Archives

Deux chercheurs de Checkpoint affirment avoir mis le doigt sur une vulnérabilité affectant Binder, l’outil de communication entre processus (IPC) des plateformes Android. Un exploit pourrait intercepter tout échange de cette manière. Recherche publiée durant la BH Europe

Dans un précédent article, Cnis-mag rapportait la position de l’ancienne Secrétaire d’Etat Hillary Clinton qui affirmait la quasi absence de pression de la part du Gouvernement Fédéral envers les grandes entreprises du secteur High-Tech. Lorsque l’on se souvient des affaires de salles d’écoute réservées aux services de renseignement que les principaux opérateurs télécom bâtissaient et équipaient aux frais de leurs abonnés, après que la planète entière ait pris connaissance des Powerpoint de présentation du réseau Prism, ce plaidoyer peut dénoter une franche obstination, voir un dogmatique certain.

Et l’actualité de prendre sa revanche dès le 9 septembre, avec cette procédure d’appel de Microsoft, confronté à la demande d’un juge exigeant la communication de données concernant un particulier, données… situées à l’étranger. Cet appel est à la fois une forme de résistance de la part des « grandes entreprises » (résistance d’autant plus importante que ces entreprises ont été plus ou moins impliquées dans le scandale Prism), et la preuve que, dans l’esprit de la justice US, les données d’entreprise US peuvent être réquisitionnées sans la moindre considération ni pour l’intégrité de l’entreprise « collaboratrice, ni surtout pour la souveraineté des Etats sur lesquels sont situés les sites d’hébergement desdites données. Pas d’Eurojuge au-delà de l’Atlantique, plus de commission rogatoire internationale… la belle vie du Far West, quoi. L’on savait que ce genre de pratique était déjà courant lorsqu’était invoqué le Patriot Act (lui-même dépendant de soupçons d’activité terroristes). Désormais un simple trafic de drogue justifie une cyber-réquisition.

Deux jours plus tard, le 11 septembre, date anniversaire du début de l’ère de la cybersurveillance totale, Ron Bell, l’avocat principal de Yahoo, fait son coming out et révèle qu’en 2007-2008, le gouvernement US, dans le cadre d’une instruction confidentielle et classifiée, a exigé des fournisseurs de services en ligne des informations sur leurs abonnés. Refus de la part de Yahoo, insistance du côté du gouvernement, qui assortit sa demande d’une astreinte de 250 000$ par jour de retard d’exécution, soit, sur un an, près du cinquième du chiffre d’affaires de l’entreprise. Devant l’obstination de Yahoo, la question est alors portée devant la Foreign Intelligence Surveillance Court (FISC), qui réaffirme le bon droit de la demande, oblige Yahoo à obtempérer et classifie l’affaire pour qu’aucune publicité ne vienne entraver le bon fonctionnement des écoutes de la NSA.

Cette mise au secret s’achevant en 2013, Yahoo a entrepris de demander l’ouverture publique du dossier, et obtenu la déclassification de 1500 pages… une partie importante demeurant confidentielle.

Pas de pression sur les grandes entreprises du secteur des nouvelles technologies ? Rappelons que Madame Clinton était Sénatrice de 2001 à 2009, Secrétaire d’Etat de décembre 2008 à 2013, et ne pouvait par conséquent pas avoir une parfaite connaissance du dossier.
Yahoo est probablement le premier d’une longue liste qui tentera de jouer les lanceurs d’alerte en se posant comme « victime » de l’autocratique NSA. Dans le très prévisible chœur des martyrs que quelques fournisseurs de services entonneront dans les mois à venir, certains auront des accents sincères, d’autres risquent d’être moins convaincants. Le patriotisme, dans le secteur des services numériques, n’est que rarement apprécié lorsque l’entreprise qui en fait état lorgne sur le marché international.

