juin, 2012

Entre le moment où a été publié le communiqué prévenant de l’existence de la faille CVE-2012-1889 frappant les services XML de Windows et celui où Juan Vasquez a développé un module pour Metasploit, il ne s’est pas écoulé 16 heures. L’application des mesures de contournement sont donc vivement conseillées, en vertu du principe que ce que peut écrire un chercheur bien intentionné, un cyber-malfrat peut également le réaliser.

Même motif, même punition pour la faille Internet Explorer CVE-2012-1875 qui, elle, était exploitée « dans la nature » depuis déjà un petit bout de temps. Il existe donc deux types d’exploits pour cette faille I.E., une gentille, destinée à la plateforme Metasploit, et toutes les autres…

-Ah ! Voyez-vous, Trifrice, après les Américains qui ont révélé « non officiellement » leur responsabilité dans l’écriture de Stuxnet, ce sont aux Hébreux et à nos voisins Germains de faire leur « Coming Out » cyber-militaire. L’armée secrète n’est plus ce qu’elle était.

– Mais, Colonel de Guerlasse, c’est pas des choses qui se disent ! Un secret cesse de l’être dès qu’on en parle, comme disait mon beau-frère Alleluya Lasauvette qui est instituteur à Pointe à Pitre.

– C’est pourtant en première page du Stars and Stripes de la semaine dernière : l’armée Teutonne confirme l’existence d’un corps de cyberguerre offensif créé en 2006! Je parierais que l’abominable Klakmuf, Zorbec Legras et son âme damnée Wilhelm Fermtag y sont pour quelque chose. De la part d’un peuple qui a inventé Enigma, il faut s’attendre à tout, Tifrice.

– … ou prendre sa retraite, Mon Colonel. D’ailleurs, à ce propos, le prix du mètre carré ayant quelque peu augmenté du côté de Saint Barthes, j’envisageais mon retour dans la vie civile dans un de nos anciens comptoirs… Pondidéry, Mahé, Karikal, Yanaon ou Chandernagor… Le Ti’punch doit y avoir un goût de soleil…

– Vous rêvez, Tiffrice. Vous ne seriez pas à l’abri pour autant. Même eux envisagent de « muscler leur cyber-arsenal ». C’est dans le Times of India, encore en première page. A ce rythme, Tiffrice, l’Armée Secrète finira par défiler le 14 juillet sur les Champs Elysées. Quelle époque !

– Vous croyez qu’un jour nous aussi on aura les honneurs du Figaro ou du Parisien Libéré ? « Le Sduc, bouclier de la Technologie Française » ? Avec les détails, la défense du Biglotron, les usines à Trouduquium Sulsiphoré, la découverte du Smicmuff à l’état pur, le vol de la Tour Montparnasse et l’obélisque de la Concorde en stuc ?

– Et pourquoi pas la vie amoureuse du Professeur Slalom Jeremy Ménerlach pendant que vous y êtes ? Vous rêvez, Tiffrice. Le Sduc, de concert avec l’Anssi –et réciproquement- a décidé de demeurer secret. Les autres font ce que bon leur semble. Des goûts et des couleurs il ne faut pas discuter*

NdWF Note de Wilhelm Fermtag : J’chaurais blutôt dit « du collecteur et des serpents il ne faut pas se chamailler ». Ach, nein… bédite gouration dans ma proverbation : d’égouts et des couleuvres il ne faut pas discuter. Ganz Besser, nicht wahr ?

Juin est un mois MOA (Microsoft Oracle Apple). MOAA même si l’on ajoute le tout dernier correctif Adobe Flash Player de la veille.

Comme annoncé, Microsoft déverse ses 26 correctifs dont 13 faisant partie de l’inévitable « cumulatif Internet Explorer ». A ceci s’ajoute une alerte totalement séparée du lot, et qui possède son propre bulletin : un risque d’attaque distante susceptible d’exploiter un défaut dans MS-XML. Sont donc concernés tous les « XML Core Services » des serveurs et systèmes d’exploitation, de XP à Seven et de 2003 Server à 2008 Server R2, ainsi que les versions d’Office 2003 à 2010 pour Windows, 2008 à 2011 pour Macintosh, Works 9 et les Service Pack associés. L’alerte est considérée comme sérieuse, puisque l’éditeur fournit un script de contournement en attendant la publication d’un véritable correctif.

