Archives

Le « patch Tuesday » Microsoft de Novembre ne compte que 8 rustines et colmate 19 trous. Mais des trous mémorables, des trous d’anthologie. Trois correctifs sont considérés comme critiques. Les bouchons les plus importants seront probablement le MS13-088, traditionnelle réparation d’Internet Explorer (10 vulnérabilités « signalées confidentielles ») et une faille ActiveX MS13-090 (utilisant donc un contenu Web via Internet Explorer) , deux ZDE exploitables à distance. La liste des correctifs du mois est publiée comme de tradition sur le Technet.

Chez Adobe, outre quelques menues fuites d’identité, on résorbe deux failles CVE-2013-5329, CVE-2013-5330 dans Flash Player.

Le Clusif a dressé, à l’occasion d’une conférence thématique donnée le 24 octobre dernier, un bilan du référenciel général de sécurité(RGS) destiné aux administrations. Plus qu’une succession de procédures et de contrôle, le RGS est un « état d’esprit », pour reprendre l’expression de Lazaro Pejsachowicz. Un état d’esprit qui permet d’adapter un ensemble de bonnes pratiques tant à l’échelle de tout un Ministère que d’une petite collectivité territoriale.

Des bonnes pratiques qui évoluent avec le temps, qui s’adaptent au terrain, avec une « version 2.0 » du RGS qui comprendra notamment des propositions de qualification de produits et services sur des périodes plus longues qu’auparavant. La sortie du RGS 2.0P se confond d’ailleurs avec l’arrivée des prestataires d’audit de sécurité, les Passi.

Mais beaucoup de chemin reste à parcourir pour vendre l’idée du RGS auprès des responsables de petites structures (mairies de petites agglomérations notamment), afin d’englober d’autres secteurs pour l’instant encore négligés, tels le stockage des données ou la dynamique de réaction face à de nouvelles cybermenaces.

Une synthèse de cette journée est disponible sur le cycle du Clusif, le détail des interventions, pour l’instant réservé aux membres de l’association, sera rendu public le 24 avril prochain.

«Les barbouzes Britanniques seraient « pires que la NSA » en matière d’écoute des réseaux privés » estiment certains ingénieurs de Google interviewés par Le Guardian. L’un des intéressés a d’ailleurs publié un tonitruant « fuck you NSA » sur son blog.

Cryptolog, spécialiste Français dans le domaine de la signature électronique, vient de boucler un appel de fond de 1,7 million d’Euros. Deux nouveaux capital risqueurs entrent ainsi dans le capital de Cryptolog, CM-CIC Capital Innovation et Sudinnova, aux côtés des actionnaires historiques Script Capital et Beaubourg Capital.

Peut-on faire confiance à Truecrypt, le logiciel de chiffrement open source et multiplateforme ? Pour le savoir, il n’existe qu’un moyen : l’audit du code effectué par des experts, Matthew Green, cryptanalyste et professeur-chercheur à l’Université Johns Hopkins, et Kenneth White, du Social & Scientific Systems. Tous deux ont pris l’initiative de lancer une double opération de « crowdfunding », ou demande de subvention collective, l’une sur Indiegogo, l’autre par l’intermédiaire de FundFill.

Si la méthode fonctionne, l’on pourrait imaginer étendre le procédé à d’autres secteurs d’activité ou d’autres logiciels. Certains systèmes d’exploitation, quelques hommes politiques, plusieurs Services de Renseignements… voir, plus simplement, la comptabilité d’un chevalier d’industrie ou les méthodes de fonctionnement de certaines Banques. Chiche ?

