mai, 2012

Apple colmate deux failles importantes dans Webkit et une dans Safari. Que les participants du prochain p0wn20wn se le disent !

Apple encore, qui commence à battre un certain nombre de records ces temps-ci. Après son demi-million de machines infectées en raison d’une certaine « lenteur » dans la correction d’une faille Java, voici qu’est révélée l’existence d’une très probable distraction lors de la compilation de FileVault, le mécanisme de chiffrement de son système OSX Lion. Selon David Emery, chercheur Bostonien et titulaire de l’indicatif N1PRE, un « debug switch » aurait été laissé au sein du programme et aurait pour conséquence de conserver le mot de passe de l’utilisateur inscrit en clair dans un fichier de log. Du coup, les parties du disque protégé par FileVault (dont le déblocage nécessite la saisie du dit mot de passe) est ouvert aux quatre vents. Rien de grave, ce ne sont pas les données d’Apple qui sont en danger. Seulement celles de ses usagers.

Le très habituel correctif Microsoft colmate 23 failles, dont 8 considérées comme critiques et 3 ZDE… Au passage, on peut remarquer l’existence de la MS12-034, qui fermerait, nous explique l’éditeur, la porte au vecteur d’infection du botnet Duqu, et qui bouche au passage 10 failles portant un numéro CVE. Pour une fois, ce n’est pas Internet Explorer qui rafle la palme du plus gros cumulatif, mais la suite Microsoft Office, Windows, .NET Framework et Silverlight. D’ailleurs, les défauts corrigés visent, ce mois-ci, essentiellement des applications : MS12-029 met fin à un danger d’attaque distante via Word, MS12-030 résout également un risque d’attaque distante utilisant des fichiers Office forgés, MS12- MS12-031 bouche une fuite de l’afficheur de fichiers Visio, la MS12-035 ajoute une rustine sur .Net… reste deux risques d’élévation de privilège sur des défauts touchant TCP/IP (MS12-032) et le gestionnaire de partitions (MS12-033), deux problèmes considérés comme mineurs car nécessitant un accès console et un compte déjà authentifié.

Adobe,de son côté, bouche un ZDE exploitable -CVE-2012-0779- dans Flash player. La mise à jour 11.2.202.235 (torpilleur coulé) peut être téléchargée sur le site de l’éditeur.

Simultanément, ce même Adobe demande aux usagers de Shockwave Player 11.6.4.634 (escorteur touché) de passer rapidement à l’édition 11.6.5.635… Shockwave et Flash sont des « pâtes mères » fort appréciées des marmitons développeurs d’exploits en raison de leurs bugs relativement nombreux. En conservant une immatriculation des versions quasi unixienne, très adaptée au grand public, on comprend la raison pour laquelle les botnets apprécient particulièrement Adobe.

Gardons le meilleur pour la fin : Oracle émet un bulletin d’alerte prévenant la possibilité d’une attaque distante baptisée « TNS Listener Poison Attack » et qui concerne les éditions 11g et 10g de la base de données. Par le plus grand des hasards, cette alerte est émise peu de temps après qu’un chercheur Espagnol, Joxean Koret, ait osé publier quelques détails sur ce défaut exploitable à distance. Cet irresponsable hacker a manifestement forcé la main de l’éditeur de bases de données, ne lui donnant qu’à peine le temps de réagir. En effet, ce chercheur avait signalé l’existence de ce défaut il y a à peine 4 ans. Son inconsciente et hâtive publication sur la liste Full Disclosure précise que le défaut pourrait être qualifié d’endémique, puisqu’il semblerait être âgé de plus de 13 ans. La datation au carbone 14 ne pouvant s’appliquer aux failles, une estimation plus précise n’est hélas pas envisageable.

C’est avec sa rapidité de réaction légendaire que la société Oracle a donc été contrainte de publier une mesure de contournement (non, il ne s’agit pas d’un véritable « bug fixing »… le temps était bien trop court). Quelques esprits mal tournés s’interrogent sur le nombre exact de trous de sécurité connus de l’éditeur et laissés béants pour les besoins d’une cause ou d’une intelligence inconnue.

