Archives

Lecture ardue et instructive, celle du trimestriel numéro 8 de Hack in the Box (HITB). Gratuit, « for fun and profit ».

136 pages de chiffres, de sigles nébuleux, d’anglicismes indigestes, de mot-valise : le tout dernier rapport que l’Hadopi a commandé à l’Idate a été longuement analysé et critiqué par nos confrères de Numérama. Deux articles notamment dressent un tableau flatteur de l’étendue tentaculaire des sites de streaming dans le monde (statistiques effectuées avant la fermeture de Megavidéo et Allostreaming) et du chiffre d’affaire estimé (très généreusement estiment nos confrères) récolté par les services de publicité desdits sites. Statiques qui, dans les deux cas, rappellent un peu les méthodes de calcul de la cybercriminalité. Bon maquignon fait toujours boire le veau avant la pesée, d’autant plus que le principal abreuvoir à chiffre utilise les métrique Alexa, une « tool bar » d’analyse statistique qui n’estime que les habitudes de navigation de ceux qui ont accepté la présence de ce « spyware de profilage ».

Il en ressort notamment quelques constantes intéressantes : les sites de streaming, tout comme ceux liés aux échanges P2P, sont alimentés par des régies publicitaires généralement situées en dehors du territoire Européen, possédant souvent un quartier général dans un paradis fiscal ou dans un pays peu regardant sur le suivi des « formulaires 10Q et 10K » en usage Outre Atlantique. Les contenus des publicités sont identiques à ceux qui, depuis des années, servaient à alimenter les caisses des sites d’aiguillage P2P : sites de jeux de hasard et de cyber-sexe, que l’Idate résume avec la formule « prédominance du poker, des jeux, et de différentes « offres » au sérieux douteux ». Rappelons qu’au nombre de ces sites au contenu douteux se sont trouvés des serveurs de jeu je poker en ligne bénis par l’actuel gouvernement et affichant fièrement leur appartenance à l’Arjel. Les revenus publicitaires sont calculés en fonction d’une équation complexe dans laquelle intervient la notion de visiteurs uniques, de « clics vrais » et autres indices de fréquentation. Plus le site est important, plus le visiteur unique est valorisé, mais il existe parfois des écarts très important entre ce qui est estimé et la réalité du terrain. Les tarifs publicitaires ne subissent pas une inflation linéaire en fonction de la fréquentation.

Cette manne est complétée par les abonnements payés par une partie des utilisateurs qui acceptent de payer pour obtenir des services « premium ». Si les tarifs peuvent être considérés comme élevés en regard d’un abonnement ADSL, ils ne représentent en moyenne qu’entre 8 et 10 % des consommateurs de flux. A ces apports d’argent frais doivent être soustraits les frais de transactions bancaires, le payement des intermédiaires et sites « rabatteurs », les frais techniques d’infrastructure (ceux de Megaupload avaient été estimés à 9000 $ par jour), salaires et coût de l’infrastructure télécom non compris. Mais malgré ces dépenses, l’Idate estime que, pour ce qui concerne les sites de téléchargement les plus importants, la marge brute peut être excessivement élevée : 72% pour les gros fournisseurs de streaming, 81% pour les ténors du direct download, 98% pour les grands du référencement.

Ce qui permet à l’étude de conclure « Au final, le marché total de la consommation de services et sites de contenus en streaming et téléchargement direct (hors P2P), dans le périmètre de l’étude, sur un an glissant de contenus vidéos et musiques est donc de l’ordre de 51 à 72,5 millions EUR en France ». Rappelons une fois de plus l’absence de base métrique sérieuse qui permettrait d’obtenir une estimation plus précise. En toute logique, le chapitre suivant, intitulé« Comparaison avec les marchés licites correspondants ». Après quelques explications liminaires, l’étude situe aux environs de 177M€ le marché pour la vidéo et la musique, dont 109 M€ pour la musique et par conséquent 68M€ pour la vidéo. Le « marché » du streaming et du download friserait donc le tiers du marché légal en chiffre, et, limité au seul secteur de la vidéo, serait même son équivalent. Ce qui minimise donc l’importance de ce marché « illégal » si l’on considère la quasi absence d’offre légale, réaliste, et abordable en France. Constater que le piratage est proche du tiers d’un non-marché totalement anémique fait espérer qu’effectivement le secteur des contenus de divertissement en ligne a de beaux jours devant lui… à condition que tout soit fait pour qu’il se développe. Avec un tant soit peu d’efforts (un abaissement des tarifs), le marché « légal » pourrait bien écraser d’un revers de manche les profiteurs de l’offre illégale. Après tout, il ne s’agit pas d’œuvres artistiques, seulement de contenu de divertissement à très faible durée de vie… de la musique et de la vidéo « kleenex » explique l’étude en ses premiers chapitres. Et lorsque l’on maîtrise la source même de ce genre de production industrielle, il n’est pas très difficile d’en maîtriser également la diffusion.