A court d’argument, les juristes du Ministère de l’Intérieur Britannique clament à qui veut bien le croire que les fuites Snowden pourraient faciliter le trafic des cyberpédophiles. Par quel miracle technologique ou transfert de culpabilité, nul ne sait, certainement pas nos confrères du Telegraph (http://www.telegraph.co.uk/news/uknews/terrorism-in-the-uk/10431337/Edward-Snowden-leaks-could-help-paedophiles-escape-police-says-government.html) qui ont tenté d’obtenir des explications. Mais lorsqu’il s’agit de police et d’internet, il se trouve toujours un docte savant capable d’invoquer les cyberpédophiles poseurs de bombes et pirates de contenus audiovisuels. Personnage qu’il faut croire sur parole, cela va sans dire.
L’article de nos confrères Britanniques sous-entend que cette tentative terroriste désespérée (car comment qualifier l’attitude d’une personne qui tente d’instiller la terreur dans l’esprit du public autrement que par le qualificatif de terroriste), cette tentative donc n’aurait pour but que de masquer la collaboration coupable des services secrets de Sa Majesté, à la botte de la NSA depuis le début de cette histoire. Et de revenir sur l’arrestation de David Miranda, compagnon d’Edward Snowden, dans l’enceinte de l’aéroport d’Heathrow en mars dernier, en raison d’un principe simple : « the police should take action when an individual is suspected of couriering highly sensitive material that is of use to terrorists and other actors who seek to undermine our freedoms ». Tout ce qui “undermine” la “freedom” de la Grande Bretagne undermine également la sécurité de l’Europe. Ce qui implique que la sécurité de l’Europe undermine sérieusement la freedom d’Albion. A commencer par l’entente et l’intelligence avec des puissances étrangères.

Silk Road était une sorte d’épicier en ligne, spécialiste de la livraison à domicile et du règlement en bitcoin : envois sous pli discret, magasin ouvert 24H sur 24. Ses spécialités maison allaient de la Meth (en capsules) au gâteau de hash, en passant par les pilules de méthadone, quelques timbres à l’effigie et à l’assaisonnement de Thimothy Leary, en passant par les stéroides (en ampoule), les trucs et astuces en matière de braquage de distributeurs automatiques de billets, les rails non homologués par la SNCF, des pièces de mécanique estampillées Smith, Glock et Wesson ou les services d’un spécialiste du nettoyage méthode Léon. Forcément, la chose a chagriné certains, et une ribambelle d’agences à trois ou quatre lettres (du FBI au DEA) ont mis fin aux activités de ce cyber-détaillant en mettant à l’ombre son patron et fondateur Ross Ulbricht.

Mais la grande truanderie, à l’instar de la nature, a horreur du vide. Après une période de flottement, durant laquelle quelques concurrents et escrocs ont tenté de récupérer une clientèle fidèle et franchement accro, notre épicier spécialisé dans la semaine du blanchiment et de la blanche affiche « back to business ». Nos confrères de Vice.com (des spécialistes du genre humain, nos semblables, nos frères) révèlent tout sur la réouverture de Silk Road.

Les conclusions de nos confrères sont peut-être discutables, mais une chose est sûre : Silk Road pourrait préfigurer la fin des dealers de quartier, le début d’un âge littéralement Amazonien de la vente de substances et objets illégaux. C’est également la marque d’une époque à laquelle les structures policières doivent s’adapter. En attendant que l’on assiste à des cyber-poursuites et des techno-arrestations émaillées de cascades virtuelles et de fusillades binaires, le seul moyen de faire cesser ce trafic reste la fermeture des serveurs… lorsque ceux-ci ne sont pas hébergés dans des paradis juridiques. Et comme l’exemple de leurs grands frères du secteur de l’électroménager et du livre ne pouvait être que source d’inspiration en matière d’évasion fiscale, optimisation du même métal et exploitation des paradis et no-man’s-land informatique, il y a peu de chance que le nouveau Silk Road subisse le même sort que sa version 1.0. Souvenons-nous de la prétendue « disparition » du Russian Business Network et de sa métempsychose atomes de serveurs insaisissables et infiniment mobiles.

Le bulletin d’alerte 2896666 prévient d’une vulnérabilité dans l’un des composants graphiques de Windows (http://technet.microsoft.com/en-us/security/advisory/2896666). Une mesure ce contournement automatisée grâce à un « fix it » (https://support.microsoft.com/kb/2896666), permet de désactiver le codec Tiff. Plus d’informations sur le blog du MSRC (http://blogs.technet.com/b/srd/archive/2013/11/05/cve-2013-3906-a-graphics-vulnerability-exploited-through-word-documents.aspx).

