octobre, 2009

Le calendrier de la prochaine PacSec2009 de Tokyo, qui se déroulera les 4 et 5 novembre prochain, vient d’être arrêté en ce début de semaine. L’on y entendra notamment Tavis Ormandy et Julien Tinnes, de Google, à propos de sécurité dans la virtualisation, Karsten Nohl à propos d’un sujet toujours aussi magique et mystérieux, le hacking matériel des puces (microscope à l’appui), tandis que Charlie Miller dévoilera les secret du fuzzing SMS ciblant l’iPhone, que Rich Cannings et Alex Stamos disserterons sur la sécurité de la plateforme Android ou que Eric Filiol replongera dans les arcanes du chiffrement des documents Word et Excel.

La conférence CanSecWest 2010, quand à elle, est en cours de constitution, et les organisateurs lancent leur premier appel à communications. Cet événement se déroulera du 22 au 26 mars prochain à Vancouver, dans les salons du Sheraton Wall Centre.

… et pour trois fois rien. Histoire de garnir les e-bibliothèques du Responsable Informatique et Sécurité, voici une petit collection de livres électroniques gratuits, dont certains méritent largement le « prix » d’une adresse email exigée parfois lors du téléchargement.

A commencer par une série de livres ou de portions de livres offerts par Bit9, dont le « Vista All in One » de Perry, le Pragmatic CSO de Rothman, Microsoft Windows Server 2003 Unleashed, Microsoft Windows Vista Unveiled, Inside Active Directory seconde édition ou Protect Your Windows Network From Perimeter to Data. Tout n’est certes pas du même niveau, mais à cheval donné… A noter au passage un extrait intéressant –quoiqu’un peu survolé- du The Myths of Security oublié chez O’Reilly. Le chapitre en question est intitulé Why Antivirus Does Not Work (Well) & Why Antivirus is Often Slow. Tout un programme.

Légèrement plus polémique, la bataille Hadopi éditée par In Libro Veritas et rédigée par un collectif d’auteurs où se côtoient hommes politiques, journalistes, gourous du libre, blogueurs mondains et activistes militants. C’est là manifestement plus un livre de prise de position qu’un manuel à l’usage des responsables sécurité soucieux des conséquences techniques que cette loi provoque. A lire, à passer sous le manteau, à échanger… via les réseaux peer to peer ?

Toujours dans le domaine de la sécurité, signalons la sortie du dernier numéro de (In)Security de l’équipe du HNS. Au sommaire de ce trimestre, un regard sur Nmap, les data lockers, trois très belles « bouteilles à l’encre » avec la sécurisation du cloud computing et les mythes de la sécurité dans le domaine du sans-fil et les mashup (aka le revamping). Une revue au format pdf toujours aussi intéressante.

Moins en rapport avec le monde de la sécurité –bien que le sujet soit largement abordé au fil des pages-, Simple comme Ubuntu édité par Framabook vient d’être remis à jour pour prendre en compte les variantes de la 9.04. Que dire d’autre sinon que l’on attend avec impatience la révision consacrée à Karmic Koala 9.10.

Mais l’événement « littéraire » du mois –le seul de la liste à ne pas être gratuit- est sans conteste la parution Detecting Malice, de Robert Hansen, alias Rsnake. « Je n’ai pas une seule fois recopié du manuel au kilomètre ou recouru aux pratiques des auteurs de ces mille et un livres techniques si assommants à lire » affirme l’auteur. Chaque ligne, chaque exemple et anecdote s’attachent à une méthode d’attaque, à un scénario de compromission visant une application ou un serveur Web. Le style de Rsnake est généralement plaisant à lire, vivant et vulgarisé de telle manière que les non spécialistes y trouveront eux aussi un enseignement.

