juin, 2012

S’il est une information qui a fait réagir la presse généraliste, c’est bien celle publiée par nos confrères du « Post » et qui nous apprendrait que Flame serait également écrit par les cyber-services-action US en collaboration avec leurs collègues Israéliens, et que ledit virus relèverait de la même mouvance opératoire que Stuxnet, autrement dit l’offensive « Olympic Games ».

Le tuyau aurait été donné par une gorge profonde quelconque, forme d’aveu officieux et non formulé qui en garantirait ainsi l’authenticité… car c’est ainsi que l’on fait dans le milieu des barbouzes.

Une non-information et une non-révélation, car dès les premières heures d’analyse qui ont suivi la découverte de la souche, l’analogie d’écriture et l’usage de ressources communes liant Stuxnet, Duqu et Flame était établie. Entre une affirmation de spécialiste du désassemblage rompu aux subtilités d’Ida Pro et les confidences non-officielles d’un officiel anonyme, il faut admettre que l’un a plus de crédibilité que l’autre.

Ce qui, en revanche, est plus qu’intéressant, c’est l’affirmation selon laquelle Flame aurait été découvert par les Iraniens suite à une action non concertée des cyber-militaires israéliens. Lesquels, pour la seconde fois, portent le chapeau. Stuxnet aurait également été découvert en raison « d’améliorations » apportées par les développeurs du Mossad, à l’insu des codeurs de la NSA. « sans eux, tout serait passé inaperçu » pourrait-on en conclure.
Derrière les révélations de cette Gorge Profonde, l’on peut lire en creux ce qui ne se dit pas. A commencer par l’improbabilité du fait que Olympic Game soit la seule et unique série de cyber-arme mise en chantier par l’Administration Bush. Rappelons que ce gouvernement a battu un certain nombre de records en matière d’espionnage intérieur sur simple pouvoir discrétionnaire de la Maison Blanche. Un Gouvernement qui fliquerait de manière très intrusive les communications téléphoniques et Internet de ses propres citoyens sous prétexte de lutte contre le terrorisme, et qui établirait une stratégie offensive contre d’autres Etats-Nation serait-il assez prude et rigoriste pour ne pas espionner ses principaux adversaires économiques ? Ajoutons qu’il y a peu de chances que les USA et Israël conduisent des attaques coordonnées contre les puissances Européennes. Et en l’absence de l’éternel gaffeur de l’équipe, on peut donc se demander combien de Flame-DuQu-Stuxnet orientés « pur renseignement » infectent le tissus industriel de nos contrées.

L’on assiste également à une sorte de bipolarisation à l’ancienne de cette guerre froide et soft. D’un côté, le bloc Nord-Américain, de l’autre, les pays qui « découvrent » les vecteurs d’attaque : Biélorussie pour Stuxnet, Russie pour Flame, Hongrie pour DuQu. Et c’est par le plus grand des hasards que le gouvernement Iranien fait appel à des cabinets d’analyse Russes et Hongrois (peut-on lire dans le Washington Post) pour auditer les ressources informatiques du pays. Il est évident que tout sera fait par la Russie ou n’importe quel autre Bric pour contrecarrer les visées US, considérées comme hégémonistes. L’annonce officielle du cyber-corps de l’armée Indienne n’est probablement par étrangère à cette suite d’évènements d’ailleurs. Flame n’est qu’un volet d’un affrontement plus vaste, et bien sot serait celui qui ne verrait là qu’une escarmouche isolée, une tentative de technoïdes supportée avec une patiente bienveillance par la Présidence. Il s’est passé, sous le gouvernement Bush, un retournement de situation dans le dialogue scientifiques-militaires comparable sur bien des points à l’évolution du projet Manhattan à partir de 1942.

