Archives

Le marché des UTM, l’un des rares secteurs matériel connaissant encore des taux de progression à deux chiffres, continuera à bien se porter, nous promet une récente étude du Gartner. Les ventes de ces « outils de sécurité universels » ont passé la barrière du milliard de dollars dans le courant de l’an passé et ont culminé à 1,2 milliard de $ en décembre. Cette bonne santé devrait perdurer tout le long de 2012, notamment pour quelques ténors du milieu, Fortinet et SonicWall notamment. Une grande partie de ce succès serait, estiment les analystes, due à l’activité intense des MSSP en matière de sécurité auprès des petites et moyennes entreprises, relativement mal équipées en appareils de protection. Ces MSSP incitent leurs clients à s’équiper en UTM qu’ils pourront par la suite administrer à distance et configurer sur mesure en fonction de l’évolution des demandes.

Le fichier TAJ, passé discrètement le 6 mai fait l’objet d’une analyse de nos confrères du Monde. Le TAJ (antécédents judiciaires), est un véritable fichier Anonymous, qui n’oublie pas, qui ne pardonne pas ceux qu’il fiche, du moins durant une quinzaine d’années

Une mise à jour de l’antivirus Avira bloque la majorité des lancements d’application sur noyau Windows 32 bits. L’éditeur diffuse un correctif… en espérant que les machines puissent encore se connecter à Internet

Attention aux fausses publicités sous Wikipedia, préviennent nos confrères de Network World. Plusieurs cas de détournement de pages auraient été détectés

Présenté comme l’outil de synchronisation ultime destiné à garantir la pérennité des donnés utilisateurs, iCloud d’Apple voit une nouvelle fois sa sécurité critiquée par des spécialistes. Elcomsoft, entreprise moscovite spécialisée dans la récupération des mots de passe oubliés et autres contournements de mécanismes de chiffrement, a découvert qu’il était possible de récupérer les données d’un mobile Apple en clair, directement depuis les services de stockage iCloud. Cette absence totale de sécurisation des données est compensée par le fait que l’accès aux données stockées ne peut être autorisé qu’aux possesseurs de l’identifiant et du mot de passe de l’appareil… lequel n’est pas très difficile à récupérer si l’on est client Elcomsoft et possesseur de la dernière édition de leur « password breaker ». Le mot de passe peut également être extrait des fichiers de sauvegarde « hors ligne » effectués à l’aide d’iTunes.

Application paradoxale que Scrambls. Il s’agit d’un outil de chiffrement de contenu destiné aux outils de réseaux sociaux. En d’autres termes, ce plugin qui s’adapte aux principaux navigateurs sert à camoufler les propos diffusés par un mécanisme de diffusion conçu pour que la parole de chacun soit entendue par le plus de gens possibles.

A quoi cela peut-il bien servir ? Les plus idéalistes parlent de masquer les propos des opposants politiques dans les pays soumis à une dictature du Net… pays qui, précisément, soupçonnent et pourchassent toute personne cherchant à camoufler quelque chose. Sur le principe totalitariste du « les gens honnêtes n’ont rien à se reprocher, donc rien à cacher », l’usage public d’un outil de chiffrement est souvent une preuve de culpabilité. Il est plus important que soit mis en œuvre des canaux de communication pensés en termes de « dénégation plausible ».

Scrambls est donc un utilitaire destiné à trois profils d’utilisateurs : les groupes d’usagers des réseaux sociaux qui souhaitent organiser leur propre communauté cachés aux regards des autres (une simple mailing list pourrait pourtant faire l’affaire), les « wanabe conspirateurs » qui veulent se donner des airs d’agent secret au vu et au su de tout le monde…. Et les gardiens de botnets qui ont là peut-être un système capable de masquer le contenu un peu provocateur de leurs messages de commande.

Chambre avec vue ou Wifi avec exploit ? le FBI prévient les habitués des hôtels branchés (au sens numérique du terme) des risques d’attaques utilisant le réseau Wifi . Entre fausses pages de login, fausses mises à jour de codecs, fausses pages sécurisées, les réseaux hôteliers high tech sont moins sûrs que les bouges de la catégorie Auberge Rouge. Après les chambrières diaboliques de Joanna Rutkowska, voici le temps des cyber-groom démoniaques et des techno-portiers infernaux. La vie des « road warrior » est désormais parsemées de sournoiseries ancillaires*.

Elle a été Tweetée, Facebookée, Skypée, Messengerisée cette photographie prise lors d’une interview à l’occasion d’un championnat de baseball. Il s’agit pourtant du « demi fail » puisqu’il est de tradition que les crédences d’accès aux réseaux Wifi des salles de presse soient quasi publiques, affichées aux yeux de tous. Après tout, ce qui s’y dit, s’y écrit, s’y filme ou s’y raconte sera le lendemain dans tous les journaux.

