Archives

« Brusque montée du nombre d’attaques visant les distributeurs de billets » titre Brian Krebs qui interviewe Owen Wild, directeur marketing chez NCR. Il est vrai que depuis la publication des billets de blog de F-Secure et Kaspersky, l’on serait tenté d’y voir une nouvelle tendance de la cyberdélinquance.

Il reste cependant que toutes les sources d’informations convergent vers un unique point : NCR. Et probablement un unique bug, dont l’exploitation paraît faire école dans les milieux du développement de malware. Faille unique, source d’information unique, surmédiatisation conjoncturelle d’autant plus importante que les vendeurs d’antivirus y voient probablement là un espoir de débouché commercial, phénomène relativement récent avec trop peu de recul historique pour en dégager une véritable tendance, cela fait beaucoup pour que l’on puisse en conclure quoi que ce soit.

Le porte-parole de NCR reconnaît tout de même que d’ancien modèle de type « Persona » sont vulnérables, et que ces appareils représentent près de la moitié de la base installée.

Perserec a publié il y a fort longtemps (en 2005, alors que le raz de marée Snowden était encore en gestation) un mémento intitulé Tendances technologiques, sociales et économiques qui accroissent la vulnérabilité des USA vis-à-vis des espions de l’intérieur. Et de plonger dans la longue tradition anglo-américaine d’agents retournés, de taupes, de traîtres et de balances à la solde des « camarades » du Guépéou.

La typologie des taupes et les origines des fuites, Perserec les a parfaitement définies. Un Internet qui accélère la diffusion et l’accès à l’information, même parfois confidentielle, des méthodes d’analyse et de recoupement plus rapides, une « internationalisation » des sciences qui entraîne à la fois une compétition inter-états et le désir de quelques idéalistes de voir s’instaurer un « équilibre des forces en présence », quitte à jouer contre les intérêts de son propre pays. Entrent également en ligne de compte le pouvoir de l’argent facile, la multiplication des personnes (employés Fédéraux, contractants etc.) à partager un secret, la diversité ethnique des citoyens US qui conservent un attachement certain à leur mère patrie, l’addiction aux jeux de hasard et aux pertes financières qu’elles entraînent, facilitant le travail de compromission des « sources »…

Il y a là une sorte de mémento prémonitoire qui, à la lumière des affaires Rosenberg, Robert Hanssen, Aldrich Ames, Jonathan Pollard ou Ana Montes, éclairent les agissements d’Edward Snowden. Fataliste, le rapport laisse clairement entendre que la « taupe » est le fruit de la société Américaine dans son ensemble, de la situation géopolitique des USA dans le monde, et que la conséquence des activités desdites taupes ne peut être que proportionnelle au développement des nouvelles technologies.

Les prochaines Sstic se dérouleront comme d’habitude à Rennes, les 3, 4 et 5 juin 2015. Dans huit mois donc, ce qui ne laisse plus beaucoup de temps pour parfaire la Communication Absolue qui fera de l’impétrant conférencier un chercheur auréolé de gloire médiatique et twiteresque. Comme d’habitude également, le calendrier des « rendus de copie » est strict : Soumissions closes le 26 janvier, notifications attendues pour le 2 mars et versions finales arrêtées pour le 10 avril. Format libre, soumissions en langue anglaise acceptées, présentation limitée à 15, 30 ou 45 minutes maximum, le laps de temps étant décidé par le Comité de programme. L’usage de Latex pour la présentation finale n’est plus obligatoire mais vivement conseillé, histoire de pouvoir bénéficier de la mise en page quasi chirurgicale imposée par le « template » officiel.