S’en suit une analyse des conséquences de la fermeture Megaupload. Indiscutablement, ce coup d’arrêt porté par le FBI, ainsi que les promesses de poursuites visant d’autres prestataires a fortement diminué le volume des téléchargements. La chose est habituelle. Après tout, il a bien fallu plus de 6 mois pour que les réseaux mafieux du RBN se restructurent autour de serveurs plus atomisés, moins visibles…. Et que dire des prétendues victoires de l’Hadopi dans sa bataille contre le P2P et qui se sont soldées précisément par une montée en puissance des sites de streaming et de Direct Download. Aucune raison que cette règle du « repli vers une autre solution technique précédée d’une période de stagnation » ne s’applique pas au marché pourtant moins noir de la consommation compulsive de séries B. Le rapport de l’Idate porte sur ce point un regard objectif et s’attend à ce que s’opère une « réorganisation plutôt qu’une régression » du trafic. Bataille vaine et sans fin de l’avis même de l’observateur mandaté.

Imaginons un instant que la Rue du Texel parvienne, par un coup de baguette techno-magique, à supprimer la totalité du trafic streaming et téléchargement illégal (hypothèse totalement irréaliste et fantaisiste, car seuls les prestataires d’offres de services Français peuvent avoir ce pouvoir en développant un catalogue intéressant). Imaginons donc que pour une fois dans l’histoire de la diffusion de contenu, l’école répressive aveugle ne visant que les consommateurs porte ses fruits. Il se produirait alors quelque chose de bien plus intéressant : le développement d’une multitude de services VPN aux adresses difficiles à repérer (fast flux ou assimilés, faisons confiance à leurs administrateurs pour trouver), services qui permettront aux clients Européens de pouvoir bénéficier des offres légales d’Outre Atlantique ou d’Asie, aux abonnements d’ores et déjà moins coûteux que tout ce qui existe actuellement en Europe. Exit l’exception « culturelle » nationale. S’ensuivrait alors une chasse aux services VPN. Une fois de plus une tentative de réponse technique à un problème politique et commercial, mais qui reposerait cette fois très clairement sur une segmentation géographique des marchés imposés par les sociétés de production (les fameuses « zones » qui entravent déjà la commercialisation des DVD-Rom). Cette nouvelle lutte pour préserver le pré-carré des Majors permettrait à l’Idate et à l’Hadopi de publier un nouveau rapport de 136 pages prouvant que les VPN sont bien morts… et ainsi de suite. Comme il existe 1024 protocoles Serveur référencés utilisant des ports « qualifiés et bien connus », cette guéguerre de la chasse à l’encapsulation risque de durer encore quelques siècles, justifiant au passage le flicage et le contrôle de la quasi-totalité des outils qui font la puissance d’Internet.

Lorsque le matin même de l’arrestation de Mohammed Merah, le Chef de l’Etat émettait l’idée d’une loi visant à condamner la consultation de sites « terroristes », il s’agissait un peu plus qu’une idée. En fait, un tel projet était semble-t-il depuis belle lurette dans les cartons du Ministère de l’Intérieur, n’attendant que le déclenchement d’un fait-divers assez traumatisant pour que puisse passer un texte qui aurait été jugé liberticide en temps normal.