Nos confrères de Computerworld viennent de « faire le point » sur 6 années de patch Tuesday. Aucune analyse statistique sur la fréquence ou la dangerosité des défauts, pas la moindre estimation des points faibles les plus remarquables –l’on se doute qu’I.E. conserve une bonne tête de vainqueur-. Quelques points saillants cependant : après avoir investi des sommes soi-disant colossales dans la sécurité du code –supérieures de toute manière à ce que des concurrents tels Apple ou Oracle ont dépensé- le volume des failles ne semble pas diminuer. L’on découvre semaine après semaine des trous antiques qui, telles des casseroles binaires, sont traînées par le noyau NT parfois depuis sa conception. Le nombre de problèmes « exploitables » le jour même de la publication des correctifs ou dans les 10 jours suivant leur publication ne varie pratiquement pas. Parfois même, quelques épiphénomènes font mentir les métriques, ainsi le dernier lot d’octobre, dont 50 % des trous arboraient une livrée cardinalice et faisaient la fierté de quelques auteurs d’exploits. Rappel qui nous permet de rectifier un oubli à propos du travail de Matthieu Suiche sur la MS09-050, sans oublier la divulgation de Laurent Gafié et autres chercheurs.

Bien sûr, il est de bon ton de tirer sur le pianiste, et de rappeler le bon vieux temps des mainframes et de l’école du « ‘zero tolerance for defects ». Ah, qu’ils étaient solides et dépourvus de virus ces 3033 et ces 43xx, sans liaison Internet, reposant sur un réseau SNA plus que propriétaire, avec sa caste de connaisseurs franchement démarquée des administrés et des troupeaux de clients soumettant des travaux « batchés » facturés au prix fort. Avec de tels arguments, même DOS 2.10 pourrait passer pour une citadelle imprenable. Mais il en va de l’informatique comme des amours mortes: les plus anciennes semblent toujours plus belles.

Reste que la question demeure posée : combien de temps encore le « lourd passif de la compatibilité ascendante », des bugs hérités, des DLL instables va-t-il encore empoisonner la vie des administrateurs et des utilisateurs Windows ? Lorsque du passé Microsoft fera table rase, lorsque le poste de travail reposera sur un socle capable de totalement repenser et réécrire un noyau, tout en assurant une compatibilité avec les anciennes applications. Las, ce « futur paravirtualisé » n’est ni pour demain, ni même une absolue certitude.

Cain et Abel, l’outil de test de « solidité des politiques de mots de passe » (qu’en termes galants ces choses là sont dites), franchit une nouvelle étape, avec la parution de son édition 4.9.35. Une nouvelle étape et de très intéressantes fonctions, avec notamment la prise en compte du 64 bits dans les extractions de hash des principaux systèmes d’exploitation (dont notamment dans les dump ms-cache, secrets LSA, NTLM… pour ne citer que les plus remarquables). Ajout également de tout un éventail de prises en compte de Windows 7, à commencer par tous les protocoles liés à Windows Live Mail, successeur d’Outlook Express. La nouvelle version ne fait plus hurler les UAC sous Vista et Seven.

Tout client d’Amazon le sait depuis une bonne semaine : le « kindle » débarque en France. Le Kindle, c’est l’un des nombreux ebooks qui nous viennent d’outre-Atlantique et qui, sous la forme d’un écran plat de quelques grammes, offre potentiellement l’équivalent de la bibliothèque de Babel.

Immanquablement, les média radio-TV ont titré comme un seul homme sur une prochaine querelle des anciens et des modernes, des partisans du « bon vieux papier » et fanatiques de la modernitude. Mais tandis que les uns s’extasient sur la simplicité d’une commande de livre « via un réseau sans fil sans abonnement » et expliquent que près de 400 euros d’électronique dédiée, c’est une sacrée économie comparé aux supports traditionnels, d’autres, mezzo voce, grommellent et vitupèrent.

Certains éditeurs de livres, tout d’abord, qui voient la fin de leur métier arriver à grands pas avec la dématérialisation de leurs productions. Car s’il est vrai qu’aucune technologie n’en remplace complètement une autre, il est rare qu’un médium traditionnel ne laisse pas quelques plumes à chaque révolution technique. La presse papier n’a pas disparu avec la naissance de la TSF, qui n’est pas morte sous les coups de la télévision, qui ne périt pas de l’avènement d’Internet ou de l’IP-TV… mais la taille du gâteau reste peu ou prou la même, le nombre de convives ne cesse de s’accroître, les parts deviennent donc plus petites.

