novembre 13th, 2009

FortiGate commercialise un nouvel UTM référencé 1240B. Cet appliance ffiche un débit de 40 Gbps en mode pare-feu et de 16 Gbps en mode VPN IPSec, avec 40 ports GbE dont 38 sont accélérés par des processeurs ASIC. La capacité annoncée approcherait 2 millions de sessions simultanées.

Le LHC de Ferney-Voltaire aurait, une fois de plus, été arrêté, suite à une panne provoquée par un… morceau de pain perdu par un oiseau survolant le site, nous apprend le Reg. L’accélérateur franco-suisse est gardé jour et nuit par une armée de vigiles et même quelques douaniers. Un couple de rapaces (munis de leurs passeports biométrique) pourrait peut-être éviter que se renouvelle une telle mésaventure.

En une minute, Markus Ranum explique sur Youtube tout ce que l’on doit savoir à propos de la sécurité du cloud computing. RSSI sérieux s’abstenir.

Firefox 3 .6 Beta 1 est disponible en téléchargement sur le site de la fondation. Une liste des nouvelles fonctions –et surtout des améliorations en terme de sécurité- à lire sur le blog de Tristan Nitot.

Lose/lose sur Macintosh, nous explique Laurent Heslault, Directeur des Technologies de Sécurité chez Symantec, est un jeu d’un genre nouveau. Derrière un jeu très classique de Space Invader se cache une espèce de partie de poker menteur : chaque vaisseau extra-terrestre abattu provoque irrémédiablement l’effacement d’un fichier situé sur le disque local. L’utilisateur est prévenu dès sont entrée sur la page de téléchargement, il ne s’agit pas d’un virus, mais d’une sorte de roulette russe : pas de propagation maligne, pas de « faux jeu cachant un code destructeur », mais simplement un programme divertissant cherchant à montrer à quel point est relatif l’attachement que nous-autres, informatisés, pouvons témoigner à l’égard de nos richesses numérique face à la promesse d’un bon moment de défoulement.

La célèbre Gigabyte en décembre 2003, peu avant son arrestation, avait pondu un petit programme fonctionnant à l’inverse de celui susmentionné. Des têtes de Graham Clueley défilaient à l’écran et le joueur devait bombarder le valeureux Dir-Com de Sophos avec des tartes à la crème. Probable influence du Gloupier, aussi Belge que Gigabyte. Chaque tête manquée provoquait l’installation d’une instance de virus – Qizy worm -. La partie terminée, une série de questions de rattrapage était posée au joueur et un « sans faute » nettoyait le disque dur de toute infection. Encore fallait-il tout connaître du langage utilisé par Gigabyte pour écrire le PoC Parrot, la disposition du clavier Belge ou, dans la série « Buffy », le nom du vampire ayant un circuit intégré dans le crâne ( Spike, alias William le Sanglant). Après de nombreuses enquêtes, personne, à la rédaction de CNIS, n’a pu retrouver la trace d’une seule personne infectée par ledit Qizy. Fait d’autant moins surprenant que ledit virus n’a jamais été diffusé « dans la nature » et n’a été communiqué qu’aux laboratoires d’analyse virale (dont celui de Sophos). L’affaire, comme tous ces « jeux viraux », amuse les hackers et excite les éditeurs d’A.V.

Une fois de plus, Bob Graham attrape un coup de sang. Car en lisant PC-World et en apprenant l’existence du logiciel (gratuit) Connectify, il réalise que n’importe quelle station de travail Windows 7 peut jouer le rôle de point d’accès pirate (rogue A.P. en langage wifiste). Graham explique d’ailleurs, au fil d’un pas à pas fort clair, comment combiner plusieurs cartes virtuelles pour réaliser un véritable réseau de proximité. Un réseau destiné à connecter les multiples accessoires 802.11 qui entourent un poste de travail : PDA, lecteurs MP3 perfectionnés, téléphones de nouvelle génération… en somme, tout équipement utilisant un brin WiFi pour se synchroniser ou accéder au Wan par le truchement du partage de connexion Internet (ICS). Une sorte de Bluetooth longue distance, en quelques sortes.

L’utilitaire Connectify, quand à lui, va un peu plus loin, puisqu’il autorise l’application d’ICS sur certaines cartes et adaptateurs USB 3G, afin de pouvoir partager un accès Internet par téléphone sans-fil (fonction de « proxy » que bon nombre d’opérateurs tentent désespérément d’interdire).