S’il fallait résumer Hackito Ergo Sum en 5 lignes, une fois n’est pas coutume, l’affaire serait simple : Renaud Lifchitz (BT) a exposé sur la place publique que les banques, dans le monde entier, étaient en train de diffuser une nouvelle génération de cartes de crédit dont l’usage peut s’avérer ruineux (au sens propre) pour leur clients, et le couple Jonathan Brossard / Florentin Demetrescu a expliqué comment sous-mariner n’importe quel ordinateur « Wintel » de manière permanente, à distance, et sans que la chose puisse être détectable (voir article suivant). Les autres présentations, plus techniques, plus verticales, étaient plutôt destinées à un public de spécialistes, et reprenaient en général des travaux souvent exposés au fil d’autres conférences sécurité.

…. Et malgré un contenu d’une gravité et d’une importance incontestable (car touchant soit aux données personnelles de tout informatisé, soit à son portefeuille), pas un seul médium grand public n’est sorti du traitement « convenu » de l’évènement : les hackers sont des spécialistes qui se réunissent de temps en temps… probablement dans le but de se reproduire. Une race qui n’appartient qu’à deux familles : celle des dangereux cyber-terroristes qu’il faut surveiller, museler, condamner à des peines de prison, et celle des gentils nerds dépassés par les réalités quotidiennes, professeurs Nimbus des temps modernes. Il y a là indiscutablement un problème de communication, de vulgarisation et de pédagogie qui concerne l’ensemble des professions de la sécurité informatique, et dont les conséquences sont bien plus graves qu’une simple histoire d’image de marque ou de couverture média d’un évènement en particulier.

Mais revenons sur le hack de Renaud Lifchitz, British Telecom. Sa présentation, Hacking the NFC Credit Card for Fun and debit, explique que la nouvelle génération de cartes de crédit “sans contact” (en gros, utilisant la même technique que les RFID pour la traçabilité de la viande bovine et la gestion des forfaits de ski) permet d’extraire, à plusieurs mètres de distance, les informations non chiffrées suivantes :

Sexe

Nom

Prénom

PAN (numéro de compte primaire)

Date d’expiration

Données contenues sur la piste magnétique

Historique des dernières transactions

Ainsi qu’un code CVV à usage unique ne servant qu’à des transactions de faible valeur

Excusez du peu. Ces cartes sont systématiquement distribuées depuis le début de l’année 2012.

Comme si cela ne suffisait pas, Renaud Lifchitz précise que cette absence de chiffrement pose plusieurs autres problèmes secondaires : sans protection des données bancaires et nominatives, la transaction financière (et pas voie de conséquence le département de la banque chargée de l’opération), n’est plus conforme aux normes PCI-DSS. La Cnil, quant à elle, s’inquiète du possible pillage de centaines de milliers d’identités à l’heure (un simple portique d’interrogation camouflé dans un couloir du métro par exemple). La gendarmerie, pour sa part, y voit un excellent moyen pour déclencher une bombe à distance à proximité d’une personne précise et spécifiquement visée… Cela ne suffit pas ? Lifchitz continue « les données peuvent être directement accessibles via des attaques MIM pour effectuer des achats plafonnés à 20 euros, somme limite autorisée pour les NFC. Voir pour fabriquer d’autres cartes clonées sur le marché du carding, cartes qui seront acceptées dans la majorité des pays d’Outre Atlantique notamment, lesquelles n’exigent ni « puce », ni contrôle du CVV. Les données peuvent également être utilisées sans le moindre support physique, pour effectuer des achats sans plafond, sur des sites de vente en ligne. Une rapide vérification des mécanismes de payement sur Internet nous prouve que la majorité des sites de vente dans le monde n’utilise pas le code CVV « véritable » pour authentifier la transaction, et lorsque ce code est demandé, il est souvent possible de fournir n’importe quel suite de 3 chiffres… il n’y a aucune vérification ».