Le magazine en ligne Basta ! publie une enquête très complète sur l’imposition « en force » par le gouvernement sortant de bureaux de vote virtuels sur Internet. Première utilisation : les prochaines législatives. Fraudes et caviardages possibles à tous les étages. L’on peut également noter, parmi les arguments avancés par la Cnil, encore cette ancienne croyance de l’absolue sécurité offerte par le protocole https. Ni du côté des personnes favorables à l’extension d’un mode scrutin aisément falsifiable, ni du bord des autorités de contrôle, les informations les plus élémentaires en matière de sécurité ne sembleraient avoir fait leur chemin. A l’instar des missions de filtrage de sécurité aux aéroports, l’on pourrait regretter que la mainmise d’officines privées sur des fonctions régaliennes fragilise chaque jour un peu plus les piliers techniques de la démocratie.

Scytl,les « professionnels du vote en ligne » déjà mis en cause dans l’article de Basta !mag, annoncent triomphalement le portage de leur « isoloir virtuel » sur plateforme IOS et Android : d’un côté le système le moins documenté et le moins ouvert du monde mobile (mais souvent hacké) et de l’autre le système réputé le plus aisément hackable de ce même monde mobile. Systèmes émanant d’entreprises réputées pour leur haute estime des libertés individuelles.

Demi-fail de la Cnil, qui publie, en date du 10 mai, un communiqué débutant par la phrase « Suite à plusieurs articles de presse relatifs à la sécurité des cartes bancaires sans contact, la CNIL mène actuellement des investigations techniques ». Il est à rappeler que la conférence de Renaud Lifchitz sur le sujet s’était déroulée le 13 avril, quasiment un mois avant la réaction de la Commission, et que, des dires même du chercheur, la Cnil avait été informée largement avant publication des recherches en question dans le cadre d’une communication de « divulgation responsable » comprenant les banques concernées, les organismes de carte de crédit, la Cnil et la gendarmerie. Hack non publié n’est pas à investiguer.

Belle opération financière de l’éditeur Russe Pirate Pay, qui a mis au point une méthode d’injection empoisonnée dans les protocoles d’échange P2P. Nos confrères de TorrentFreak nous apprennent que Microsoft aurait aidé financièrement cette petite startup avec un chèque de 100 000 dollars. Mais « Fail » malgré tout, car de tels outils intrusifs sont inapplicables dans bien des pays européens, et plus particulièrement en France, pays de liberté numérique qui, grâce à ses LCEN, Loppsi, Lopsi et autres textes, protège les systèmes d’information et les accès réseau des joyeux piretoupiristes.

*Ndlc Note de la Correctrice : plagiant honteusement Audiard, l’auteur avait initialement écrit « des conneries de la boniche ».

Cryptome publie plusieurs liens et documents directement liés aux écoutes « tempest », en d’autres termes aux extractions d’information pouvant « fuir » d’un local sous forme de rayonnements électromagnétiques, de signaux optiques, de vibrations mécaniques et ainsi de suite. Terrain apprécié des barbouzes de tous poils et qui commence à sérieusement passionner la gente hackeuse, la fouille de ces « poubelles rayonnantes » donne souvent des résultats appréciables moyennant l’utilisation d’outils souvent très peu coûteux. Pourtant, la quasi dictature de la « logique logicielle » imposée par les gourous du hacking traditionnel a souvent occulté cet aspect des choses. Qui donc n’a jamais entendu des mantras du genre « il faut déployer des fortunes en ingénierie et en électronique pour capter un signal Bluetooth à plus d’un kilomètre » ou « les écoutes des rayonnements des CRT nécessitent l’usage de récepteurs spécialisés » voir encore « mon routeur possède un processeur de chiffrement intégré, il est strictement impossible de récupérer mes transmissions « au fil de l’eau » ». Dans le premier cas, la « fortune en ingénierie » ne dépasse pas une cinquantaine d’euros, dans le second, l’on trouve sur le marché des récepteurs « à définition logicielle » à moins de 15 euros capables d’effectuer une analyse de signal dans le domaine temporel et à l’aide de logiciels gratuits et open source, quant au troisième exemple, il part du principe qu’il est impossible de récupérer un flux de données en amont du mécanisme de chiffrement sans effectuer une liaison physique sur l’infrastructure « base cuivre » de l’installation. Ce qui est entièrement erroné, rappelle une étude publiée en 2002 par des chercheurs de l’équipe Lookheed Martin et de l’Université d’Aubun. Etude qui reprenait d’ailleurs des travaux vieux de plus de 20 ans sur le décodage des led TxD/RxD des vieux modems, et sur la faisabilité de « keylogers optiques » intégrés dans les claviers d’ordinateurs : une diode IR modulée par les frappes clavier, c’est invisible à l’œil nu, et ça « leak » aussi bien qu’un « rogue AP »… Tempest, ça n’est pas que de la récupération de rayonnement électromagnétique. L’on peut également citer les analyses d’appel de courant effectué par les machines, les variations de vitesse des ventilateurs, les changements de rayonnements thermiques des processeurs, les vibrations des vitres d’une pièce au rythme des ondes sonores… tout ce qui bouge, consomme, communique par un moyen électronique ou ondulatoire fait fuir des informations qui peuvent être interprétées puis transformées en données.

