janvier, 2010

Le Japan Time nous apprend que la police de Yokohama aurait arrêté deux Sud Coréennes tentant d’entrer clandestinement au Japon en utilisant de faux papiers et… de fausses empreintes digitales. Le dessin de la pulpe servant à tromper les lecteurs d’empreintes était imprimé sur un film plastique.

*NdlC Note de la Correctrice : l’on dit aussi Cimentier, brasseur de faffes… plus rarement Artiste, le terme étant réservé aux faux-monnayeurs, ou fausse-boulange.

Encore une histoire d’espionnage Google. Encore une affaire soulevée par Ben Edelman, de la Harvard Business School : même après désactivation, la barre d’outils Google continue de tracer les opérations de navigation. La preuve en images parviendrait à convaincre même le plus ignare des juges du Massachusetts. Cette pierre blanche à ajouter sur le sentier du credo « Don’t be Evil » devrait, si l’on en croit les dires des services techniques de Google, faire l’objet d’un correctif qui devrait être diffusé dans le flot de la prochaine « mise à niveau » de la toolbar.

Plus de 140 participants ont assisté au concours de hack nocturne organisé à Genève par SCRT. Une manifestation de plus en plus populaire jouée à « réseau fermé » et composée d’une série d’épreuves de difficultés variables. Comment récupérer la clef d’un OTP, quelle méthode employer pour décoder 300 Captcha «peudo protégés » par une conversion base64, par quel moyen faire avouer son secret au lapin blanc de Lewis Caroll ? Découvrir les charmes d’un triple message caché dans un pdf forgé… ces questions (et quelques autres plus « trapues » les unes que les autres) ont dû paraitre totalement extra-terrestres aux quelques visiteurs non-informaticiens qui passaient par là. Et parmi eux, notre confrère de La Tribune, qui a rapidement su traduire l’ambiance échevelée de ce concours sérieux qui ne se prend pas au sérieux. Shatter, de l’équipe Acissi, donne un rapide aperçu du serveur sur lequel étaient contenues les épreuves ainsi que tous les outils et documents nécessaires au déroulement des épreuves : 8 thèmes, de 2 à 5 épreuves par thème rapportant, selon la difficulté, entre 100 et 1400 points. C’est l’équipe du Hacker’s Voice qui a remporté la victoire et qui nous offre une liste détaillée des épreuves accompagnées des méthodes employées pour venir à bout de chaque énigme. Notons au passage que le problème « failles applicatives » pouvait être contourné de trois moyens différents autres que ceux prévus par les organisateurs. A lire les écrits Crashfr relatant les exploits du HZV.

Alors que sont à peine dissipées les brumes de la toute dernière InsomniHack de Genève, voilà que se prépare la prochaine Nuit du Hack de Paris. L’événement se déroulera dans la nuit du 19 au 20 juin 2010, de minuit à 7 heure du matin. Les organisateurs lancent à cette occasion un « appel à participation » à toute personne souhaitant s’occuper d’un atelier technique… Crocheteurs de serrures, spécialistes du biométrique, amateurs de fpga, gourous des scripts en tout genre, la page de soumission est accessible sur le site de l’événement. Les droits d’inscription s’élèvent à 25 euros par personne (50 € pour les généreux donateurs, qui ont droit en plus à une casquette et un T-Shirt Hacker’z Voice). Le règlement est clair et peut être résumé de la manière suivante : tous les coups sont permis, mais on ne tente pas de pirater les systèmes des organisateurs. Les violences binaires (et uniquement binaires) à l’égard des systèmes des participants et néanmoins concurrents sont autorisées… prévoir les protections qui s’imposent et les outils nécessaires.

Mi-jeu vidéo, mi-bande dessinée, l’assaut cyber-diplomatique qui oppose actuellement les Etats-Unis et la Chine connaît de nouveaux rebondissements chaque jour. L’un des derniers en date prend la forme d’un papier du Christian Science Monitor titré Industrie pétrolière US sous les coups d’une cyber-attaque : encore un coup des Chinois ? L’article ne dévoile que très peu de choses, si ce n’est qu’une technique commune (un troyen spécifiquement développé pour cibler ces entreprises) et une méthode éprouvée (un email de « spear phishing ») auraient été employés. Cette campagne de recherches d’informations aurait été entamée dès 2008, mais ce n’est que début 2009 que le FBI aurait alerté au moins trois cibles potentielles : Marathon Oil, ExxonMobil et ConocoPhillips. Et il faudra attendre début 2010 pour que, par le plus grand des hasards, l’affaire en arrive aux oreilles de la presse.

Quelle est l’étendue des pertes ? Combien de crédences de messagerie auraient été subtilisées ? Sur quelle période ? Sur combien de comptes ? Pas la moindre métrique. Tout ce qu’affirment les « experts » interviewés par le journal, c’est que « China would certainly be interested in this kind of data ». Qui d’autre ne le serait pas.

