décembre, 2009

Grincements de dents au Pentagone, où l’on commence à réaliser que les liaisons vidéos des drones de l’USAF utilisés en Iraq ne sont protégées par aucun mécanisme de chiffrement. Le Wall Street Journal et CBS News parmi tant d’autres, rapportent que des preuves tangibles de cette faille de sécurité étaient connues de l’armée avec certitude au moins depuis juillet de l’an passé. Date à laquelle des séquences vidéo prises par l’un de ces aéronefs télécommandés avaient été découvertes sur le disque dur d’un militant chiite. Un net soupçon d’exploitation avait même été soulevé depuis les années 90, sans qu’aucune action n’ait été prise. L’on pensait, dans les bureaux du haut commandement, que« les forces opposées ne sauraient pas comment exploiter cette information ».

Comment opéraient les espions d’avions espions ? simplement en utilisant une parabole télé avec son lnb, un démodulateur standard et Skygrabber, un petit logiciel à 25 dollars, d’origine Russe, précisément étudié pour récupérer les « feed » non chiffrés d’un Vsat ou assimilé. Ce hack était-il prévisible ? Bien entendu. Cela fait des décennies que des amateurs de tous bords surveillent les « liaisons non chiffrées » de communications techniques, qu’elles soient montantes ou descendantes. Matchs de football destinés aux chaînes payantes, contenus P2P des abonnés à l’Internet par satellite, informations plus sensibles diffusées par les réseaux privés… on récupère beaucoup de choses intéressantes dès lors que l’on écoute ce qui se passe dans la bande des 10 GHz. Si les galonnés d’Arlington et les gourous de General Atomics avaient eu la prudence de demander conseil à Canal + ou à HBO, cela leur aurait évité bien des surprises.

Cette mésaventure n’est jamais que le énième épisode d’une série de faits divers prouvant à quel point tout ce qui touche aux transmissions sans fil est superbement ignoré par les concepteurs de réseaux. Les arguments du genre « ce serait trop complexe à mettre en œuvre » et autres « les émetteurs sont si faibles que leur portée est limitée à 200 mètres » sont parmi les sottises les plus ressassées par des savants dont le spectre de connaissance se borne malheureusement encore trop souvent à leur seul champ d’application.

La presse spécialisée bruisse de la dernière mise à jour des statistiques de Conficker publiées par ShadowServer. Chiffres éloquents, puisque près de 7 millions de traces de Conficker ont été recensées durant le mois d’octobre. Même si les pays les plus touchés demeurent la Russie et bon nombre de pays situés au-delà de l’ancien rideau de fer, les Etats-Unis, la Chine, le Brésil et la Corée, l’état du réseau Français ne reflète pas une santé éclatante, avec un Proxad en 97 positions.

L’on pourrait éternellement discuter l’exactitude de la géolocalisation faite à coup de SNA. Il reste que le nombre d’adresses IP uniques donnant des signes d’infection par Conficker ne semble pas diminuer. François Paget de l’Avert, Brian Krebs du Washington Post, Bob Westerveld de Security News racontent, chacun à leur manière, comment interpréter cette montagne de chiffres. Combien d’ordinateurs sont réellement infectés par ce troyen ? Difficile, voir impossible à dire. Les statistiques de ShadowServer et du Conficker Working Group insistent sur le fait qu’une adresse IP peut tomber dans bien des cas sur une table de translation d’adresses masquant des dizaines ou des centaines de micros. Ce qui tendrait à prouver que le nombre de systèmes infectés pourrait largement dépasser la barre des 30 ou 40 millions. Mais d’un autre côté, les mécanisme DHCP mis en œuvre par les fournisseurs d’accès provoquent l’effet inverse, et tendent à attribuer plusieurs numéros IP à une même machine infectée durant un laps de temps donné. Etablir un bilan effectif de ce H1N1 de l’informatique relève donc souvent de l’exercice de divination transcendantale.

Comment voler les identités elles-mêmes volées par les spécialistes du hameçonnage ? En confiant l’URL de phishing au travail de sape d’ Autowhaler, le pilleur de phishers. Démonstration vidéo dans les colonnes de SecurityHacks.