Une récente étude d’ABI prévoit que le volume d’affaires du marché Wearable devrait friser les 18 milliards de dollars d’ici 2019. Le mot wearable désigne les objets électroniques ou informatiques intégrés aux vêtements ou fournis sous forme d’accessoires. Cela va de la montre-télé-agenda-ordinateur en passant par les Google-glass, les bagues d’authentification/identification n’intégrant qu’un composant one wire de chiffrement/stockage ou les «ceintures-ordinateurs » qui équipent déjà certains travailleurs spécialisés (plongeurs, lignards, personnel militaire en terrain opérationnel etc.). Connectés ou non, ces équipements sont d’ores et déjà en cours de conception, conception elle-même déjà contrainte par des calendriers de mise sur le marché relativement drastiques. Ergo, l’on peut s’attendre à quelques concessions en matière de sécurité, de faille « by design », d’erreurs d’intégration, de problèmes de compatibilité ou d’adaptation avec les réseaux existants. Certains spécialistes du monde de la sécurité jouent déjà les Cassandre en nous promettant des réveils pénibles et des nervousse brèkdone dans la techno-fripe, des bugs de toquantes-Internet, des Bsod de smart-godasses, des rootages de cyber-binocles, des crashs de techno-costards et des plantages de software-defined-underwears. D’autres se frottent les mains en espérant des avalanches virales qui, prophétisent-ils, ne pourront être contrés que grâce à une nouvelle génération d’antivirus-firewall adaptés au monde du Wearable.

Certes, le monde de la téléphonie mobile (et de la défense périmétrique « mobile ») nous prouve qu’il n’est pas toujours nécessaire de réussir pour persévérer. Le smartphonisé contemporain se moque généralement du tiers comme du quart des spywares qui encombrent ses « apps » et se méfie des « ralentissements » (ou pire encore, des blocages) que pourrait provoquer un anti-virus pour appareils mobiles. Les journalistes que nous sommes attendent tout de même avec une certaine impatience le jour où ils pourront titrer « Une bande de hackers pirate 6 millions de boutons de Blue-Jeans et exige une rançon payable en bitcoins pour débloquer la situation » ou « Les hacktivistes du mouvement indépendantiste du bas-Larzac revendiquent le defacement de 25 millions de Google-glass qui n’affichent plus depuis deux mois que des tableaux de Puvis de Chavannes ». Les magasins Zara afficheront sur leurs cyber-chemisiers l’étiquette « protected by McAfee » ou « Kaspersky Inside », le port de chaussettes Ted Lapidus à mémoire de forme fera l’objet d’avenant au contrat de travail sous l’intitulé «BYOF (bring you own fumantes), restriction d’usage », et le Clusif publiera un nouveau « livrable » intitulé « Mehari, une réponse concrète à la gestion des déploiements de correctifs dans la garde-robe moderne. Chapitre 1 : les uniformes de la fonction publique ».

Adi Shamir, le S de RSA, l’homme qui fut l’un des premiers à casser le A5 des téléphones GSM, s’intéresse aux transmissions « sur l’air »*. En d’autres termes, aux moyens d’émission-réception optiques capables de franchir un périmètre donné, et ainsi faciliter la fuite de données provenant d’un ordinateur totalement isolé de tout réseau.

Pour ce faire, explique DataBreachToday, Shamir utilise une imprimante multifonctions, profitant du scanner à plat intégré, pour à la fois recevoir (via les capteurs ccd de l’appareil) et émettre (à l’aide de l’éclairage du système de numérisation) des contenus numériques. Les messages de commande sont envoyés par faisceau laser depuis l’extérieur du bâtiment si, d’aventure, l’imprimante se situe dans une pièce avec fenêtre. L’exfiltration des données, par le truchement de la lampe du scanner modulé en bande de base, est reçue par un capteur optique tout à fait classique, situé également à l’extérieur du bâtiment.

Le côté « hard bidouille » est indiscutablement amusant mais son exploitation dans la vraie vie reste peu probable. En premier lieu, si l’ordinateur est véritablement sensible au point de n’être connecté à aucun réseau, ni pour recevoir des informations, ni pour en émettre, il y a de grandes chances pour qu’il ne soit pas non plus situé dans une pièce visible de l’extérieur (les salles informatiques avec baie vitrée étant assez rares). S’ajoute également la question de l’injection du code nécessaire à la gestion des signaux optiques émis et reçus par l’imprimante… isolé du réseau, l’ordinateur-cible doit nécessairement être compromis durant un « accès console », à l’aide d’une technique genre « evil maid » ou assimilée. Dans cette hypothèse, un dongle radio discret camouflé dans le clavier, l’écran ou le boîtier principal, voir inséré sur un port d’E/S conventionnel, aura moins de chances d’être remarqué et ne sera guère plus compliqué à poser.

