novembre, 2009

Cyber-Ark publie une étude qui fait jaser, intitulée « the global recession and its effect on work ethics ». En Français : « comment améliorer les primes de licenciement avec quelques données monnayables subtilisées sur le dos des patrons » (En lacunaire : « œil pour œil, dent pour dent »). Deux moyens pour obtenir cette étude. L’un normal, qui demande quelques informations personnelles, et un second qui, grâce à nos confrères de Storage Search, offre l’étude directement. Deux pages de chiffres seulement, où l’on apprend toutefois l’existence de quelques pratiques constatées tant du côté de Canary Warf à Londres que dans les officines qui longent Wall Street à New York : 41 % des employés travaillant dans les milieux financiers de NYC avouent avoir changé d’emploi en emportant des informations en guise de souvenir. 85 % des intéressés savent pertinemment qu’il est illégal de télécharger des données appartenant à l’entreprise, mais plus de la moitié des sondés déclarent ne pas pouvoir s’en empêcher. Ce qui dénote d’un certain sentimentalisme et un attachement très net au futur ex-employeur. C’est probablement là ce qu’on appelle « l’esprit de corps ». Il faut dire que les patrons des entreprises sondées ne font pas grand-chose pour que ces cadeaux d’adieu soient en voie de diminution. 57 % des sondés affirment que cette pêche à l’information était plutôt simple… contre 29 % l’an passé. Comme il est peu probable que les méthodes d’accès se soient dégradées de manière générale en l’espace d’un an, on peut donc aisément en conclure que le nombre de « remerciés » a fortement augmenté, et par là même le volume des tentatives de récupération de souvenirs. En cas de licenciement, 48 % des personnes interrogées certifient qu’elles partiront avec des données appartenant à leur employeur, et 39% commenceraient à rechercher des données stratégiques si elles entendent quelques rumeurs sur une éventuelle mauvaise santé de la société qui les emploie.

Quels sont les souvenirs les plus prisés ? Dans 29% des cas, un fichier clients. 18% seraient plutôt enclins à récupérer des données stratégiques et prospectives, et 11% partiraient avec des données produits. Dans quel but ? Pour négocier un nouveau poste (27%) ou pour utiliser ces données dans le cadre de leur futur emploi.

Cette étude statistique est à interpréter avec beaucoup de prudence, car limitée à deux secteurs géographiques du milieu des affaires réputés pour leur morale relativement élastique. Elle intervient également en une période de forte houle dans le domaine des « solutions DLP », et n’est en aucun cas relativisée ou mise en perspective avec les statistiques globales touchant à la perte d’information, qu’elle soit accidentelle ou provoquée par des intrusions de personnes extérieures à l’entreprise. La suspicion se vend bien, d’autant plus aisément que le présumé coupable est plus facile à chasser qu’un diffuseur de spyware situé quelque par sur un axe Rio/Paris/Moscou/Pékin.

… et probablement bientôt par Google, semble sous-entendre l’auteur d’un passionnant papier statistique publié par ZDNet UK et relatant une récente enquête du Gartner sur l’évolution des parts de marché « système » dans le monde de la téléphonie mobile. Les chiffres sont sans appel : Fin 2008, les Blackberry constituaient près de 21% du marché (16% un an auparavant). Sur la même période, l’iphone passait de 13 à 17%, tandis que Microsoft, à 8% en 2007, grignotait une troisième place à 11% du marché. Durant le même laps de temps, Androide, absent du marché un an plus tôt, accaparait presque 4% du marché en quelques mois.

Cette lutte pour la domination du marché des noyaux « mobiles » s’accompagne bien sûr d’un certain nombre de craintes et d’incertitudes pour tout ce qui touche à la sécurité des terminaux et des informations qu’ils contiennent. Incertitudes surtout, car les téléphones intelligents commencent à atteindre une masse critique assez importante, susceptible d’intéresser des auteurs de malwares et collecteurs d’informations personnelles. Ce scénario d’autant plus plausible que, si jusqu’à présent, les communications numériques par le réseau GSM étaient facturées au prix fort, la multiplication des forfaits Internet/SMS « illimités tout compris » aurait plutôt tendance à favoriser le développement de malwares adaptés. Il y a eu un précédent scientifiquement étudié : l’accroissement des accès DSL et des abonnements Internet « flat rate », dont la généralisation mondiale se confond avec la multiplication des botnets et des attaques « web client ».