Certes, précise le texte du projet, les « professionnels » (universitaires, journalistes et personnes ayant pour rôle d’informer le public seront à l’abri de telles poursuites). Un peu comme dans le cas de la détention d’outils de hacking : le statut de professionnel est prévu par la loi, en termes assez flous d’ailleurs. Pour les autres, vae victis. La connaissance des idées subversives doit être distillée par le filtre d’une élite ou d’une nomenclature chargée de commenter et de mettre en perspective. Le savoir brut ne peut être librement apprécié par le « peuple ». Un texte relativement incompréhensible puisque qu’il pénalise quelque chose qui était déjà interdit : l’apologie du crime, l’incitation à la haine raciale, deux grands tabous du droit de la presse.
A ceci viennent s’ajouter quelques autres pudeurs qui ont toujours marqué Internet depuis ses débuts : pédophilie, propos révisionnistes, encore des sujets considérés comme hors la loi en Europe mais parfois tolérés dans d’autres contrées du monde. Des interdits clairs, mais dont le législateur connaît bien les limites puisque le véritable responsable (le propagateur de propos condamnés par la loi) se trouve généralement protégé de tout risque de poursuite en expatriant ses serveurs dans des pays étrangers. Comme ces sources bénéficient donc d’une immunité de fait, il est plus simple d’ignorer la racine du mal et de viser le destinataire/consommateur, autrement dit l’internaute lui-même. C’est sur cette même logique qu’a été conçue l’Hadopi.

Mais à quoi, à qui peut servir un nouveau projet de loi qui fait «double usage » avec une série de textes préexistants et qui ne sert pas à tenter de limiter la prolifération de sites au contenu discutable ? Sans être spécialiste des choses techniques, l’on peut aisément imaginer que ce projet de loi fait entrer par la grande porte le principe de « deep packet inspection » visant l’ensemble du trafic Internet Français sans le moindre discernement ni la moindre nécessité de contrôle d’un juge. Il faudra donner à la police les moyens de combattre le fléau des intégrismes de toute nature, des pensées les plus condamnables, des terreaux du terrorisme sous tous ses aspects. De cette manière, les outils « sales » que l’on réservait aux actions d’exception dans le cadre de services « spéciaux » (entendons par là les services de renseignement, les forces armées) vont pouvoir être banalisés et utilisés par les services régaliens civils chargés de la sécurité intérieure, autrement dit la police. Avec les descendants d’Amesys*, pas d’amnésie, pas d’amnistie. Eux aussi sont légions, ils n’oublient pas, ils ne pardonnent pas.

Pouvoir penser, lire, débattre, même d’idées qui vont à l’encontre de notre idéal démocratique est le fondement même d’une démocratie laïque. C’est le fameux « Je combattrai toujours vos idées, Monsieur ; mais je me ferais tuer pour que vous ayez le droit de les exprimer » que l’on attribue à Voltaire, pourtant heureux bénéficiaire du « trafic de bois d’ébène » et défenseur acharné du bigotisme horloger et de l’intégrisme déiste. Gardons-nous également de construire une mécanique mortifère à grand renfort de lois qui justifient à leur tour l’usage d’outils inquisiteurs. Pour certains d’entre nous, nos parents, nos grands-parents ont eux aussi été des terroristes, dont la tête a été mise à prix, tête qu’ils ont pu parfois sauver grâce à la fabrication de faux papiers (chose difficile de nos jours), grâce à l’usage de moyens de transmission furtifs et chiffrés (chose difficile de nos jours), grâce à l’externalisation de leurs « serveurs d’idées » en Angleterre notamment (chose illégale de nos jours) malgré une surveillance quotidienne et un climat de suspicion instauré par l’envahisseur (chose quotidienne de nos jours). Grâce également à la sagesse de certains qui ont su à temps saboter l’équivalent des outils de « deep packet inspection » de l’époque pour que l’adversaire ne puisse pas en bénéficier**. Les lois d’aujourd’hui peuvent se transformer en baillons demain.

*Ndlr Note de la rédaction : rappelons qu’Amesys est une entreprise française dont l’un des départements, spécialisé dans la fabrication et l’installation de systèmes de cyber-surveillance, a signé divers contrats avec des pays d’Afrique du Nord, et notamment en Lybie. L’usage de ces outils contre la population civile a été maintes fois prouvé, notamment par nos confrères Jean Marc Manach (Owni), Antoine Champagne et Olivier Laurelli (reflets.info),

**Ndlrb Note de la rédaction bis : ce fut notamment le cas des radiogoniomètres instantanés qui furent démontés ou détruits au début de l’occupation pour ne pas tomber entre les mains de l’Abwehr. Il faudra au moins 4 ans aux équipes de Siemens pour concevoir des systèmes équivalents.

