Archives

Pour Adaptative Mobile, l’usage plus ou moins accepté du Byod est avant tout une histoire de confiance. L’étude de ce vendeur de solutions de sécurité destinées aux opérateurs tendrait à prouver que :

– 84 % des employés interrogés place la protection de la vie privée en première place des préoccupations liées à l’usage des mobiles

– 42% d’entre eux accordent plus de confiance envers leur opérateur qu’envers leur dirigeants d’entreprise (30%) (rappelons qu’Adaptative Mobile travaille pour les opérateurs)

– Lorsqu’il s’agit d’un téléphone personnel utilisé dans le cadre du travail, 44% des usagers souhaitent une franche séparation des partitions « travail » et « informations personnelles », et 24 % n’accordent aucune confiance dans le fait que leur direction puisse avoir le moindre contrôle de leur terminal.

L’annonce par Apple d’un IOS8 doté d’un outil de chiffrement fort dépourvu de porte dérobée (donc de possibilité de collecte de preuve numérique en cas d’enquête de police) a provoqué une multitude de prises de position, certaines irréfléchies, d’autres bien plus sages.

L’une des plus remarquées (et pourtant lapidaire) fut celle de Bruce Schneier. Certes, Apple affirme ne pas pouvoir « débloquer » le contenu de ses clients même en cas d’injonction légale, mais ce contenu peut généralement être récupéré sur les bases iCloud dit en substance l’auteur de Blowfish. Et iCloud ne constitue qu’une des fuites possibles. Les outils de mobilité utilisant IOS (ou tout autre systèmes d’exploitation) doivent communiquer. Et si le chiffrement garanti un certain niveau de sécurité local, il n’est absolument pas certain que ce même niveau de sécurité soit toujours aussi consistant dès lors que les données franchissent une passerelle réseau, empruntent un service Internet, ou sont accessibles par une application locale qui pourrait être compromise. Le chiffrement constitue une protection de premier niveau qui n’est que très rarement garanti « de bout en bout ».

L’on pourrait rappeler que, notamment lors du « Moab » (Month of Apple Bug) et à l’occasion de nombreuses communications, les programmes de protection d’Apple ont très souvent montré d’incroyables faiblesses. De l’accès quasi libre par le câble de chargement/synchronisation en passant par les fichiers de backup vulnérables, les failles iTunes ou les contournements de procédure d’identification par code PIN, Apple n’a jamais brillé pour la solidité de ses outils. A décharge, il faut également reconnaître que ses concurrents ne font guère mieux.

Un groupe de trois chercheurs et universitaires vient de publier une étude sur le profilage et la « désanonymisation » des utilisateurs de terminaux mobiles grâce à l’analyse des relevés GPS de ces appareils. L’article s’achève avec la description technique de mesures renforçant l’anonymat des trajets

Le Point Exquis de l’affaire du Grand Chiffre d’Apple, c’est le blogueur Orin Kerr (du Washington Post) qui le détecte. En écrivant tout d’abord un article assez peu réfléchi sur « la légèreté d’Apple », édito conservateur arguant du fait que Cupertino fait ainsi le jeu des trafiquants de drogue, des cyber-pédophiles et des djihadistes terroristes. Tollé général sur les réseaux sociaux, Kerr revient sur sa position et admet que ce débat n’est pas aussi manichéen qu’il y paraît. Un troisième article conclut la polémique et pose deux questions, des classiques du genre en matière de chiffrement :

– « Où donc se situe la limite » d’un chiffrement qui protège la vie privée des gens honnête mais qui, également, masque les activités des véritables truands.