Les échos provoqués par l’explosion Flame et l’annonce de paternité de Stuxnet n’en finissent pas de rebondir. Passé la première vague d’émotion, les Experts Patentés parviennent à rassembler leurs esprits et prennent conscience des problèmes cornéliens que pose l’arrivée officielle de ces cyber-armes. A commencer par la perte de confiance des usagers envers les vendeurs d’outils de sécurité… c’est donc à la fois sur l’air du « à qui se fier » et « mais qui donc va accepter de payer mes honoraires maintenant que les militaires ont prouvé ma très relative efficacité » que différents éditorialistes reviennent sur la question.

Pourtant, la marge de manœuvre des éditeurs du monde de la sécurité est étroite. Des années durant, ces industriels ont surfé sur la vague anxiogène des cybervilains, joué à fond la carte de l’engagement politique, des cyberczars et des grandes alertes sur les APT, les Spywares, les Titan Rain et autres Dragon-chose. Comment ne pas se dédire aujourd’hui et faire comprendre qu’il existe des frontières, que non, après tout, le danger n’est pas si important, et que l’intervention de l’Armée n’est pas nécessaire ? Trop tard. Le loup est dans la bergerie, il n’a pas l’intention d’en sortir, et ses méthodes sentent le fauve.

Comme précédemment publié dans les colonnes de Cnis, l’usage de certificats forgés (tout comme le casse impuni de l’Université de Taiwan qui a permis l’exploitation de ces certificats) a pratiquement napalmisé l’image de marque des « autorités de certification ». Sean, sur le blog de F-Secure, diffuse les écrans de sa présentation traitant des récentes affaires utilisant un certificat MD5 forgé… Le dernier utilisateur en date étant Flame.

Passons sur le fait que les Stuxnet, Flame, Duqu ont été découverts « par hasard », fruit d’une erreur de manipulation dans la plupart des cas, et généralement plusieurs années après leur « date de première mise en circulation », montrant à la fois et l’efficacité brutale des militaires, et leur compétence, et surtout la cécité du « security business » durant plus de 2 ans au moins. Car, pour l’homme de la rue, ne pas voir ce genre de virus des années durant, c’est soit de l’incompétence, soit de la collaboration.

Alors les experts attachés à une entreprise tentent de recoller les pots cassés. Mikko Hyppönen envisage d’écrire une lettre au Président Obama, rapporte l’International Business Times. Make love, not cyberwar. Les chercheurs indépendants ont une vision un peu moins diplomatique. Ainsi l’éditorial de Kurt Wismer qui titre « De l’impact de Flame sur la confiance » : en parvenant à détourner le mécanisme de mise à jour automatique de Windows, Flame a sérieusement entamé la confiance que l’on pouvait témoigner envers Microsoft et tous les éditeurs proposant des outils semblables, explique Wismer. Et alors ? cette confiance n’est en fait qu’une forme de behaviorisme, de refus de voir la réalité, et de reporter sur un tiers le soin de prendre en charge notre propre sécurité. Flame a paradoxalement fait du bon boulot en nous ouvrant les yeux. « We placed trust in microsoft’s code, in the automaton they designed, not because it was trustworthy, but because it was more convenient ». Trustworthy computing a encouragé une forme de paresse intellectuelle coupable. Notons au passage que cela fait des années que les grands comptes et spécialistes sécurité Français dénoncent ces formidables Botnets que sont Windows Update et ses proches cousins. Sont-ils toujours traités de Cassandre ?

