au troisième exemple, il part du principe qu’il est impossible de récupérer un flux de données en amont du mécanisme de chiffrement sans effectuer une liaison physique sur l’infrastructure « base cuivre » de l’installation. Ce qui est entièrement erroné, rappelle une étude publiée en 2002 par des chercheurs de l’équipe Lookheed Martin et de l’Université d’Aubun. Etude qui reprenait d’ailleurs des travaux vieux de plus de 20 ans sur le décodage des led TxD/RxD des vieux modems, et sur la faisabilité de « keylogers optiques » intégrés dans les claviers d’ordinateurs : une diode IR modulée par les frappes clavier, c’est invisible à l’œil nu, et ça « leak » aussi bien qu’un « rogue AP »… Tempest, ça n’est pas que de la récupération de rayonnement électromagnétique. L’on peut également citer les analyses d’appel de courant effectué par les machines, les variations de vitesse des ventilateurs, les changements de rayonnements thermiques des processeurs, les vibrations des vitres d’une pièce au rythme des ondes sonores… tout ce qui bouge, consomme, communique par un moyen électronique ou ondulatoire fait fuir des informations qui peuvent être interprétées puis transformées en données.

A lire donc, comme un roman d’espionnage ou comme une mise en garde, ces quelques documents, accompagnés par une « histoire des écoutes Tempest » édité par NSA Publications Inc, un grand succès de librairie dans le monde de l’imperméable couleur mastic, du complet sombre et des lunettes de soleil.

Le Washington Post signale qu’une opération menée par la CIA et des services d’intelligences de pays tiers a permis de contrer une attaque à la bombe programmée par une branche Yéménite d’Al Quaida. La charge devait être camouflée dans un sous-vêtement, méthode déjà employée avec insuccès par Umar Farouk Abdulmutallab, un précurseur heureusement malchanceux de la méthode « Petit Bateau » qui fait boum.

Tel que conçue, cette nouvelle bombe aurait échappé aux magnétomètres, expliquent les experts. Rappelons que ces magnétomètres, mainte fois pris en défaut et violement contestés par les passagers car considérés comme « intrusifs » et violant l’intimité des personnes, sont vendus près de 100 000 $ pièce.

L’efficacité de l’opération, fruit d’un travail de renseignement, de recherche amont et d’infiltration, est à comparer au coût exorbitant et la totale inutilité des infrastructures de filtrage à l’entrée des aéroports. Entre le législateur, les pouvoirs publics et le business de la défense périmétrique physique*, il existe une certaine logique que la logique n’explique pas.

*Ndlc Note de la correctrice : et du lobby des eaux minérales… une de jetée au filtrage, une d’achetée 10 mètres plus loin. Sans le moindre doute, un coup de l’organisation occulte Evian-Vittel-Epar-Badoit-San-Pelegrino-Lou Perac, laquelle traite en sous-main avec le redoutable gang des boutiquiers de l’IDFSA (International Duty Free Shop Association).

Les USA sont eux aussi en train de vivre leur « affaire Amesys », mais en version plus musclée. L’administration Obama, relate l’Atlantic Wire envisage de prendre des sanctions à l’encontre des entreprises et des personnes ayant, à l’aide d’outils technologiques, aidé les pouvoirs Iranien et Syrien dans leur répression contre les populations civiles. Une déclaration qui, remarque l’auteur de l’article, pourrait concerner bien des entreprises US. Et de citer Hewlett Packard, bénéficiaire d’un contrat d’un demi-million de dollars pour l’installation d’un système de filtrage des emails et d’Internet en Syrie. Ou encore Bluecoat, accusé également d’avoir fourni les outils qui ont servi à bloquer le Web Syrien, ou NetApp, dont le système de stockage destiné au système de surveillance a été installé durant les évènements du mois de mars qui ont boule versé encore et toujours la Syrie. Des accusation étayées (et non démenties à ce jour) par Bloomberg et le WSJ. Et la liste des entreprises « balancées » continue, avec l’Irlandais Cellusys, l’Italien Area Spa, le Britannique Creativity Software qui tous on fait du business sur le créneau du flicage d’Etat tant en Syrie qu’en Iran. Le WSJ en profite au passage pour rappeler que ces outils sont également achetés dans d’autres pays de la péninsule arabo-persique, de l’Arabie Saoudite au Koweit, en passant par les Emirats, le Bahreïn ou le Qatar, qui ne sont pas des modèles de théocraties éclairées. Ceci sans oublier la Tunisie qui a également passé contrat pour des outils de filtrage et de surveillance : McAfee, Bluecoat, NetSweeper, Websense sont montrés du doigt. Il aura fallu attendre qu’éclate le Printemps Arabe pour que le monde entier prenne conscience du fait que certains logiciels de filtrage ou de « deep packet inspection » peuvent, doivent être considérés comme des armes de guerre. Logiciels qui, faut-il le rappeler, sont également souvent en usage dans les démocraties Européennes. Et c’est peut-être là la raison première pour laquelle aucun gouvernement n’a, jusqu’à présent, envisagé de contingenter et règlementer ce genre d’outil. Car leur qualification en arme de répression aurait eu des conséquences très embarrassantes sur leurs usages (ou mésusages) « locaux ».

