février, 2014

L’opération de « croissance externe » qui a placé Sourcefire dans le giron de Cisco était observée avec attention par la communauté Snort. En général, ce genre de transaction se traduit par une absorption de la propriété intellectuelle, une récupération partielle du parc client. Les échanges permanents entre Sourcefire et la communauté Snort allait-elle disparaître avec ce mariage ?

Manifestement, Martin Roesch, père de Snort, est encore bien vivant et toujours autant attaché à la communauté Open Source qui a contribué à son succès. Les annonces émises à l’occasion de la RSA Conf 2014 le prouvent. En premier lieu, Snort (la version « libre » du Firewall) intègrera le préprocesseur OpenAppID. Cette fonction de Sourcefire est un élément important des firewall de nouvelle génération, puisqu’il prend en charge la détection, l’identification et le « reporting » d’activité des applications (ce que l’on nomme généralement par l’analyse et la remédiation de niveau 7). Avec cette « mise dans le domaine public », la communauté des développeurs Snort va pouvoir travailler à la constitution d’une panoplie de sondes et détecteurs d’applications, tout comme cette même communauté avait, jusqu’à présent, donné naissance à des quantités impressionnantes de « signatures » Snort que pouvaient exploiter les usagers tant de la version open source Snort que de l’édition commerciale Sourcefire. Outre cet enrichissement de la base « code libre », Sourcefire donne accès à une base de près de 1000 détecteurs OpenAppID déjà développés. Jusqu’à présent donc, la fusion Cisco-Sourcefire n’a pas coupé le lien entre les Ham-ateurs et les professionnels du NGFW. L’annonce officielle de l’intégration d’OpenAppID dans Snort 2.9.7.0 Alpha fait l’objet d’un billet en date du 27 février sur le blog Snort.

Le volet commercial de l’opération, lui aussi, se porte comme un charme, puisque tout le catalogue «sécurité des contenus » de Cisco va progressivement inclure la technologie Advanced Malware Protection de Sourcefire. Les différents boîtiers de sécurité dédiés (services de messagerie, Web, accès Cloud) ne fonctionneront dont plus nécessairement en « silos », mais pourront alimenter par un monitoring permanent les plateformes de supervision grâce à AMP, et ainsi fournir les métriques et éléments d’analyse avant, pendant et surtout après sinistre et/ou menace. Cela ne veut pas dire pour autant que du jour au lendemain tous les clients Cisco seront des clients Cisco/Sourcefire. Ils ne le seront que potentiellement, AMP étant disponible sous forme de licence optionnelle.

Apple vient de corriger son noyau iOS qui était affecté par une erreur de programmation (CVE-2014-1266). Cette faille concernait la gestion des communications chiffrées SSL qui devenait susceptibles d’être interceptées et modifiées par un attaquant situé sur le même réseau que celui utilisé par la machine-victime. Le problème concerne les liaisons établies avec le navigateur Safari. Chrome et Firefox ne sont pas concernés et peuvent donc être employés en toute tranquillité. La vulnérabilité serait postérieure à octobre 2013, dixit Stefan Esser.

La faille a fait l’effet d’une bombe dans les communautés de la sécurité et de la programmation. Non pas en raison de l’existence même de cette faille (il en est souvent d’encore plus critiques) mais de par sa nature. Matthieu Suiche l’explique très clairement : le bug est provoqué par une double instruction « Goto », ce qui crée, avec la seconde occurrence, un branchement inconditionnel dans une procédure pourtant censée vérifier un bon fonctionnement. Parvenu à ce point, le programme oublie simplement de continuer sa vérification. La bévue est d’ailleurs tellement énorme que le chercheur Français se demande s’il s’agit bien d’une erreur humaine. La majorité des compilateurs tirent un signal d’alarme s’ils rencontrent un tel branchement inconditionnel à moins que les options de compilation correctes n’aient pas été validées explique en substance Suiche. Or, dans une entreprise de l’importance et du sérieux d’Apple, on peut douter que de telles bonnes pratiques aient pu être négligées à ce point. Surtout dans le contexte actuel de la crise Prism.