Oracle,pour sa part, publie une série de correctifs JDK/JRE/JavaFX et surtout bouche 14 trous de sécurité dans Java. Un crible qu’ Apple répercute en grande partie (11 bouchons sur 14). Après tout çà, on se sent plus liégé.

La foire au phishing est ouverte : le 13 juin, l’Icann dévoilait les centaines de propositions de nouveaux « top level domain » (gTLD), qui n’ont, pour la plupart, que peu de rapport avec le qualificatif de « générique ». L’on retombe dans les excès de la genèse des TLD, à une époque où les extensions .IBM ou .HP semblaient une chose naturelle à ceux qui collaboraient au développement de l’Internet. Mais c’était il y a 30 ans, les classes C s’obtenaient sur simple demande et personne ou presque ne savait ce qu’était tcp/ip.

Cette année, de l’automobile club Américain ou Allemand au .accenture ou.acer, en passant par le .mormon ou.islam, voir 點看, कॉम คอม ou كوم (déposés par Verisign, société pourtant censée lutter contre les escroqueries du genre phishing), les TLD égotistes et promotionnels fleurissent comme promesses électorales en période de pré-scrutin. Certes, un TLD proposé n’est pas un TLD approuvé. Et c’est heureux. Car il pourrait se répandre l’idée que cette petite extension est équivalente à une marque de fabrique, un certificat d’authenticité… c’est à n’en pas douter la raison principale pour laquelle on trouve autant de noms de marques. Manifestement, la notion de DNS Poisoning et de spoofing d’URL n’a probablement pas dû transiter par les neurones de certains directeurs marketing. Saluons au passage les éminents cerveaux qui ont envisagé de déposer le suffixe .americanexpress, .visa ou.bnpparibas. Un coup de fil à leur propre Cert leur aurait peut-être épargné quelques heures à remplir de fastidieuses paperasses. Mais si jamais leur proposition parvenait à passer, l’avenir de ces brillantes intelligences est assuré : on embauche toujours du côté de Saint Petersbourg.

Admirons également au passage les promoteurs des attaques en typosquatting qui, grâce à des noms kilométriques, parviendront, en cas d’acceptation de leur dossier, à établir des records du genre.Northwesternmutual, .Allfinanzberatung, .Travelersinsurance, .Vermögensberatung (avec un umlaut dans le texte,25 points et mot compte double). Tous pourraient tenir la dragée haute à un éventuel dépositaire du tld.anticonstitutionnellement.

Les opportunistes ne sont pas en reste. Pas moins de 13 candidats ont proposé le suffixe .APP qui désigne les appliquettes Android. Une tactique qui n’est pas gagnante à tous les coups, car si tout le monde connait le tld.com, plus personne n’a le moindre souvenir du.bat, du .exe et du.pif. Ah, on nous souffle dans l’oreillette que l’origine du .com n’est pas Microsoftienne. Qui l’eût cru !

Vibrant effort de marginalisation également de la part, probablement, des conseils généraux d’Aquitaine et d’Alsace. Plutôt que d’aller chercher des informations sur les charmes de Strasbourg (.fr ou.eu, une idée des « français de l’intérieur » à n’en pas douter), il faudra chercher un très improbable Strasbourg.alsace, aussi difficile à dactylographier sans erreur que le mot Schnokeloch.

Même chez les merlans, on vise le tld tapageur. L’Oréal, coiffeur pour dames (pardon, capilliculteur mécène) a proposé le .matrix. On peut donc espérer l’apparition d’un www. Matrix . matrix en lieu et place de l’actuel serveur. Après tout, cela est moins consternant que les mille et un Ac’tif, Infini’tif, montand-l’Hair, coup dans l’bl’Hair, Soyons de mèche, S’tête de Never et autres abominations capillotractées relevées sur les devantures des déboiseurs de province. Redoutons tout de même le pire : un Britton citoyen a demandé la création du tdl .Hair , avec très peu de chances d’y voir regroupés les sites relatifs à la comédie musicale … l’esprit de l’Almanach Vermot n’est peut-être pas définitivement mort.