A lire donc, comme un roman d’espionnage ou comme une mise en garde, ces quelques documents, accompagnés par une « histoire des écoutes Tempest » édité par NSA Publications Inc, un grand succès de librairie dans le monde de l’imperméable couleur mastic, du complet sombre et des lunettes de soleil.

Le Washington Post signale qu’une opération menée par la CIA et des services d’intelligences de pays tiers a permis de contrer une attaque à la bombe programmée par une branche Yéménite d’Al Quaida. La charge devait être camouflée dans un sous-vêtement, méthode déjà employée avec insuccès par Umar Farouk Abdulmutallab, un précurseur heureusement malchanceux de la méthode « Petit Bateau » qui fait boum.

Tel que conçue, cette nouvelle bombe aurait échappé aux magnétomètres, expliquent les experts. Rappelons que ces magnétomètres, mainte fois pris en défaut et violement contestés par les passagers car considérés comme « intrusifs » et violant l’intimité des personnes, sont vendus près de 100 000 $ pièce.

L’efficacité de l’opération, fruit d’un travail de renseignement, de recherche amont et d’infiltration, est à comparer au coût exorbitant et la totale inutilité des infrastructures de filtrage à l’entrée des aéroports. Entre le législateur, les pouvoirs publics et le business de la défense périmétrique physique*, il existe une certaine logique que la logique n’explique pas.

*Ndlc Note de la correctrice : et du lobby des eaux minérales… une de jetée au filtrage, une d’achetée 10 mètres plus loin. Sans le moindre doute, un coup de l’organisation occulte Evian-Vittel-Epar-Badoit-San-Pelegrino-Lou Perac, laquelle traite en sous-main avec le redoutable gang des boutiquiers de l’IDFSA (International Duty Free Shop Association).

Les USA sont eux aussi en train de vivre leur « affaire Amesys », mais en version plus musclée. L’administration Obama, relate l’Atlantic Wire envisage de prendre des sanctions à l’encontre des entreprises et des personnes ayant, à l’aide d’outils technologiques, aidé les pouvoirs Iranien et Syrien dans leur répression contre les populations civiles. Une déclaration qui, remarque l’auteur de l’article, pourrait concerner bien des entreprises US. Et de citer Hewlett Packard, bénéficiaire d’un contrat d’un demi-million de dollars pour l’installation d’un système de filtrage des emails et d’Internet en Syrie. Ou encore Bluecoat, accusé également d’avoir fourni les outils qui ont servi à bloquer le Web Syrien, ou NetApp, dont le système de stockage destiné au système de surveillance a été installé durant les évènements du mois de mars qui ont boule versé encore et toujours la Syrie. Des accusation étayées (et non démenties à ce jour) par Bloomberg et le WSJ. Et la liste des entreprises « balancées » continue, avec l’Irlandais Cellusys, l’Italien Area Spa, le Britannique Creativity Software qui tous on fait du business sur le créneau du flicage d’Etat tant en Syrie qu’en Iran. Le WSJ en profite au passage pour rappeler que ces outils sont également achetés dans d’autres pays de la péninsule arabo-persique, de l’Arabie Saoudite au Koweit, en passant par les Emirats, le Bahreïn ou le Qatar, qui ne sont pas des modèles de théocraties éclairées. Ceci sans oublier la Tunisie qui a également passé contrat pour des outils de filtrage et de surveillance : McAfee, Bluecoat, NetSweeper, Websense sont montrés du doigt. Il aura fallu attendre qu’éclate le Printemps Arabe pour que le monde entier prenne conscience du fait que certains logiciels de filtrage ou de « deep packet inspection » peuvent, doivent être considérés comme des armes de guerre. Logiciels qui, faut-il le rappeler, sont également souvent en usage dans les démocraties Européennes. Et c’est peut-être là la raison première pour laquelle aucun gouvernement n’a, jusqu’à présent, envisagé de contingenter et règlementer ce genre d’outil. Car leur qualification en arme de répression aurait eu des conséquences très embarrassantes sur leurs usages (ou mésusages) « locaux ».