Mais il y a pire encore. Contrairement à ce que Renaud Lifchitz explique (par prudence scientifique) nul n’est besoin de dépenser 2000 euros d’amplificateur et 1000 euros d’antenne pour lire ces cartes de crédit NFC à plus de 1 à 15 mètres : un bon radioélectronicien un peu compétent dans le domaine des ondes courtes fabriquera son outil à pirater les cartes Visa « NFC » pour la modique somme de 100 euros (allez, poussons à 300 Euros si l’on ajoute un petit amplificateur HF de 50W PEP réalisé à coup de transistors FET sérieux). Mais ce n’est là encore qu’un aspect technique de la question. Le véritable problème vient des organismes qui ont mis au point un système de payement sans contact non chiffré, imposé sans demander l’assentiment des clients, sans la moindre information technique ou éclairage des risques encourus, technologie enfin sur lequel le légitime propriétaire n’a strictement aucun contrôle du genre « marche/arrêt ». Des constructeurs d’automobiles ont été contraints de rappeler des milliers de véhicules pour bien moins que çà, avec en prime une place de choix sur la première page des journaux. Pourtant, dans ce cas précis, aucun contre-pouvoir, aucune voix ne s’est élevée, contraignant ainsi les banque à retirer immédiatement leurs nouvelles cartes de crédit.

Pas une ligne en dehors de la presse spécialisée. Le lobby des organismes financiers et leurs avocats fait-il si peur à nos confrères ? Le message était-il formulé de manière trop « geekesque » pour être compris ? La crainte d’une annonce jugée catastrophiste aurait-elle soudainement préoccupé la conscience des reporters des quotidiens nationaux qui, il n’y a pas un an, rédigeaient des titres sur 5 colonnes alertant la population du très improbable danger Stuxnet ? Il se creuse là indiscutablement un « digital divide » entre ce qui pourrait réellement préoccuper les consommateurs Français et les grands canaux d’information. Si la presse généraliste ne peut pas transmettre de tels messages, il faudrait alors que soit remise sur le tapis la question de la création d’un véritable CERT grand public, un cyber-Ombudsman à la Suédoise comme en possèdent déjà la Grande Bretagne et l’Allemagne. Un travail que ne peuvent remplir les autres Cert nationaux, ni le « A », ni le « Renater », ni le « IST » pour d’évidentes raisons historiques et fonctionnelles… encore moins les Cert bancaires qui seraient, dans de tels cas, juges et parties, pas plus que des structures telles que l’Anssi, qui atteint ici les limites de sa compétence (le mot compétence désignant ici périmètre de mission, et certainement pas ses capacités techniques).

Sans l’autorité indépendante que serait ce Cert grand public, il est impensable que les banques elles-mêmes acceptent de perdre de l’argent en retirant du marché ces centaines de milliers de cartes déjà en service, et surtout divulguent elles-mêmes une information pouvant porter atteinte à leur bien le plus précieux : la confiance. Un Cert possède un pouvoir bien plus grand qu’une Cnil. Un seul de ses communiqués fait immédiatement réagir un Microsoft ou un Google. Les banques y seraient également sensibles. Etre accusé de spéculation sur les edge fund, passe encore, l’activité est jugée très virtuelle. Mais jouer au loto avec la sécurité des particuliers, il y a fort à parier que la pilule ne passe pas.

Il apparaît également qu’au cours des travaux de Mr Lifchitz, une remarque a été formulée par différents intervenants, revenant comme un leitmotiv : il ne faut pas affoler la population. Ignorance is a bless diraient les anglo-saxons. L’homme de la rue*se voit demander son avis sur l’avenir politique de l’Europe ou sur le choix du prochain Chef d’Etat, mais il est jugé incapable de déterminer si oui ou non le risque de lecture de ses coordonnées bancaires est un fait important.

En attendant, la Cnil est sur les dents, les fabricants de carte planchent sur la conception d’une solution chiffrée dont la date de disponibilité est inscrite dans les fumées éthérées de la pythie de Delphes, la gendarmerie ne rit pas (ce hack est vraiment à la portée d’un enfant de 10 ans), et la grande majorité des porteurs de cartes de crédit NFC dorment en paix. Quant aux rares personnes informées, elles se sont prises d’une passion soudaine pour les feuilles de mu-métal.

