juillet, 2012

Le dernier CPU d’Oracle corrige 87 CVE référencées, réparties dans 13 produits différents SGBD, PeopleSoft, Siebel, Solaris, MySQL etc. La faille CVE-2012-1675 n’est toujours pas colmatée.

Le rapport national sur l’état de la cyberdéfense, dit « rapport Bockel », dresse un portrait de l’état de la France Numérique, des risques qu’elle encourt et des moyens de défense dont elle dispose. Il insiste surtout sur la nécessité urgente de doter le pays d’une véritable force de protection et de réaction face aux cybermenaces, dotation qui devrait en priorité concerner l’Anssi. Le mythe du Jihadiste numérique et du cyberpédophile violeur de parking a vécu, le véritable ennemi, c’est l’Etat-Nation d’en face.

Une importante part du rapport explique de manière relativement sommaire ce qu’est une attaque informatique, estime les dommages que l’on peut encourir, et émaille ces propos par différentes anecdotes tirées de l’actualité récente. Anecdotes dont la présentation et la rédaction éludent certains aspects, exagèrent l’importance d’autres points… omissions sans doute. Ainsi, à propos de l’affaire Areva, on laisse à un journaliste de l’Expansion la liberté de parler de « préjudices sur le plan stratégique, ce qui pourrait signifier le vol de secrets industriels » ou de soupçonner là une attaque d’origine asiatique. L’épouvantail Chinois demeure de la responsabilité d’un folliculaire. Mais lorsque l’on interroge la victime elle-même, les termes sont beaucoup plus prudents. Le rapporteur affirme s’être « longuement entretenu avec les représentants du groupe AREVA » et que « Ceux-ci ont présenté à votre rapporteur la manière dont cette attaque a été découverte et les mesures mises en place, avec l’aide de l’ANSSI »… révélations qui n’avouent pas la moindre perte effective d’information et encore moins la probabilité d’existence d’autres failles, d’autres attaques, d’autres fuites. Le mythe de l’intrusion qui a duré plus de 2 ans et qui n’a provoqué aucune fuite est entretenu.

Anecdote encore lorsque, plus de 4 ans après le Sénat US, l’équipe du rapport Bockel prend conscience que les Chinois Huawei et ZTE fabriquent des routeurs et que lesdits routeurs pourraient contenir quelques backdoors. Fort heureusement, SMT Goupil, Léanord, Bull-Micral, Logabax ou Thomson n’ont pas, comme Lenovo, été reprises par une entreprise de l’Empire du Milieu… on aurait pu craindre la présence de Spywares dans les machines de fabrication Française. Après tout, c’est une aubaine de ne plus avoir(ou presque) d’industrie nationale microinformatique matérielle. Que faire pour éviter ce risque ? « une interdiction totale sur le territoire européen des « routeurs de cœur de réseaux » et autres équipements informatiques sensibles d’origine chinoise ». Et les remplacer par quels équipements ? Du Cisco par exemple ? Sur cet air connu du fantasme d’espionnage, il faut se rappeler qu’aucun équipementier est innocent. Choisir une marque plutôt qu’une autre revient à choisir la nationalité de l’espion potentiel que l’on accepte à sa table (de routage, cela va sans dire).

Bref, les TIC doivent craindre le péril jaune, et, pour se défendre, faire confiance aux entreprises innovantes Françaises (les noms des sociétés en question semblent piochées sur le site Web de L’ANSSI, dans la section des produits ayant reçu un agrément CC ou CSPN) et se rapprocher des anglo-saxons. Pour se défendre également, le rapport Bockel conseille une union de plus en plus étroite avec l’Otan (10 recommandations en fin de rapport contre 4 relatives à l’organisation du Ministère de la Défense et 5 sur les nécessités de renforcer le rôle et les pouvoirs de l’Anssi). Rapprochement également avec la Grande Bretagne, pays membre de l’alliance UK-USA, laquelle alliance n’est pas une seule fois citée… étrange amnésie et évaporation du climat de suspicion qui teintait le début du rapport : il y a les cyber-barbouzes dont il faut avoir peur, de couleur jaune, les autres appartiennent à la catégorie des gentils ou ils n’existent pas. Sont également à courtiser, nos voisins d’Outre Rhin.