Mais d’autres arguments défendent des points de vue contraires. Pour qu’un virus puisse se développer, il faut non seulement qu’il bénéficie d’un vecteur de diffusion gratuit et efficace, mais également d’un espace vital étendu. En d’autres mots, d’un système d’exploitation favorable à son épanouissement. C’est là une variante de la théorie de Dan Geer sur l’augmentation des risques résultant d’une situation monopolistique : plus un système d’exploitation est répandu, plus il s’expose à la convoitise et aux attaques des pirates. Or, pour l’heure, on ne peut pas franchement dire que l’un ou l’autre des concurrents en lice détient la majorité du marché. Il suffirait simplement que Microsoft parvienne à renverser la tendance avec une nouvelle version de Windows Mobile, que Google batte à plate couture Apple sur le terrain de l’offre logicielle gratuite. Et s’il est une chose dont les auteurs de virus ont en horreur, c’est d’investir sur des secteurs trop faibles ou trop instables. Qui gagnera la guerre des noyaux « mobiles » ? La réponse est évidente : le premier qui parviendra à constituer une base de signatures importante dans les tampons mémoire des antivirus de demain.

CommonIT vient d’annoncer, à quelques jours d’intervalle, deux nouvelles versions de son « virtual browser ». Une première mouture apportait, depuis peu, des fonctions d’équilibrage de charge et de haute disponibilité, et une amélioration récente y ajoute le support des protocoles ICA et RDP. Rappelons que Virtual Browser est une sorte de « passerelle tampon » à passage obligatoire, qui isole le navigateur de l’usager de tout contact IP direct avec le monde extérieur. Une attaque MIM ou de drive by download peut ainsi être bloquée avant même qu’elle n’arrive sur le poste client. Le premier champ d’application de ce Virtual Browser, c’est bien entendu la protection des surfeurs itinérants (dont toutes les requêtes vont transiter par la passerelle de désinfection de l’entreprise) et la sécurisation des applications Web d’entreprise. C’est pour cette raison que, par esprit de vulgarisation, l’un des moyens les plus pratiques pour décrire le logiciel de Common IT était de dire « c’est un peu comme du Citrix, mais pour un navigateur ». Avec le support des protocoles de Terminal Server et de l’ex Metaframe (et ses évolutions Xenxxx), ce raccourci imprécis rend les choses encore un peu plus difficiles à situer. Disons qu’il est désormais possible, avec le navigateur virtuel, de passer indifféremment d’une application Web à un serveur d’applications Citrix ou TSE sans qu’il soit nécessaire de charger un programme spécifique sur le poste client.

La Conférence Développeurs Microsoft USA en ligne : toutes les vidéos en accès gratuit ainsi que les analyses en français sur Multimedia et Azure, Silverlight 4, Visual Studio ou IE9.0.

Autant les premiers communiqués de l’Owasp (Open Web Application Security Project) se limitaient à une sorte d’inventaire des risques pouvant mettre en danger une architecture Web, autant l’édition 2010 est une petite merveille d’information structurée, de renseignements utiles… En un mot, la préversion de ce « hit parade des dangers Web et comment les éviter » frise une bonne méthode ou une analyse de risques. Ce n’est pourtant pas de cette manière qu’est présenté ledit document. C’est tout au plus un vadémécum qui renvoie aux autres ouvrages publiés par l’Owasp, et qui, eux, plongent plus profondément sur les méthodes de développement. Sur une vingtaine de pages, ce guide dresse tout d’abord une liste des attaques les plus courantes. Pour chaque attaque, une fiche pratique d’une page pose les deux questions fondamentales de l’administrateur Web (suis-je vulnérable et comment puis-je m’en préserver), accompagne ces interrogations d’une explication lapidaire d’un scénario d’attaque, et fournit une série d’URLs pointant sur les chapitres de référence soit d’un ouvrage de l’Owasp, soit d’un document du CWE.

Ah !Si les « top ten » du Sans, du CSI-FBI et autres organismes pouvaient être aussi clairs…

Tout commence par un bulletin d’alerte 977981 et un billet sur le blog du MSRC, qui préviennent tous deux d’une faille à priori non exploitée publiquement affectant I.E. 6 et 7. Le conseil logique étant bien entendu de « migrer vers I.E. 8 » ou, tout au moins, de désactiver l’active scripting, compte tenu du fait qu’un PoC relativement instable est publié dans les colonnes du Bugtraq. Mais deux jours ne se sont pas écoulés après cette annonce qu’une autre alerte est émise… I.E. 8 est à son tour victime d’un défaut facilitant une attaque en cross-site scripting provoqué, comble de l’ironie, par un mécanisme servant à protéger le navigateur contre les XSS. La présence de ce trou a été révélée par Dan Goodin, correspondant du Register aux USA. Les détails sur l’exploitation et l’origine de l’information n’ont pas été dévoilés au moment où nous rédigeons ces lignes.