Plus préoccupant qu’un ver de sable, successeur de Heartbleed et de Shellshock en moins terrible cependant, Poodle (Padding Oracle On Downgraded Legacy Encryption) est une faille SSL v3 (déchiffrement du contenu d’une communication protégée par un mécanisme déjà ancien) affectant le poste client. Son exploitation nécessite une attaque «par l’homme du milieu», autrement dit soit une interception de flux par un serveur intermédiaire : physique si l’attaquant est dans les petits papiers d’un opérateur ou maître d’un hot spot Wifi compromis, virtuelle s’il a déjà détourné avec succès le routage IP de la victime. Le jeu, pour l’attaquant, consiste à convaincre le poste de la victime de « dégrader » le niveau de sécurité TLS et d’adopter l’antique SSLv3, toujours disponible dans la quasi-totalité des applications de communication mais vulnérable à des attaques en répétition/modification du texte chiffré. L’attaque la plus probable, expliquent les inventeurs du défaut, est le déchiffrement des cookies d’une session. Une fois le contenu « ouvert », l’attaquant peut prendre la place de l’usager sans qu’il lui soit nécessaire de connaître son mot de passe.

Les trois chercheurs à l’origine de cette découverte de vulnérabilité conseillent urgemment de désactiver SSLv3. Conseil également répercuté par la quasi-totalité des éditeurs de logiciels et de systèmes d’exploitation. La chose risque d’être compliquée à réaliser pour ce qui concerne les SSL actifs sur des équipements de commutation, routeurs domestiques etc., les appliances et périphériques réseau étant généralement moins bien maintenus et mis à jour que les ordinateurs (principalement en raison de l’absence d’automatismes de correction). Dans cette catégorie, Cisco a été l’un des premiers à réagir. Cependant, en termes de complexité d’exploitation, le trou Poodle reste très modestement en deçà de Shellshock.

Il est important de noter que Poodle, CVE-2014-3566, n’est qu’une vulnérabilité parmi 4 autres, portant les références CVE-2014-3513 et 3567 (fuite de mémoire, déni de service possible) sans oublier une CVE-2014-3568 sur laquelle aucun détail n’a été communiqué. OpenSSL publie une série de versions revues et corrigées portant les numéros de version 1.0.1j, 1.0.0o et 0.9.8zc.

Le patron du FBI James Comey vent debout contre les nouvelles politiques de chiffrement systématique et non biaisées d’Apple et de Google, ce n’est pas nouveau. Mais cet incessant leitmotiv dans les discours du premier flic des Etats-Unis commence à prendre une teinte de « politique générale » et utilise de plus en plus des ficelles de manipulation de masse que l’on n’avait plus entendu depuis la période Jo McCarthy et la chasse aux sorcières. Et le Register de rapporter « nous ne voulons pas utiliser de « porte dérobée », mais avoir un plein et légitime accès « par la grande porte », avec clarté et transparence, dans le cadre de procédures légales ». C’est un appel direct à l’instauration d’un mécanisme normalisé d’écoute directe, une disparition totale de la confidentialité de la correspondance privée. Si, comme le font remarquer nos confrères du Reg, Comey oublie de mentionner de quelle manière ces « grandes portes » demeureront fermées face aux assauts des pirates de tous bords (NSA y comprise) il fait preuve également d’une totale amnésie sélective quant à l’usage intensif des métadonnées accompagnant lesdites communications et qui, lui, n’a jamais cessé et n’est pas impacté par les politiques de chiffrement des éditeurs. Ce que demande Comey n’est ni plus ni moins la reconnaissance d’une sorte de droit systématique à l’écoute.

Robert Graham d’Errata Sec, que l’on peut difficilement taxer de dangereux gauchiste démocrate, reprend les tournures de phrase du patron du FBI pour mieux en déconstruire les mécanismes et faire apparaître les fondements extrémistes de ce double langage. Comme certains Premiers Policiers de France il n’y a pas si longtemps, les ficelles sont les mêmes : terroristes, protection de l’enfance, respect de la loi, dangers des idéalistes à la sauce Snowden, défense de la Liberté (au singulier, et non pas des libertés, ce qui sous-entend peut-être une seule et unique conception de la liberté). Le tout pour enfin conclure « règlementer ce far-west qu’est le milieu… des opérateurs téléphoniques ». Car conspuer Internet, même James Comey l’a compris : c’est dangereux pour l’image de marque. Tandis que tirer à bout portant sur un quarteron d’entreprises ultra-bénéficiaires, voilà qui a peu de chances de provoquer ni des descentes d’Indignés dans la rue, ni de victimiser des patrons qui font rouler limousine et appartiennent au club fermé des « public » cotées aux Nasdaq ou au Nyse. De cette manière, très peu de personnes se sentant directement concernées, une telle proposition de loi (car c’est là l’objet de cette campagne) a de très grande chance d’être approuvée dans l’opinion publique. Et ce genre de « paquet télécom » à l’Américaine aura sans aucun doute, s’il est un jour approuvé, des conséquences incalculables sur la confidentialité déjà bien compromise des communications en Europe.