Accessoirement, avec la généralisation des ebooks va se poser également le problème du piratage. Pardon, de la contrefaçon. Et ceci d’une manière probablement plus prégnante que dans le monde de l’édition musicale. Car, même si une faible partie de la population continuera à acheter Jules Vernes au prix fort et les classiques scolaires au prix du platine, la proportion de canaux de diffusion « libres de droits » ira croissant. Si l’on peut invoquer qu’une composition musicale de Bach (J.S. ou JC, pas PDQ) est inféodée aux revendications de certains « ayants droits », en l’occurrence les interprètes de l’œuvre, le prétexte s’évapore dans le cas précis des choses imprimées. La claviste ou le couple « scanner/OCR » ne peut sérieusement être considéré comme un interprète, surtout si l’original ayant servi à la saisie automatique date du XIXème siècle. Les éditeurs européens voient, avec la généralisation des ouvrages numérisés, l’évaporation d’une rente de situation que leur conservaient jusqu’à présent les éditions papier. Il risque d’être d’ailleurs très intéressant de voir si le Ministère Public ou une quelconque Haute Autorité risquera le ridicule de poursuivre de prétendus « faussaires » qui auraient ouvertement échangé en « peer to peer » les œuvres complètes de Paul Féval ou d’Alexandre Dumas (père et fils).

Autre aspect de l’équation Kindle, la diversité très relative des sources. Il ne peut y avoir de véritable succès des livres électroniques sans un minimum de standardisation –ou unification- des mécanismes d’alimentation en contenu, des formats de fichier, des réseaux de revente. Autant de détails généralement antinomiques avec une réelle diversité. L’exemple de ce qui se passe actuellement dans le domaine de la variété musicale prouve à quel point dématérialisation rime souvent avec massification, concentration et, à terme, appauvrissement et formatage de l’offre. Combien de temps faudra-t-il pour que les petits éditeurs, les Odile Jacob, les Philippe Sers, les héritiers de l’édition traditionnelle à la Losfeld ou à la Serg soient aussi marginalisés que Boucherie Production ? Kindle, le eReader Sony, le futur –et énième- ebook d’Apple et leurs cousins riment avec Amazon, Google, Sony (également éditeur). Pour l’heure, Amazon utilise un format propriétaire ; soi-disant pour éviter le piratage, mais qui en fait est un moyen visant à multiplier les ventes de terminaux. Car la véritable différence entre un ebook et un véritable bouquin, c’est que le dernier se prête, s’offre, s’échange. L’achat de 3 ou 4 ouvrages peut simultanément satisfaire trois ou quatre personnes différentes dans une famille. Ce n’est pas le cas de l’ebook, puisqu’il concentre en un point de lecture unique tout le contenu acquis. Ce n’est à priori pas le cas du Kindle puisqu’il utilise un format propriétaire. Sony l’a bien compris, qui espère se tailler une place à grands coups de « format ouvert ». En attendant que la situation s’éclaircisse, les professionnels de l’édition freinent des quatre fers. Les livres électroniques proposés en Europe sont en moyenne 4 fois plus coûteux qu’aux USA, l’offre est relativement famélique en dehors des Blockbusters américains et les lecteurs eux-mêmes coûtent, selon les pays, entre 50% à 200% plus cher qu’Outre Atlantique. C’est le témoignage qu’en font notamment nos confrères de Der Spiegel. A Libé, on précise que la dime imposée par Amazon représente 70 % du prix de vente de l’ouvrage…avec de telles marges, on comprend mal quel rôle peut encore jouer l’éditeur. Tout semble fait pour que les auteurs cherchent à traiter directement avec le diffuseur et que toute concurrence éditoriale soit éliminée par malthusianisme économique.

L’on pourrait également invoquer la récente mésaventure survenue il y a peu aux utilisateurs d’eBook ayant eu la mauvaise idée de télécharger les œuvres d’Orwell. Lesquelles, afin de respecter la tradition orwellienne, se sont faites censurer par le réseau Amazon pour de sombres histoires de droit de reproduction qui n’auraient dû regarder que le diffuseur.

