Archives

Les bons correctifs sont comme les huîtres dans les mois en « R » : c’est par douzaines qu’ils se consomment. Et Microsoft est généreux cette fois, avec une grosse bourriche de 4 douzaines de CVE, dont une faille exploitable dans I.E. et un lot assez fourni de rustines pour 2008 Server. Dans la masse de bouchons l’on trouve les fichiers de mise à niveau de Flash Player.

Précisément, chez Adobe, c’est un tout petit peu plus de 5 douzaines de trous (62 très exactement) que l’on bouche d’un coup. La vie sans flash est plus reposante aux yeux des responsables de déploiement.

La clôture des derniers forums Compuserve est annoncée pour le 15 décembre prochain… Cette évolution de « La Source » (que Compuserve achète en 89), fut successivement absorbée par AOL, puis Oath, puis Verizon nous rappelle cet article de Fast Company. Le service « Compu », c’était l’époque des tous premiers modems 300 bauds, des machines sous CP/M et PC-DOS, des « tricks » que l’on n’appelait pas encore « hacking », des Bulletin Board Service (alias BBS) comme Suptel, OUF, Gufi, le tout dominé par un impressionnant empilement de systèmes et de protocoles propriétaires, tous, cela va sans dire, exempts de virus ou presque faute de véritable moyen de propagation. IP n’était connu que d’une infime frange de nerds lisant Phil Karn dans le texte, Bdale Garbee en traduction proto-technoïde, et les communications étaient facturées au temps et à la distance…

En France, les geeks se réunissaient dans les Microtel Club, les Uber-geek dans les caves de Suptel, les Uber-Super-geek dans les salles informatiques de Renater ou les pizzérias d’Orsay et de Créteil. Une carte réseau Arcnet coûtait 400 francs, un stack tcp/ip pratiquement le double, et un raccordement à un point de présence et l’acquisition d’un nom de domaine plus de 3000 F l’an. Tarif hors facturation du volume échangé, mais incluant une cotisation AFUU. CompuServe, avec ses CD « période d’essais gratuite » diffusés par brassées dans les allées des Comdex et Sicob, entrebâillait de manière plus économique la porte des autoroutes de l’information. Ceux qui en ont emprunté les premières bretelles d’accès sont aujourd’hui proche de l’âge de la retraite.

Tout commence comme une fable de La Fontaine :

Facebook un jour dit au « likers »
« Donnez moi aujourd’hui vos photos très osées
Que les élans d’amour ont fait accumuler.
Je saurais les bloquer, les bannir, les trouver
Si d’aventure votre « ex » venait à les poster ».
… en oubliant de préciser qu’une telle proposition défie elle aussi les règles du bon sens.

En premier lieu, aussi perfectionnés que soient les algorithmes Facebookiens, ils ne pourront jamais détecter autre chose que la photographie communiquée… et non celles prises sous un autre angle ou prise à l’insu de la victime potentielle.

Par ailleurs, rien ne vient garantir que ladite photographie, une fois stockée dans les archives de Monsieur Zuckerberg, ne viendrait pas faire l’objet d’une fuite de données à la mode Yahoo, Equifax ou Deloitte. Car même Facebook n’est pas à l’abri de ce genre d’accident.

Pourrait-on alors imaginer que les administrateurs du temple de l’égotisme mondial confient alors aux utilisateurs un outil capable de digérer ladite photo et n’en délivrer publiquement qu’une « somme de contrôle » spécifique ? Le plus « salé » des clichés perd beaucoup de son érotisme s’il se présente sous la forme d’un condensat, lui-même « salé » on peut l’imaginer. Un condensat qui servirait ensuite à l’opérateur dans la détection d’une éventuelle publication.

L’on échafaude alors tous les abus possibles. Car en l’absence de contrôle du document original, rien n’interdirait alors que des envieux cherchent, à coup d’hermétiques checksum, à déclencher une censure automatique des clichés de la Tour Eifel, du mari de Madame Trompe ou de « l’origine du monde » de Gustave Courbet. Raison pour laquelle de condensat, Facebook point ne veut… seulement l’original qui sera dûment contemplé et approuvé par un comité formé spécialement dans l’analyse des iconographies intimes et compromettantes. Cachons ce sein que nous ne saurions voir… après concertation et mûre contemplation.

… a moins que cette fable loufoque n’ait été écrite que dans le but de lancer, à peu de frais, une campagne de publicité. C’est ça aussi, la vie des réseaux sociaux.

