Archives

Avast, Dr.Web, F-Secure, Ikarus et Kaspersky décrochent les premières places du tout dernier classement établi par le laboratoire de test Allemand AV-Test. Classement qui ne prend en compte que les antivirus destinés aux plateformes Android, toutes versions confondues (ICS y compris).Les taux de détection de signatures connues oscillent, selon les produits, entre « un peu plus de 90% » et… rien du tout. Il faut dire que les instabilités logicielles et les applications douteuses favorisées par un contrôle relativement… insouciant, sont la rançon de la richesse du catalogue Android. Une étude un peu plus ancienne, réalisée par ce même laboratoire AV-Test en décembre dernier laissait clairement entendre que seule la moitié des attaques existantes étaient bloquées par les antivirus pour appareils mobiles. Précisons également que les « virus » visant les terminaux mobiles (tablettes ou téléphones) couvrent un large spectre, allant de l’espioniciel à l’infection propagée par MMS, en passant par des ransomwares.

Si l’on considère la question d’un simple point de vue statistique, les attaques visant les appareils Android ne bénéficient pas, pour l’instant, d’astuces de propagation véritablement efficaces. Même si l’on peut estimer que la diffusion d’un vecteur d’infection via les marketplace constitue une faille majeure dans le monde des « Apps », il n’existe pas ou peu de médias de transmission « transversale » secondaire entre appareils mobiles. En outre, bon nombre de ces malwares sont littéralement « attachés » à une appliquette en particulier, laquelle sert essentiellement de moyen de transport primaire. Ce qui les rend plus dépendantes de ce type de code que ne l’était un polymorphe classique évoluant dans le monde Wintel. En d’autres termes, le danger existe, mais il est loin de posséder les mécanismes lui permettant d’atteindre le niveau de virulence des infections informatiques classiques, malgré un parc de machines vulnérable d’une importance considérable.
Sous un angle stratégique et d’entreprise, le problème est légèrement différent. Les moyens d’attaque existent, et peuvent même cibler une catégorie socio-professionnelle particulière. Une appliquette particulièrement séduisante (et particulièrement infectée) peut viser les administrateurs réseau, les amateurs de pêche à la mouche ou les anciens élèves de telle ou telle grande école : tout dépend de la catégorie dans laquelle ladite application est classée. Il est d’ailleurs peu probable que ces vecteurs d’attaque parviennent à être détectés et classifiés par les grands éditeurs d’A.V. compte tenu de la verticalité de ces vrais-fausses applications. Et c’est précisément en raison de ce risque, et de la difficulté de détection de ce genre de risque, que l’on commence à voir naître Outre Atlantique un mouvement de résistance « anti-BYOD ». Les outils de mobilité, oui, mais sous le contrôle permanent d’outil d’administration et de contrôle des applications installées, revendiquent ces administrateurs marchant à contre-courant.

Glané dans les archives de Cryptome, ces deux documents déclassifiés de la NSA datés de l’an passé et traitant du regain d’intérêt des espions pour les ondes courtes (3-30 MHz). Depuis la généralisation des modes numériques à haut débit, nécessairement confinés aux UHF et au-delà pour des raisons physiques, les états avaient quelque peu perdu de vue les fréquences basses, celles des « bande de base », des transmissions phoniques, des modulations numériques d’autrefois (télex, Tor ou FSK « lent »). Ces fréquences sont au monde de l’émission ce que le Basic Locomotive des ordinateurs familiaux Amstrad est aux développements modernes destinés aux QuadCores contemporains.

Mais la « HF »a encore de beaux jours devant elle. Moins coûteuse que ne le sont les procédés modernes, les ondes courtes, agrémentées d’un peu de chiffrement de codage, sont encore utilisées. Par les groupuscules armés par exemple, mais également par certaines armées. Le rapport insiste sur ce point et précise que, durant la guerre d’Irak, « HF provided more valuable intelligence than any other frequency band ». Tant d’un point de vue de l’analyse des contenus (messages) que de celui tout aussi efficace de la localisation des unités de l’adversaire. Car les « méchants d’en face » ne sont généralement pas dotés d’un smartphone connecté à un service Google. Quand les techniques de flicage intrusif des opérateurs télécom et des opérateurs de services échouent, il ne reste plus que les bonnes vieilles ficelles de la radiogoniométrie inventées dans les années 30 par Henri Gaston Busignies : la radiogoniométrie HF reste encore l’un des meilleurs moyens pour localiser une cible militaire mobile ou non.