No more free bug … le message est passé. Facebook et Microsoft lancent une opération conjointe de « prime à la faille ». Selon la cible choisie, les stacks IP, OpenSSL, Python ou Ruby, Perl ou Rails, les primes s’échelonnent de 1500 à 5000 $ le trou. Tous les détails (ou presque) sur le site HackerOne

Il fait des bonds, il fait des bonds, c’est le virus qui danse d’une machine à l’autre dans les laboratoires de Dragos Ruiu. Le « scoop » vient de nos confrères d’Ars Technica et une grande partie de cet article fleure bon le battage avant une communication fracassante de CanSec ou de HITB.

De manière lapidaire, Badbios est un virus de science-fiction : multiplateforme, il vise aussi bien les systèmes sous OS/X que Windows, et même ceux sous BSD administrés par quelques happy few. Les mécanismes de propagation de cette infection reposeraient sur des canaux peu communs : IPv6 (y compris lorsque ce protocole est désactivé), mais également les échanges de clefs USB (procédé plus classique) voir même les liens Bluetooth ou Wifi. Pis encore, lorsque tous les câbles sont débranchés (cordon secteur et brin Ethernet), que les modules radio sont éteints, l’engeance semblerait se propager d’une machine à l’autre en utilisant les micros et haut-parleurs des ordinateurs.

Dernière adresse connue : le Bios de la machine, ce qui explique en partie son nom. D’un point de vue technique, la chose n’est pas impossible, puisque des chercheurs Français, Jonathan Brossard et Florentin Demetrescu, étaient, avec Rakshasa, parvenus à infecter à distance une machine en injection une version modifiée d’un bios Open Source Coreboot.

Sur un plan pratique, il est également possible qu’un virus se propage par le truchement d’une clef USB (Stuxnet est l’un des plus célèbres du genre), d’un lien Bluetooth (les vendeurs d’antivirus pour terminaux mobiles tentent désespérément de nous le faire croire), Wifi… et même audio ou optique. De la « diode led qui bat au rythme des touches clavier activées » aux perturbations radioélectriques du scan clavier, en passant par les spectres rayonnés par une carte contrôleur de disque dur, tout est exploitable, avec plus ou moins de difficultés. Une carte son d’ordinateur est, de nos jours, capable d’émettre un spectre situé bien au-delà de ce que l’humain peut entendre : 192 kHz en général, à comparer aux quelques malheureux 20 kHz de l’oreille humaine. Qui donc serait capable de déceler un tel dialogue ?

Manifestement au moins un homme, Dragos Ruiu en personne, qui n’a pu bloquer une propagation de Badbios qu’en débranchant toutes les extensions possible de ses ordinateurs, haut-parleurs et micros y compris.

Donc tout est possible si l’on prend chaque attaque à part et que l’on tente l’exploit dans un cadre particulier. Mais combiner le tout en un unique vecteur d’attaque pluridisciplinaire, multimédia et polymorphe, voilà qui relève du malware mythologique, de l’attaque improbable. Emettre le virus est chose simple, puisque par définition, le propagateur est déjà « infecté ». Mais faire en sorte que la machine-cible passe en état d’écoute, quel que soit le médium utilisé (Ethernet, audio, wifi, Bluetooth, USB…), voilà qui est un peu plus complexe. Il faut (souvenons-nous de certaines attaques Wifi du Month of Apple Bug) avoir connaissance d’une faille « kernel driver ». Et pas qu’une seule, et pas sur un seul noyau. Bref, un vecteur d’attaque qui saurait exploiter faire passer une clef de stockage pour un HID tant sous BSD que sous Windows ou OS/X, qui pourrait télécommander « l’écoute» d’une carte son (une voie ignorée des antivirus) Wifi (là, les antivirus sont efficaces… s’ils possèdent une signature) ou Bluetooth, ce serait encore plus fort que Stuxnet et Oudini réunis.
L’annonce de Dragos Ruiu aura eu au moins l’avantage de faire rêver les journalistes et améliorer les ventes de billet des organisateurs des quelques prochaines « hacking conferences ».