Ce 29 novembre, dans le cadre du campus Sophia Tech de Sophia Antipolis, se déroulera le premier «concours de hack » totalement consacré aux objets de l’Internet. Accès libre (après inscription) et gratuit dans la limite des places disponibles, les participants sont conviés à apporter, outre leurs ordinateurs, câbles Ethernet, désassembleurs divers et autres Kalineries, des outils un peu plus spécifiques. L’annonce précisant même « Ubertooth, Bluetooth dongle, USB cables, multimeter, SD card adapters… » Quelques SDR ne seront pas de trop, et, pourquoi pas, un fer à souder, du fil à wrapper et quelques GoodFET histoire de conter fleurette aux Jtag.

Certes, Ph0wn n’est encore qu’un CTF. Mais la place croissante que prend l’IoT dans la vie numérique quotidienne, l’évolution de son encadrement légal (notamment Outre Atlantique) et ses exploitations parfois spectaculaires (Mirai …) en font un sujet qui mériterait bien la création d’un IoTCon Européen.

Equifax, l’entreprise qui « profile » les demandeurs de prêts bancaires et dont la confidentialité des données s’est avérée très relative, continue de faire les grands titres de quelques publications. Chez TechTarget, l’on apprend que le CEO ne sait toujours pas si, depuis le piratage de ses serveurs, les données de ses dossiers contenant des données à caractère personnel sont chiffrées ou non. Ce à quoi le CEO Paulino do Rego Barros Jr, pressé de questions par une commission d’enquête Sénatoriale, a répondu par un rassurant « pour l’instant, je l’ignore ».

Security Ledger, pour sa part, titre sur les quelques 87 millions de dollars qu’aurait coûté (jusqu’à présent), cette fuite massive de données. Information fournie au fil du formulaire 8K présenté à la SEC, la commission des opérations en bourse US.

Ce n’est là, continuent nos confrères, qu’une estimation provisoire. Le trou financier pourrait bien varier entre 56 et 110 millions de dollars de pertes.

Cette hypothèse haute est tout à fait plausible. Plus de 240 actions en nom collectif ont été intentées contre le « data brocker » titre Bloomberg.

Bruce Schneier, pour sa part, publie le témoignage (à charge) qu’il a fourni devant le comité de la « House Energy and Commerce ». Plaidoyer concluant à l’entière responsabilité d’Equifax dans cette affaire, et la nécessité d’un encadrement plus strict des entreprises faisant commerce des données à caractère personnel.

Plus de 40 000 articles et notes de blogs relatant une prétendue série de hacks organisée par le Department of Homeland Security et visant un avion de ligne Boeing 757. 40 000 mentions mais très peu de doutes soulevés, y compris par nos confrères de la presse spécialisée.

« Prétendue série de hacks», puisque strictement aucune information technique ne vient étayer ces affirmations, et rien non plus ne vient définir ces « hacks ». Car, de l’intrusion à la fuite d’information, de la simple lecture d’un bus de données à l’injection de commande pouvant expédier un avion au « tapis », il existe une foultitude de possibilités et de criticité. Tout au plus sait-on que cette campagne de pentesting visait un aéronef techniquement ancien, et que l’ensemble des tests ont reposé sur des vulnérabilités des systèmes radio. Le reste n’est que peur, incertitude, doute.

Le 757 est un avion de transport des années 80. Sa production a cessé en 2004, et la grande majorité des équipements de contrôle de vol et de communication, à quelques « retrofits » près, datent de cette époque. Epoque à laquelle l’usage des systèmes d’analyse radio (les SDR, ou radios logicielles) n’étaient l’apanage que d’un très faible nombre de personnes : militaires, scientifiques, quelques chercheurs dans les laboratoires des opérateurs…

Il faudra attendre 2012 et le « hack Realtek » du groupe Osmocom pour que l’écoute radio large bande, l’analyse des signaux et des types de modulation et le fuzzing appliqué aux équipements électromagnétiques deviennent à la mode dans le milieu hacker… et encore, très timidement. A cet époque, une grande majorité des systèmes d’aide à la navigation installés sur le 757 avaient déjà 20 ans. Réalisé en 2016, le pentesting du DHS s’attaquait donc à un véhicule vieux de plus de 35 ans. Authentifications des périphériques d’avionique quasiment inexistantes, protocoles simples et non chiffrés, électronique embarquée dont on exigeait plus une fiabilité de fonctionnement qu’une sécurité des données traitées, apparition de technologies naissantes et devant faire leurs preuves dans le domaine des transmissions de commandes… autant de « low hanging fruits » de la SSI assez simples à cueillir avec les outils du XXIème siècle.