Le document retrace également les recherches catastrophiques et vaines conduites par les ingénieurs atomistes Russes et Américains, qui cherchaient à détruire les couches hautes de la ionosphère dans le seul but de bloquer les transmissions ennemies. Las, c’est à partir de ce passage que les coupes sombres de la censure rendent ce document un peu moins palpitant. Censure s’étendant également sur l’ensemble des passages relatifs à la cryptologie appliqué au spectre HF. Pas même la moindre allusion au « number stations » du monde entier qui, depuis plus de 60 ans, occupent les ondes courtes et fournissent des informations chiffrées aux agents opérant à l’étranger.

Petit à petit, Dell consolide sa position sur le secteur de la sécurité. Cela avait commencé, à la surprise générale, avec la reprise de SecureWorks, peu de temps après que ce dernier ait à son tour absorbé l’équipe du Lurhq, longtemps considérée comme étant composée par les meilleurs décortiqueurs de malware de la côte Est des USA. Puis Dell a lorgné du côté du consulting sécurité, et s’est offert Perot System. Le secteur de la défense réseau s’est monté après le rachat de Network 10… et cette semaine, c’était au tour de Sonicwall, fabricant de firewalls de nouvelle génération et d’UTM.

La transaction est estimée aux environs de 1,2 milliard de dollars, précise un court article du WSJ.

Il aurait presque fait bailler d’ennui, ce mardi des rustines chez Microsoft, avec seulement 6 correctifs et 7 CVE et pas même un cumulatif Internet Explorer. Mais fort heureusement, dans le lot, se trouve un double trou affectant RDP, le protocole « Remote Desktop », celui-là même utilisé par Terminal Server et par l’outil de prise de contrôle administrative de Windows et de toute la famille Serveur de Microsoft. Une faille sans exploit connu, exploitable via le réseau local, voir depuis Internet via le port 3389 si la machine doit être télé-opérée pour des opérations de maintenance via Wan.

De l’avis même de tous les spécialistes, à commencer par le Sans, la probabilité d’exploitation dans les 30 jours à venir est quasi certaine. Ce qui vaut au trou MS12-020 une étiquette rouge et un « Patch Now ! » péremptoire. Il faut dire qu’il y a des raisons. La faille CVE-2012-0002 permettrait de contourner, en « ring 0 », les mécanismes d’authentification d’ouverture de session. Une fois dans la place, tout exploit « remote » devient quasi-local grâce à la magie de la redirection écran-clavier. Notons au passage que la console RDP est également utilisée pour accéder à des machines virtuelles sous hyper-V, mais personne n’a mentionné l’exploitabilité d’une telle configuration.

Comme à l’accoutumé, les correctifs sont décrits en détail sur le blog du MSRC.

Chez Apple, en revanche, la mise à jour de Safari de ce mois de mars constitue l’un des plus beaux « correctifs cumulatifs » de l’histoire de l’informatique. Même au meilleur de sa forme, Microsoft n’a, de mémoire de folliculaire de la sécurité, jamais égalé une telle performance : 83 CVE d’un coup, la majorité d’entre eux (72) concernant Webkit.

Insomnihack 2012 comme si vous y étiez, avec les résultats du CTF, une séquence vidéo prise par une équipe de télévision locale, le tout commenté par un participant célèbre, Bruno Kerouanton

Des cours de sécurité informatique et de cryptographie filmés à Berkeley ou à Stanford sont à récupérer (gratuitement) sur Coursera