Cela va-t-il changer quoi que ce soit dans un proche avenir ? Certainement pas. La majorité des utilisateurs, la majorité des Directions de grands groupes industriels, ne souhaite pas voir cette vérité qui dérange. D’ailleurs, Bruce Schneier lui-même, qui nous avait pourtant habitué à prendre le contrepied des idées communes, défend plus ou moins la même position que celle de Mikko Hyppönen, nous apprend Network World. Mais Schneier reste Schneier. Dans un billet publié dans les colonnes de U.S. News and World Report et repris sur son blog, le fondateur de Counterpane explique : Non, nous ne sommes pas en état de cyberguerre. Tout çà relève de la psychose que tente de répandre un quarteron de marchands de sécurité et autres sous-traitants vivants sur les budgets du Ministère de la Défense. Mais le fait que l’armée dispose désormais et quasi officiellement d’armes numériques va déstabiliser Internet et la cyberéconomie du monde, explique Schneier. Tout çà est comparable à la course aux armements nucléaires. Le seul moyen de contenir cette escalade, c’est de demander de manière urgente que l’on signe, entre grandes cyberpuissances, des traités SALT de limitation des cyber-arsenaux. Traité accompagné d’un contrôle des usages et des procédures d’usage, afin d’éviter qu’un Docteur Folamour ou qu’un Colonel paranoïaque ne viennent par erreur appuyer sur le bouton rouge : « it is only a matter of time before something big happens, perhaps by the rash actions of a low-level military officer » prévient le Chuck Norris de la Sécurité.

L’on pourra objecter deux choses à cette argumentation. Les cyber-armes conventionnelles (Stuxnet-Flame-DuQu), relèvent plus de l’arsenal de guérilla et des méthodes de barbouzes que de la guerre ouverte, franche et joyeuse. A-t-on jamais vu signé le moindre accord visant à la réduction des espions dans un pays ou la diminution des attaques d’embuscade par des commandos secrets ? Les cyberguerres se déroulent sur un terrain autre que celui des nations qui les mènent : le terrain, c’est Internet et les machines de l’ennemi. Stuxnet n’est que la forme virtualisée des mercenaires, des black ops, des gendarmes katangais, des plongeurs anti-Rainbow Warrior, de tous ces chiens de guerre sauce Mission : Impossible dont on nie la connaissance si par hasard ils se font prendre. Leur nature « Spéciale » fait qu’ils ne peuvent faire l’objet d’aucun traité de régulation.

L’autre point important porte sur l’illusion d’un tel traité si jamais il parvenait à voir le jour. Le pouvoir intimidant de la violence, les intérêts financiers, la lâcheté de certains politiques, la surdité sélective aux sons émis par les experts et analystes politiques et techniques sont des constantes dans l’histoire de l’humanité. La SDN est morte étouffée par ses rêves, et l’on ne se souvient d’un traité historique que parce qu’il a été violé à plus ou moins long terme après sa signature. De Cateau-Cambrésis à l’Edit de Nantes, du Traité de Verdun (848) à celui de Péronne (celui signé par Louis XI), il suffit d’un morceau de papier pour deviner avec précision de quelle manière débuteront les hostilités.

Après tout, l’idée d’un traité de non-prolifération des cyberarmes n’est peut-être pas si mauvaise : elle permettrait au moins de coucher sur le papier les dangers auxquels il faut se préparer.

Eric Parizo, de SearchSecurity, signe un papier passionnant sur la sécurité et la mode du Big Data. Article qui reprend les grandes lignes du discours que donnait Neil MacDonald, vice-président du cabinet d’étude Gartner. L’accumulation et le traitement massif de données atteignent de tels niveaux qu’il n’existe pas encore d’outil fiable pour détecter une menace, une fuite d’information, une intrusion. L’on peut, a priori, commencer par définir le profil d’une activité « normale » par analyse des flux et des traitements, et ainsi en dégager les usages sortant de cette norme pour tenter d’en faire ressortir, par contraste, une activité douteuse. En 2016, précise MacDonald, 40% des entreprises notamment dans les secteurs banques-assurances-industries pharmaceutiques-défense, tenteront de détecter des activités anormales en effectuant des analyses sur des modèles portant sur des volumes d’au moins 10 To. On imagine la suite : soit un engorgement des outils de détection, soit une avalanche de faux-positifs… la mise au point de modèles mathématiques capables de filtrer ce qui est véritablement important est donc un impératif. La question ne date pas d’hier. Sebastien Tricaud avait notamment donné une conférence sur le sujet lors de la conférence Hackito Ergo Sum de 2011… Encore ne s’agissait-il que d’analyse de flux réseau. Le problème est encore plus compliqué lorsque les données ne bougent pas.