– « quid du compromis acceptable en matière de vie privée »

Or, cette question du compromis acceptable est une constante dans la politique intérieure des USA. Tant le gouvernement Bush que la présidence Obama ont utilisé l’argument du « léger sacrifice de la vie privée au profit d’une plus grande sécurité ».
C’est là que le bât blesse réplique Steeve Bellovin, l’un des pères de Usenet et surtout de l’identification EKE. L’usage des outils de mobilité n’est pas l’unique source d’échange des hors-la-loi. Ce n’est qu’un des nombreux outils possibles. Le chiffrement ne constitue pas seulement une protection des données personnelles, c’est également un bouclier contre les fréquentes attaques des pirates voleurs d’identités numériques, de données confidentielles etc. (ndlr : lesquelles sont d’ailleurs considérablement plus fréquentes et moins virtuelles que les attaques cyber-djihadistes ou les intrusions d’espions sino-russo-américains). Pis encore, renforcer la protection des équipements mobiles n’est qu’une forme de rétablissement de l’équilibre d’autrefois, équilibre compromis par l’intensif, l’abusif usage des perquisitions numériques réalisées par les services de police aujourd’hui. Depuis la généralisation des téléphones intelligents, cette même police a accès à des données qu’elle ne pouvait posséder auparavant, et c’est cette « ouverture » que la décision d’Apple referme très partiellement. Très partiellement, car même chiffré par des mécanismes inviolables, un iPhone 6, 7 ou 8 fournira toujours à cette même police son lot de métadonnées. En outre, si le débat peut se tenir aux USA ou dans la plupart des pays du bloc occidental, il y a de grandes chances pour que des gouvernement un peu moins amoureux des usages républicains demandent à Apple de « fragiliser », voire de supprimer ces outils de chiffrement, précisément pour que leurs services de police puissent continuer à accéder aux données privées de leurs citoyens.

Conséquence de l’annonce du chiffrement fort d’Apple se pose également la question de l’obsolescence tant du noyau que du mécanisme de chiffrement lui-même. De mémoire de gourou de la cryptanalyse, et à l’exception de l’inviolable « one time pad », il n’existe aucun système qui ne se casse avec le temps. C’est d’ailleurs sur ce principe que reposent les appels d’offres du NIST lorsque sont demandés à périodes régulières, et pour des longévités estimées, de nouveaux algorithmes destinés à la protection des communications de l’Administration Fédérale. La meute de SHA (de 0 à 3 couvrant les 21 dernières années) prouve qu’aussi perfectionnée soit-elle, une fonction de hachage finit toujours par trouver son maître. Si la résistance aux casseurs de code peut parfois prendre plus de 10 ans, la résistance de l’environnement logiciel lui-même rend généralement ces mesures de protection totalement inutiles. C’est la question que pose Graham Clueley sur le blog d’Intego : doit-on jeter les déjà « vieux » iphone 4 pour des raisons de sécurité ? Les constructeurs de téléphones portables ont besoin en permanence de cet oxygène financier que provoque un renouvellement de parc. De là à accélérer le phénomène en décidant d’arrêter le support des anciennes plateformes… ergo de les fragiliser, il n’y a qu’un pas. Ce que protège un algorithme de chiffrement encore inviolé, une montagne de bugs transversaux non corrigés sur certaines applications pourra en venir à bout. IOS, Android, Windows Mobile même combat. Passé 4 ans, le niveau de sécurité d’un téléphone ne vaut plus un kopek. Il en va de même pour les systèmes d’exploitation d’ordinateurs, sur une période généralement plus longue, d’environ 10 ans (record de longévité de Windows XP mis à part). La sécurité des systèmes d’information est l’enfant bâtard du marketing high-tech.

La course à la rustine CVE-2014-7169, alias Shellshock, alias bash bashing, a dû passablement occuper le week-end des développeurs de bon nombre d’outils serveurs. Chez Oracle, on annonce fièrement la disponibilité de 6 correctifs (Database Appliance, Exadata Storage Server Software, Exalogic, Exalytics, Linux 4, 5, 6 et 7 ainsi que Solaris 8, 9, 10 et 11).

Mais plus de 44 autres produits du catalogue sont encore vulnérables, informe le bulletin d’alerte.
Notons que le groupe chargé de la maintenance de bash a corrigé les imperfections du premier correctif. Bash 4 .3 est désormais débarrassé du CVE-2014-7169.