Ah ! L’odeur du goudron sur les quais d’Odessa ! Le vent du large, et surtout son empereur du piratage de comptes en banques, Rescator, qui, à lui seul, a alimenté les bourses d’échange mafieuses avec plus de 5 millions de numéros et identités de comptes subtilisés des archives de Target. C’est du moins ce qu’estime Group-IB, société de services Russe dans le domaine de la sécurité NTIC. La place de marché en question qui a servi à vendre ces comptes dérobés est plus connue sous ne nom de Swiped. Ses administrateurs et usagers se méfient tellement des banques et des monnaies nationales que 80 % des payements se font en monnaie virtuelle Bitcoin. De manière générale, estime l’étude de Group-IB, le marché du carding s’élève à 680 millions de dollars

Les transactions frauduleuses et les vols de comptes ne sont qu’un aspect du cyber-brigandage. Les attaques de distributeurs de billets, tant par les techniques de skimming, d’infection de DAB se portent bien, et ont atteint, estiment les rédacteurs de l’étude, à près de 1,25 million de dollars. Le montant total de la fraude visant le secteur bancaire, estimé à 615 millions de dollars en 2012, est passé à 425 millions de dollars en 2014. Toujours selon cette étude de Group-IB, sur un marché comptant près de 10 000 vendeurs spécialisés dans le faux (pharmaceutique, logiciel et matériel), le chiffre d’affaires des filières mafieuses du spam se situe aux alentours de 841 millions de dollars.

De son petit nom CVE-2014-3704, cette faille Drupal présente un risque très élevé. L’alerte précise « Full SQL Injection », attaque distante pouvant donner un accès complet à l’ensemble du site Web, précise l’inventeur de la vulnérabilité, Stefan Horst de SektionEins, spécialiste Allemand de la sécurité des architectures Web. Paradoxalement, le défaut se trouve dans l’API chargée de vérifier la conformité des requêtes afin d’éviter des … attaques par injection SQL.

Il est donc recommandé d’effectuer le plus rapidement possible la mise à niveau du CMS en version 7.32, les dernières éditions étant corrigées.

Oui, le bug Packager.dll /OLE/CVE-2014-4114/Sandworm est effectivement corrigé par la rustine MS14-060. Déception. Malgré l’impressionnante campagne médiatique qui a entouré la révélation de cette faille, le défaut n’est qualifié que d’important.

Critique,en revanche et comme d’habitude, le cumulatif Internet Explorer MS14-056 qui étanchéise à lui seul 14 fuites, 14 références CVE. Exécutions à distance, élévations de privilèges, contournement de certains dispositifs de sécurités tel ASLR, la collection de bouchons I.E. est quasi complète.

MS14-057 est un autre grand habitué des correctifs du mardi soir, une faille .Net qui mérite elle aussi le grade de “critique”. Les autres alertes ne dépassent pas le niveau “important”. Le Sans émet une opinion différente et, une fois n’est pas coutume, plus alarmiste que Microsoft. Selon les recensements effectués par l’Institut, la grande majorité des trous bouchés en ce mardi sont soit exploités activement, soit divulgués avec assez de détail pour que leur exploitation ne fasse aucun doute à court terme.

