décembre, 2009

Ô nuit désastreuse ! ô nuit effroyable, où retentit tout à coup, comme un éclat de tonnerre, cette étonnante nouvelle : Karsten Nohl et Chris Paget ont démontré, lors de la 26C3, comment casser le chiffrement A5/1 du GSM. Enfin… pas tout à fait, car ce genre de démonstration avait déjà fait l’objet d’une autre conférence, signée par le THC (The Hacker’s Choice) il y a environ 3 ans. A l’époque, le THC étudiait un prototype de cassage de clef en « brute force » à l’aide d’une batterie de FPGA. Nohl et Paget ont opté pour une approche « soft », et ont plus précisément publié une « rainbow table » facilitant le cassage du A5/1.

La GSM Association, dans un brusque sursaut d’intelligence, s’est immédiatement élevée contre cette annonce, en déclarant que cette étude frisait l’utopie compte tenu de la complexité de sa mise en œuvre, et que de toute manière, ce genre de chose était illégal. En d’autres termes, participer à une conférence sécurité prévenant officiellement et ouvertement d’un risque, même potentiellement peu probable, est illégal. Ergo ne pas en parler –même si des personnes peu scrupuleuses en profitent- est en revanche tout à fait admissible. La conception de la sécurité chez les boutiquiers de la minute de communication a toujours été une source d’humour au vingtième degré qu’il est parfois difficile d’apprécier à sa juste valeur. L’on aurait peut-être préféré que cette association déclare officiellement le passage généralisé au chiffrement A5/3.

Qu’est-ce que ce hack signifie ? Simplement qu’il est théoriquement possible de déterminer la séquence de « sauts de fréquence » utilisée par le mécanisme de modulation du GSM. C’est un bel effort mathématique, mais qui exige tout de même la présence d’une bonne puissance de calcul et de deux récepteurs SDR (radios à définition logicielle), appareils dont l’usage n’est effectivement pas à la portée du premier venu et dont le coût est quelque peu élevé. Les différents articles traitant du sujet avance un investissement de 4000 $ environ… cette estimation est nettement sous-évaluée.

Rappelons que la vulnérabilité du GSM est un sujet très prisé des chercheurs en sécurité. Outre le THC, Zane Lackey et Luis Miras ont imaginé, lors de la dernière BlackHat, un scénario d’attaque reposant sur l’usage de SMS. David Burgess et Harald Welte se sont également intéressés aux vulnérabilités exploitables par SMS/MMS, à la possibilité de monter un réseau gsm « parallèle », au reverse engineering des cartes SIM et autres sujets propres à provoquer un infarctus à un membre de la GSMA. Soyons rassurés, toutes ces choses étant illégales, il est impensable que qui que ce soit puisse imaginer reproduire ces manipulations techniques.

L’on serait presque habitué à l’aspect provocateur des études de Message Labs. Cette entreprise spécialisée dans l’externalisation de la messagerie d’entreprise, récemment absorbée par Symantec, dresse pourtant un schéma fonctionnel assez convainquant de l’industrie du spam. Schéma assez long à digérer (il s’agit de son rapport annuel sur la cyberdélinquance et les malwares) puisque l’étude s’étend sur une soixantaine de pages. L’on y apprend que le volume moyen de spam dans le monde frise les 107 milliards de pourriels émis chaque jour, dont 89,5 milliards expédiés par un contingent de botnets classés par ordre d’efficacité : Rustock (2 millions de postes zombifiés), Cutwail (1 à 1,5 million), Bagle (800 000), Bobax/kraken (80 à 120 000), Grum qui, bien que ne comptant « que » 600 à 800 000 bots, est responsable de près de 20% du spam mondial. Viennent ensuite Maazben, né en mars dernier et déjà fort de 300 000 nœuds, représentant 2% du spam mondial mais bien plus en nos contrées, car essentiellement spécialisé dans le pollupostage francophone et germanophone vantant les mérites des jeux de hasard en ligne. Ce n’est hélas par tout. Il faut également compter avec Festi (né en août, et déjà 200 000 bots), Mega-D, celui qui reprit les affaires après la chute de McColo, Xarvester, en long déclin, Gheg (relativement actif en France) ou DonBot, le batelier du Don. Au total, 5 millions de machines spammeuses asservies, 30 000 noms de domaines uniques servant à héberger des malwares, 73 millions de malwares et variantes et près de 2500 nouveaux sites infectés quotidiennement. Les données brutes sont impressionnantes, plus impressionnantes encore sont les imbrications de certains montages visant à escroquer les victimes.