La discrétion très relative du procédé risque également de compromettre l’efficacité du hack. Si un laser dans le proche IR ou dans le bleu profond peut effectivement passer inaperçu, ce ne sera pas le cas lorsque le scanner émettra ses données en utilisant une lumière blanche dans une portion du spectre franchement visible. Enfin, si la distance entre le laser et l’imprimante dépasse, sans le moindre problème, les 2 ou 3 km, il n’en va pas de même pour les signaux optiques émis par la lampe du scanner. Sa lumière blanche non cohérente s’atténue bien plus rapidement qu’un rayon laser. Pour contourner ce problème, l’équipe d’Adi Shamir a dû utiliser un drone volant à proximité du bâtiment, chargé de récupérer et retransmettre par radio les données émises de l’intérieur. Côté discrétion, on peut mieux faire.

*ndlc Note de la Correctrice : non, ceci n’est pas une traduction de « air gap » mais une expression couramment utilisée dans le milieu des transmissions radio. Dans les années 20, on disait même « sur l’éther », ce qui était d’un romantisme achevé. Mais qui risquerait de nos jours de passer pour une incitation à la toxicomanie.

Contrairement aux Monthy Python, le fabricant de composants FTDI n’aime pas trop les Chinois. Du moins leurs imitations d’interface série/usb et parallèle/usb (famille FT232 et assimilés). En effet, ce composant quasi universel a été copié par plusieurs entreprises de l’Empire du milieu. Or, ces circuits intégrés se retrouvent aussi bien dans les câbles de liaison ordinateur-téléphone qu’à l’entrée de quasiment tous les appareils et équipements équipés d’une prise USB.

Lassé de ce piratage, FTDI a profité d’une mise à jour de Windows pour améliorer ses pilotes, et glisser dans leur code une fonction qui reprogramme l’identifiant produit USB (PID) des faux FT232. Tout ça sans tambour ni trompette, ce qui a plongé certains électroniciens dans un abîme de perplexité, si l’on en juge par les échanges du forum EEVblog.

L’ennui, c’est qu’il est très rare, pour les usagers, de connaître l’origine d’un boîtier SOIC moulé dans le plastique d’un connecteur de terminal mobile. Tout ce que constate l’utilisateur, c’est que tout dialogue entre son appareil et son ordinateur est devenu impossible. Ces batailles entre industriels ne le concernent pas.

Sont également touchés les ingénieurs, les électroniciens amateurs, les développeurs… lesquels se retrouvent avec des prototypes napalmisés par le pilote Windows, que l’outil de paramétrage VID/PID de FTDI ne parvient plus à reprogrammer. Pour eux, une seule solution : effectuer un nouveau changement de PID soit dans une VM contenant Windows XP, soit avec un poste supportant un XP natif, soit depuis une station Linux, trois plateformes qui ne sont pas du tout concernées par le nouveau killer-driver. Et penser à ne plus acheter à l’avenir ce genre de composant sur eBay.

Il est à parier que, dans les prochains jours, les fers à air chaud vont fonctionner plus que de coutume …

L’alerte CVE-2011-4862 est probablement la faille la plus amusante (ou consternante, selon les points de vue) que Cisco ait jamais demandé à ses usagers de colmater. Le trou de sécurité concerne le Cisco WSA Virtual appliance qui possède, activé par défaut, un serveur telnet

Le correctif nécessite une très longue pratique des systèmes Unix : désactiver telnet.