Le Sans publie l’édition 2.3 des « Vingt points de sécurité critiques à contrôler absolument ». Une liste qui change des statistiques alarmistes que les éditeurs émettent à qui mieux-mieux en cette fin d’année. Les « vingt points » du Sans sont un résumé méthodologique qui règlent le « gai informatiser », et dont les points d’entrée évoluent avec les menaces et les changements technologiques. A lire et à respecter, car l’on frise là une approche normative de la protection des S.I. Comme chaque année, certains fondamentaux ne changent pas et conservent une place importante. Notamment les deux premiers points de contrôle que sont l’inventaire des matériels et logiciels approuvés ou non que l’on peut inventorier dans un parc, suivi immédiatement de la bonne configuration desdits équipements autrement dit, du passage en revue des « configurations par défaut » si dangereuses dans bien des cas. Monitoring, contrôle des accès, restriction des privilèges élevés, ce sont avant tout des conseils portant sur l’administration générale du parc qui forment le socle de cette check-list. Les point les plus à la mode (défense périmétrique, DLP, antimalwares, surveillance des équipements sans-fils, tests de pénétration…) ne sont rangés que dans la seconde moitié du classement. De la méthode avant toute chose, et défense sans conscience n’est que ruine du S.I.

Déprimante étude que celle du britannique SquareTrade. Spécialiste des assurances en « extension de garantie », ce prestataire de services s’est penché sur quelques 30 000 dossiers de sinistres concernant des ordinateurs portables tombés en panne. Après 3 ans d’usage, un tiers des machines étaient défectueuses. Sur ces 30%, 20% des systèmes ont succombé à une panne matérielle et seulement 10% à un dommage accidentel. En d’autres termes, le premier ennemi de l’ordinateur-jetable, c’est lui-même, autrement dit le manque de fiabilité de son électronique.

En examinant les statistiques des pannes, la première constatation qui s’impose, c’est que le taux de panne suit une progression linéaire avec le temps. 7% la première année, 20% la seconde, 30% la troisième… passé 5 ans, les ordinateurs portables de nouvelle génération ont autant de chances de tomber en marche que de demeurer muet. Hors, 5 ans, c’est à peine la durée d’amortissement d’une machine dans le secteur grand public, au sein des TPE/PME et auprès des professions libérales.

Ventilés par constructeur, les résultats montrent que tous les portables ne naissent pas égaux. Champion du bug toutes catégories, HP/Compaq est classé bon dernier, avec 25,6% de taux de panne sur 3 ans. Le premier du classement, avec « seulement » 15,6% de taux de mauvais fonctionnement, s’appelle Asus. Asus dont la fiabilité des machine a souvent fait l’objet de remarques désobligeantes de la part de ses concurrents. Second à 0,1% d’écart, Toshiba, seigneur et maître du domaine et quasi inventeur du portable tel qu’on le connaît. Sony, Apple et Dell occupent les positions suivantes, chaque place accusant en moyenne 1% de taux de panne en plus. Un important écart de fiabilité sépare ce peloton de tête des autres marques, Lenovo, Acer et Gateway.

Si l’on peut qualifier de lapalissade les métriques prouvant que les portables « haut de gamme » ont un MTBF meilleur que celui des machines d’entrée de gamme, on ne sera pas surpris d’apprendre que la nouvelle vague des netbooks est plus fragile encore.

L’étude ne détaille pas l’origine de ces mauvais fonctionnements, mais un simple coup d’œil sur les stocks des ateliers de maintenance fournit des indications limpides. Souvent, c’est l’alimentation, ou plus exactement la prise mâle ou la prise châssis qui succombent par arrachement. Contre les crocs en jambe traîtreusement tendus par les fils, seul Microsoft semble avoir trouvé une parade, en équipant les cordons des manettes de ses Xbox de connecteurs d’arrachement. Pourquoi n’en trouve-t-on pas sur les fils d’alimentation ? Les ventilateurs de CPU et leurs échangeurs sont également des candidats au trépas rapide. Soit par panne du moteur (l’on dirait que les constructeurs recherchent en guise de fournisseurs les OEM les moins chers du continent asiatique) soit par encrassement et obstruction des évents de ventilation, souvent mal conçus. Mauvais qualité également au niveau des connecteurs internes et des nappes en circuit imprimé souple. Les inverseurs nécessaires au bon fonctionnement du rétro éclairage viennent ensuite ajouter leur lot de malheurs et de pannes thermiques. Combien de portables ont fini dans une décharge parce qu’une pièce de moins de 50 euros trépassait en exhalant une âcre fumée bleuâtre ? A cette liste l’on doit ajouter les pannes de disque dur, et enfin le mauvais contact sournoisement camouflé dans les contacts de matriçage de l’écran LCD. Une dalle dont le prix, après deux ans de fonctionnement dépasse généralement la valeur résiduelle de l’ordinateur.