Pour se défendre , enfin, le rapport confirme l’existence d’un cyber-corps d’armée possédant des capacités offensives « à des fins de dissuasion »… et d’insister sur le fait que cette dissuasion, contrairement à la dissuasion nucléaire, n’était en aucun cas virtuelle et psychologique : nos ninjas de l’attaque informatique ont des muscles bien réels. Mais les muscles en question sont une nouvelle fois dépeints comme une structure militaire traditionnelle, avec ses règles, sa morale, ses exercices et ses grandes manœuvres, et non comme un corps soumis aux mêmes contraintes que celles qui conditionnent le fonctionnement de tous services secrets : règles élastiques, morale auto adaptative, opacité totale quant à ses actions et invisibilité totale de ses effectifs. Et, comme cela est le cas pour tout service de renseignement, on ne peut imaginer qu’un tel corps puisse rester inactif entre deux périodes de crise : un hacker, en uniforme ou en T-shirt/Blue Jean, régresse s’il ne fait rien. Pis encore, il donne l’avantage à ses adversaires. D’ailleurs, qu’il vienne de Chine, des USA ou de Grande Bretagne, l’intrus qui passe ses jours dans les réseaux d’Areva, de Bercy ou de l’Elysée prouve à quel point la notion de « force offensive de dissuasion » est une vue de l’esprit propre aux parlementaires.

En marge de ces grandes interrogations stratégiques, le rapport Bockel suggère, de manière très discrète, la mise en place d’un service de surveillance des flux dans le but de détecter la présence de méchants espions venus de Chine ou d’ailleurs. Rien de tel qu’une bonne poussée d’espionnite aigüe pour justifier un flicage Orwellien portant sur la totalité des échanges IP de la population. Après tout, si ce principe a fonctionné, des années durant, lors de la Chasse aux Sorcières organisée par Joseph McCarthy, ça pourrait bien fonctionner aussi en France, même si l’on a encore en mémoire que ces mêmes mesures ont déjà été préconisées pour bouter les pédophiles et les cyberterroristes hors du beau pays François. Les ennemis changent de nom, les méthodes demeurent.

2 ans après les USA, le rapport Bockel suggère de « Rendre obligatoire une déclaration d’incident à l’ANSSI en cas d’attaque importante contre les systèmes d’information et encourager les mesures de protection par des mesures incitatives ». Déclarer à l’Anssi, cela ne veut pas dire « rendre public »… il ne s’agit pas d’informer les citoyens mais de fournir des informations à notre Police du Numérique, ce qui ne risque pas d’être du goût de tous les industriels résidants sur le sol Français. Surtout ceux dont le QG se trouve aux USA par exemple. Et puis, cette obligation ne risque-t-elle pas de rester lettre morte ? Faute inavouée n’est pas à pardonner, intrusion laissée secrète n’est pas à déclarer. Ce n’est certainement pas celui ou ceux qui ont « intrusé » un système qui iront signaler ce manquement aux lois.

L’Anssi devra également être tenue au courant de l’existence de tout « système de contrôle des processus ou des automates industriels (SCADA) connectés à l’Internet »… l’ennui, c’est que les intéressés eux-mêmes ne le savent pas toujours. En outre, l’affaire Stuxnet a montré que la présence d’Internet n’était pas nécessaire pour dérégler un automate programmable ou s’attaquer à une infrastructure Scada. Pour qu’une recommandation politique ait quelque chance d’être efficace, elle doit être totalement dé-corrélée des « détails » techniques propres à des évènements passés.

Si les propositions de renforcement des moyens donnés à l’Anssi et la confirmation dans ses fonction d’une armée cyber-offensive semblent s’inscrire dans le sens de l’histoire, d’autres suggestions du rapport Bockel feront certainement l’objet de débats parlementaires houleux avant de déboucher sur des propositions concrètes. Les obligations de publication d’intrusion pour l’ensemble de l’industrie pourraient entraîner un cortège de dispositions légales très complexes et certainement contraignantes. La coloration très Atlantiste du rapport, suggérée par les conseils de rapprochement avec l’Otan, de collaboration avec la Grande Bretagne sur les problématiques Scada tout en recommandant une défiance certaine vis-à-vis des pays asiatiques procède d’une sorte de confiance angélique vis-à-vis de certains de nos « pays frères ».