Cette mésaventure a mis en évidence deux gros problèmes liés à l’édition électronique sur support dédié : d’une part, la connaissance directe par le diffuseur de la teneur des textes possédés par chaque usager. Dans le domaine musical, récupérer l’intégrale de Britney, légalement ou non, sous-entend très peu de chose en termes d’implication idéologique. Une compil de Nietzsche, le Best of de Bentham ou de Marx (Groucho ou Marx, tous deux sont subversifs à leur manière) ou la dernière édition de Louis-Ferdinand Unplugged, voilà qui possède une toute autre résonnance si cela se retrouve dans l’un des champs de l’un des deux fichiers Edvige2. Dis-moi ce que tu lis, je te dirais qui tu es, qui tu fréquentes, comment tu votes, ce que tu achètes, plus quelques détails sur ton pouvoir d’achat, tes orientations sexuelles, religieuses… les clients d’Amazon et de Google le savent déjà très bien, à la seule vue des publicités et « suggestions d’achat » accompagnant généralement leurs pérégrinations Internet. L’analyse plus fine d’un service de police risque d’être considérablement plus intrusif, et bien fol serait celui qui espèrerait un instant que ces informations restent sagement conservées dans les coffres d’Amazon et de ses concurrents.

Achevons ce rapide survol des aspects négatifs de l’édition électronique en mentionnant la disparition à terme de tout patrimoine culturel familial dans les tranches sociales moyennes et défavorisées. Car à l’exception de la frange décroissante des personnes qui persisteront à vouloir se constituer une véritable bibliothèque papier, la majorité des consommateurs adoptera à terme le livre électronique. C’est inéluctable. Et avec cette adoption disparaît toute possibilité de transmission culturelle intergénérationnelle. Le livre binaire du grand-père ne pourra plus être lu par le lecteur de son petit fils. Parce qu’il sera protégé par un DRM ésotérique, parce que le format utilisé sera tellement dépassé qu’il ne figurera plus au nombre des fichiers à reconnaître, parce que les mécanismes d’échange entre différentes générations de lecteurs rendront illusoire toute tentative de transmission. C’est déjà le cas aujourd’hui avec la « musique téléchargée », cela risque de l’être avec les livres dématérialisés.

Mais tout n’est pas si noir dans le domaine de l’encre binaire. Les patrons de la presse traditionnelle y voient un second souffle qui viendra réalimenter la pompe à phynance des périodiques. Rien n’est moins sûr, car si le virage du payement « à l’article » n’a pas su rencontrer un public avec le développement de la presse en ligne, il y a peu de chance que les réactions des lecteurs soient différentes avec l’arrivée de l’ebook, qui n’est qu’un avatar de l’évolution d’Internet et des NTIC. Les auteurs indépendants auront également beaucoup à y gagner. L’ebook, c’est la mort des éditions « à compte d’auteur », c’est le pouvoir d’éditer à la portée des caniches aurait dit Louis-Ferdinand. C’est aussi, et surtout, l’abolition des frontières éditoriales, la possibilité de se fabriquer sur mesure la bibliothèque de l’honnête homme –quelque soit la définition de cette honnêteté- et l’accès immédiat et gratuit à tout le patrimoine écrit de l’humanité. A commencer par Gallica, par le Projet Gutenberg , par les mille et une initiatives conduites par les confréries littéraires de tous bords.

Entretenir ou non le culte du symbole … là est la question. C’est un 19 novembre 2008 qu’Edvige, le fichier informatisé des RG et de la DST raboutés, était bouté hors des lois après 5 mois d’existence. Précédent unique dans l’histoire de France, où les textes trépassent généralement d’une crise d’amnésie, rarement d’une attaque par abrogation immédiate.