Anxieux s’abstenir, brigbrotherophobe, passez votre chemin. Wired nous apprend que la filiale US de DeCode Genetics, une entreprise Islandaise spécialisée dans l’analyse génétique vient de déposer le bilan. Sic transit gloria mundi.

Et les défenseurs des libertés individuelles s’en émeuvent. Car DeCode US possède un fichier et une collection d’empreintes à faire pâlir le réalisateur de Bienvenue à Gattaca. Car tout comme dans le film d’Andrew Nicoll, cette entreprise était spécialisée dans la détection des risques de maladies ou de prédispositions génétiques. Que va devenir ce thésaurus ? Le repreneur, Saga, assure que jamais ces données ne seront revendues à des médecins, des employeurs ou pire, des compagnies d’assurance. Mais rien n’interdit, craignent certaines ligues de défense de la vie privée, que ces mêmes données soient revendues à des laboratoires, après anonymisation, et que ladite anonymisation puisse être levée grâce à des séries de recoupements.

Dans un dernier sursaut visant à remettre la main sur quelque-chose qui lui échappe totalement, le Sénat US tente de promulguer un nombre de plus en plus important de lois de surveillance IP. Ainsi deux textes proposés la semaine passée. Le premier vise à rendre hors la loi toute installation de logiciel de partage de fichier « P2P » sur les ordinateurs des fonctionnaires. Souci légitime, dira-t-on, car qui d’autre que le gouvernement lui-même se doit de montrer l’exemple ? Las, la notion de P2P est mieux comprise outre-Atlantique que dans le quartier des Ministères à Paris. Et, pour ne pas inventer de prétendus firewalls bureautiques, les promulgateurs ont strictement défini ce qu’était un échange de fichier P2P. Histoire de ne pas entraver le business d’eBay (donc de Skype, qui repose sur un réseau P2P) ou de Microsoft, vendeur de Groove, et de centaines d’autres applications professionnelles. Clauses de précaution qui se traduisent par une énumération intéressante de ce qui n’est pas frappé d’interdiction. Et notamment ce qui « transmit or receive email messages, instant messaging, real-time audio or video communications, or real-time voice communications ».

Au moment même où ce texte sera appliqué (s’il l’est un jour), les derniers utilisateurs de eMule et autres clients Bittorent seront tous passés au « streaming », parfois même encapsulés dans un vpn. Ceci précisé, il faut admettre que l’Administration Obama ne dépense, pour l’occasion, que quelques octets sur un serveur d’annonces officielles et quelques grammes de salive du rapporteur. En France, nous explique notre éminent confrère Marc Rees, de PCinpact, chasser des utilisateurs d’anciennes technologies n’a pas de prix.

L’autre texte, plus « Loppsi » dans son approche, est dénoncée par Pierre Caron du Cert Lexsi. Cette fois, la proposition de loi américaine tente de reporter la responsabilité des « contenus à caractère usurpatoire » sur les fournisseurs d’accès (le mot usurpatoire pouvant couvrir la protection des identités, des marques, des données privées etc). Dans les grandes lignes, un site de phishing hébergé au Kamchatka pourrait, en raison de l’imprécision de la loi, valoir les foudres de la justice à un opérateur de structure situé sur le sol américain et par voie de conséquence, tout FAI situé en aval de cette structure. Flou également sur les critères de filtrage, la nature du filtrage.. on est, une fois de plus, mis en présence d’un texte visiblement plus étudié pour exercer une censure politique, économique ou d’intérêts communs, que pour protéger l’usager. Il n’est bien sûr pas question de souhaiter inquiéter le responsable premier de la menace, autrement dit le site de phishing lui-même (voir à ce sujet les répartitions géographiques desdits sites tenues par l’Antiphishing Working Group ).

Pierre Caron insiste sur l’importance nécessaire d’une certaine forme de contrôle d’internet, de la fin de cette phase anarchique qui a présidé à sa naissance. Il insiste également sur les risques de dérive provoqués par le flou artistique entretenu autour de ce qui doit être filtré. « Du moment que le dispositif de filtrage existe, même mis en place initialement à des fins légitimes, alors la tentation de la censure sera telle que les Etats y succomberont un jour ou l’autre ». La phrase est exacte, seul le temps du verbe devrait-être corrigé. Gouverner, c’est prévoir disait Emile de Girardin. L’on ne peut imaginer qu’un politique ne puisse émettre une proposition de loi sans envisager les cas extrêmes de son utilisation. Ce que certains prennent pour des « dérives extrêmes » pourraient bien être pour d’autres un but sciemment visé.