D’accord pour tenter d’envahir le monde des tablettes tactiles (après 4 flops historiques), mais à condition qu’il ne vienne pas semer la pagaille dans les réseaux d’entreprise ! La toute dernière pré-version marketing de Windows 8, la fameuse « unificatrice » qui couvrira l’homo-informaticus de la tête aux pieds, du serveur à l’appareil mobile, ou plus exactement la version qui s’installera sur les plateformes « tablette » (alias Windows RT), ne devrait pas être capable de s’inscrire à l’intérieur d’un Domaine au sens Active Directory Services du terme. Ce n’est pas la première fois qu’une telle exclusion existe au sein de la famille Windows. Home Server, par exemple, ne peut rejoindre un contrôleur de domaine. Mais Home Server a très peu de chances de se voir installé au sein d’une entreprise, ce qui n’est peut-être pas le cas des tablettes personnelles, ce qu’a démontré depuis longtemps le phénomène Byod, aka « bring your own device ».

D’un point de vue sécurité, la question a son importance. Il importe peu qu’une tablette soit ou non référencée dans un domaine si ledit terminal ne sert qu’à ouvrir une session TSE ou exécute une machine virtuelle qui, elle, pourra accéder à certaines ressources dont l’accès est contrôlé. La machine devient « personae non grata » d’un point de vue administratif et même sécuritaire, et c’est l’utilisateur et un environnement généralement virtualisé qui est alors pris en compte. Cette notion « d’usage de contenu » et d’administration partielle avait déjà fait l’objet d’une approche chez Microsoft, à l’époque où sont apparus les premiers clients légers à base de Windows CE. Profils itinérants, récupération de session en cas de crash, administration stricte de l’environnement de l’usager dans le cadre de group policies précises… la stratégie est morte avant d’avoir dépassé le stade du prototype. D’autres ballons d’essais (Mira, Origami) de tablettes grand public ont tenté de faire naître un marché en proposant des plateformes tellement limitées qu’elles en devenaient inutilisables. Parfois, le marketing interne peut briser une idée plus sûrement que la concurrence. Reste que malgré une probable approche virtualisée et des opérations distantes, un Byod est toujours assimilable à un composant USB, potentiellement propagateur d’infections. Ce n’est pas là une question d’administration, de mise en quarantaine, de NAC, mais de simple gestion des périphériques connectables.

Pour les administrateurs de parc informatique, cette probable arrivée des Windows RT implique l’installation non seulement de nouveaux outils, mais également de nouvelles méthodes d’administration, puisque celles reposant sur les ADS semblent interdites. Des méthodes qui ne font, pour l’instant, l’objet d’aucune communication de la part de la Maison Mère, et dont on peut se demander si elles seront cohérentes avec l’existant. Il a fallu près de 10 ans pour passer du modèle PDB/BDC à l’architecture et à l’administration « ADS Centric ». Espérons que la digestion sera plus rapide et moins douloureuse avec ces nouveaux « endpoint » qui devront cohabiter avec la structure domaine/forêt actuelle.

Achevons ce rapide survol de Windows 8 RT en faisant remarquer un fait exceptionnel : Microsoft a présenté à la presse sa propre tablette. Jusqu’à présent, l’entreprise avait toujours confié à plusieurs OEM (Casio, Sagem, Compaq, HTC…) le soin de prendre les risques matériels, de fabriquer les plateformes Windows CE ou Windows « tout court » destinées au grand public. Manière pratique de faire porter sur d’autres épaules la responsabilité de ses échecs successifs. Pourtant, il faut se souvenir que Microsoft sait parfois être une entreprise hardware, et que c’est même le matériel qui est à l’origine du développement de la Gates Company. Avec la fameuse carte Z80 Softcard pour Apple II notamment, livrée avec CP/M et le célèbre Microsoft Basic. Plus rares en revanche sont ceux qui se souviennent des cartes Mach, avec processeur et port souris PS/2 destinée à supporter OS/2-Lan Manager. Microsoft sait fabriquer autre chose que des claviers-souris, mais son entraînement laisse à désirer.