Il y a de cela quelques jours, une autre alerte du même genre avait été lancée dans les colonnes du blog de F-Secure. Cette fois, c’était les sous-traitants des armées US qui auraient fait les frais d’un assaut en spear phishing, utilisant cette fois un pdf forgé. Quelques jours plus tard, c’est au tour du secteur de « l’intelligence » d’essuyer le feu d’une autre attaque ciblée, et Mikko Hyppönen ne manque pas de faire le rapprochement.

Et c’est peut-être là le problème. L’emploi de techniques d’intrusion de la part de groupes « officiellement incontrôlables » agissant dans la banlieue de Shanghai n’est pas une nouveauté. Ce serait même une constante dans le bruit de fond que bloquent chaque jour les routeurs des Administrations Européennes. Ce qui est nouveau, c’est que l’on en parle dans les grands quotidiens et que l’Amérique s’en émeuve, précisément en cette fin janvier. L’armée, le secteur pétrochimique, les industries High-Tech, Google en tête, ce sont là les 3 piliers de l’industrie US qui, habituellement, demeurent très discrets lorsque leurs défenses se font malmener par quelques hackers. Il ne manque que les banquiers… mais leur cote d’amour semble en légère baisse ces temps-ci.

Il n’y a pas plus de raison que le CSO d’un Halliburton ou d’un Exxon clame à la face du monde comment il se fait pirater, qu’il n’y a de probabilité d’entendre les patrons sécu d’EADS ou de la SNPE expliquer comment le Péril Jaune est bloqué par leurs firewalls. Ces langues qui se délient spontanément et ces « alertes émises par le FBI » sont un peu trop coïncidentes pour que l’on puisse ne pas s’interroger sur la véritable spontanéité de ces révélations et sur le degré de manipulation que subit actuellement la presse, Anglo-Saxonne ou Française.

La Chine donnerait-elle des idées aux chevaliers d’industrie ? Si l’on en croit les invectives des avocats de la chaine d’hôtels Starwood, au moins 44 cadres dirigeants de la firme Hilton se seraient rendus coupables d’espionnage ou de complicité envers leur concurrent. Nos confrères de la revue spécialisée M&C affirment que, soit directement, soit par le canal d’échanges d’emails utilisant les comptes privés de deux « taupes », des fichiers appartenant à Starwood auraient été communiqués à du personnel Hilton dans une guerre commerciale sans merci.

Il est fort probable que l’actuelle campagne visant les pirates Chinois va inspirer plus d’un espion industriel. Il n’est pas très difficile, à l’heure actuelle, de trouver des proxy en Asie en général et en Chine en particulier. Le bruit de fond qui semble orchestré par la Maison Blanche fait le reste, en couvrant les traces de ceux qui souhaitent agir en toute discrétion.

Cela faisait bien longtemps que l’on n’avait assisté à l’un de ces feux d’artifice d’exploits et de révélations de failles. Bien longtemps après le Month of Apple Bug ou le Month of Vista Bug, voici le « mois du trou serveur », organisé par des chercheurs Russes, qui annoncent clairement la couleur : « Pas de divulgation préalable gratuite auprès des éditeurs, ils se font déjà assez d’argent comme çà »

Le calendrier de publication était d’ailleurs défini avant même l’ouverture des hostilités : du 11 au 17 janvier, tout sur les trous affectant les annuaires, des e-directories Novell à Tivoli. Du 18 au 24, le palmarès des serveurs Web (probablement le plus simple des exercices) avec en « guest star » Zeus, Sun Web Server, Apache… etc (exceptionnellement, IIS n’est pas mis en avant). Le mois s’achève avec la semaine des bugs « bases de données » : Mysql, IBM DB2, Lotus Domino, Informix, Oracle… Tout cela est à suivre en direct sur le blog Intevydis ou sous forme d’email sur la liste DailyDave. Ce n’est donc pas un hasard que certains trains d’annonces se concluent avec une collection de modules de tests et exploits destinés à Canvas, le pentesteur d’ Immunity.

Encore une faille Adobe, affectant Shockwave cette fois, éditions PC et Mac. L’alerte émise précise qu’il est important de bien désinstaller la précédente version avant d’effectuer la mise à jour. Seulement, rares sont les personnes qui savent précisément si Shockwave –composant rarement nécessaire dans le cadre d’un usage courant- est installé ou non sur leur machine.

Lorsqu’un véritable expert en sécurité informatique découvre une faille en août et que le protocole de l’éditeur concerné repousse le problème sine die, les journalistes commencent à se poser des questions.

Lorsque le correctif out of band de ce même éditeur tend à battre en longueur le chapitre d’introduction d’un roman Balzacien et parvient à rectifier 8 alertes CVE d’un coup, les rédactions ne se posent plus de questions : c’est un trou ? c’est un gouffre ? Non, c’est une faille abyssale ! En revanche, l’on comprend moins bien comment une rustine d’une telle complexité a pu être développée en si peu de temps. Rétention d’information ? ce serait faire du mauvais esprit.