Au hasard de la liste, l’on peut également découvrir les propositions de Top Level Domain suivants :.Help, pour les angoissés, .Mail, pour ceux qui n’ont pas compris que smtp n’est pas http et réciproquement, .Home, pour quelques extra-terrestres en goguette, .Hotel, pour les Californiens damnés et les admirateurs d’Arletti, .Docs pour les fanatiques du traitement de texte ou de la médecine généraliste, .IBM, pour les adolescents fan du film « Le Grand Bleu », .International, pour le Genre Humain ou ceux qui n’ont pu décrocher un .int à l’instar de l’ITU, .Inc, pour les PME en devenir, .Jaguar .BMW .Bentley .Abarth .Chrysler pour les possesseurs des domaines « MySecondCarIsA », .Sale pour les amoureux de la propreté qui ont la bosse du commerce, .Rugby, pour les amateurs de gentlemen brutaux, .Soccer, pour les amateurs de gentlemen brutaux qui jouent avec un ballon rond, .Store, pour les amateurs de volets clos qui ont la bosse du commerce (bis), .Taxi, pour la secte des chauffeurs affectés par un accent méridional « you talkin’ to me », .Wedding pour ceux qui apprécient les happy end ou les erreurs de jeunesse, .Zippo pour ceux qui veulent « allumeeeerrr le feuu » et .Zulu pour ceux qui ont également espéré le dépôt des tld .Alpha, .Bravo, .Charly, .Delta, .Echo, .Fox-Trot, .Golf …

Stuxnet-Duqu-Flame en Open Source ? Pour avoir utilisé plusieurs bibliothèques de fonctions sous licence GPL, peut-on demander le droit de voir rendu public le code des cyber-armes US ? Humour de geek.

Amesys, VASTech, ZTE, Narus, les entreprises « balancées » par nos confrères de Byte qui publie un long article sur les techno-armes vendues à Kadhafi. La salle de contrôle d’Amesys était située dans le même bâtiment, à quelques étages des salles d’interrogatoire.

Nous entamons une semaine truffée à l’extrait de concentré d’essence de bug. Avec notamment 7 failles colmatées en un seul produit chez Adobe qui publie un bulletin d’alerte concernant toutes les versions (Mac/Wintel voir Android) de Flash Player et Adobe Air.

Chez Microsoft qui généralement diffuse de « petits patch Tuesday » durant les mois impairs, on prévoit tout de même 7 rustines colmatant 25 CVE, avec notamment un « cumulatif Internet Explorer »

Quelques mots rapides pour signaler la revendication d’un « hack et demi ». Le premier, hack complet, a frappé, en plein déroulement des SSTIC, le blog de Zythom, expert judiciaire connu comme le loup blanc dans le landerneau Français de la sécurité. Hack bête et méchant, revendiqué par un courageux anonyme justifiant son acte par un « Allez-vous donc enfin cesser de détailler méthodes et anecdotes, à ceux que l’on cherche à faire arrêter (criminels, pédopornographes, pédophiles, etc.), ou préférez-vous les aider ? ». Faire taire ceux dont le discours dérange, casser pour le plaisir de montrer une prétendue compétence est une activité … sans grande intelligence.

Autre revendication de hack par frustration, celui de l’entreprise Française Vupen, conséquence probable de la fameuse histoire de l’exploit utilisé à l’occasion de P0w20wn et que le gagnant « ne donnerait pas même pour une fortune s’il peut rapporter plus en le vendant ». Demi-revendication devrait-on dire, car l’origine est assez confuse et dénuée de preuves tangibles. Cette intrusion des systèmes de Vupen aurait permis de dérober près de 130 ZDE stockés sur les serveurs de l’entreprise, dévoile un billet de Kevin Townsend. Chaouki Beckrar, Grand Timonier et fondateur de Vupen, a répondu par un twitt laconique qualifiant l’affirmation de « Troll ».

Bataille de sur-moi et jeux de l’ego, le monde de la sécurité est parfois d’une étonnante … puérilité

La « social network community » est au bord de la crise de nerfs après l’annonce du vol de plus de 6,5 millions de hash de mots de passe LinkedIn *. Ai-je été piraté ? A cette question, la réponse est simple pour un informaticien normalement constitué, mais quasiment insurmontable pour un individu normalement constitué.

1 : télécharger le fichier contenant les hash publiés sur Internet (disk.yandex.ru fut, par exemple, l’un des repository possible). L’on peut faire confiance au dépôt hébergé par exemple sur le site Tux Planet et lire au passage l’intéressante analyse rédigée par Sébastien Bilbeau.