Hervé Schauer Consultant a décroché il y a peu le label CNIL distinguant les entreprises spécialisées dans la formation des CIL, Correspondant Informatique et Liberté. Un label qui passe en revue aussi bien le respect de la loi par le formateur que la compétence du personnel de formation, le contenu des cours et ainsi de suite.

Ce label, pour l’heure, est le seul qui ait été délivré à une entreprise fortement spécialisée dans la formation technique de la sécurité des systèmes d’information. La majorité des autres établissements labélisés Cnil (quatre sur une vingtaine de dossiers présentés) étant plutôt versés dans les disciplines juridiques et dans les formations du Droit. Cette double compétence Droit/Technique se retrouve dans le cursus de Frédéric Connes, le responsable de cette formation CIL chez HSC.

Il devenait de plus en plus nécessaire, ce label, explique en substance Frédéric Connes. Nécessaire compte tenu des évolutions de la profession. Car il s’agit bien d’une profession désormais. Fin 2011, un code ROME est attribué au métier de CIL. En outre, s’il est courant de rencontrer un Correspondant au sein de pratiquement toutes les grandes entreprises Françaises, c’est moins souvent le cas dans les pall mall cigarettes PME. Mais la loi ne faisant pas de distinction de taille lorsqu’il s’agit de conformité avec les textes, bien des entrepreneurs font appel à des CIL établis à leur compte… une activité encore impensable il y a 2 ou 3 ans. Ces « free-lances Informatique et Liberté » se doivent donc de présenter une garantie de formation auprès de leurs différents clients, pour l’heure, donc, l’assurance que l’intervenant est passé par une filière elle-même labélisée.

Précisons que ces labels attribués par la Cnil sont valables pour une durée de 3 ans.

Comme tous les problèmes soulevés par le Byod ne peuvent trouver toutes les réponses dans les logiciels d’administration de flotte mobile (MDM), il fallait bien qu’un jour un acteur du monde de la sécurité périmétrique commence à y mettre son grain de sel. C’est chose faite depuis le début de l’année chez SourceFire, le bras commercial de Snort, avec deux programmes : FireSight et FireAmp Mobile. Le premier n’est autre qu’un outil de détection et d’inventaire des systèmes mobiles, des applications professionnelles ou privées, des communications (réseaux sociaux par exemple) et équipements réseau. Tel iPad avec telle version d’IOS, à l’aide de telle appliquette, ouvre tel lien de communication.

FireAmp Mobile, pour sa part, est la version « pour produits Byod » du système de protection anti-malware qui combine à la fois les techniques de détection par signature et par comportement. L’analyse des caractéristiques du fichier suspect est située « dans le nuage » et non sur la machine elle-même (ou tout autre serveur de sécurité local). Et c’est essentiellement sur la partie comportementale que l’éditeur entend se différencier de ses concurrents. Dès sa prise en compte par FireSight, l’intégralité de la vie du système de fichier est enregistré et stocké sur les serveurs SourceFire (insistons sur le fait que c’est le suivi de la vie des fichiers qui est stocké, pas le fichier lui-même). Ainsi, tout écart par rapport aux mouvements ou modifications habituelles des données sert de déclencheur à l’antimalware, palliant ainsi ce qui aurait pu échapper au système traditionnel « signature based ».

Un super-antivirus ? Pas du tout, rétorque l’équipe de Martin Roesch. FireAmp ne remplace pas la panoplie traditionnelle des outils de protection Endpoint. Il ajoute une couche de sécurité aux grandes réserves de données, réparties ou non, des entreprises de moyenne et grande envergure. C’est donc plus un système de surveillance des comportements inhabituels constatés dans un réservoir « big data ».

« Il est vain de parler de hacking sans fil pratique lorsque l’on utilise un USRP2* qui coûte à lui-seul plus de 2000 dollars » explique en substance Mike Ossmann dans une interview accordée à nos confrères de Hack5. « C’est la raison pour laquelle j’ai développé une sorte de clef passe-partout pour réseaux radio, plus économique, que j’ai appelé HackRF ». Une description sommaire de l’équipement en question est donné sur le blog d’Ossmann : un étage alimentation/contrôleur de pré-traitement du signal et d’interface avec l’ordinateur baptisé Jellybean, un étage radio et un convertisseur analogique/numérique et numérique/analogique (Lemondrop) et un front-end jouant le rôle de convertisseur infradyne-supradyne nommé Lollipop. Voilà pour l’architecture de cette nouvelle radio à définition logicielle, ou SDR, Software Defined Radio.