Ce ransomware pour mobiles, prévient AdaptativeMobile semble limité aux USA. Depuis peu, une variante du virus-ver Koler, qui fonctionne sur plateforme Android, se répand et bloque les terminaux infectés tant que la victime n’aura pas accepté de payer. L’infection se déroule en deux temps. En premier lieu, un SMS prévient la victime qu’un compte a été ouvert en son nom sur Dropbox, contenant des photos personnelles. Lesdites photos ne peuvent être visualisées que si l’on télécharge une appliquette spécifique (le ver en question). Une fois le programme téléchargé, l’infection verrouille le terminal, affiche une page prétendument émise par le FBI, page qui exige le règlement d’une amende.

Le procédé ne se différentie guère des autres ransomwares visant les ordinateurs de bureau : opération de phishing préalable incitant la future victime à télécharger elle-même le logiciel qui causera sa perte, puis chiffrement de l’appareil. Le blog de l’éditeur explique par le détail comment éliminer simplement ce programme indésirable qui, fort heureusement et contrairement aux ransomware sous Windows, ne chiffre strictement aucun fichier.

Tous les deux ans, le Clusif publie le résultat d’une enquête nationale portant sur les usages et tendances en matière de sécurité informatique en France. L’édition 2014 s’ouvre sur une série de points positifs, notamment une très nette augmentation du nombre de postes créés spécifiquement pour s’occuper de la sécurité des S.I. (62% vs 37% en 2008), même si, déplorent les analystes de l’enquête, ces RSSI sont encore majoritairement placés sous la tutelle des DSI, position qui ne peut pas toujours leur garantir une totale indépendance de jugement ou de liberté d’action.

Pour ce qui concerne les grandes tendances d’usage, peu de surprise : mobilité et cloudification. Ce qui, en revanche, ne semble pas marcher dans le « sens de l’histoire », c’est une résistance très nette à la « byodisation » et une trop grande confiance dans tout ce qui touche à l’externalisation. Si les appareils mobiles entrent en force dans l’entreprise (plus de 50 % des consultés utilisent des solutions de nomadisation), les appareils personnels sont de plus en plus interdits de séjour (38 % en 2008, 66% en 2014). Même réaction pour ce qui concerne l’usage des réseaux sociaux et des messageries instantanées. Interdits dans 70% des entreprises en 2012, 54% sont encore opposés à ce genre de pratique à notre époque. Mais il faut reconnaître que l’idée même d’identité numérique pouvant profiter à l’image de marque de l’entreprise, le travail de sensibilisation des collaborateurs quant à leur responsabilité et à la portée de leurs propos portent peu à peu leurs fruits.

Côté Cloud et externalisation, si les promesses d’économies à court terme semblent pousser de plus en plus les entreprise à externaliser leur S.I. (l’infogérance des S.I. concerne 44% des sondés, 9% en totalité et 35% partiellement). Mais, dans ce cas, précise le rapport du Clusif, « 32% ne mettent pas en place d’indicateurs de sécurité et 44% ne réalisent aucun audit sur cette infogérance (+11 points vs 2012) ! ». Le passage au cloud progresse à pas comptés, très comptés même, puisque malgré une progression 24% depuis 2012, seuls 38 % des personnes interrogées déclarent avoir sauté le pas.

En matière de sinistres, les pertes (26% à 39 %), les vols (19% à 37%) et les pannes d’origine interne (25% à 35 %) marquent une nette augmentation. La « faute » à la croissance du secteur de la mobilité ?