Pour Steve Bellovin, voir la main de la NSA derrière le Goto Fail Bug frise peut-être la paranoïa ou l’amour du roman noir. Ce n’est là qu’un gros bug, la preuve d’une certaine légèreté de la part d’Apple en matière de bonnes pratiques de programmation et de contrôle-qualité du code. Bellovin, avare de billets de blogs durant ces quatre dernières années, a pourtant pondu deux articles sur le sujet. L’un technique, l’autre spéculativo-politico-stratégique. Il y a tellement peu d’intelligence derrière cette faille qu’il serait vain d’imaginer celle (d’intelligence) d’un service d’Etat, explique-t-il en substance. Si la majorité des arguments de ce Grand Maître de la Sécurité Informatique est frappée au coin du bon sens, l’argument principal demeure cependant un peu faible. L’argument du « trop gros pour être crédible » ( this is too visible and too clumsy) est précisément un principe élevé à la hauteur d’une religion chez les auteurs de malwares et les spécialistes des escroqueries en tous genres. Et puis, toute « visible » et toute « clumsy » qu’est cette faille Goto, elle a su survivre à l’insu de tous durant une période relativement longue. On a connu des cousins de Stuxnet bien moins vivaces.

Toutes aussi claires (et en Français) les explications de MM Nicolas Kerschenbaum, Miguel Enes et Fabien Jobin du Cert Lexsi, avec un superbe organigramme en prime. Ajoutons que Stephan Esser propose un correctif non officiel pour OSX.

Côté programmeurs, rarement une telle erreur n’aura soulevé autant de commentaires et ressuscité cette vieille querelle à propos de l’usage immodéré de l’instruction Goto. Laquelle fait ressurgir le spectre des codes spaghetti des branchements sauvages en Basic. Mais, dans ce cas précis, l’usage du Goto et les erreurs qu’il provoque n’ont rien à voir avec les principes de la programmation structurée. Return.

Microsoft profite de la RSA Conference pour lancer la préversion technique d’Emet 5.0 , l’ Enhanced Mitigation Experience Toolkit. Cette annonce survient la même semaine que celle faite par Jared DeMott (Bromium), et intitulé Bypassing Emet 4.1. Certaines traductions sont parfois totalement inutiles.

Si Emet renforce (et force) l’usage de mécanisme de protection tels qu’ASLR ou DEP, il est vulnérable à une forme de contournement baptisée return oriented programming (ROP), laquelle s’affranchit des interdictions de DEP et d’ASLR. Un PoC a d’ailleurs été écrit par l’équipe de Bromium en utilisant une faille I.E. (CVE-2012-4969) pouvant désactiver la totalité des 12 mécanismes de protection qu’Emet est censé déclencher.

Ces travaux ont fait l’objet d’une communication à l’occasion de la conférence B-Side SF, sorte d’anti-RSA Conference gratuite et ouverte à tous, manifestation qui se déroule traditionnellement à deux pas du Moscone Center.

Fabien Perigaud et Cedric Pernet se sont lancés dans l’écriture d’un roman cyber-policier, avec ses intrigues, ses rebondissements, ses improbables indices et l’inévitable « petite erreur » commise par le malfaiteur qui permettra aux héros de l’histoire de remporter une indiscutable victoire contre les forces du mal. Fermez le ban.

L’intrigue débute sur les plages pas tout à fait désertes d’un disque dur de province, à 400 kilomètres de la ville-capitale. L’innocente machine a succombé aux charmes d’un vil ransomware nommé BitCrypt, spécialiste de la prise de données en otage et de la demande de rançon en Bitcoins. Le suspense est à son comble lorsque le malware s’empare de tous les fichiers utilisateur et les modifie en utilisant un mécanisme AES, avec salage, clef de 1024 bits (en apparence) et tout ce qu’il faut pour rendre ces informations inaccessibles. La suite (et l’heureux dénouement) sont à découvrir sur le site de Cassidian/Airbus Defense and Space. Vivement la parution de l’épisode S01E02.

A l’occasion de l’inauguration des nouveaux locaux de l’Anssi, le Premier Ministre Jean-Marc Ayrault a décrit par le menu les dispositions techniques et stratégiques de cyberdéfense prônées par l’Agence et qui seront instaurées peu à peu par le gouvernement. Ce « plan cyberdéfense » bénéficiera d’une enveloppe de près d’un milliard d’Euros.

Ces déclarations n’apprennent strictement rien de nouveau qui n’ait été déjà annoncé par les dispositions de la Loi de Programmation Militaire : Les opérateurs d’importance vitale (OIV) se verront fixer des règles de sécurité précise, devront émettre des notifications d’incident, se soumettre à des contrôles (la question de « sondes Anssi » au sein d’infrastructures Scada critiques a déjà fait grand bruit dans le Landernau de la sécurité). Enfin, chaque OIV doit être à même de préparer les mesures à observer en cas de crise.

Côté Administration, rien de changé, ou presque. Le Premier Ministre a rappelé que les services de l’Etat devront choisir des produits de sécurité labellisés Anssi (aucune mention n’a directement été faite à propos des audits et des Passi, mais ils semblent sous-entendus) et les réseaux des S.I. de l’Administration seront systématiquement chiffrés. L’on était en droit de croire que la chose était faite depuis belle lurette, il n’en est rien manifestement.