Ce Virtual Wifi là n’est pas une idée nouvelle. Elle remonte même à octobre 2005, date à laquelle Microsoft annonce son existence, idée développée en collaboration avec l’université de Cornell. Le but de Virtual WiFi était alors d’inventer une couche de transport intégrant des fonctions « Mesh ». Un véritable Mesh, autrement dit une infrastructure constituée de nœuds réseau capables de jouer indifféremment le rôle de carte client, éventuellement de point d’accès, et surtout de transpondeur. La notion de transpondeur est peu connue dans le domaine des réseaux sans-fil. Elle permet à une station très éloignée de son point d’accès légitime (en d’autres termes de l’A.P. appartenant à un même réseau caractérisé par un SSID commun) d’utiliser n’importe quelle carte WiFi passant à sa portée pour que celle-ci lui serve de réémetteur. Y compris si cette carte n’appartient pas au réseau concerné et travaille avec un tout autre SSID. Le tout, bien entendu, sans qu’il soit possible à l’intermédiaire de déchiffrer le contenu des datagrammes.

L’on comprend donc que le principal écueil dans l’établissement d’un réseau de type mesh, ne soit pas simplement une question de drivers ou d’écriture d’un mode « passerelle ». C’est surtout la conception d’un protocole de routage très particulier, capable d’établir une route géographique en fonction d’un chemin radio sujet aux aléas de la propagation des ondes. De tels protocoles existent depuis l’aube des années 80 ( RSPF notamment, une sorte de RIP radio) mais jamais appliqués aux communications Wifi… tant que les principaux opérateurs de services voyaient leurs revenus s’accroître en vendant de la communication facturée à la minute, il n’y avait strictement aucune chance pour qu’un médium grand-public potentiellement gratuit voit le jour.

Ce n’est peut-être plus le cas aujourd’hui. Le « poids » des liaisons binaires commence à peser lourd dans la gestion de la bande passante des opérateurs de téléphonie. Surtout depuis la généralisation des forfaits « Internet Illimité ». Un mécanisme de délestage des liens GSM pourrait séduire plus d’un Orange ou Bouygues. Surtout si cet outil de délestage est exploitable par les smartphone dotés de WiFi, capables d’emprunter un « wormhole » 802.11 (même si celui-ci parcours un trajet un peu alambiqué). Dans ce genre d’architecture et de « dérivation de trafic » capable d’utiliser un chemin en fonction d’un routage LCR (least cost routing), l’on retrouve une partie des travaux de Joseph Mitola et de sa conception des réseaux cognitifs.

Pour l’heure, la couche Virtual WiFi de Windows 7 est incapable de gérer des demandes de type « packet transponder » (ou digipeating) chiffré et appartenant à un autre réseau que ceux pour lequel il a été configuré. Mais le socle de développement est là, solidement intégré, et vieux déjà de plus de 5 ans. Le programme Connectify, quand à lui, tente de corriger les principaux défauts qui entachaient les développements de Cornell en 2005. A commencer par l’indigence des types de cartes prises en compte.

Est-il nécessaire de préciser que Virtual WiFi peut offrir une foultitude de possibilités aux chercheurs sécurité. C’est à la fois un outil capable de simuler un foisonnement de cartes 802.11 (un « véritable » FakeAP, parade potentielle aux attaques en wardriving), un accessoire très probablement utilisable dans le cadre d’une attaque MIM, un outil de segmentation propice à cacher des périphériques sans-fil que l’on ne souhaite pas voir apparaître sur l’écran d’un sniffer… et ainsi de suite, ad libitum.

OpenWRT est un firmware d’une puissance remarquable. Il offre, une fois installé sur un routeur WiFi grand public généralement vendu aux environs de 40 euros, les fonctions d’un équipement haut de gamme commercialisé aux environs de 600 à 1000 euros. QoS, gestion des VPN, prise en compte et administration de Vlan, multiples serveurs DHCP, administration fine des règles de filtrage via IPtable… Las, l’interface d’OpenWRT est, c’est le moins qu’on puisse dire, relativement spartiate. Un concours a donc été lancé par Ubiquiti Network pour encourager le développement d’une interface d’administration graphique. Le résultat vient d’être rendu public : c’est Netshe et PyCi qui remportent ex-æquo la première place. OpenNet obtient le second prix, mais ne doit pas être vu comme un participant de « moindre qualité ». Ce développement est complémentaire des deux autres, et sert à pouvoir déployer et administrer à distance un réseau complexe de routeurs sans-fil. C’est donc plus une console d’infrastructure.