Lorsque la marine US ou le Department for Homeland Security investissent dans les Xbox et autres consoles, ce n’est pas pour soulager leurs fonctionnaires d’un excès de stress… mais pour hacker le petit « chez soi » de tous les accros de Halo2, Splinter Cell et drogués de Call of Duty. L’article de Lisa Vaas sur le blog de Sophos explique que les autorités Etats-Uniennes s’offrent les services de sociétés spécialisées dans l’intrusion des systèmes informatiques en leur demandant de leur ouvrir l’accès aux contenus des millions de consoles en service. Que les valeureux combattants de la Rue du Texel se rassurent, ces piratages ne sont pas destinés à nuire aux maigres revenus du MPAA et autres gagne-misère de l’industrie du divertissement, ni à espionner les paisibles foyers nord-américains possédant ados, consoles et extensions vidéo révélatrices (Kinex par exemple). Il s’agit en fait de pourfendre les criminels qui utilisent ces réseaux protégés (au contenu souvent chiffré) qui pourraient servir à camoufler leurs communications jihadesques et terroristes, voir à épingler au passage quelques cyberpédophiles sévissant sur les Xbox Network et autres services Sony Entertainment (lorsque ceux-ci ne sont ni hackés par les Anonymous, ni interrompus pour raison de maintenance).

Mais comme le cyberpédophile et le terroriste mahométan ne sauraient justifier une telle inquisition espagnole au sein des foyers américains (ainsi l’exige le US Privacy Act) le principal sous-traitant-es-piratage-de-console est obligé de se rabattre sur les modèles exportés et utilisés au-delà des frontières du nouveau monde. Logique. Les cyberpédophiles et les intégristes du pays de Mahom agissent et vivent nécessairement en dehors du Royaume de la Liberté et des Droits Constitutionnels.

Si donc d’aventure nos chers ados s’aperçoivent que le Boss du quatrième niveau est particulièrement difficile à abattre, que l’énigme du quatrième tableau leur demande le numéro de carte de crédit de papa-maman ou que le code d’accès à l’ordinateur Covenant correspond aux crédences du compte de messagerie familiale, qu’ils ne s’en émeuvent point : ce ne sont que les avatars de paisibles barbouzes travaillant officiellement et légalement pour le compte d’une agence à trois lettres, veillant au salut de l’Empire de l’Ouest et effectuant en nos contrées des cyberpatrouilles tout comme les légions, cohortes et manipules de César patrouillaient en leurs temps tout autour de la Mare Nostrum. Le monde Internet est une immense Gameboy dont les joysticks sont situés quelque part entre Langley, Washington et Fort Meade.

Thierry Zoller a rédigé une analyse critique approfondie du système de classement de criticité des failles.

Versons une petite larme de nostalgie en lisant cet amusant article de Mark Baggett sur le journal du Sans, article consacré à la création de répertoires sous Windows portant les doux nom de « . » et de «.. » (point-espace et point-point-espace). Le comportement de ces « faux root et sous root » est une astuce de hacker qui remonte quasiment à la création de DOS et peut même être agrémentée de variantes nécessitant l’usage d’éditeurs un peu plus spécifiques. Le répertoire « point-retour arrière » par exemple (ascii 127).

24 heures plus tôt, l’article de Guillaume Champeau aurait pu passer pour un poisson d’Avril de très mauvais goût. Londres, titre notre confrères du Numérama, va surveiller tous les appels et visites de sites Web. Un projet de loi conçu dans le but de profiler les communications des sujets de sa Gracieuse Majesté et ainsi établir une base de données des relations habituelles de chaque personne sur Internet. C’est avec de tels outils, et en vertu des textes Britanniques donnant à la police le droit d’arrêter quelqu’un sous prétexte de « légitime suspicion », que régulièrement des citoyens se font arrêter, emprisonner, spolier de certains de leurs biens.

Un article du Guardian se veut rassurant : le contenu des conversations ne sera pas écouté… seules les identités des correspondants serviront dans cette collecte d’information.

Mettons de côté l’aspect Orwellien d’un tel flicage et passons l’éponge sur cette disparition totale de l’intimité des communications. Et plaçons-nous dans le contexte d’une entreprise Française ou d’un collaborateur envoyé en mission Outre-Manche. Si ce texte est adopté, il faudra oublier toute confidentialité des réseaux d’affaire. La destination, la fréquence, la durée des communications dans des secteurs sensibles constituent des informations importantes, des indices capitaux en matière d’intelligence économique. A l’échelon d’une nation, cela devient de l’espionnage industriel extensif. Lorsque l’on rapproche cet éclairage et le fait que le Royaume Uni fait partie de l’alliance UKUSA, on est en droit de se demander si le rôle du Parlement Européen ne serait pas précisément de règlementer des initiatives aussi extrémistes.