Les qualificatifs de « misrepresentation » de « Distress and Arm »… (en French dans le texte, de diffamation), ont été évoqués pour qualifier le blog d’une fillette de 9 ans qui avait pour tout crime tenu un journal de ses repas de cantine scolaire. Nos confrères du quotidien 20 Minutes en retracent un récit épique, digne des heures de gloire des combats de suffragettes : Martha Payne est transformée en passionaria de la lutte contre la malebouffe cantinière, soutenue dans son combat par de grands chefs de cuisine Britanniques (non, ce n’est pas là un lapsus) tel que Jamie Oliver. Aucun de nos confrères ne fait pourtant la moindre remarque sur la condamnation a priori du blog de cette enfant. Pourquoi une si vive réaction devant la photographie d’un steak-coquillettes-jellow dans un monde qui médiatise le marmiton, qui dresse des autels aux gâte-sauces et qui tresse des couronnes de laurier-sauce aux participants de Cauchemar en cuisine, de Top Chef, MasterChef, Miam et autres Dîners presque parfaits. Peut-être est-il plus simple de menacer un enfant blogueur qu’une société de production ? Ou peut-être que la puissance supposée d’un message sur Internet est considérée comme considérablement plus importante qu’une soupe télévisuelle, fût-elle accompagnée de crème fleurette.

Plus inquiétante, cette proposition de loi Britannique que dénonce la BBC et qui, insensiblement, étend au courrier de surface la loi supprimant la confidentialité de la correspondance électronique privée au Royaume Uni. Pour l’instant, le glissement progressif du plaisir de censeur se limite « à ce qui est écrit à la surface de l’enveloppe »… ce qui laisse planer un doute sur le contenu privé du texte des cartes postales, s’inquiète l’auteur de l’article.

Il est très peu probable que les groupes de terroristes (ceux-là même qui justifient soi-disant de telles lois) inscrivent en clair sur les enveloppes « Jeudi prochain, nous allons faire sa fête à la Reine à grand renfort de sauce à la menthe explosive ». Il est tout aussi peu probable que des terroristes terrorisant utilisent régulièrement le courrier de surface en utilisant de manière régulière des adresses postales fixes. Le but d’une telle disposition pourrait bien être plutôt de permettre de « profiler » les usagers réguliers du courrier papier, ceux-là même qui échappent aux lois antiterroristes autorisant le flicage des communications numériques … Et si un tel texte venait à passer, les opérateurs postaux, dont la Poste Royale, devront être en mesure de conserver un an durant un fac-simile des enveloppes. De quoi créer, au nom du Terrorisme International, l’un des plus grands chantiers de Ged et de gestion « Big Data » que la Royale Albion n’ait jamais connue.

Sebastian Peoplau, universitaire Allemand travaillant pour le projet Honeynet, a développé une clef USB virtuelle pour attirer les malwares utilisant ce type de support pour se propager

Aaron Portnoy signale aux utilisateurs d’Ida Pro la disponibilité de sa « boîte à outils complémentaires » version 1.0. C’est gratuit et c’est sur Github

Les idées reçues en matière d’administration et de gestion réseau, un florilège compilé par les frères Graham d’Errata Sec. IPv4 est toujours aussi mal connu… ce qui nous promet de belles choses avec IPv6

Arwin Gowda, de l’Avert Lab McAfee, décrit par le menu les mécanismes d’infection d’un Bioskit « Aword ». A la fin de l’article quelques recherches publiées lors de Hackito

F-Secure lance une nouvelle édition en « pré-version publique » de son CD de désinfection autobootable. Rescue CD 3.16 Beta. Ne pas oublier que ce n’est qu’une béta