Simultanément, comme à son habitude, Adobe publie également son “mardi des rustines”, avec un correctif Flash relativement modeste (3 CVE)

Chez Oracle enfin, on annonce un CPU gros et gras : 154 CVE, pas un de moins. Le dernier « Critical Patch Advisory », CPU en langage Oracle, affecte aussi bien les produits « base de données » que les outils de développement et logiciels métier. Dans le lot se trouve une nouvelle version de Java corrigé de 24 dont 22 exploitables à distance précise l’éditeur

Le « data management » et la sauvegarde d’un côté, la sécurité de l’autre. Symantec annonce, dans un communiqué kilométrique, son intention de se scinder en deux entités distinctes, toutes deux publiques. Le discours visant à mélanger allègrement les notions de sécurité, de prévention et de gestion des données dans un grand tout informe ne fonctionne plus. Le backup (héritage de la reprise de Veritas) passe mal dans le catalogue purement « infosec ». Tout comme le stockage, ces gammes de produits et solutions ne s’adressent pas aux mêmes personnes ni aux mêmes départements que les produits et services destinés à sécuriser les SI. A cela s’ajoute la lente dégradation du marché des antivirus, socle historique de l’activité sécurité de Symantec, miné par la concurrence des outils gratuits, celui de Microsoft en premier chef. Il fallait donc que les activités liées à la sécurité managée, de la virtualisation, du DLP, du Byod et du marché du cloud, nouveau cap de l’entreprise, soient dégagées de l’aspect « base matérielle-pc-logiciel » dans lequel évolue encore fortement le business de la gestion-traitement de données. En attendant que la vague « software defined » ne vienne redistribuer les cartes.

Le « split », toutefois, ne se fera pas dans les mois à venir. Le communiqué de l’entreprise mentionne décembre 2015…

Un bon roman d’espionnage qui compte déjà des protagonistes estampillés NSA et FSB ne peut s’achever sans un véritable méchant, celui contre lequel les forces finissent finalement par s’unir au nom du genre humain. Nous avons nommé l’Agent Chinois. Aussi difficile à occire que l’Hydre de Lerne (il en repousse un autre dès qu’on lui coupe une tête), tenace comme les 700 millions de citoyens chers à Dutronc, mauvais comme un ZDE multplateforme, la barbouze asiatique fait chanter l’Internationale aux industriels des TIC Etats-Uniens. Au cri de « groupons-nous, et demain… » viennent de se regrouper dans un front commun anti-pirates Chinois Novetta, Cisco, FireEye, F-Secure, iSIGHT Partners (ceux qui ont déjà bouté les Sandworm Russes hors de Windows), Microsoft, Symantec, Tenable, ThreatConnect, ThreatTrack Security, Volexity… et une piétaille de « professionnels de la sécurité qui souhaitent conserver leur anonymat ». Un retour de DdoS, ça peut parfois faire très mal.

Le Chef d’Escouade s’appelle Novetta. Un leader qui, à peine son équipe constituée, annonce trois victoires sur l’ennemi : Derusbi, HiKit et ZoxPNG sont interceptés, capturés et forcés à parler sous la torture des outils de désassemblage. Plus efficace que les scorpions du désert du célèbre « Long Range Desert Group ».

Ce groupe de supplétifs de la police régulière reçoit même les encouragements du FBI, explique notre confrère d’IDG News Australien, Jeremy Kirk. C’est un peu comme si notre Anssi nationale demandait aux professionnels de la sécurité informatique Française de se constituer en corps francs dans le but de chasser les vils espions Britanniques-poseurs-de-mouchards-sur-le-téléphone-d’Angela-Merkel. Ce culte du mercenariat et de l’auto-défense, Microsoft le prône depuis longtemps déjà, en se faisant la main contre quelques gardiens de Botnets qui réapparaissent pourtant à peine leur réseau détruit.

Est-ce aux industriels de faire justice, de créer une « Pax Americana » définie par un quarteron de généraux du logiciel ? L’on serait tenté de s’en émouvoir. Ces mêmes entreprises détiennent déjà un formidable pouvoir de contrôle des outils et des flux d’information. Bien fol serait celui qui verrait en ce groupement ce qu’il semble être au premier regard, une poignée de mercenaires à la sauce des « Magnificent Seven » aux ordres plus ou moins directs de la Maison Blanche. Non, c’est l’affirmation d’une puissance industrielle consciente de sa force, d’un « touche pas à mon royaume » qui va au-delà des nations et ne s’encombre pas de précautions diplomatiques. Internet, le « Wild West » du numérique ne fait que commencer.