Une page du site du Parlement Européen explique dans les grandes lignes les bases d’un projet de loi « anti hacker » qui risque fort bien de transformer le Net du vieux continent en une sorte de panoptique exposé aux seuls yeux des polices… et des véritables black-hat.

Le projet est présenté comme un texte visant à défendre contre des attaques Scada et rassure en disant que les sanctions prévues ne concerneront pas les « cas mineurs »… une pondération qui n’a bien entendu strictement aucune signification d’un point de vue juridique.

Aux termes de cette loi, la production et la vente de « cyber-attaque » (y compris des logiciels de cassage de mot de passe) sont passibles de poursuites. Le but évident est d’entraver le développement de toute entreprise privée d’écriture d’outils de test de pénétration et d’en interdire l’usage. Ce qui exposera encore plus les entreprises Européennes aux attaques distantes perpétrées par des réseaux mafieux ou des entités nationales impliquées dans des opérations d’intelligence économique. Le pentesting, qu’il soit artisanal (car toutes les PME ne peuvent s’offrir le luxe et l’attention toute particulière des fonctionnaires de l’Anssi) ou professionnel, ainsi que le développement de certains métiers de la sécurité sont donc condamnés à terme. Font également partie des choses condamnables l’IP spoofing (l’usage de Tor ou d’un vpn en font donc nécessairement partie). Le parlement étend d’ailleurs au niveau de l’entreprise le « délit d’incompétence technique » inventé pour Hadopi, en cas de cyber-méfait commis par un intrus qui se serait infiltré sur le réseau de ladite entreprise. Ces dispositions, précise avec un cynisme le communiqué, sont dictées par les précédents des attaques qui ont visé l’Estonie en 2007, la Lituanie en 2008, et le secteur IT de structures publiques et privées dans plus de 103 pays en mars 2009. Dans les trois cas, l’attaque ne provenait pas de l’intérieur des frontières de l’Europe, aucune puissance du concert Européen n’a été capable de déterminer avec précision et certitude l’origine de ces attaques (donc de poursuivre les éventuels « spoofeurs » d’adresses IP) et ont clairement mis en évidence la carence des administrations Européennes ainsi que du secteur privé en matière d’audit et de contrôle des protections périmétriques et des filtrages au niveau des infrastructures nationales.

Le site de l’EFF vient de mettre en ligne une page animée expliquant, littéralement en deux « clics souris », ce que peuvent « voir » les points de possible contrôle tout au long d’une liaison IP. Il s’agit bien entendu d’une vision « simplifiée », qui part du principe que le serveur comme le poste client et les nœuds Tor sont sains et dépourvus de toute vulnérabilité. Doit être pris en compte également le fait qu’une liaison Tor, dans certains pays, est à elle seule considérée comme une activité suspecte ou condamnable. La sécurité des flux n’est pas toujours synonyme de sécurité de l’usager… mais c’est déjà un premier pas.

Chez Microsoft, deux vulnérabilités référencées MS12-026 et 028 sont, de l’avis de beaucoup d’experts, à colmater rapidement. Et malgré une quasi absence d’exploitation connue « dans la nature » (exception faite de la MS12-027 qui serait sporadiquement utilisée), ce bulletin est tout de même tâché de rouge vif. De Black Tuesday, on passe au Red Tuesday comptant donc 6 rustines et 11 vulnérabilités. Le rapport rustine/trou le plus élevé est détenu une fois de plus par le célèbre cumulatif I.E. (MS12-023) qui accapare 5 CVE à lui tout seul. Pourtant, aucun « Patch Now ! » péremptoire ne vient entacher l’écho que le Sans rédige chaque mois sur ce sujet.

De ces petits trous Microsoft sautons dans un trou Flash un peu plus gros, immatriculé CVE-2012-0769 et corrigé par Adobe comme en témoigne le bulletin 12-05. Une méthode d’exploitation (par évitement ASLR) a été envisagée par Fermin Serna du Google Security Team, code source à l’appui et PoC sur demande.

Reader et Acrobat sont également affectés par 4 autres vulnérabilités corrigées