Que peut faire HackRF ? Hacker pratiquement tout signal radioélectrique 100 MHz et 5,4 GHz, à la réception comme à l’émission (probablement sa caractéristique la plus intéressante). Il peut donc recevoir et émettre selon n’importe quel type d’émission, avec n’importe quel type de modulation, passer, sur simple commande logicielle, du rôle de récepteur FM bande large (FIP ou France Info) à celui d’émetteur de télévision pirate capable de concurrencer TF1. Il peut tout aussi bien émuler un émetteur de radio maritime, un talky-walky « numérique » norme Tetra utilisé dans un réseau d’urgence ou un système de transmission VLF de communication sous-marine ou se substituer à un « uplink » de liaison satellite. Précisons au passage parliament cigarettes que cette versatilité ne signifie pas qu’il soit simple de pénétrer sur un réseau militaire ou appartenant à la police : être capable de décoder (et coder, à l’émission) un type de modulation ne signifie pas être capable de déchiffrer le contenu des transmissions. Un peu comme sniffer un réseau Ethernet n’implique pas obligatoirement que l’on soit capable d’en comprendre les flux transmis par un VPN.

Combien coûtera HackRF ? Au vu des composants, la facture ne devrait pas dépasser 200 dollars. A ce prix, et pour un appareil compatible Gnu-Radio (la boîte à outil open source servant à modéliser les mécanismes de modulation/démodulation), on peut parier qu’une section spéciale de Metasploit lui sera réservé et que l’appareil se vendra comme des petits pains.

Comment fonctionne-t-il et pourquoi est-il si peu cher ? Là encore, la réponse est simple. HackRF est une radio à définition logiciel. Autrement dit, le gros du traitement de signal est effectué par logiciel, sur un ordinateur standard (hormis peut-être quelques opérations de décimation et/ou de calculs massifs de FFT). Oubliées, les électroniques spécifiques et coûteuses propres à chaque modulateur : le SDR sait tout faire pour peu que son utilisateur/administrateur soit capable de « compiler les modules » qui lui permettront d’interpréter un signal. Et l’ordinateur se charge d’exécuter tout çà. A ceci s’ajoute un coup de génie de Mike Ossmann : utiliser un jeu de composants Wifi ne coûtant que quelques dollars, capable de couvrir de 2,3 à 2,7 GHz, et non pas un appareil conventionnel couvrant de 0 à 50 MHz, comme l’ont fait Matt Etus et Phil Covington, pères des meilleurs SDR haut de gamme orientés recherche et développement (voir note de bas de page). Du coup, en mélangeant un signal variant de 0 à 2200 MHZ à Lemondrop (cet étage 2,7 GHz qui sert de fréquence intermédiaire), l’on couvre, en battement infradyne, de 100 à 2700 MHz, et, en battement supradyne, de 2400 à 4900 MHz au moins (voir 5 400 GHz si l’on utilise un oscillateur local qui « monte » à 2,7 GHz). Coût de l’opération : celui de composants à très bas prix, eux-mêmes amortis par les volumes de production qui caractérisent le monde Wifi.

Dire que les performances en termes de niveau de bruit et de stabilité concurrenceront des architectures plus haut de gamme ( HPSDR et dérivés par exemple) serait totalement illusoire. Mais doit-on dépenser des millions d’euros pour modéliser un scénario d’attaque ou de défense HF, vérifier le périmètre d’une infrastructure Scada, cartographier un réseau zigbee ? Certainement pas. Il n’est pas nécessaire qu’un outil de test de sécurité offre les performances d’un système professionnel haut de gamme. HackRF parviendra sans le moindre doute à faire comprendre au monde de la sécurité que les radios à définition logicielle sont au monde du sans-fil ce que les sniffers sont à celui des réseaux cuivre : un outil universel, polymorphe, capable d’analyse comme d’injection, et ne coûtant pas les prix exorbitants supposés par les concepteurs de réseaux radio. Une série de mythes est en train de mourir : « personne ne pensera à écouter cette fréquence », « pas la peine de chiffrer, ça passe sur un canal invisible », ou « pour parvenir à pénétrer dans ce système, il faudrait un équipement de plusieurs milliers de dollars, soit bien plus que la valeur de ce qu’il contient » …