Un autre « non-dit » vient entourer le « fud » qui recouvre ce hack légendaire (au sens premier du terme) : avec quels équipements, à quelle distance, avec quelle puissance ces tests ont-ils été menés ? Car il existe une légère différence entre un hacking « en chambre », calmement piloté depuis un bureau situé dans un périmètre de 10 à 50 mètres autour de l’appareil, et un véritable « remote » visant un appareil volant à 30 000 pieds à une vitesse de 400 nœuds. Même en phase critique de décollage ou atterrissage, l’environnement électromagnétique d’un aéroport rend toute discrimination (et ciblage précis) excessivement compliqué. Que celui qui ne s’est jamais perdu dans le filtrage d’une avalanche de transformées de Fourier nous jette le premier Tchebychev.

Tout cela ne veut pas nécessairement dire que l’opération de propagande du DHS soit vaine. Elle vise prioritairement à systématiser l’intégration d’un « owasp de l’informatique embarquée » de l’aviation civile, qui ne dépende pas seulement des constructeurs et équipementiers, comme c’est le cas encore de nos jours dans le secteur automobile. Et ce, malgré un culte de la sécurité et les efforts permanents qui sont le propre de tous les fabricants de machines volantes.

Netcraft annonce la disponibilité d’une nouvelle version de son utilitaire (gratuit) d’antiphishing pour le navigateur Firefox

La mode est aux failles expansives, qui provoquent en général plus de dégâts internes après l’impact. Yahoo, dans un effort surhumain, est parvenu à transformer la « fuite d’informations la plus importante de l’histoire d’Internet » de 2013 (un milliard de comptes dans la nature) en quelque chose d’encore plus inimaginable, avec un bilan (provisoire ?) s’élevant à 3 milliards d’enregistrements « fuités ». Au-delà d’une certaine taille, un trou dont on ne distingue plus les limites est-il encore un trou ? La reprise de Yahoo par Verizon pèse chaque jour un peu plus dans le bilan sinon comptable, du moins moral de l’entreprise.

Deloitte, pour sa part joue la politique des petits pas … Après avoir assuré ses clients que « seuls quelques comptes email, 5 ou 6 tout au plus, auraient fait l’objet d’un vol de données », nos confrères du Guardian assurent que le sinistre touche au bas mot 350 comptes… pour l’instant. Et qu’aux nombres de ceux-ci, seraient concernés 4 ministères des Etats Unis (DHS, Défense, Energie, Affaires Etrangères), l’ONU et quelques grandes multinationales, dont USPS et Fannie Mae, le géant US des prêts hypothécaires.

Peut-on imaginer qu’un intrus parvenu, avec des droits « administrateur », jusqu’au système de messagerie d’une entreprise aussi tentaculaire que Deloitte n’ait point cherché à ratisser plus large ? Pour l’heure, point de communiqué en provenance de l’entreprise afin de rassurer la multitude de clients arguant, par exemple, d’un cloisonnement des différents comptes de messagerie…

Point de nouvelles également de la part des branches « InfoSec » de Deloitte, pourtant qualifiées de ténors du milieu, à même de rasséréner les clients au travers d’avis peut-être plus techniques sur les fuites.

Equifax aussi fait des efforts, puisque des quelques 400 000 identités Britanniques soutirées que révélaient le Register, on frise désormais les 700 000 constate Brian Krebs. Les détails des données volées forment une véritable panoplie pour spécialistes du phishing ciblé et le vol d’identité direct (tantôt l’adresse email, tantôt leur numéro de permis de conduire, tantôt leur numéro de téléphone, et parfois même un éventail de données regroupant le nom d’utilisateur, le mot de passe, la question secrète de confirmation d’identité, la réponse à ladite question secrète et des données partielles de la carte de crédit).

La presse US se déchaîne littéralement depuis que le Wall Street Journal a publié les confidences d’un « correspondant anonyme » semblant émaner de la NSA, et tendant à prouver (sans réelles preuves) l’implication de l’antivirus Russe dans une opération de vol de données confidentielles détenues par l’agence de renseignements US.