Cet engouement pour le chiffrement n’est pas une nouveauté. Il est régulièrement redécouvert par les grands commis de l’Etat, génération après génération. Déjà, sous le dernier mandat du Président Chirac, divers Ministres avaient chanté les louanges d’un chiffrement généralisé, panacée contre les pirates… alors que quelques années plus tôt, la DCSSI, ancêtre de l’Anssi, rangeait cette pratique dans la catégorie des gadgets pour narcotrafiquants pédoterroristes et interdisait les clefs de grande longueur. Les gens honnêtes n’ont rien à cacher.

Le monde Post Snowden semble raviver cet amour pour le chiffre, à tel point que le Premier Ministre déclarait « J’ai souhaité aujourd’hui que les offres nationales de messagerie électronique soient chiffrées par leurs fournisseurs et que les messages soient traités par des infrastructures situées sur le territoire national. »

Cette question du chiffrement par les fournisseurs de services eux-mêmes avait déjà été posée, il y environ 2 ans, par les administrateurs de Hushmail. Lesquels ont clairement prévenu leurs usagers que, dans le cadre d’un compte de messagerie privé, rien ne remplacerait un chiffrement depuis le poste de travail, et que tout espoir de protection des contenus s’effaçait face à la commission rogatoire qu’un juge US invoquant le Patriot Act peut présenter à un administrateur système ou à un hébergeur. A l’heure où Google prétend ne traiter aucune donnée en France, et ainsi ne pas être soumis à la loi Informatique et Liberté, au moment même où Yahoo exporte son siège Européen en Irlande, officiellement pour des raisons d’optimisation fiscale, on peut se demander si la confidentialité des courriels de leurs clients est une véritable préoccupation, ou si ces feintes et esquives ne seraient pas plutôt un moyen pour ne pas se trouver dans une situation conflictuelle opposant droit du sang et droit du sol. D’un côté les exigences de transparence souhaitées par les services de renseignement US et Britanniques, de l’autre, les souhaits d’opacité des pays Européens.

Il est utile de se rappeler de cette petite phrase prononcée en juin 2011 par Gordon Frazer, l’un des patrons de Microsoft UK, et rappelant que, située aux USA, en Europe ou au fin fond de la savane Africaine, une donnée Microsoft est susceptible d’être communiquée aux autorités Etats-Uniennes sous simple prétexte de lutte contre le terrorisme. Hors, le terrorisme est une notion très élastique aux yeux du système d’écoute Prism.

Les messageries pour particuliers étant en grande majorité gérées par des entreprises d’Outre Atlantique, on se demande par quel miracle les services de chiffrement qu’elles pourraient proposer pourraient alors protéger les citoyens Français d’une surveillance systématique de leurs échanges par des « forces amies». Quant à conseiller l’usage du chiffrement local à tout utilisateur d’outils de communication numérique, de l’ordinateur à la tablette en passant par le téléphone intelligent, il y a encore beaucoup de travail de sensibilisation/formation à effectuer. Enfin, les services grand public n’ont aucune forme d’obligation quant à ce grand chantier chiffrement. Tout sera fait sur la base du volontariat et de l’initiative privée. Autrement dit, rien ne sera probablement fait.

Dans le secteur privé, le chiffrement de serveur à serveur n’est pas non plus une affaire facile à mettre en œuvre. La confiance dans les autorités de certification commerciales a fait long feu, ce qui obligerait à chaque DSI de gérer sa propre C.A., d’expliquer aux usagers comment utiliser ces fonctions (ajouts de plugins, vérification du fonctionnement sur un éventail de plusieurs clients de messagerie). Le tout sans faire abstraction de la charge de travail (et du coût) que cela impose côté administration : renouvellement des clefs expirées, gestion des passphrases, filtrage des emails « non chiffrés par inadvertance », prise en compte des listes de diffusion… bref, l’idée est séduisante, réalisable, mais il faudra du temps pour que chaque entreprise Française soit chiffrée de pied en cap. Il faudra probablement encore plus de temps pour que tous les usagers admettent qu’il ne s’agit là que d’une mesure de sécurité parmi tant d’autres, et qu’elle ne garantit pas à elle-seule l’absence de tout risque de fuite d’information.