*NdlE Note de l’Entomologiste : USRP (Universal Software Radio Peripheral) est un émetteur-récepteur dit « à définition logicielle » (SDR) de première génération. Très connu des milieux de la recherche et du hacking radio en raison de sa relative universalité et de sa compatibilité avec la boîte à outils GNU-Radio, il a occulté des systèmes concurrents tantôt plus simples, tantôt plus performants. Bon appareil, il est pourtant surpassé par des systèmes de conception plus modernes, tel le Quicksilver QSR1T de Philip Covington

Beaucoup de bruit ces temps-ci autour d’un renouveau des réseaux Wifi, vers des réseaux sans fil plus rapides et moins encombrés. Des améliorations essentiellement portées par deux normes, 802.11 ac et ad. La norme « 11ac » n’est strictement pas nouvelle, puisqu’il s’agit d’une adaptation de 802.11n (large bande multi-émetteur) à la bande des 5 GHz. 11n, particulièrement en milieu urbain, n’a pas particulièrement amélioré les choses : plus de bande passante car plus de spectre utilisé, certes, mais plus d’interférences mutuelles depuis que les routeurs et box d’opérateurs ont sauté sur ce graal des réseaux sans fil. Mais qu’importe, il faut créer la demande. Une récente étude du Gartner estimait que l’on avait vendu près d’un milliard d’unités Wifi en 2010 (A.P. et cartes client confondues), et que l’on s’attend à franchir la barre des 3 milliards en 2015. Il faut bien que ce bouillonnement de liaisons puisse trouver un espace d’expression, et, jusqu’à présent, cet espace ignorait largement la bande des 5 GHz.

Pourquoi une telle progression ? Principalement en raison de la multiplication des équipements mobiles qui exploitent sans distinction les accès réseaux locaux Wifi et les réseaux d’opérateurs. Téléphones intelligents, tablettes, mode du BYOD, tout pousse à voir se multiplier les infrastructures sans fil même dans le cadre d’entreprises qui, jusque-là, freinaient des quatre fers en raison d’évidents problèmes de sécurité et de gestion des droits d’accès. On peut même se demander si les gouvernements Européens (France en tête) qui se sont ingéniés à promulguer loi sur loi concernant la traçabilité des liaisons Wifi et la responsabilisation des possesseurs de « hot spots », ne vont pas devoir faire machine arrière pour aller dans le sens de l’économie numérique. Car là où l’éthique et le respect des libertés individuelles ou du secret de la correspondance n’arrivent peut-être pas à émouvoir le législateur, la logique de la rentabilité et du profit pourrait bien y parvenir… Seuls les RSSI et CSO passeront quelques nuits blanches pour sécuriser cette multiplication des réseaux radio. Ou plus exactement de donner l’illusion de sécuriser, car le domaine du wireless est également, à plus ou moins long terme, celui du secureless.

802.11ad, pour sa part, n’est pas véritablement une norme Wifi. Il s’agit en fait d’une énième tentative de résurrection d’un vieux projet, celui du « wireless USB » ou du « super Bluetooth à très haut débit ». Car sur 60 GHz, on peut en passer, des paquets. Sans présupposer d’éventuelles techniques de modulation complexes ou de compression des données, et en partant du principe très approximatif qu’une porteuse peut assurer le transport d’une bande passante équivalente au tiers de sa fréquence, « 11ad » serait capable de transmettre à plus de 20 Gb/s. Enfin, tout çà reste de la théorie, car si l’on demeure sur une infrastructure inspirée de Wifi, la bande passante générale d’un segment de réseau est affectée par le nombre de stations partageant ledit réseau et les «tranches de dialogue » attribuées par le multiplexage temporel, le tout moyenné du « bruit protocolaire » général. Malgré toutes ces limitations prévisibles, 802.11ad sera la couche de transport idéale pour véhiculer de l’image HDMI 2.x de demain, en très haute définition et affichage tridimensionnel. Et comme le RIAA y verra là un risque de piratage des images transmises, ce 802.11ad se verra protégé par une PKI et des systèmes de chiffrement complexe inimaginable de nos jours. Faisons confiance aux vendeurs de variétés, ils sont spécialistes du genre.