11 mois plus tard, Edvige2 renaît de ses scories. Par le plus grand des hasards, dans un document daté du 16 du mois, jour de la Sainte Edvige. Seuls quelques rares paranoïaques et gauchistes soixantuitards sur le retour y verront une forme quelconque de provocation. Plutôt que de réunir les deux fichiers mêlant petits cousins de Carlos, journalistes, Préfets, bombes humaines, syndicalistes, espions, prétendants Ministres, agissants Sinistres et autres calamités, il y aura désormais deux bases de données* : une pour les franchement méchants de 13 ans et plus, l’autre pour les « personnes exerçant des activités sensibles » de 16 ans et plus. 16 ans, car à cet âge l’on peut envisager de passer l’examen de « jsp », Jeune Sapeur Pompier, motif nécessaire et suffisant pour mériter le droit d’une enquête de moralité. Après tout, rêver, à 16 ans passé, de sauver des vies, c’est nécessairement suspect.

Le premier des deux fichiers –celui qui traite d’antiterroriste et de violences urbaines- ne comporte heureusement plus aucune mention relative aux comportements sexuels des intéressés. Il se contente de détailler tout ce qui peut concerner les origines ethniques, les convictions religieuses, philosophiques ou syndicales du quidam enregistré, voir les relations que ledit quidam subséquemment nommé pourrait avoir avec des individus suspects. Ce fichier comporte également des données communes à d’autres bases, notamment celles des immatriculations, de l’identité nationale ou du « sommier ».

Les deux bases de données policières ont reçu l’aval des différentes organisations de régulation, et notamment de la CNIL.

* NdlC, Note de la Correctrice : au masculin-pluriel. Nos braves pandores étant incorruptibles, il est grammaticalement et sémiologiquement plus approprié de parler de « base de donnés » plutôt que de « base de vendus ». Car pour que des personnes se trouvent ainsi fichées, c’est qu’elles ont bel et bien été dénoncées à nos vaillants services de police, non ?

Chris Williams, du Reg, nous apprend l’existence d’une consultation lancée par un équivalent du Secrétariat d’Etat à l’Information, et visant à instituer des peines de deux ans d’emprisonnement pour toute personne, y compris un journaliste dans l’exercice de son métier, qui divulguerait des informations à caractère privé. Loi-prétexte qui vise peut-être les tabloïds Britanniques qui ne peuvent vivre sans une indiscrétion de Fergie, une frasque du Prince Héritier ou un cliché flou et mal cadré des oreilles de Charles. Loi qui, bien sûr, n’a strictement aucun effet sur les organisations mafieuses qui font du vol d’identité leur fond de commerce, compte-tenu de l’extraterritorialité des principaux intéressés. Loi surtout qui aurait pu couper court au scandale des « notes de frais » qui a récemment éclaboussé une grand partie de la classe politique de Grande Bretagne, et dont la révélation est le fruit du travail d’une presse d’investigation qui sait encore se faire entendre. Pour l’instant …

Il est important de noter que cette « consultation » -qui n’est pas encore une loi- peut avoir, compte-tenu de son caractère très large, des conséquences importantes et graves vis-à-vis de toute entreprise exploitant, revendant, diffusant ou traitant des fichiers nominatifs entre l’Angleterre et les pays de la communauté Européenne.

Eugène Kaspersky, grand éditeur d’antivirus Russe estime, nous apprennent nos confrères du Reg, qu’il n’est de pire chose que l’anonymat sur Internet. Il faut, a-t-il expliqué en substance lors d’une interview, que chaque internaute ne puisse avoir accès au réseau qu’une fois qu’un passeport, un « droit de surfer » fortement identifié ne lui soit délivré, le tout sous le contrôle permanent d’une « police internet » transfrontalière. Ce n’est pas la première fois que l’éditeur moscovite appelle à un renforcement des contrôles policiers sur la Toile. Le désir de voir ce flicage individualisé est en revanche une première.

SMBv2 est indiscutablement exploitable confirme un billet de Kostya et une nouvelle entrée au tableau Canvas. Les compilateurs doivent tourner à plein régime, du côté de Redmond.

Attaquer un backbone, couvrir le monde de « hackerspaces », pratiquer le « social engineering » en pré-pentesting : toutes les vidéos de la dernière Brucon sont disponibles sur le miroir de la manifestation Bruxelloise