La presse, les pirates auteurs de virus, les éditeurs, les responsables sécurité… Shellshock, la faille bash, a fait réagir tout le monde, partout, en moins de 24 heures. Sauf, peut-être, les chasseurs de failles eux-mêmes.

La presse, tout d’abord, puisque 48 heures après les premières alertes, les journaux grand public (dont les quotidiens gratuits) se lancent dans des concours de superlatifs. Ce nouveau « bug du siècle » (du moins le bug du siècle du mois en cours), est-il oui ou non plus dangereux que Heartbleed ? Est-ce la fin de l’ère Internet ? Le monde Apple est-il devenu moins sûr ? S’il est intéressant de constater que les quotidiens prêtent une attention grandissante à la sécurité informatique (une bonne chose compte tenu de l’informatisation croissante des ménages) l’on peut regretter que la seule manière d’aborder la question se fasse sur le mode « DON’T PANIIIIIIIIC !!!! »

Les auteurs d’exploits n’ont pas traînés non plus. La première preuve d’exploitation dans la nature a été détectée quelques heures à peine après la révélation publique de la faille. Les exploitations les plus probables, ainsi l’explique Jen Ellis de Rapid7, sont celles qui visent une application Web dont le CGI fait appel à bash.

En d’autres termes, la faille bash est intrinsèquement moins importante que la mauvaise pratique qui consiste à permettre à un processus externe (lié à Internet de surcroît) de pouvoir passer directement des paramètres au shell. Et c’est peut-être ce point que n’ont pas détecté les chasseurs de faille. Car des « trous vieux de 25 ans », il y en a probablement encore beaucoup dans le noyau Unix. Mais des trous accessibles aussi facilement par le biais d’une cohabitation vénéneuse, il n’en existe heureusement pas tant que ça. Reste que bien des auteurs de malwares se sont lancés, dans l’urgence, dans un scan massif d’Internet rapporte l’Australien IT News. Probablement histoire de répertorier les points de faiblesse qui pourront s’avérer exploitables dans un proche avenir. Signalons également ce « gentil » Poc signé TrustedSec qui utilise DHCP pour mieux converser avec le shell Bourne.

Les éditeurs de noyaux eux aussi ont immédiatement réagi, mais préviennent que le premier correctif n’est pas parfait (il porte d’ailleurs lui-même un numéro CVE-2014-7169 ). Red Hat, Apple, Ubuntu, Debian et tant d’autres ont immédiatement « poussé » une nouvelle version du shell.

Mais les systèmes d’exploitation pour serveurs ou ordinateurs personnels ne sont qu’une facette du problème. Des centaines de milliers d’appareils connectés (du routeur Wifi aux boîtiers multimédia en passant par ces mille et un « appliances » à base de Linux embarqué, seront vulnérables ad vitam aeternam. Soit par le truchement de l’attaque CGI via leur interface Web d’administration (si celle-ci est accessible à distance) soit, plus simplement, parce que l’appareil est ouvert aux quatre vents « by design », avec un port ssh ouvert associé à un mot de passe par défaut. Cela s’est souvent vu, particulièrement sur certains équipements « rootés ». Si ces objets de l’Internet ne contiennent pas nécessairement de grandes richesses en termes de contenu, ils peuvent toujours venir grossir les rangs d’un botnet.

Le navigateur Firefox et le client de messagerie Thunderbird doivent être « rustinés » dans l’urgence la plus absolue. Une faille ssl affecte les « Network Security Services » des logiciels et ouvrirait la voie à une possible attaque « man in the middle ». Le Cert US rappelle que ce trou NSS pourrait également affecter Chrome et d’autres distributions Linux.