11ad sera-t-il exploitable dans le cadre de réseaux d’entreprise ? Mystère. Même si techniquement la chose est possible, rien ne dit que ce pourrait devenir un succès commercial : remember IP over Bluetooth. Ajoutons qu’industrialiser des équipements quasi grand-public travaillant sur de telles fréquences pose encore quelques problèmes techniques et économiques. En revanche, pour les amoureux de sécurité (ou d’insécurité), la généralisation d’un « wifi remplaçant du câble à haut débit », c’est l’assurance d’une nouvelle école du hack. Certains équipements utilisant ces bus rapide sur 60 GHz (baies de disques/Nas, liaisons poste à poste, liens vidéo etc.) pourraient constituer un accès direct au cœur de la machine. La notion même « d’accès local à la console » n’existerait plus, ou plus exactement pourrait s’effectuer à distance, ce qui changerait singulièrement l’idée que l’on se fait d’un véritable exploit « remote » et d’une toute aussi dangereuse attaque « locale qui n’est plus locale ». Podslurping distant, memory attack via les successeurs des ports firewire dématérialisés, les futures normes 802.11 pourraient avoir bien plus de succès qu’espéré.

Le scoop est signé par le quotidien Breton Le Télégramme : les 6 et 15 mai derniers, les ordinateurs de l’Elysée ont été « intrusés » de belle manière, soit par de méchants pirates Chinois-qui-ne-sont-pas-aux-ordres-de-Pékin, soit par des « puissances alliées » qui, comme chacun sait, utilisent les ressources des pays occidentaux à des fins purement pacifiques et informatives.

Il est encore trop tôt pour que les détails de l’attaque soient connus du public. Mais qu’il s’agisse d’une backdoor ou autre intercepteur injecté via un pdf forgé (Bercy beaucoup), ou de l’exploitation d’un feed de mise à jour et de correctifs appartenant à un éditeur connu, on ne peut que regretter que la Première Institution de France n’ait pas su écouter les conseils élémentaires (Back to Basic, en (grand) Breton dans le texte) distillés par ses propres services de sécurité.

L’affaire, précisent nos confrères armoricains, a été gardée secrète durant tout ce temps. Depuis Stuxnet/DuQu/Flame, il faut reconnaître que l’on entend nettement moins les hommes politiques hurler au loup, au cyber-terrorisme et aux réseaux pédophiles. La grande délinquance sur le Net (la vraie, celle des barbouzes et des mercenaires numériques) ne peut être combattue avec des rodomontades à la Chambre ou des textes de loi dont l’influence ne s’étend que de Brest à Strasbourg et de Lille à Marseille.

Le CFP de GreHack, conférence « sécu » qui se tiendra en octobre prochain à Grenoble, s’achèvera le 15 août prochain. Les présentations peuvent se tenir tant en Français qu’en anglais, la liste des thèmes étant précisée sur le site de la manifestation. Le temps de parole souhaité ne doit pas excéder 30 minutes.

Les organisateurs invitent également les étudiants et chercheurs indépendants à contribuer dans le cadre de « rump sessions » de courte durée (15 minutes au maximum). L’accent est essentiellement porté sur les travaux originaux et n’ayant pas déjà fait l’objet d’une communication lors de manifestations semblables.

La Bastille en question, c’est celle qui domine Grenoble, capitale des terres du Dauphin, berceau de la recherche atomique Française, patrie de Champollion (crypto analyste avant l’heure) et très prochainement, à partir du 19 octobre, berceau du hacking alpin avec GreHack, un cycle de conférences traitant de sécurité Informatique accompagné de son inévitable CTF. C’est donc, après les Sstic de Rennes, Hackito Ergo Sum à Paris, Hack in Paris à Eurodisney, la quatrième conférence sécurité institutionnelle de France, et la première qui se déroule dans le quart sud-est du pays. Evènement tardif d’autant plus surprenant qu’entre Grenoble, Lyon, Sophia, Marseille, ce ne sont pas les centres de recherche qui manquent (à commencer par l’InriAlpes) et qui ont des choses à dire.