Si le mot chiffrement est parvenu jusqu’à l’hôtel Matignon, d’autres termes se sont également frayés un chemin et ont été intégrés au discours officiel. Le Premier Ministre a notamment évoqué la nécessité d’une « autonomie stratégique dans le domaine du numérique, afin de ne pas dépendre de tiers pour héberger et traiter les données des entreprises et des citoyens européens ». Européen… cela signifie-t-il que le saupoudrage destiné à constituer des opérateurs « cloud nationaux » serait récupéré pour être reversé dans un pot commun auquel contribuerait l’Europe des 28 ? Que les infrastructures numériques proviendraient d’entreprises européennes capables de fournir des équipements « certifiables Anssi » comme à la haute époque du Plan Calcul ? Que les réseaux d’opérateurs de la C.E. seraient enfin affranchis de toute possibilité d’intervention du GCHQG ? Parfois, les promesses des politiques se heurtent aux décisions passées de ces mêmes politiques.

Le Mobile Telecommunications and Health Research Programme (MTHR) Britannique vient de publier un rapport d’une cinquantaine de pages résumant les conclusions de 31 projets de recherche s’étalant sur plus de 11 ans et ayant coûté environ 13,6 millions de livres sterling. Etudes portant essentiellement sur les risques de développement de cancers sur des sujets exposés aux rayonnements électromagnétiques situés entre 900 et 1800 MHz (GSM, DCS, Tetra), tous types de modulations confondus. Chapitre après chapitre, la même formule se répète : « no evidence ». Sur la puissance des rayonnements non chauffants, sur la détérioration à long termes des ions calcium dans les tissus nerveux, sur les perturbations du système sanguin, « no evidence ». En revanche, l’étude conclut à la nécessité de d’approfondir les études sur les éventuelles conséquences de ces rayonnements sur les fonctions cognitives et les troubles du sommeil, sur les effets possible dans l’organisme de jeunes enfants, sur les conséquences des expositions durant les périodes de gestation, sur les risques d’aggravement des maladies neurovégétatives et sur les conséquences d’un usage à hautes doses des services téléphoniques par les adolescents.

Le scoop est signé par les journalistes du Mail. Près de 27 000 identités bancaires de clients de la Barclays ont été dérobées, puis revendues à des traders peu scrupuleux de la « City » Londonienne. A 50 livres sterling l’identité, c’était une affaire en or compte tenu des informations livrées : nom, prénom, date de naissance, numéro de sécurité sociale, numéro de passeport adresse postale, numéro(s) de téléphone, métier, revenus, situation financière détaillée, résumé des principales activités et risques financiers, perspectives économiques des portefeuilles et, dans certains cas, bilan de santé et intérêts personnels. On imagine aisément les soupirs d’aise que n’importe quel service de police pousserait si des fichiers aussi détaillés et précis leur était offerts. Enfoncé, le fichier des gens honnêtes, dépassée, Edwige.

L’achat de données privées collectées par des « insiders » avait déjà fait l’objet d’un scandale touchant Bank of America il y a quelques années. Une affaire qui avait éclaté peu de temps avant le scandale des subprimes, et soulevait une question toujours demeurée sans réponse : comment faire embrasser un véritable culte de la sécurité des données à des employés souvent situés en bas de l’échelle des salaires.

NSA ? Connais pas ! A l’occasion de la visite du Président de la République aux Etats-Unis, le journal Le Monde survole les différents points qui, pour des raisons diplomatiques, ne seront pas abordés. Et au titres de ceux touchants les nouvelles technologies, la fiscalité des géants du Net (trois jours après l’annonce de Yahoo d’exporter son centre névralgique en Irlande), la protection des données privées alors que l’assujettissement au Patriot Act des fournisseurs de services US opérant en France, la conservation des données bancaires et de documents de voyage, la fourniture volontaire de fichiers aux forces de police et de renseignement US par les autorités Françaises fait débat. Quant à Prism et aux révélations Snowden, motus et bouche cousue. Cette attitude quant à la trop grande efficacité des services de renseignement n’est pas franchement surprenante. Le Premier des Etats-Uniens avait clairement déclaré qu’il n’avait pas à s’excuser de l’efficacité de ses services. En France, dans les rangs de la sécurité d’Etat, la position est toute aussi claire : si la possibilité est donnée , pourquoi ne pas en tirer parti. L’organe crée la fonction en quelques sortes.

NSA ? Connais plus ! Dans les colonnes de la BBC, l’éclairage semble légèrement plus nuancé. Non seulement le scandale Prism aurait été abordé, mais ces histoires seraient quasiment oubliées. « La confiance est rétablie » a déclaré en substance le Président François Hollande. Il faut continuer à chasser le terroriste coûte que coûte, l’important est de persister dans la même voie. L’on peut noter au passage que les journalistes d’Amérique du Nord n’ont pas oublié la visite d’une centaine de chefs d’entreprise Français à Téhéran, il y a environ une semaine, déplacement considéré par la diplomatie US comme « ne facilitant pas les choses ». L’importance de ce voyage d’agrément a été minimisée par le Président qui rappelait que les principaux embargos imposés à la République Islamique d’Iran étaient toujours respectés.

