décembre 22nd, 2009

Roman d’horreur , ou quand un patron perd son ordinateur portable et se rend compte que cette bévue profite « par hasard » à son concurrent le plus direct. Histoire vécue (peut-être) par un CEO qui n’écoutait pas son RSSI

Réflexions sur les attaques NTLM par réflexion, un article technique signé Takehiro Takahashi et publié sur le blog de la X-Force. Un éclairage historique de cette faille qui toucha (presque) tous les navigateurs.

Grincements de dents au Pentagone, où l’on commence à réaliser que les liaisons vidéos des drones de l’USAF utilisés en Iraq ne sont protégées par aucun mécanisme de chiffrement. Le Wall Street Journal et CBS News parmi tant d’autres, rapportent que des preuves tangibles de cette faille de sécurité étaient connues de l’armée avec certitude au moins depuis juillet de l’an passé. Date à laquelle des séquences vidéo prises par l’un de ces aéronefs télécommandés avaient été découvertes sur le disque dur d’un militant chiite. Un net soupçon d’exploitation avait même été soulevé depuis les années 90, sans qu’aucune action n’ait été prise. L’on pensait, dans les bureaux du haut commandement, que« les forces opposées ne sauraient pas comment exploiter cette information ».

Comment opéraient les espions d’avions espions ? simplement en utilisant une parabole télé avec son lnb, un démodulateur standard et Skygrabber, un petit logiciel à 25 dollars, d’origine Russe, précisément étudié pour récupérer les « feed » non chiffrés d’un Vsat ou assimilé. Ce hack était-il prévisible ? Bien entendu. Cela fait des décennies que des amateurs de tous bords surveillent les « liaisons non chiffrées » de communications techniques, qu’elles soient montantes ou descendantes. Matchs de football destinés aux chaînes payantes, contenus P2P des abonnés à l’Internet par satellite, informations plus sensibles diffusées par les réseaux privés… on récupère beaucoup de choses intéressantes dès lors que l’on écoute ce qui se passe dans la bande des 10 GHz. Si les galonnés d’Arlington et les gourous de General Atomics avaient eu la prudence de demander conseil à Canal + ou à HBO, cela leur aurait évité bien des surprises.

Cette mésaventure n’est jamais que le énième épisode d’une série de faits divers prouvant à quel point tout ce qui touche aux transmissions sans fil est superbement ignoré par les concepteurs de réseaux. Les arguments du genre « ce serait trop complexe à mettre en œuvre » et autres « les émetteurs sont si faibles que leur portée est limitée à 200 mètres » sont parmi les sottises les plus ressassées par des savants dont le spectre de connaissance se borne malheureusement encore trop souvent à leur seul champ d’application.

La presse spécialisée bruisse de la dernière mise à jour des statistiques de Conficker publiées par ShadowServer. Chiffres éloquents, puisque près de 7 millions de traces de Conficker ont été recensées durant le mois d’octobre. Même si les pays les plus touchés demeurent la Russie et bon nombre de pays situés au-delà de l’ancien rideau de fer, les Etats-Unis, la Chine, le Brésil et la Corée, l’état du réseau Français ne reflète pas une santé éclatante, avec un Proxad en 97 positions.

L’on pourrait éternellement discuter l’exactitude de la géolocalisation faite à coup de SNA. Il reste que le nombre d’adresses IP uniques donnant des signes d’infection par Conficker ne semble pas diminuer. François Paget de l’Avert, Brian Krebs du Washington Post, Bob Westerveld de Security News racontent, chacun à leur manière, comment interpréter cette montagne de chiffres. Combien d’ordinateurs sont réellement infectés par ce troyen ? Difficile, voir impossible à dire. Les statistiques de ShadowServer et du Conficker Working Group insistent sur le fait qu’une adresse IP peut tomber dans bien des cas sur une table de translation d’adresses masquant des dizaines ou des centaines de micros. Ce qui tendrait à prouver que le nombre de systèmes infectés pourrait largement dépasser la barre des 30 ou 40 millions. Mais d’un autre côté, les mécanisme DHCP mis en œuvre par les fournisseurs d’accès provoquent l’effet inverse, et tendent à attribuer plusieurs numéros IP à une même machine infectée durant un laps de temps donné. Etablir un bilan effectif de ce H1N1 de l’informatique relève donc souvent de l’exercice de divination transcendantale.