Lorsque les Cert Français, Allemands et Suisses émettent des réserves quant à l’usage de certains navigateurs en utilisant des subtilités sémantiques dignes d’un avocat d’affaires, on recommence à se poser des questions. Dans un monde cloudifié ou tout (nous explique-t-on), sera bientôt vu par le bout de la lorgnette d’un navigateur, nos gourous nationaux sont sur le point de ressusciter une vieille blague d’unixien période Berkeley : « le système d’exploitation du jour est…. » (cocher le programme de votre choix). Car « utiliser provisoirement un navigateur alternatif », c’est s’attendre à terme à entendre des avis du genre « il est fortement conseillé d’utiliser provisoirement un système d’exploitation alternatif » ou « n’oubliez pas d’employer provisoirement votre traitement de texte alternatif »… et pourquoi pas « pensez à emporter votre téléphone alternatif ». Fort heureusement, changer de VM en cours de journée ne nécessite pas de profondes compétences techniques, et les attaques contre les smartphones appartiennent encore au monde onirique des blogueurs en mal de sensations. Seule la majorité des usagers grand-public et informatisés des PME ne saisira pas l’aspect « provisoire » de ces recommandations… vae victis. Pendant ce temps, les Cert US, du Zimbabwe, de Boznie-Herzégovine, de Xanadu et de Cypango signalent une probable vague d’attaques et conseillent de faire le dos rond en utilisant les navigateurs « courants » et non « alternatifs ».

Lorsque les maîtres à penser de la sécurité ( certains américains, d’autres Français) conspuent la presse en l’accusant de sombrer dans le sensationnalisme et de ne « rien y connaître », à nouveau, l’on se pose des questions. Quel expert faut-il écouter ? Le gourou des virus (ou son directeur marketing) qui arbore fièrement le blason et l’objectivité d’un éditeur d’A.V. ? Le CSO de Google ? Le spécialiste de Wireshark et de Népenthes ? Au fil des intérêts ou désintérêts de chacun, l’échelle de Richter de la faille passe de « vague H1N1 médiatique » à « épidémie de peste bubonique avec surinfection d’ongle incarné». Affirmations d’ailleurs généralement mâtinées de toutes les précautions de langage qui, le temps venu, permettront à celui qui se serait trop laissé aller de se dédire en renchérissant : « déjà, à l’époque, j’avais avancé l’hypothèse que …. »

Mais on ne sait plus du tout que penser lorsque les politiques s’en mêlent, comme en témoignent les articles publiés dans Rue 89, Le Monde ou la BBC. Les spécialistes des conflits asymétriques y perdent leur latin et tentent d’expliquer les différentes facettes de cette affaire. Car le casus-belli profite presque à tout le monde. A Google, qui utilise ce catalyseur pour entamer un désengagement de Chine et se refaire une virginité, au moment même où son image bigbrotheriste devenait difficile à porter. A Washington, qui saisit l’occasion de se montrer « ferme à peu de frais » et ainsi clouer le bec aux ultras républicains qui accusent d’attentisme le pouvoir démocrate en place. A Pékin, également, pour qui cette « accusation sans preuve » est l’occasion d’affirmer un peu plus son refus de se voir infliger des leçons de démocratie de la part de pays étrangers. Google, Jeux Olympiques ou Tibet, même combat. Les seuls dindons de la farce sont donc les quelques « 15 autres entreprises » qui auraient fait les frais de ce fameux cyber-assaut et qui ont préféré faire profil bas de peur de se ridiculiser ou de se décrédibiliser. Attitude bien entendu décidée encore et toujours par des « cellules de crise », conduites par d’autres « experts en sécurité » dont les opinions et stratégies sont à l’opposé de celles de Google ou du Pentagone.

Chez les analystes technico-géo-politiques, toujours ce même partage des sentiments. Les uns, tel Joe Stewart de SecureWorks, défendent bec et ongle l’hypothèse de l’origine Chinoise et de l’attaque coordonnée. Propos que Brian Krebs vulgarise avec sont talent habituel. Une thèse que Graham Clueley de Sophos défend du bout des lèvres, en expliquant qu’il est impossible de prouver scientifiquement l’origine de l’attaque. Une discours que le Quai d’Orsay avait également tenu lors de la vague de tentatives d’intrusions qui avait frappé les serveurs de l’Administration Française. Des subtilités de langage évidentes pour un habitué des questions sécurité et de diplomatie, mais qui paraîtront bien obscures et pas très franches du collier pour un non-initié. Certes, dans le landernau des RSSI, tout le monde sait que Clueley, ex-technicien de Dr Solomon, est un homme marketing et que Stewart est un savant incontesté, un ancien du LUHRQ. Mais le monde, ce n’est pas Landernau.

Et si la presse généraliste, dans son imprécision et ses affirmations fantasmatiques, n’était que le reflet de l’opinion et de l’attitude de tous ces experts en sécurité ?

Le Virus Bulletin lance son traditionnel appel à communication auprès des éventuels orateurs souhaitant participer à la 20ème édition de cette manifestation. Après Genève, ce sera au tour de Vancouver d’accueillir la grand messe des chasseurs d’infection, du 29 septembre au premier octobre. A noter l’ajout d’une catégorie « Windows 7 » dans la liste des sujets pouvant être abordés. Les extraits et aperçus des communications peuvent être fournis en ligne directement sur le site du journal. Les soumissions seront closes le 5 mars 2010, et les communications devront être finalisées avant le 7 juin.