Profitons du sujet pour signaler que, depuis 3 semaines déjà, une série d’attaques en phishing déclenchées par des courriels d’incitation rédigés dans un excellent Français visent essentiellement les clients Paypal et Free (sujet : notification de modification de contrat) . L’attaquant est manifestement francophone, probablement même Français. Le registrar et également hébergeur Arsys (hispano-français) tente de bloquer les sites faisandés au « coup par coup ». Combien ces attaques « rapportent-elles » d’adresses ? Quelle métrique peut-on espérer obtenir sur le degré de vulnérabilité des Français face à ces attaques de phishing ? Impossible à dire, ces informations étant confidentielles et réservées au seul usage de l’abonné, insiste-t-on chez Arsys. Louable souci visant à préserver la quiétude des webmestres spécialisés dans ce genre de business. Chez Free, plusieurs jours après le début de l’attaque, une page d’information, cachée au détour d’une arborescence, prévient les « freenautes » qu’il est peu prudent de confier des informations bancaires en ligne. Sur la « home page », ce serait faire trop de cas des activités de ces aigrefins et des sots qui seraient tombés dans un tel piège. Caveat emptor, dit-on Outre-Atlantique. Vae Victis, de l’autre côté du Tibre. C’est pas mes oignons rétorque-t-on en Gaule.

« Lorsque John Spears rentre du travail, il se cale confortablement dans un fauteuil, débouche une canette de bière et échange, une heure durant, sa casquette de vendeur new-yorkais contre celle de « shérif virtuel » en train de surveiller sur internet la frontière mexicaine » nous raconte Claire Prentice de la BBC. A la moindre ombre suspecte, ce « volontaire » expédie un signal d’alerte qui sera, à son tour, analysé par le bureau du véritable shérif, situé à proximité du « point sensible ». John Spears n’est pas seul. Avec lui, 130 000 passionnés de délation situés un peu de partout dans le monde (de la Grande Bretagne à la Nouvelle Zélande, en passant par Israël ou la Colombie) contribuent à défendre les USA contre les passeurs de drogue et peut-être un peu contre les immigrants clandestins.

Ce volontariat au flicage peut paraître moralement discutable, voir totalement orwellien pour un européen en général et un Français en particulier, pour qui le mot « milicien » résonne sinistrement dans toutes les mémoires. Pour les instigateurs du Border Watch, ce n’est jamais que l’extension naturelle d’une pratique courante Outre Atlantique, celle du « neighbourg watch », ou collectif de surveillance de quartier. Le climat de psychose, entretenu par les médias grand public et les discours politiques sécuritaires, concourent à la prolifération de ces associations locales, généralement florissantes dans les zones pavillonnaires « middle class », mais inexistantes dans les quartiers défavorisés.

Deux urls et quelques chiffres pour déconstruire le mythe du malware téléphonique dans les colonnes d’IT Knowledge Exchange : les URL tout d’abord. Celle d’une étude Nielsen sur la répartition par constructeur du marché des téléphones. L’iphone plafonne à 4%, talonné par les Blackberry 83xx (3,7% ; au total, RIM totalise 6% de la base installée) suivis par les Motorola V3 (2,3%). Ces chiffres reflètent l’état de l’art du marché américain (origine confirmée par les contenus Web et vidéo consultés avec lesdits terminaux mobiles). Mais il y a très peu de chances que les proportions soient très différentes en nos contrées. 4% d’un marché, ce n’est généralement pas suffisant pour faire lever dès potron-minet un développeur de code infectieux. Le marché du Macintosh et de Linux en est une preuve indiscutable et quotidienne.

Et ce n’est pas près de changer, compte tenu de l’inertie du marché. Au prix de l’iPhone, les usagers essayent de faire durer leur terminal le plus longtemps possible. Au moins durant les deux années du contrat initial liant les clients américains à leur opérateur. Et l’arrivée de Google va contribuer à atomiser encore plus le nombre de plateformes. En d’autres termes, semble dire Robert Westervelt, l’auteur de l’article, plus le marché est captif, plus il y a de concurrence, moins il existe de compatibilité et de standardisation, moins risque-t-on de cyber-attaques téléphoniques à coup de Skud viraux via SMS et de Pershing troyens par emails interposés. La seconde URL pointe sur une étude du Gartner, qui dresse plus ou moins le palmarès des noyaux embarqués dans les téléphones intelligents. Premier toutes catégories confondues : Symbian, avec 50% du parc mondial (ndlr : des téléphones « intelligents », qui ne sont pas encore, malgré une forte progression, en majorité par rapport aux terminaux « romés » d’entrée de gamme). Mais là encore, les multiples différences d’intégration et surtout le morcellement du marché par pays, opérateur, voire même des limitations spécifiques à certaines formules d’abonnement rendent la conception d’un «Conficker du cellulaire » quasiment impossible à imaginer à l’heure actuelle. Demeurons vigilant, conclut l’auteur, mais ne sombrons pas dans la paranoïa.