C’est un rapport annuel tout en « puissances de 10 » que nous offre l’équipe de Symantec :

– Une proportion des malwares dans le spam multiplié par 9

– Un volume de vente –et d’installation- des faux antivirus qui dépasse 43 millions de licences

– 14,4 millions de tentatives de drive by download sur une période de 60 jours

– Un volume de spam atteignant 95% des échanges de mail

– 403 cas avérés de pertes de données résultant en un total de 220 millions d’enregistrements exposés

Si les chiffres du spam n’étonnent hélas plus personne, ceux des « ventes » de faux antivirus (car ces logiciels sont bel et bien vendus) dépassent l’entendement. A raison de 40 dollars la licence, on frise un chiffre d’affaires de 2 milliards de dollars.

2009 nous a également apporté plusieurs nouvelles formes de hacking, et notamment le piratage d’informations ou l’usurpation d’identités dans le cadre des réseaux sociaux. Ce fut également l’année du distributeur bancaire, avec l’apparition (on l’eût presque oublié) du premier virus Troyen implanté sur un DAB. Même si ce programme, avait-on estimé à l’époque, avait été déposé « manuellement » sur le disque de la machine, cela n’empêche pas les gourous de Symantec de prévoir de nouvelles tentatives au cours de l’année 2010.

Autre prévision catastrophistes, l’accroissement des url de phishing ou de drive by download véhiculées par les outils de messagerie instantanée. Jusqu’à présent, les « tofs de ma sœur » ne parvenaient à tromper que quelques ados. Avec l’adoption de plus en plus grande de ces moyens de communication en entreprise, le volume de ces attaques pourrait croître selon un facteur de 1 à 12.

La suite de l’étude est globalement sans surprise. Nette croissance des botnets et des infections en utilisant les rouages –Zeus en tête-, exploitation de plus en plus intensive des faits divers et des événements de la vie courante (noël, le virus de la grippe, le crash du vol 447) pour propager des malwares en tous genres, le retour du spam à des niveaux semblables (voir supérieurs) à ce qu’il était avant la fermeture de McColo… les analyses des différents professionnels de la sécurité se suivent et se ressemblent.

Les problèmes de sécurité propres –ou conséquence de- la virtualisation sont généralement difficiles à cerner. Nouvelle technologie, matraquage marketing des principaux vendeurs qui jurent leurs grands dieux de l’invulnérabilité de leurs produits (à tel point que virtualiser est parfois présenté comme une forme de protection absolue), effervescence de « solutions de sécurité » prétendant résoudre des problèmes que d’autres assurent ne pas exister (de l’antivirus au routeur) filtreur virtuel en passant par les outils de déploiement etc… il est difficile de s’y retrouver, même pour un administrateur chevronné.

Pour lui, et pour tous les DSI, CSO et RSSI en cours d’étude de faisabilité, l’Enisa vient de publier un document de plus de 120 pages, Cloud Computing, Benefits, risks and recommendations for information security. Comme d’habitude, une approche méthodologique précise, presque normative et chirurgicale de la gestion de risques dans une architecture Cloud. Les premiers chapitres s’attachent principalement à l’aspect virtualisation de la chose, puis à la notion de sous-traitance, de Saas, et même de coûts. C’est un document manifestement très important, qui permet à l’architecte d’un projet en « cloudification » d’établir une priorité des tâches et des fonctions selon une perception des risques « par tranche de travaux ».

Plus « léger », mais oh combien plus compréhensible lorsque l’on n’est pas un sorcier du virtuel, ce petit papier signé Tyler sur le blog de Neohapsys. « La virtualisation : où et quand ? » décrit en moins d’une page les principaux points névralgiques, une taxinomie des problèmes potentiels que l’on peut rencontrer dans une telle opération. Ainsi le manque d’attention que l’on peut porter aux serveurs-commodités (serveurs mail, DNS, back-office, ressources de fichiers …), qui disparaissent des listes de travaux d’entretien et de surveillance une fois qu’ils ont été « mis en boîte ». Ainsi encore la trop grande rapidité que l’on a à installer un serveur de virtualisation en mode « quick and dirty », sans que l’on ait eu la peine de durcir ledit serveur. Ainsi enfin les hiatus potentiels posés par les outils de développement, la quasi impossibilité sur certaines plateformes de poser des IDS ou des firewalls à l’intérieur du réseau virtuel reliant des serveurs tout aussi virtuels et hébergeant des applications métier qui exigent parfois certaine sécurité (l’auteur mentionne notamment des architectures contraintes par une homologation PCI-DSS).