*NdlC Note de la Correctrice : L’homme de la rue est composé en moyenne par 50 % de femmes soit, sous un angle sociologique, 84% des personnes responsables de l’équilibre du budget des ménages.

Du 31 mai au 1 juin prochain, dans la ville du Havre, se dérouleront les rencontres Seagital qui seront placées sous le signe de la « marétique ». Ce néologisme désigne toute activité du monde maritime et fluvial en matière de technologies numériques. Ce serait nouveau, ce serait tendance… et de grands acteurs tels qu’IBM et EADS possèderaient déjà une offre appétissante en matière de numérisation batelière.

En fait de nouveau domaine d’activité, il n’y a strictement rien de particulièrement révolutionnaire. Les infrastructures de communication et de traitement des données dans le transport maritime et fluvial font partie des infrastructures dites Scada, de celles qui ne datent pas d’hier. Les marins ont été parmi les premiers à utiliser des outils de communication sans fil dès les années 1910/1915. La transmission de l’inventaire de chargement (le « connaissement » disent ceux qui aiment faire des phrases), les routes maritimes empruntées, les rôles d’équipages et autres documents précèdent l’arrivée du bâtiment au port depuis les années 50-60, via des réseaux de télex et de transmission Tor (protocole radio sans rapport avec l’onion router). Passons sur les Tabarly, Pageot, Kersauson ou Riguidel (tadadaaaa) qui ont popularisé l’usage de la téléphonie par satellite, de la géolocalisation GPS et balise Argos, de l’analyse météorologique basée sur la réception directe du réseau NOAA… Celui qui tient bon la barre et tient bon le vent, de nos jours, a plus souvent l’œil fixé sur son écran plat 20 pouces que le « nez dans la plume » bref, les TIC chez les marins, c’est un peu comme les inaugurations de chrysanthèmes pour les hommes politiques : une question d’habitude et une seconde nature.

Reste que les choses changent. Car lorsque l’on invente un terme marketing pour vanter les mérites d’une informatisation unifiée, l’on sous-entend très souvent le mariage d’une multitude de métiers via un réseau unique pas toujours étudié pour. Des moteurs au calcul de cap, en passant par la gestion/optimisation du fret, la coordination des logistiques terre/mer, le suivi de flotte etc., tout pourra être interconnecté nous promet-on afin de simplifier la transmission des flux entre métiers. Et c’est dans les détails que se cachent généralement les défauts les plus diaboliques. Les inquiétudes relatives aux récentes attaques et accidents «involontaires » ayant affecté des infrastructures Scada ont montré que le danger se situait toujours au niveau des jointures logicielles plus ou moins calfatées, des passerelles d’interopérabilités sabordées, des changements de technologies lof pour lof. Sans parler de l’arrivée d’équipements plus modernes censés à la fois faire économiser beaucoup d’argent et améliorer l’ergonomie générale des commandes de processus complexes. C’est ainsi que l’on a pu découvrir la présence de virus sur des architectures Wintel installées dans des complexes nucléaires, et que l’on est esbaudi des fournisseurs d’énergie ou de traitement des eaux qui ont eu le bonheur de retrouver les descriptions de leurs installations sur Pastebin… Sans oublier le jour où la Marine Française (nous savons ce qu’elle nous dit, la Mârine Frangsaiseu) a écopé d’une homérique invasion de Conficker en octobre 2009. A4-B9, Charles de Gaule touché-coulé. Depuis, les marins marris se marrent lorsqu’ils entendent parler de navigation et d’électronique. C’est plus l’homme qui prend la mer, c’est l’amer qui prend l’Ohm.

L’arrivée de la Marétique est donc une excellente nouvelle pour la profession de chasseur de failles, RSSI ou CSO en quête d’un bel uniforme. Ce terrain de jeu aux richesses insoupçonnées sera un très probable vecteur de fuites d’informations personnelles et industrielles. Car quelle que soit la méticulosité dont feront preuve les équipementiers, quelle que soit l’attention et le professionnalisme des intégrateurs, ce Scada marin prendra l’eau « par construction et par définition » pourrait-on dire. Espérons simplement que les « patch Tuesday » y seront appliqués avec célérité, et que l’on pourra sans état d’âme continuer, dans cette noble profession, à saluer tout ce qui bouge et repeindre tout le reste.