NSA ? Connais trop ! Alors que les Français semblent jeter un voile pudique sur les amours troubles qu’entretiennent diplomates et barbouzes, deux Sénateurs Républicains des Etats-Unis, Rand Paul et Matt Kibbe ont décidé de poursuivre en recours collectif (class action) leur propre Président. Le motif invoqué se résume en trois mots, écoute massive injustifiée. Les plaignants représentés sont les « clients, utilisateurs ou abonnés du service téléphonique sur le territoire US ». Pour peu, si l’on en juge par les réactions des politiques, l’on croirait presque que la NSA n’a visé que les citoyens des USA. Et ceux des autres pays ?

NSA ? On ne veut plus connaître ! Les autres, du moins ceux appartenant à la Communauté Européenne, ont un peu de mal à oublier et à considérer la confiance comme effectivement « restaurée ». L’Europe des 28 se fendille, et l’on pourrait, sur ce point, commencer à parler d’Europe des 27, celle qui serait débarrassé de la présence du GCHQ Britannique, allié trop objectif des USA. Et puis, tant qu’on y est, une Europe des 26, qui ne serait plus minée par les manœuvres troubles de la DGSE Française qui joue les «monsieur bons offices » auprès de la NSA dans le cadre du programme Lustre. Et pourquoi pas une Europe des 25, qui ne souffrirait plus du bienveillant aveuglement et des sentiments atlantistes exacerbés de la Pologne… ou de l’Europe des 24, des 23, des 22, puisque l’Allemagne, la Suède, les Pays-Bas se sont également fait prendre la main dans le sac à moustaches. La notion d’intelligence avec des puissances extérieures, cette terrible formule qui sent encore l’odeur des tribunaux d’exception et donne à toute démocratie le goût amer de la trahison, empoisonne la Maison Europe, déjà bien ébranlée par la crise économique actuelle. « Il faut que la Grande Bretagne, la France, l’Allemagne, la Suède, la Hollande, la Pologne clarifient les allégations de surveillance de masse dont elles sont accusées » intime un récent communiqué de presse du Parlement Européen. Il faut également que les participants des accords « 9 yeux » (GB, Danemark, France, Hollande) et « 14 yeux » (les mêmes, plus l’Allemagne, l’Italie, l’Espagne et la Suède) revoient leurs pratiques et politiques en matière de renseignement, afin que les instances parlementaires et judiciaires, ainsi que le public, puissent garder un œil –unique celui-là- sur l’activité de ces dits services.

NSA ? Plus jamais ! Ce cri du cœur du Parlement fait suite à une enquête qui s’est étalée sur plus d’un an, en réponse aux révélations d’Edward Snowden. Enquête dont les conclusions ont été rendues publiques. Le rapport technique de 52 pages brosse un paysage politique craquelé, dans lequel toute notion de confiance se délite. « Bien entendu, on peut sauter sur sa chaise comme un cabri en disant « l’Europe ! », « l’Europe ! », « l’Europe ! », mais cela n’aboutit à rien et cela ne signifie » dirait Mongénéral. En d’autres termes, le Parlement demande à chacun d’opter pour une position clairement définie. Soit d’épouser le camp d’une Europe unie, forte et indépendante, jouant d’égal à égal avec ses alliés et assez puissante pour à la fois se défendre de ses ennemis et se garder de ses amis, soit de faire sécession en s’assujettissant au bloc de l’Ouest, et de revenir à une géopolitique de bipolarisation opposant un camp Américano-Européen et un opposant guère défini issu des Brics, tantôt Chinois, tantôt Russe, tantôt Indien, tantôt Brésilien. Mais les protestations du Parlement Européen, dépourvu de tout moyen de pression réel, donc de tout pouvoir, a peu de chances de voir cesser le tango que la Grande Bretagne a entamé avec le « Grand Large » depuis les années 50 et les pas de valse-hésitation que la France, l’Allemagne et la Pologne esquissent avec les USA depuis les 10 dernières années.

Les fonctionnaires du GCHQ Britannique s’adonnent aux joies de l’attaque en déni de service en visant les serveurs d’autres amateurs d’attaques en déni de service : LulzSec, Anonymous, A-Team et autres forces armées Syriennes, nous apprend un nouveau document Snowden

Comment camoufler un répertoire en apparence homonyme dans une arborescence Windows , second épisode. A lire sur le blog Secureworks