Pour l’heure, certains conférenciers sont déjà pressentis. Eric Freyssinet (Gendarmerie Nationale) assurera la première « plénière », et nous parlera des botnets, de la détection à la traque des réseaux de machines zombies. Après cette entrée en matière, Christophe Devine (Anssi, père du très connu d’Aircrack) abordera l’épineux sujet de la confiance que l’on doit accorder aux réseaux de téléphonie mobile et à leurs protocoles. Car cette confiance s’est singulièrement érodée ces dernières années, avec des hacks qui vont d’OpenBTS aux compromissions de femtocells, en passant par les antiques travaux du THC, les dernières publications de Karsten Knohl, sans oublier le précieux et indispensable concours des opérateurs eux-mêmes et de leurs erreurs d’implémentations, le tout saupoudré des impressionnantes avancées dans le domaine des radios à définitions logicielles.

Encore un « keynote speaker » de renom, avec le témoignage d’un Français faisant partie du club très fermé des chasseur de faille et concepteurs d’exploits, Constantin Kortchinsky, ex Cert Renater, « expert à Miami » pour le compte de Dave Aitel/Immunity Sec. Il parlera de ses quelques 20 années d’expérience, et ce sera très probablement avec la verve et le franc-parler que l’on lui connait. Ses apparitions publiques dans des conférences Françaises ont été, ces dernières années, rares, trop rares.

Sont également prévues deux présentations sur des attaques orientées matériel, une tendance de plus en plus forte au vu de ce qui s’est dit au fil des dernières SSTIC, Hackito Ergo Sum et Hack in Paris. La première conférence sera animée par Philippe Elbaz-Vincent, et traitera des défauts de certains générateurs de nombres premiers aléatoires (le socle indispensable à tout système de chiffrement efficace), la seconde cigarettes online sera signée Régis Laveugle et s’intitule « attaques visant du matériel sécurisé, principes de base et exemples ». L’on se rappelle avec émotion de la présentation de Jonathan Brossard et Florentin Demetrescu durant la dernière HES, qui montrait à quel point il pouvait être facile de contourner un système « protégé » par TPM par exemple.

L’appel à communication
étant loin d’être clos, CNIS Mag reviendra sur le programme de cet évènement.

Alors que certains journaux titraient en promettant un « petit » patch Tuesday, Microsoft rappelle que la période estivale n’est pas un moment où l’on doit faire relâche. 16 CVE, dont un Zero day exploité dans la nature, et un cri d’alarme demandant aux usagers de Vista et Seven de ne surtout plus utiliser la barre d’outils et ses fameux « gadgets » associés. Des gadgets, ou plugins, que l’on peut interpréter comme une première approche aux appliquettes destinées au marché des appareils mobiles : un code léger, des fonctions réduites… et un modèle de sécurité du système de diffusion desdites appliquettes pas franchement étudié pour résister aux hordes de barbares numériques. Bref, les « apps » sous toutes leurs formes représentent un danger potentiel, y compris sur les noyaux destinés aux stations de travail. Un napalmiseur de Gadgets est donc offert aux administrateurs sous forme d’outils « FixIt ». Couper la fonction toute entière plutôt que de fermer la porte à un exploit connu montre à quel point le principe même des Gadgets était entaché d’erreurs de conception. Le traditionnel billet sur le blog du MSRC ne précise toutefois pas comment ces instabilités pourraient être exploitées

Le ZDE bouchonné, quant à lui, est un défaut des services XML exploité (aux deux sens du terme) depuis déjà un certain temps, et que l’on retrouve notamment dans l’automate de ponte de virus BlackHole. L’application du correctif ms12-043 est donc une nécessité pressante. Egalement au menu de ce mois deux failles ou séries de failles considérées comme sévères, l’une concernant Mdac, l’autre appartenant à la famille plus que nombreuse des trous Internet Explorer. La liste de tous les bouchons disponibles est détaillée dans le bulletin mensuel de ce mois.

Ajoutons enfin l’annonce d’un grand nettoyage d’été prévu dans le courant du mois d’août. Le bulletin d’alerte 2728973 explique que dans une trentaine de jours, la totalité des clefs RSA de moins de 1024 bits sera bloquées dans toutes les installations Windows.