Il n’y a pas 4 ans l’affaire Snowden révélait à quel point la confidentialité des données de la NSA ne tenait qu’à un fil, celui de la probité de ses « sous-traitants » tels que Booz-Allen Hamilton. Et voici qu’une nouvelle fois l’employé d’un de ces sous-traitants dérobe des informations « hautement classifiées » des serveurs de la « No Such Agency » et les copie sur un ordinateur personnel (Russian government stole details of how the U.S. penetrates foreign computer networks and defends against cyberattacks after a National Security Agency contractor removed the highly classified material and put it on his home computer). Que, par la suite, les services de la Loubianka profitent de l’aubaine, avec ou sans le secours de failles découvertes dans les logiciels Kaspersky, et récupère au passage lesdites informations fait partie de l’éternel jeu auxquels se livrent les barbouzes des deux blocs depuis près d’un siècle.

Ce qui, en revanche, ne semble plus du tout émouvoir ni le WSJ, ni l’agence Reuter ni les dizaines de grands médias nationaux US qui ont repris l’information, c’est l’origine de la fuite. Après les 3 milliards d’identités évaporées de Yahoo, le trou croissant de Deloitte, le précipice sans fond d’Equifax, les Etats-Unis semblent accepter avec stoïcisme les saignées numériques provoquées par les sous-traitants indélicats et l’incapacité de la NSA à conserver le moindre secret en raison de sa taille tentaculaire et son recours systématique à des entreprises extérieures. Kaspersky est une victime expiatoire bien pratique servant à mal camoufler un dysfonctionnement endémique des rouages les plus secrets de l’Etat Fédéral. A tel point que le responsable de cette situation, qui, 3 ou 5 ans plus tôt aurait fini ses jours derrière les grilles de Guantanamo, voit son identité jalousement protégée par ceux-là mêmes qui souffrent des conséquences de ses impérities.

Pour Eugène Kaspersky, le seul tort, et il est de taille, aura été de se faire remarquer au mauvais moment, en déclenchant un triple procès en concurrence déloyale visant notamment Microsoft. Un pas de clerc très peu diplomatique et aux conséquences prévisibles. Pour tenter de calmer les esprits, le patron fait front avec bravoure et réitère sa proposition d’audit de code. Un audit qui prouvera, explique-t-il, l’absence de portes dérobées estampillées ou non par le KGB et ses successeurs.

Suggestion immédiatement taclée par au moins un de ses concurrents US, le Directeur Exécutif de Symantec. Celui-ci vitupère et explique que l’analyse de ses codes-sources « compromettrait la sécurité de ses produits ». Etrange affirmation de la part d’un ténor de la SSI… la sécurité par l’obscurantisme serait donc plus efficace qu’un algorithme mathématique.

Pendant ce temps, les « marchands de pépins et de waterproof numériques, se frottent les mains». Gadi Evron gazouille la photo d’une offre de la chaîne Office Depot qui propose d’échanger « gratuitement » les défenses périmétrique Kaspersky pour les remplacer par son pendant McAfee. Déjà, mi-septembre (bien avant les « révélations anonymes » de la NSA), ce même éditeur orchestrait une campagne publicitaire de « récupération de marché », témoigne Graham Clueley. Tandis que Kim Zetter s’insurgeait devant une autre campagne commerciale anti-Kaspersky, organisée cette fois par la chaîne de distribution Best Buy.

Rappelons que la crise d’espionite aigüe qui frappe les USA a été déclenchée par l’équipe Trump, invoquant de prétendues écoutes et tentatives d’influence du FSB au cours des dernières élections Présidentielles US. Si les preuves d’une manipulation brillent par leur absence, de lourds soupçons de contrôle massif de l’électorat par l’équipe du candidat Trump, et par Steve Bannon en particulier semblent se confirmer, témoigne notamment TV5 Monde.

C’est un petit « patch Tuesday »que ce mardi des rustines d’octobre 2017. Pas de trous déclarés chez Adobe, qui synchronise généralement ses bulletins avec ceux de Microsoft. Un Microsoft qui, ce mois-ci, abreuve ses usagers d’un lot de bouchons de taille moyenne. Une corruption de mémoire dans Office, une instabilité sérieuse dans le DNS, exploitable à distance, et surtout une possible attaque en dénis de service visant le support Linux bash sous Windows 10. Cette faille rappellera aux nostalgiques des toutes premières éditions de Windows NT les contournements de sécurité qu’autorisait déjà le support d’OS/2 et de la couche Posix.