D’un point de vue purement électronique, la majorité de ces pannes pourraient être évitées à moindre frais. Principalement en utilisant de meilleurs connecteurs, en repensant les évacuations thermiques, en ajoutant quelques centimes de silent-blocks. Mais il est vrai que, depuis ces 5 dernières années, le « green IT » est un luxe réservé à une infime minorité de machines (les serveurs), lois de la consommation obligent.

Selon le FBI, les victimes des faux antivirus auraient subi une perte de 150 millions de dollars. S’agit-il d’un chiffre nord-américain ou mondial ? Ces pertes représentent-elles le montant estimé des pseudo-licences vendues par les escrocs du scareware, ou y ajoute-t-on des « pertes induites » dont l’estimation est parfois discutable ?

La violation des correspondances privées par les services de police est, en France, un sujet quasi religieux à tel point que les cabinets noirs du Second Empire et les tripotages du Gouvernement de Vichy sont entrés dans les livres d’histoire. Mais avec la numérisation des correspondances, d’Hadopi en Lopsi et de Lopsi en ordonnances discrètes, le viol du secret de la correspondance sort de l’exception historique pour se transformer en une banale opération de police, soumise à un barème, à des tarifs patentés, publiés et mis à jour par le Ministère de la Justice.

Des tarifs qui nous apprennent que pour qu’un service de police obtienne la liste des numéros de téléphones mobiles ayant utilisé une cellule précise, et ce pour une journée entière, il ne faut débourser qu’une centaine d’euros. Le détail mensuel des appels entrants et sortants d’un abonné GSM, le tout associé aux cellules déclenchées (donc à la position géographique de l’appelant à la seconde près) vaut 35 euros HT. Et ce ne sont là que les plats de résistance les plus coûteux. Un numéro de code PUK nécessaire pour lire le contenu d’une carte SIM est vendu 6,50 euros et 17,50€ la « fadet » mensuelle (facture détaillée) de n’importe quel abonné au téléphone (gratuite pour l’abonné). L’identification d’un abonné ADSL/VoIP et le nom de son fournisseur d’accès est facturé 8,50 euros, et l’annuaire inverse (identification de l’abonné en fonction du numéro) est une opération ne dépassant pas les 0,65 centimes d’euros (contre 1,35 euro pour un particulier, gratuit pour les lignes fixes). Il est intéressant de préciser que certaines de ces demandes administratives entraînent ipso facto la communication, de la part de l’opérateur, des coordonnées bancaires de l’abonné soupçonné. L’ensemble des tarifs mentionnés s’entendent « hors taxes » ; les lecteurs intéressés par plus de détails peuvent se reporter au « Référentiel des réquisitions en matière de communications électroniques » disponible librement dans les archives du serveur américain Cryptome.

Si le montant des facturations peut paraître parfois dérisoire et propre à encourager de telles demandes à la simple invocation d’un complément d’enquête, il est en revanche important de rappeler que les tarifs des écoutes pèsent bien plus lourds dans le poids de la facture finale. Un récent article de nos confrères du Figaro estimait à un peu moins de 500 euros le coût d’une interception sur ligne fixe et moins de 100 euros une liaison GSM. Mais là encore, la technologie banalise l’acte. En l’espace de sept ans, le nombre de « bretelles » a augmenté de 440%. Chaque année (statistiques 2008) il s’enregistre un peu moins de 26000 dialogues téléphoniques et 40 000 SMS. Un volume « quinze fois moins l’Italie, douze fois moins que les Pays-Bas et trois fois moins qu’en Allemagne » rapportent nos confrères du « Fig » en citant un porte-parole du Ministère de la Justice. Ces oreilles indiscrètes ne seraient pourtant pas comparables avec ce qui se pratique sur Internet. La surveillance des communications sur le réseau publique, des « chats » à la lecture des emails et autres moyens d’échanges, constituerait 70% des interceptions globales, soit près de 60 000 enregistrements par an.