Roland Moreno nous a quitté cette semaine, bien trop tôt (il n’avait que 66 ans), laissant dans son sillage un cortège d’hommages tirés de Wikipedia, d’éditos pensifs et poussifs sur « le génie qui inventa la carte à puce », ou sur l’auteur de la « Théorie du Bordel Ambiant » qui apprit à la gente geekesque ce qu’était un sophisme 2300 ans après Socrate*.

Pour l’équipe de CNIS Mag, Roland Moreno fut un véritable catalyseur, l’origine d’une vocation. Cela nous ramène au début des années 90, à l’époque où la plupart des lecteurs de la presse micro « grand public » étaient généralement capable de lire la ROM désassemblée de leurs propres machines, et n’attendaient pas de leurs journaux favoris le énième article sur l’utilité d’une appliquette récupérée sur un Market quelconque. Internet n’existait que pour quelques universitaires et entreprises du monde Unixien, et les geek, nerds, dorks et autres mordus se plongeaient à claviers perdus dans l’univers virtuel des BBS, alias les « microserveurs »… qui n’étaient absolument pas l’ancêtre d’Internet. Gufi, Ouf, Suptel, Lil’s BBS, le savoir en ligne s’échangeait au prix de la minute de communication, le plus souvent en 300 ou 1200 bauds grâce à des modems frisant généralement un demi-salaire mensuel.

Flashback.

Roland Moreno, en ces temps anciens, commercialise des modems, et notamment le fameux Tristan (tri-standard : V21/V22/V23), lequel peut être associé à un logiciel BBS tournant sur plateforme Apple II. Ce logiciel est né d’une francisation et d’une « légère » modification d’un programme originaire du domaine public venu d’Outre Atlantique, puis revendu par l’entreprise de Roland Moreno, Hello Informatique. Toujours à cette époque, l’un de ces BBS tourne en permanence dans les bureaux de l’Ordinateur Individuel (NdlC : l’auteur de cet hommage y a sévi quelques temps …). Un soir de bouclage particulièrement pénible, le DuoDrive, lecteur de disquettes de notre « II+ », émet son ractacktaktak caractéristique. Deux heure du matin… les téléchargeurs-fous des « Jeux de l’OI » sont-ils insomniaques ? Par curiosité, nous jetons un œil sur l’écran de la machine, histoire de comprendre de quoi peut bien se nourrir un primo-informatisé noctambule. La curiosité fait rapidement place à l’inquiétude lorsque le « client » parvient à sortir de l’environnement BBS en activant une backdoor, et commence à farfouiller dans la mémoire de stockage de l’ordinateur (128 Ko tout de même !). Blocage de l’intrus, intervention au clavier pour demander à ce quidam ce qui motive sa cyber-perquisition : Roland Moreno (car c’est lui) nous avoue qu’il chasse ainsi les copies pirates de son logiciel, lequel ne peut être activé qu’après échange d’un « magic number » délivré seulement par les modems de la marque Hello Informatique.

Il faut préciser qu’à l’époque, r00ter une machine sans l’autorisation de son propriétaire n’appartenait pas au domaine du pensable : chaque usager était un hacker, mais un hacker responsable et respectueux du bien d’autrui.

C’est donc grâce à Roland Moreno (et à ses explications techniques qui furent données par la suite avec gentillesse et humour) que nous pûmes sortir notre premier titre sur un « remote exploit » qui n’était pas franchement à l’avantage de la société Hello. Ce qui plus tard nous a conduits à nous passionner pour ces usages hors norme des réseaux de machines. Moreno, en jouant la carte de la transparence et du « full disclo », avait compris que faute avouée et corrigée est rapidement pardonnée. A la fois hacker, chef d’entreprise, agitateur d’idée, un peu pirate, littéraire à tendance technoïde adorant les jeux de mots Oulipistes et les blague Goscinnyennes, on se souviendra de Roland Moreno comme d’un Pic de la Mirandole moderne… et d’un précurseur dans la catégorie hippisme à la mode de Troie.