Achevons avec le programme de Hackito Ergo Sum, la plus proche dans le temps des trois manifestations. Elle se tiendra du 12 au 14 avril et sera elle aussi entièrement animée en langue anglaise ( ndlc Note de la correctrice : et toujours gratuite pour les journalistes… c’est un métier pratique et économique). Elle aussi internationale, puisque l’on y rencontrera très certainement des Georg Wicherski, Fyodor Yarochkin (Veracode), Mikael Lindstrom(EUROPOL), Marc Van Hauser (THC, faut-il le présenter), Rodrigo Branco un habitué de HES, Mohamed Saher (Egypte), Daniel Mende et Enno Rey (ERNW), Cesar Cerrudo en chair et en os… le niveau des intervenants s’approche de celui d’un HITB ou d’un CanSecWest. Côté Français, seront présents Ivan Fontarensky et Jean-Michel Picod (Cassidian), Philippe Langlois (P1 Security), Matthieu Suiche (MoonSols), Jonathan Brossard (Toucan), ou encore Renaud Lifchitz, un autre pilier de HES (B.T.), sans oublier les équipes de Vupen, nos professionnels nationaux de l’Exploit, qui viennent d’ailleurs de remporter ces jours-ci le P0wn20wn en faisant un sort à Google Chrome en un temps record.

Nous reviendrons très bientôt sur l’organisation de Hackito, la seule manifestation de « hacking sécurité » se déroulant dans Paris intra-muros. Car il y en aura, des choses à raconter sur les thèmes et les fils conducteurs de ces séries de conférences, sur les « after » parfois aussi instructifs que les présentations, ainsi que sur les inévitables « rump », les inévitables concours de keylock picking et autres évènements moins convenus. Rappelons que cette conférence aura lieu dans la prestigieuse salle des congrès du Parti Communiste Français, Espace Niemeyer, place du Colonel Fabien.

Programme également du côté de Hack in Paris. Les différences avec les Sstic sont nombreuses. ( NdlC Note de la correctrice : déjà, on peut y aller en métro, et les journalistes ne payent pas leur droit d’entrée). Les conférences sont toutes effectuées en langue anglaise, tablant sur un public et des orateurs en provenance de l’Europe entière. Ce qui ne veut pas dire que les chercheurs Français soient exclus. Notons au passage une cession sur les attaques XML par Nicob. De grands noms y apparaissent : Winn Schwartau, Mikko Hypponen… Les sujets sont un peu plus orientés « préoccupations quotidiennes concernant monsieur toutlemonde » et un peu moins « reverse d’un jeu de composants utilisé aux USA ». L’on préfère également parler de hack Android, d’audit de sécurité IPv6 (si si, on y viendra un jour), de Scada car c’est à la mode, de Windows 7, Windows 8 (déjà !), Poscript… c’est moins glamour qu’un root de serveur BSD sécurisé mais « ça fait sens » pour l’homme du XXème siècle. Rappelons que Hack in Paris se déroulera du 18 au 22 juin, quelques jours après les Sstic.

Cas de conscience et dilemme cornélien au sein de la rédaction de Cnis-mag : devait-on ou non rédiger un article pour chaque conférence sécurité sous prétexte qu’elles se déroulent en France ? Simultanément, Hackito Ergo Sum, les vénérables Sstic, le gigantesque Hack in Paris multiplient leurs communiqués. La France Sécu bouge et montre à quel point cette profession est vivante.

Honneur aux Anciens, avec les Sstic, la plus ancienne réunion de spécialistes du genre, traditionnellement placée sous les hospices de l’armée en général (bien qu’il y ait plus de colonels et de commandants présents que bâtons étoilés) et du corps des transmissions en particulier. Le programme de cette année vient d’être publié, occasion de rappeler que la manifestation Rennaise se déroulera du 6 au 8 juin prochain… rappel de pure forme puisque les Sstic se jouent toujours quasiment à guichet fermé, les réservations se bouclant généralement en moins de 24 heures plusieurs mois à l’avance. C’est dire l’estime, voir le culte que vouent les spécialistes du métier envers cette grand-messe. Cette année, la provenance des « communicants » a tendance à se restreindre, une grande part des travaux portant la marque de l’Anssi. News0ft, sur son blog, fait remarquer que ces amours Anssilaires tirent un peu trop la couverture médiatique à eux. On ne peut totalement lui donner tort. Les Sstic sont la vitrine de la recherche Française, et ladite recherche tend à se concentrer un peu trop autour d’un pôle qui semble aimer autant l’information que les renseignements.

Les voies du seigneur sont pénétrables : Attaque en déni de service contre Vatican.va le 8 mars dernier, par des Anonymous présumés. L’organisation des télécoms Vaticane risque de devoir recourir aux méthodes traditionnelles des communications miraculeuses et autres voix Divines si ce genre de situation s’éternise.