Intégralis fait son show : le 7 juin 2012 au Karé Magik (Porte de St Cloud), démonstration d’outils SIEM et de solutions de gestion des flottes d’appareils mobiles (MDM). Seront également présents d’autres vendeurs tels qu’ActivIdentity, Bluecoat, Check Point, F5, Juniper, LogLogic, MobileIron, Palo-Alto, RSA, Sourcefire, TrendMicro…

Google Drive, le tant attendu, s’est ouvert cette semaine. En faisant abstraction des « détails », ce service ressemble à la plupart de ceux offerts par les concurrents déjà en place : affichage du contenu des fichiers via navigateur web pour plus de 30 formats, partage des fichiers entres membres d’une communauté (les cercles Google+ ou correspondants Gmail)… l’espace libre par défaut, en configuration gratuite, est nettement inférieur à ce que propose Microsoft (qui offre 5 fois plus de capacité), les 25 Go supplémentaires coûtant 25 dollars par an, ou 100 Go pour 50 $, jusqu’à concurrence de 16To pour 800 $. Tout comme beaucoup de ses concurrents, et fidèle à son habitude, l’Eula de Google cache certaines petites phrases assassines qui ont déjà fait réagir avec vivacité une grande partie du public nord-américain et certains blogueurs Français attentifs aux détails

« When you upload or otherwise submit content to our Services, you give Google (and those we work with) a worldwide license to use, host, store, reproduce, modify, create derivative works (such as those resulting from translations, adaptations or other changes we make so that your content works better with our Services), communicate, publish, publicly perform, publicly display and distribute such content. The rights you grant in this license are for the limited purpose of operating, promoting, and improving our Services, and to develop new ones. This license continues even if you stop using our Services (for example, for a business listing you have added to Google Maps). »

Traduction primaire: ce que vous expédiez sur Google Drive vous appartient bien, soyez-en certain. Mais nous, Google, nous nous réservons le droit de prendre lesdites données et d’en faire ce que bon nous semble, y compris les modifier, les reproduire, d’en tirer des contenus dérivés, de les publier, d’en faire la publicité… Su casa es mi casa, ne l’oubliez pas !

Lorsque des entrepreneurs Français brandissent les risques liés à l’extraterritorialité du stockage et du traitement Cloud, les représentants de Google insistent sur le respect du droit Français, sur les garanties de recours auprès du siège Parisien… Attitude très courageuse lorsque l’on sait la détermination avec laquelle la commission Hadopi pourchasse toute personne coupable de « duplication » d’œuvres numériques (piratage en langage gaulois) et la hargne dont font preuve les agents de la force publique chargés de faire respecter la LCEN et la Loppsi. Ou pas.

Faut-il avoir peur de Jonathan Brossard et Florentin Demetrescu ? Ces deux chercheurs ont développé Rakshasa. Et pour qui s’est un peu intéressé au pandémonium Hindouiste, les Rakshasa sont des êtres que l’on n’aime pas trop avoir pour voisin. Et celui de MM Brossard et Demetrescu encore moins que les autres, puisqu’il s’agit d’un Bios forgé pouvant intégrer n’importe quel vecteur d’attaque, y compris un rootkit « pré-boot » (ou bootkit).

D’un point de vue alchimique, Rakshasa est un concentré de bonnes choses, parfaitement innocentes d’ailleurs. Notamment Coreboot et Seabios, des substituts open source de Bios pour machine en architecture X86. De précédents travaux avaient prouvé la possibilité de camoufler dans ces microcodes des charges utiles persistantes (car chargées en NVRam), indétectables aux antivirus, invisibles aux HIPS…

Mais l’équipe Brossard/Demetrescu transforme ce qui pouvait être désagréable en quelque chose de franchement démoniaque, en intégrant dans le patrimoine génétique de Rakshasa un autre procédé tout aussi innocent et très utilisé dans les mondes unixiens et par les anciens utilisateurs de réseaux Novell : l’injection de code via réseau et protocole PXE (ou plus exactement son équivalent open source, iPXE). Inutile de préciser que le nombre de machines compatibles avec ces trois développements est absolument impressionnant. Pour parachever le tableau, l’on peut préciser que

– l’injection de ce bios modifié peut fort bien s’opérer via un lien Wifi, ôtant à l’administrateur tout espoir (ou presque) de conserver une trace de l’intervention sur ses logs réseau

– que la mise à jour systématique du bios de la machine, par mesure de précaution purement chamanique, peut être contrée en installant d’autres instances de l’exploit dans d’autres espaces de stockage. Sur l’espace PXE d’une carte Ethernet par exemple, espace qui n’est utilisé que très rarement de nos jours. D’autres extensions PCI possèdent également des eproms aisément accessibles qui sont autant de nids à infection échappant à tout scanner ou antivirus de la création.