NdlC Note de la Correctrice : La connotation péjorative de l’appellation « sophiste » est un héritage de la dialectique socratique/platonicienne : diaboliser et discréditer son adversaire lorsque l’on est à court d’arguments logiques. Les sophistes étaient pourtant des gens très biens, parmi lesquels on trouve pas mal d’épicuriens.

Pour ceux qui n’ont pas eu le plaisir de passer une semaine de tourisme à Singapour, les transparents des principales conférences de SyScan 2012

Virus Flashback, le canard est toujours vivant ! Selon les statisticiens de Dr Web, le botnet Flashback qui a frappé près de 600 000 Macintosh ne parviendrait pas à se résorber, contrairement à ce qu’auraient annoncé des concurrents

A noter : l’article de Sonia Faure dans Libération sur la multiplication des fichiers de police, leur usage abusif, leurs contenus erronés et dans un cas sur deux, leur illégalité …

« Pas de risques pour les clients »… plutôt que de jouer le mutisme et l’immersion périscopique comme cela avait été le cas lors du hack des fichiers « secureID » chez RSA, la première réaction d’EMC a été de minimiser l’intrusion probable de ses réseaux et la publication sur Pastebin de près de 300 Mo de code source d’ESX server. Certes, ces informations sembleraient dater de 2003, mais des affaires comparables (ainsi le précédent de la diffusion de sources d’origine Symantec, NAV et PC Anywhere) laissent craindre qu’une analyse poussée du contenu puisse aider des pirates à concevoir d’exceptionnels exploits explosifs. L’origine de la fuite est encore très incertaine.

Selon la Cour des comptes, avec une progression de +62% sur 10 ans (soit deux à trois fois plus que l’inflation en France), les droits d’auteurs ne connaissent pas la crise. Nos confrères de Numérama, rappellent les excès des organismes de gestion et font remarquer l’écart entre la réalité économique de l’industrie des contenus de divertissement et la prétendue crise dont parlent les acteurs de cette même industrie. Se pose également, face à ces bénéfices plus que confortables, la question de l’utilité réelle de la commission Hadopi et de ses frais de fonctionnement, ainsi que le bien fondé des taxes imposées sur les supports (disques durs externes, supports CD et DVD, projet de taxe « antipirate » sur les abonnements Internet, taxe « cloud » etc.).

Si l’on excepte les grands infrastructures stratégiques nationales (scada notamment) et l’entretien nécessaire de l’appareil administratif, aucune autre industrie du secteur privé représentant aussi peu dans le PIB de la nation ne bénéficie de prébendes systématiques aussi élevées tirées sur le trésor public.

La société d’études Pricewaterhousecoopers vient de publier, à l’occasion du salon Infosec Londres, les résultats d’une étude sur l’état de la sinistralité informatique non accidentelle en Grande Bretagne (447 entreprises consultées). Selon les résultats de l’enquête, une grande entreprise sur sept aurait été hackée avec succès au cours des 12 mois précédents. Une tentative d’intrusion par semaine, tel serait le rythme des attaques ; proportion qui diminue avec la taille de l’entreprise, puisque dans la tranche PME, cette fréquence ne passe pas le seuil d’une attaque par mois. Les cas de vols et usurpations d’identités (ou d’identifiants) ont été multipliés par 3 depuis 2008, visant essentiellement les services financiers. Pourtant, constate le PwC, 20% des entreprises concernées consacrent moins de 1% de leur budget TIC à la défense des systèmes. Restons dans les estimations financières en relevant deux autres chiffres, ceux des montants moyens des pertes occasionnées par les intrusions effectives : entre 110 000 et 250 000 Livres Sterling côté grandes entreprises, et entre 15 000 et 30 000 Livres côté PME.

L’évolution des budgets sécurité Britanniques ne s’avère guère éloignée de celle constatée en France. En moyenne, les RSSI bénéficient d’une enveloppe de 8% du budget TIC de leur entreprise, tandis que les sociétés qui ont fait les frais d’une attaque consacrent… 6,5% du budget TIC. Minoration superstitieuse ?