Les Ministères de la Justice et de l’Intérieur ne publient aucune statistique sur la proportion exacte des communications « probantes » par rapport à la totalité des écoutes et épluchages de communications. Une transparence semblable à celle en usage dans le secteur très convoité de la vidéosurveillance, dont on n’a toujours pas prouvé scientifiquement l’efficacité.

Les applications les plus appréciées par les auteurs d’exploits seraient, selon un classement Bit9, Adobe Acrobat, Flash Player, Reader et Shockwave, suivis de Quicktime, des navigateurs Firefox, Opera et Safari, la liste s’achevant avec l’inévitable Java de Sun et Trillian (un IM très apprécié aux Amériques). Internet Explorer s’en sort avec une « mention spéciale du jury » pour les efforts de sécurisation fournis par Microsoft. Est-ce un hasard si cette publication paraît la même semaine qu’une nouvelle quadruple alerte concernant Firefox et qu’Adobe prévient ses usagers d’un plus que probable ZDE frappant Acrobat et Acrobat Reader ?

Les plus acharnés partisans et défenseurs de la loi Hadopi, Frédéric Lefebvre en tête, accompagné par une bonne brochette de Ministres, se font épingler pour « piratage » par la presse. Le porte-parole de l’UMP, relatent nos confrères du Point, caviarde avec méthode articles de presse, séquences vidéos de reportages, à tel point que la rédaction de Slate France se fend d’une protestation acerbe. L’exemple du chef de file du parti semble déteindre sur tous ses jeunes loups, puisque, nous rapporte Marc Rees de PCinpact, le LibDub des jeunes militants de ce même parti aurait été diffusé sans réelle obtention des droits d’interprétation. Devraient donc, en toute logique, risquer une peine de 300 000 euros d’amende, 3 ans de prison et une suspension de leur abonnement Internet, par ordre d’entrée en scène, MM Rama Yade, Patrick Devedjian, Rachida Dati, Eric Besson, Jean-Pierre Raffarin, David Douillet, Laurent Wauquiez, Xavier Darcos, Frederic Lefebvre (bis), Gilbert Montagné, Christine Lagarde, Stéphanie Fugain, Valérie Pécresse, Nadine Morano, Chantal Jouanno, Eric Woerth, Benjamin Lancar, Xavier Bertrand et quelque 250 autres participants un peu moins célèbres. Si l’on peut sans l’ombre d’un doute exempter du crime de préméditation la grande majorité de ces amateurs de play-back, on peut en revanche s’inquiéter pour deux artistes, un Premier Ministre, un ex-premier Ministre, un ex-Garde des Sceaux et plusieurs grands avocats, tous censés connaître l’existence et la rigueur de la loi …

Conficker, c’est tout de même le virus qui est parvenu à faire dire à la Marine Nationale ce qu’elle ne dit jamais. Moment de gloire Warholienne que ne laissait pas présager ses origines modestes. Dernier né d’une engeance nombreuse qui comptait autant de célébrités que la famille Bach, (Welchia, Blaster, Sobig, Sasser, Storm…) Conficker grandit patiemment, sans détruire ni voler le moindre fichier, mais en aiguisant sa soif de conquête, sautant de poste en poste, générant automatiquement les noms de ses serveurs de commande. Tout çà en attendant patiemment que son C&C lui envoie un jour la mise à jour qui ferait de lui un véritable virus adulte, un dur, un tatoué du sceau « Microsoft RPC Services Certified ». Cette longue saga, ses statistiques de croissance, en d’autres termes, le bulletin de santé de ce petit dernier est détaillé tout au long d’un rapport d’une dizaine de pages publié par l’équipe de recherche de BitDefender. Et si la Marine Française déplore encore les ravages de cet intrus adorateur des clefs USB, elle peut s’estimer heureuse face au nombre d’infections déclarées en Chine, Inde, Vietnam ou Malaisie, pays parmi les plus frappés par ce vecteur d’infection. Ses atouts sont tels qu’il y a de très fortes chances, estiment les chasseurs de virus, que Conficker fasse encore plus de ravages en 2010 qu’il n’en a provoqué durant l’année écoulée. Souche capable de paralyser les défenses périmétriques d’une machine, cette infection est à la base de nombreux botnets, autrement dit d’usines à attaques en Déni de Service, d’escroqueries au « pay per click », de diffusions de keyloggers, de pillages de données bancaires ou encore de diffusions de spam.