– Que l’injection elle-même (le flashage du bios en quelques sortes) est totalement indépendante du système d’exploitation choisi. Seule la charge utile devra être adaptée…

Une fois le tout refondu en un unique vecteur d’attaque, Rakshasa peut s’installer et travaille un peu comme la douve du mouton : du centre névralgique de la machine, en un point situé en deçà du système d’exploitation, le méphistoBios peut embarquer trappes, outils de contournement ou de blocage destinés à compromettre la machine cible.

Hackito Virtuoso ?
Le développement de Rakshasa est-il seulement une preuve de virtuosité technique ? Pour l’heure, oui, indiscutablement. Peut-on considérer cet outil comme utilisable à grande échelle ? C’est tout à fait envisageable… c’est même, compte tenu de la quasi impossibilité de mettre à niveau l’intégralité du parc informatique matériel mondial, une véritable aubaine pour les armuriers spécialisés dans la cyber-guerre. Rooter via liaison Wifi, cinq ou six machines dans un ministère stratégique peut faire bien plus de dégâts, bien plus discrètement, que le plus tenace des Conficker. Mais s’attaquer, en mode furtif, aux millions d’ordinateurs d’une nation, c’est s’offrir le plus joli des botnet, aussi difficile à tuer que le canard de Robert Lamoureux. Il y a dans Rakshasa de la véritable graine d’APT et de techno-espionnage pas trop difficile à mettre en œuvre. Ce ne sera certes pas la principale menace des années 2012 et suivantes, mais son scénario d’exploitation est assez réaliste pour perturber le sommeil de quelques responsables informatiques dans quelques secteurs Scada par exemple. Si l’on se souvient de la fameuse « intrusion longue durée » qui avait frappé Areva avec des moyens traditionnels, on peut aisément imaginer ce que cela pourrait donner avec un bootkit aussi vicieux.

Au Tibet, les Rakshasa sont gentils
Mais il n’y a pas que du mauvais, dans cet exploit. Une trappe « ante-kernel land » que l’on peut télécharger, qui accepte de contenir des charges utiles dans le « domaine utilisateur », et que l’on peut tout aussi aisément faire disparaître sans que le moindre log ou le moindre scanner ne puisse en témoigner, cela peut être très utile à des entreprises dont le personnel itinérant souhaiterait se protéger de l’inquisition d’un Patriot Act par exemple. Ce pourrait également être la voie d’une nouvelle génération d’applications «dans le cloud » (cloud interne s’entend) qui expédie vers des clients légers non plus seulement une instance d’un système et de ses applications, mais également d’un firmware que l’on sait certifié et fiable. Toujours sur ce même thème, le déploiement forcé de bios Open Source précisément tels que ceux de Coreboot, pourrait mettre fin aux soupçons de « rootkits chinois dans les ordinateurs Lenovo ». Soupçon qui avait, à une époque, donné au Sénat Américain l’occasion d’émettre une recommandation à l’encontre de cette marque, ancien satellite d’IBM et qui était largement utilisé dans les administrations US.

Rakshasa pourrait également servir de base de travail à une extension des services de déploiement de patch « bas niveau ». Sans aller jusqu’à envisager des attaques reposant sur les failles bios (Joanna Rutkowska n’est pas la seule à en avoir parlé), un outil de mise à jour de ce type permettrait de débloquer des fonctions ou en limiter d’autres sans que l’administrateur n’ait à sortir de son bureau, et sans faire appel à des outils propriétaires généralement peu administrables et incompatibles avec les consoles de supervision les plus utilisées. L’idée est d’ailleurs exploitée depuis fort longtemps dans la gestion des terminaux mobiles ou des clients-fins, mais avec des solutions propriétaires.

Ah, pour les plus paranoïaques de nos lecteurs : rappelons que la majorité des Bios de nos machines utilisent non plus d’antiques eproms 27C512, mais des mémoires programmables en mode série, lesquelles ne passent en écriture que sur validation d’un signal Write Enable sur une broche du circuit. Et jusqu’à présent, on n’a encore jamais vu de rootkit capable de modifier la position d’un strap ou de dessouder une résistance de pull-up. Parfois, le bonheur, c’est simple comme un coup de cutter sur une piste ou un usage adroit du fer à souder.