L’actualité parfois n’a aucun rapport avec une fuite massive de données des serveurs d’une grande chaîne de distribution ou avec un super correctif logiciel sauvant l’informatique occidentale d’une horde de virus étrangers. Non. Les médias, la semaine passée, se sont enflammés pour deux énormes canulars. Le premier des deux, singeant le lettrage et les publicités Apple, dévoilait tout sur une nouvelle « technologie « Wave » propre au tout nouvel IOS8 : le chargement des batteries du téléphone par microonde ». Fausse réclame, faux accident déclarés par de faux crédules.

Le second attrape-nigaud a été lancé par un journal satirique connu, le National Report, un proche cousin du regretté National Lampoon, en plus « politiquement correct ». Selon ce noble organe de presse, Facebook envisagerait de facturer les pages de ses abonnés 3$ par Mo de données, et ce à partir du 1er novembre. Et l’auteur de l’article de recueillir les protestations indignées du groupe Chrétien anti-masturbatoire (sic). Là, en revanche, quelques âmes sensibles ont lu l’information au premier degré et se sont inquiétées, sur Twitter notamment.

Voilà qui n’est pas sans rappeler, en pleine bulle NTIC des années 2000, le lancement de Jesux, une distribution Linux christique qui souleva un raz de marée médiatique.

Dans tous ces cas, les techniques sont comparables : associer une notion plus ou moins technique avec un outil à la mode. Le dernier téléphone mobile et le chargement sans fil (qui, précisons au passage, ne pourrait en aucun cas dépendre d’IOS8, un logiciel, mais d’un capteur inductif, du matériel), ou un réseau social en vue et la notion de microfacturation, sorte de monstre du loch-ness qui apparaît à périodes régulières dans le monde internet.

Peut-on rire de la crédulité des personnes qui se seraient laissées prendre ? Pas plus que l’on ne peut s’amuser des victimes d’une campagne de phishing, laquelle exploite strictement les mêmes ficelles psychologiques. Pas plus que l’on ne peut se gausser des clients de services totalement utopiques. Ainsi les entreprises qui garantissent (moyennant facturation) un véritable anonymat sur Internet, ou ce tout nouveau service protégé par Tor, le routeur chiffré, que nous décrit Joseph Cox, de Motherboard. Une sorte de cyber-sécurité d’homme-mort qui garantit la publication sur Internet de tout document en cas de décès de son auteur-wanabe-snowden.

Qui se cache derrière un tel service ? Nul ne sait. Détail paradoxal pour un tiers de confiance. Quelles sont les infrastructures en place et les mécanismes de préservation de l’information ? Mystère. Ajoutons que le fait d’annoncer qu’une personne a confié à ce service des documents sensibles pourrait bien déclencher une sinistre chasse à l’homme histoire de précipiter la parution des révélations.

Linux et autres Unix-like sont menacés par une faille du Bourne Shell (faiblesse dans la gestion des variables d’environnement référencée CVE-2014-6271). L’alerte qualifie le problème de critique. Red Hat détaille les différents aspects techniques du problème. Lequel semble si préoccupant qu’il a attisé la verve de Robert Graham et provoqué la rédaction de trois articles : Le Bug Bash aussi grave que Heartbleed, Inventaire du bug bash sur Internet (un instantané limité de l’étendue des dégâts potentiels) et enfin Le bug bash ShellShock peut servir de vecteur à un virus-vers. Le Sans signale la faille avec un avertissement clair : it’s time to patch et la National Vulnerability Database du NIST attribue à ce défaut une note d’exploitabilité de 10 … la plus haute de l’échelle.

Dans quelques cas, le problème pourra être résolu à l’aide d’un rapide « sudo apt-get upgrade bash ». Mais ce bug baptisé ShellShock risque de faire parler de lui durant encore quelques mois. En effet, bash est un shell que l’on retrouve sur une multitude d’équipements plus ou moins autonomes, plus ou moins communicants, plutôt moins faciles à corriger qu’un ordinateur (appliances, routeurs Wifi, matériel embarqué communiquant, Internet des Trucs et des Machins, box ADSL…). Heartbleed risque donc de faire figure de gadget face à ce trou béant qui affecte la totalité des dérivés d’Unix.