Hors du monde de l’entreprise, l’internaute Français voit également ses pratiques d’usage et de sécurité évoluer avec le temps. Les réseaux sans fil sont déployés dans 79% des cas (74% en 2012). Les 20 % de personnes n’utilisant pas les liaisons Wifi s’expliquent plus en raison d’un manque d’équipement que par crainte d’un piratage. 79% également emportent Internet en vacances, autrement dit « surfent » durant les périodes de congé (hot spot d’hôtel, cybercafés etc.). L’externalisation des ressources, et plus particulièrement l’usage des outils de stockage en ligne, touche 38% de la population interrogée (mais il serait peut-être délicat de s’interroger sur la nature des contenus stockés en général). Autre forte progression, les achats en ligne, une pratique adoptée par 91 % des usagers. Ces achats le sont généralement via des ordinateurs (89%), plus rarement à l’aide de plateformes mobiles genre smartphone (33%). 4 personnes sur 5 sont inscrits à des réseaux sociaux. Des chiffres qui expliquent, précise le rapport que « La vision du risque encouru pour les données augmente ainsi de 29% (2012) à 44% concernant les ordinateurs et de 30% (2012) à 42% concernant les smartphones ou tablettes ». Il faut dire que l’impact médiatique des révélations Snowden et autres révélations concernant d’importantes fuites de données (Adobe en octobre 2013, eBay en mai 2014) ont marqué les esprits. Reste que la pondération du risque est encore loin d’être parfaite. L’étude du Clusif précise par exemple qu’ Internet est « toujours vu comme un risque pour les mineurs (91% vs 84 en 2012, mais ‘seulement’ 65% pour les 15-17 ans…) ». La peur du pédopornographe, si souvent exploitée par les tenants d’une surveillance musclée des outils de communication porte également ses fruits. Mais que les raisons et motifs soient légitimes ou non, le résultat est là : la notion de risque et la recherche d’outils de protection ne sont plus de vagues notions. Les procédés de chiffrement de protocole sans fil sont quasi généralisés (grâce notamment aux configurations chiffrées par défaut) l’usage plus fréquent de couples identifiant/mot de passe en début de session n’est plus considéré comme une gêne et l’on mesure même une nette augmentation du nombre de personnes effectuant sauvegardes et duplication des données.
Un instantané de 118 pages sur l’état de la sécurité des S.I. dans l’industrie, les services médicaux et la sphère grand-public, un baromètre non biaisé du risque informatique Français .

L’U2F, pour Universal 2nd Factor, ou authentification à double facteur, serait, aux dires de Google un protocole miracle qui résoudrait d’un coup les problèmes d’usurpation d’identité numérique. Il faut dire qu’entre deux hack Target ou Staples, le couple login-mot de passe prend des allures de données publiques. Datalossdb estime qu’à la mi-2014, il s’est « perdu » près de 502 millions d’enregistrements, 57 % de ces fuites portant précisément sur des créances numériques identifiant/mot de passe. Il fallait donc voler au secours des internautes, et leur proposer un outil fiable et simple rendant plus complexe ces risques d’évaporation. C’est le Token à la portée de tous.

En ce milieu de semaine, Google, donc, annonce que son navigateur Chrome supporte le protocole U2F, déclaration conjointe avec celle du lancement de la Yubikey, clef USB chargée de générer le « mot de passe unique » nécessaire audit protocole. Google comme Yubico sont membres d’un consortium baptisé Fido Aliance, souhaitant normaliser et développer l’authentification à double facteur.

Pourtant, la formule risque de prendre difficilement. En premier lieu, en raison de l’image de marque sulfureuse de Google qui, dans l’inconscient collectif, joue le rôle de factotum de la NSA. C’est le « second effet Snowden » que traduisent bien les premiers commentaires rédigés sur le blog de l’éditeur. Apporter la moindre parcelle de confiance à un protocole promulgué par une entreprise dont le patron même affirmait que la vie privée était une anomalie, voilà qui a du piquant.

S’ajoute également une difficulté non négligeable, celle liée à l’adhésion au standard des grands acteurs d’Internet. A commencer par les banques, administrations, services publics, vendeurs en ligne… « one protocole to rule them all » ? Le slogan a de nombreuses fois été clamé, notamment par ce même Patron de Google, période Novell, où il rêvait d’un protocole de gestion des identités unique et planétaire. En ces temps-là, les DigitalMe s’affrontaient avec des projets Passport, et les alliances pour une identité numérique s’imaginaient régner un jour sur une population virtuelle comptée, pesée, divisée… et maîtrisée. Il n’en a rien été, car aucun gouvernement à l’époque n’a souhaité adopter ces initiatives par trop propriétaires et si coûteuses à gérer au quotidien. De nos jours, si l’on excepte bien entendu les services des membres du groupement Fido, peu d’administrateurs Web sont prêts à investir dans une nouvelle couche de sécurité, aussi simple soit elle. Même les sécurisations les plus élémentaires, telles que le salage des condensats de mots de passe stockés, ne sont que très rarement mises en œuvre. Alors, un mécanisme de « question-réponse » chiffré venant alourdir les procédures de connexion, tout ça est très peu probable.