2 :calculer le hash « chahouanne » de son propre mot de passe sur l’un des nombreux sites que l’on trouve sur internet

3 : rechercher les 25 ou 30 derniers caractères de la chaine dans ledit fichier (partie droite du « magic number »)

A ce stade, deux options : Soit la recherche n’a rien donné et l’on se précipite sur le site LinkedIn pour changer son Sésame, soit la portion de hash est contenue dans ledit fichier… et là, on a toutes les raisons de s’inquiéter. Surtout si une partie du hash débute par 00000, ce qui laisserait entendre que ledit hash a été « bruteforcé » par des amateurs de mots de passe. Toutes les raisons de s’inquiéter car, bien que le contenu de ce que l’on confie aux réseaux sociaux soit d’une importance très relative, nombreux sont les internautes qui utilisent un nombre restreint de mots de passe pour accéder à différents comptes et accès en ligne.

Pour peu, l’on pourrait croire à une opération marketing vantant les mérites de cet indispensable utilitaire Open Source qu’est PasswordSafe, initialement développé par Bruce Schneier.

Cette alerte nous donne également l’occasion pour signaler une très nette recrudescence de « fausses notifications » Facebook ou Linkedin, qui reprennent très exactement la forme des messages automatiques diffusés par ces réseaux sociaux. Une vaste majorité de ces faux ne servent qu’à diriger la victime vers un site de vente de pilules fortifiantes de couleur bleu, mais quelques-uns aboutissent réellement vers une imitation de page de login. La perfection de ces notifications est telle qu’il est très difficile d’y déceler la « patte » d’un flibustier du phishing (url frelatée mise à part).

Mais plus que cette presque banale affaire de fuite d’identité, c’est la remise en cause du mécanisme de chiffrement MD5 qui est avancé. L’un de ses papas, Poul-Henning Kamp, l’écrit d’ailleurs en toutes lettres sur une page du site Danois FreeBSD. D’un autre côté, Sean, du blog F-Secure, y va d’un article de vulgarisation compréhensible même par un journaliste, c’est dire, et intitulé Are you sure SHA-1+salt is enough for passwords? . On peut faire abstraction des passages réservés aux matheux, et l’on comprend très vite que la réponse est « non ». Mais à quoi sert ce genre de certitude, alors que personne n’est maître de mécanismes de sécurisation installés dans ces fameux réseaux sociaux ? Dans certains cas, la conscience du danger doit laisser place à un certain fatalisme… ou inciter à la non-fréquentation des sites en question.

Signalons au passage qu’un site de rencontre, e-Harmony, aurait été piraté par la même équipe, nous apprend le Los Angeles Times, affichant au grand jour les cœurs et les mots de passe de plus d’un million et demi de célibataires (ou prétendant l’être) et le service de radiodiffusion et de musique en ligne LastFM demande à ses usagers de changer le plus vite possible leurs crédences, pour des raisons semblables. Les hacks se suivent et se ressemblent. Les moins chanceux sont, bien entendu, les célibataires mélomanes inscrits sur LinkedIn.

NdT Note du Traducteur : On appréciera au passage l’impressionnant euphémisme utilisé par Vicente Silveira, qui écrit «some of the passwords that were compromised correspond to LinkedIn accounts ». L’usage du terme « Some » pour qualifier 6,5 millions de mots de passe est la preuve que la langue anglaise est la langue maternelle de l’Understatement.

« Ce document s’autodétruira dans cinq secondes. Bonne chance Monsieur Phelps ». Soudain, du probable côté du Pentagone, un doigt martial a appuya sur le bouton « off » de Flame, nous apprend le blog de Symantec. Un bouton « off » qui, par le biais d’un module dénommé browse32.ocx, provoque non seulement l’arrêt des activités de Flame, mais encore organise discrètement la mise à mort du virus, pour éviter ou limiter le reverse engineering de son code.

Ce qui est étrange malgré tout, expliquent les reversers de Symantec, c’est que Flame possédait déjà un autre module aux fonctions semblables, baptisé fort à propos « Suicide ». Est-ce que la désinfection à l’aide du module Suicide s’avérait imparfaite ? Toujours est-il que le « Léon » binaire envoyé nettoyer toute trace de Flame le fait avec efficacité, recherchant chaque occurrence du programme et lançant une écriture multiple de données aléatoires en lieu et place de l’exécutable thermodynamique. Voilà qui sent la recommandation Orange Book à plein nez.