Consensuel. Le choix d’Howard Schmidt au poste de « coordinateur cybersécurité » de la Maison Blanche rassurera aussi bien les Républicains que les Démocrates. Les uns parce que Schmidt fut déjà le conseiller cybersécurité de l’administration Bush, les seconds parce qu’il a été nommé par Obama. L’on pourrait ajouter que son expérience passée, tant dans l’administration qu’aux différents postes qu’il a assuré dans l’industrie (notamment chez Microsoft et eBay) font de lui le candidat « politiquement le plus apte ». Security News consacre deux articles à l’ événement, le Focus publie sa bio, même F-Secure se fend d’un « bonne chance au nouveau Tzar de la sécurité ».

Schmidt devra avant tout coordonner les initiatives visant à sécuriser les différentes infrastructures télécom modernes des Etats-Unis, notamment les architectures Scada (réseaux énergie, transports, télécoms, eau…). Depuis plusieurs mois déjà de nombreux rapports et études préparent les esprits à la nécessité de structuration d’une « défense passive » des artères informationnelles des USA : états sur les cybermenaces militaires d’origines Russe et Chinoise, statistiques souvent alarmistes sur l’influence des activités mafieuses sur Internet, chiffres réellement inquiétants sur le montant parfois impressionnant des fuites de données affectant l’Administration ou les infrastructures universitaires et médicales. Un grand chantier fondamental qui n’a rien à voir avec les gesticulations d’autres « superflics de l’Internet » qui devront chasser les voleurs de poules du téléchargement illégal.

Le travail d’Howard Schmidt sera-t-il couronné de succès ? rien n’est moins sûr. Jusqu’à présent, les multiples « Tzars de la cybersécurité » qui se sont succédés à la Maison Blanche n’ont été à l’origine que de « mesurettes » timides et peu efficaces, faute de moyens financiers importants, faute surtout de véritable pouvoir exécutif.

Mais cette crainte ne semble pas partagée par tous. A peine la nomination de Schmidt officialisée que Melissa Hattaway milite pour la création d’une sorte d’Otan de la cyberdéfense. Cette ex-conseillère de l’Administration Bush et Acting Senior Director for Cyberspace sous l’Administration Obama, généralement très écoutée par toutes les tendances politiques US, publie un long texte sur Executive Biz expliquant pourquoi il est nécessaire de créer une Task Force internationale pour lutter contre le crime organisé. Les motivations sont, sans le moindre doute, louables, mais très souvent c’est dans la traduction de ces grandes idées en textes de loi et en organisation administrative que ces grandes initiatives de défense tournent rapidement en déconfiture aussi kafkaienne qu’inefficace. S’il est indiscutable qu’un dialogue inter-polices doive s’établir afin de mieux lutter contre les opérations cybermafieuses, il est avant tout nécessaire que chaque pays commence par légiférer sérieusement sur certains fondamentaux. A commencer par des législations antispam non permissives, une responsabilisation directe des registrars et des hébergeurs, et un strict refus par les états d’utiliser des méthodes de voyous. Que cela concerne l’usage de spywares « officiels » ou l’exploitation de fichiers que l’on sait volés. Avant que de telles dispositions soient observées, l’initiative de Melissa Hattaway risque de ne donner naissance qu’à un organisme de plus, aussi efficace que le fut la Société des Nations.

Soroush Dalili, chercheur de Secproject, offre aux webmestres une méthode de spoofing joliment empaquetée : le point virgule en fin d’extension d’url. La méthode serait particulièrement efficace avec toutes les éditions d’Internet Information Server.

Le principe est simple : pour éviter de véhiculer des contenus dangereux, les administrateurs de sites filtrent généralement les liens en se basant sur la nature de l’extension des fichiers réputés dangereux. A commencer bien sûr par les contenus actifs, ASP et autres cousins. Mais la détection de cette fameuse extension, explique Soroush Dalili, peut être annihilée par le simple ajout d’un «point virgule » situé immédiatement après le suffixe réel. Du coup, un KillerApp.asp;.jpg sera invisible aux systèmes de filtrage et pourra s’exécuter puis infecter les visiteurs du site.

D’interminables discussions byzantines sur la dangerosité réelle de la découverte escortent déjà cette publication. Bénigne selon certains, qui ne voient là qu’une méthode de forgerie facile à corriger ou à contourner, dramatique pour d’autres. En l’absence de correctif, cette faille pourrait s’avérer aussi dangereuse que le furent les extensions .com déguisées en lien.