Du côté du public, là encore, les probabilités d’adoption sont minces. Les habitudes d’usage prouvent que même les « coffres forts à mot de passe » genre PasswordSafe, outils pourtant minimalistes, ne sont utilisés que par des professionnels de la sécurité, et encore parle-t-on de ceux appartenant à la frange radicale la plus paranoïaque qui soit. Les études statistiques reposant sur les grands vols de mot de passe exposés sur Pastebin prouvent non seulement que les sésames complexes (lettres, chiffres, signes de ponctuation) sont très rarement utilisés, mais encore que le même mot de passe est systématiquement employé pour donner accès à plusieurs services. Certes, un « token » USB ou NFC pourrait résoudre cet aspect des choses, mais à deux conditions : qu’il soit adopté par la totalité des services en ligne (ce qui relève encore aujourd’hui de la science-fiction) et qu’il ne nécessite aucune opération supplémentaire de la part de l’abonné. Ergo, être logiquement invisible et physiquement intégré à l’ordinateur, au téléphone, à la tablette de l’internaute, ce qui n’est pas du tout le cas de la Clef U2F qui, pour répondre à ces contraintes, impliquerait des accords OEM entre entreprises parfois génétiquement incompatibles. La clef Google dans le prochain Surface Microsoft ? On peut rêver.

S’ajoute à ceci la méfiance croissante du public envers les outils techniques de sécurité annoncés comme prétendument absolus durant leur phase de lancement. Après la désillusion de l’antivirus omniscient et du firewall incontournable, même les armes Open Source les plus populaires se sont vues fragilisées. L’anonymat garanti par Tor reste très relatif (passerelles détenues par des services de renseignement de différentes nations, cookie poisonning, attaque des nœuds de routage, attaque par « time pattern » etc.). La protection des « services vpn payants », quant à elle, est une douce illusion frisant parfois l’escroquerie. Les services serveurs d’applications garanties confidentielles s’avèrent soit compromis par les collusions entre hébergeur et services d’espionnage (affaire Prism), soit, au moins, soumis à une scrutation attentive des métadonnées glanées au fil des flux en transit. Même les réseaux « étudiés pour » (ainsi Whisper) traqueraient leurs usagers en révélant leur position géographique, affirmait il y a peu le Guardian.

Dans l’ensemble, ces « révélations » sur ces failles sont une bonne chose. Elles inculquent un principe de « confiance sans illusion » que des années de sensibilisation ne sont toujours pas parvenues à faire entendre. Paradoxalement, c’est cette suspicion légitime, donc cette prise de conscience qu’en matière de sécurité, il n’est jamais prudent de mettre tous ses œufs dans le même panier et ses lettres de créances numériques dans le même protocole, qui entravera le développement du protocole Fido et de ses produits dérivés.

Staples, la grande chaîne de magasins spécialisés dans les fournitures de bureau, aurait été frappée par une infection virale (virus-ver ChangeUp) et aurait été victime de vol d’identités bancaires. Pour l’heure, la direction de l’entreprise ne souffle mot de ce problème qui semble limité au territoire nord-américain. Plusieurs médias, dont CRN, Brian Krebs, l’agence Reuter relatent les faits sans parvenir à décrocher la moindre information sérieuse quant à l’envergure du sinistre.

A l’heure actuelle, l’on peut dire sans trop se tromper que la majorité des grandes chaînes de distribution US et/ou Canadiennes ont été victimes d’une attaque dont le résultat a été couronné de succès… au profit des pirates. Les attaques, depuis quelques mois, voient leur fréquence (ou leur découverte) rapidement augmenter, au rythme de une par semaine environ. Ont récemment fait l’objet de cyber-pénétrations les sociétés Neimann Marcus, Home Depot, Dairy Queen, Target et Michael Store pour ne citer que les plus connues. En Europe, et tout particulièrement en France, ces attaques sont à l’image des compromissions du système bancaire et des fraudes aux payements en ligne : cela n’existe pas, cela n’est jamais arrivé, cela n’arrivera jamais.