Un article de la « Catholic News Agency » révèle que, histoire de lutter contre le vol de propriété intellectuelle, le Vatican a décidé de protéger par copyright le nom, l’image et les symboles papaux. De ce fait, l’usage du terme « pontifical » et autres mots désignant l’héritier de Paul de Tarse sont désormais soumis à approbation urbi et orbi du possesseur en titre de la charge. La hiérarchie épiscopale se place donc sous le bouclier séculier de la loi, dans la situation de toute entreprise commerciale souhaitant protéger des produits manufacturés ou des œuvres d’imagination, et non plus (signe des temps) comme une autorité éditant ses propres lois et appliquant sa propre justice. Il n’y aura donc pas de Torquemada de l’anti-pape, tout conflit se règlera devant un tribunal civil. Lequel ? Nul ne le sait, car la notion de copyright n’est pas exactement celle visant à protéger les auteurs-compositeurs telle que définie par la convention de Rome (riante bourgade située dans les faubourgs du Saint Siège).

On l’a échappé belle. Car sans le recours à un tribunal civil indépendant, les foudres des inquisiteurs auraient pu s’abattre sur les contrevenants. Citer un poème de Prévert : trois pâtés et un avers (ou l’inverse) ; Faire des bulles : dix génuflexions sans les mains ; Faire tonner le canon sans en avoir le droit : 12 cierges ; Faire artistiquement du bois par les deux bouts * : une mise à l’Index ; Prénommer sans autorisation baptismale un enfant Pierre, Jean, Paul, Jean-Paul, voire Anastase, Hilaire ou Miltiade , avec ou sans immatriculation : 2 indulgences à renouveler à chaque anniversaire et avant les repas ; Porter tiare sans autorisation ou oser douter que la papamobile ça sert d’auto : une purgation au purgatoire ; Ecrire un article sur un tel sujet : l’ordonnance d’une Ordalie ou excommunication…

Reste que ce précédent risque de faire des émules (ne cédons pas à la facilité). Imaginons un instant que les autres professionnels de la religion suivent cet exemple. Il ne sera bientôt plus possible de mentionner le moindre acte d’un primat sans prendre les précautions d’usage : © Patriarche d’Alexandrie, Dalaï-lama ™ ou la Première Présidence de l’Église de Jésus-Christ des saints des derniers jours All right reserved y compris l’URSS, breveté SGDG. Le plus petit compte rendu de conclave œcuménique se transformerait vite en une magistrale succession de « disclaimers » pondus par une horde de conseillers juridiques de tous bords.
Rédigé en ce 23 Sable 137 Apr.Ubu., Ste Ste Viole, vierge et martyre **

NdlC Note de la correctrice : solution : Archiépiscopaux. Les amoureux de Pierre Etienne l’auront immédiatement deviné. **L’estampille est celle du Calendrier Pataphysique tel que dicté par l’Esprit du Docteur Faustroll.

Seconde édition du « Guide des points critiques à prendre en considération dans le cadre du Cloud Computing » du Cloud Security Alliance (CSA) vient d’être mise à disposition publique. C’est là un pavé de 76 pages, d’un style parfois tellement amphigourique et dialectique qu’il est nécessaire de relire plusieurs fois certains passages. Mais pavé indispensable car bien plus concret que ne l’était l’édition précédente. Cette version du Guide est à la fois une méthode facilitant l’analyse du bien-fondé d’une éventuelle « cloudification » de l’informatique d’entreprise, et également une check-list des points à vérifier en cas de migration. Et plus particulièrement 13 domaines à surveiller comme le lait sur le feu, dont la réponse aux incidents, le chiffrement, les gestions des clefs, des identités, des accès etc. En somme, les bonnes questions à poser à chaque prestataire avant de signer un contrat.

Le prochain ouvrage du CSA risque d’être tout aussi important, puisqu’il abordera les problèmes de conformité et devrait être accompagné d’outils facilitant l’évaluation des prestataires en matière de normes (PCI-DSS, ISO 2700x …).

Roman d’horreur , ou quand un patron perd son ordinateur portable et se rend compte que cette bévue profite « par hasard » à son concurrent le plus direct. Histoire vécue (peut-être) par un CEO qui n’écoutait pas son RSSI

Réflexions sur les attaques NTLM par réflexion, un article technique signé Takehiro Takahashi et publié sur le blog de la X-Force. Un éclairage historique de cette faille qui toucha (presque) tous les navigateurs.