janvier 13th, 2010

La grande Chine sur le pas des pirates ? De l’aveu même de Google, le pape du Cloud Computing serait, depuis la mi-décembre, victime d’une attaque « hautement sophistiquée » visant son infrastructure d’entreprise, attaque ayant résulté dans le « vol de propriété intellectuelle appartenant à Google ». En fait d’attaque hautement sophistiquée, il s’agirait d’une campagne de « spear phishing » (hameçonnage ciblé) dont le résultat aurait permis de détourner notamment des accès à des comptes Gmail. Toujours selon Google, près d’une vingtaine d’autres entreprises importantes du secteur des nouvelles technologies auraient essuyé le feu des hackers d’Asie, tandis que d’autres sources laissent penser que les personnes visées seraient avant tout des activistes Chinois impliqués dans la défense des droits de l’homme.

L’hypothèse de l’attaque visant des vecteurs industriels semble être confirmée par Adobe, qui publie un communiqué dont la structure et le choix des mots semble avoir été grandement inspirés par celui de son voisin technologique et géographique. A la seule différence près que manifestement, aucune donnée n’aurait été officiellement dérobée au cours de cette opération. Et que bien entendu, tout ceci serait une étonnante coïncidence affirme Wiebke Lips le DirCom d’Adobe à Brian Krebs. Une dénégation dont le plausible est d’autant plus discutable qu’il est peu probable que ce Monsieur Lips ait connaissance des intensions réelles des hackers de l’Empire du Milieu ainsi que de leur structure organisationnelle.

Si la réaction d’Adobe est modérée, celle de Google est vive. L’on parle même d’une cessation de la censure en Chine (rappel d’une collaboration officielle et active de Google au régime de Pékin), ou même d’une occultation de Google.cn et des bureaux de l’entreprise en Chine. “ We recognize that this may well mean having to shut down Google.cn, and potentially our offices in China”. Cette forme de protestation, qui rappelle un peu les fermetures d’ambassades lorsque deux pays rompent leurs relations diplomatiques, n’est certainement pas une décision prise à la légère… avec près d’un milliard et demi de clients potentiels, le marché Chinois éveille des convoitises et fait rêver les moins imaginatifs des technico-commerciaux de Mountain View. Mais si ce même marché Chinois est à l’origine d’une fuite de données, cela risque de ne pas plaire aux millions d’utilisateurs des services « cloudifiés », de l’Agenda à Gmail en passant par la foultitude de « solutions d’entreprises » qu’envisagent de développer les équipes d’Eric Schmidt. Cruel dilemme, que celui où l’on doit choisir entre l’opinion des clients que l’on possède et celles des clients que l’on convoite.

Mais après réflexion, c’est la seconde option qui est choisie, motivant la publication d’un autre billet qui minimise les pertes de propriété intellectuelle… « we believe our customer cloud-based data remains secure ». Lorsque la sécurité des données hébergées relève de la croyance et que la vulnérabilité des infrastructures est présentée comme une inévitable fatalité, on peut se demander si l’externalisation des processus de traitement est aussi infaillible qu’on le prétend.

Quid des autres victimes du secteur des hautes technologies frappées par cette même attaque ? Pas un bruit du côté de Microsoft, nulle rumeur chez Yahoo ou Amazon, silence radio pour Oracle… Officiellement, personne n’avoue s’être fait épié par la Chine.

Et seuls les mauvais esprits pourraient mettre en relation une toute autre « attaque hautement sophistiquée » que relatent nos confrères du Monde : Baidu, le « Google 100% Chinois », aurait lui aussi été piraté, mais par des hacktivistes Iraniens cette fois. Pas plus que les hauts dignitaires de Pékin n’ont télécommandé la série d’attaques qui a frappé les USA, le gouvernement Iranien ou autres conseillers techniques occultes n’ont tenu la main des cyber-gardiens de la Révolution.

C’est un fleuron de la messagerie externalisée que s’offre VMWare en rachetant Zimbra pour un montant non communiqué. Cet éditeur de moteurs de messageries est notamment à l’origine de la plateforme Yahoo mail. Les évolutions techniques de l’entreprise tendaient clairement vers une intégration de ses outils dans des infrastructures de type Cloud et des architectures virtualisées. Le blog de l’entreprise rappelle que Zimbra « pèse » près de 55 millions de boîtes mail.

Zimbra est surtout connu pour sa « Community Edition », version gratuite de son appliance de messagerie destinée au marché des PME, logiciel pouvant évoluer en version payante (Network Edition) lorsque la croissance de l’entreprise utilisatrice l’exige. L’on pourrait ainsi espérer voir venir un « paquet » totalement intégré associant un VMware Server et Zimbra CE, capable de se transformer en un tandem ESX/ Zimbra NE.

Elle ne fera pas couler beaucoup d’encre, cette faille OpenType, certes exploitable à distance, mais qui n’est critique que sur les plateformes finissantes Windows 2000. Elle aurait pourtant mérité mieux, compte tenu de la parfaite symétrie de son matricule, 10-001. Le blog du MSRC parvient toutefois à en tirer un interminable article et une séquence vidéo. Fort heureusement, un trou dans Flash Player 6, un peu plus sérieux, fait la manchette du bulletin d’alerte 979267. Sans Adobe, certains Patchs Tuesday seraient tristes et sans vie.

Le désormais traditionnel bulletin de sécurité mensuel publié par Adobe prévient de l’existence d’une série de failles dans Adobe Reader 9.2 et Acrobat 9.2 pour Windows, Macintosh et Unix, ainsi que dans Adobe Reader 8.1.7 et Acrobat 8.1.7 pour Windows et Macintosh. Comme à l’accoutumé, le détail des vulnérabilités n’est pas fourni. Le communiqué fournit les différents liens pointant vers les correctifs et nouvelles versions mises à jour. Le niveau de sévérité est jugé critique, car un exploit « dans la nature » vise notamment les versions Windows de Reader et d’Acrobat 9.2.

WepAppSec publie une taxinomie des principales attaques visant les applicatifs, un document touffu de 170 pages, où tout est expliqué, du simple BoF au XSS les plus sophistiqués.

La 26C3 comme si vous y étiez : les archives des enregistrements des conférences et un nombre impressionnant de vidéos prises durant la manifestation de Berlin sont offertes sur le site du CCC. Les flux de la CCC-TV sont également accessibles sur les serveurs du Chaos.

Brian Krebs, l’éditorialiste du Washington Post, quitte le journal et sa rubrique sécurité. Ce reporter avait été le principal acteur de la chute de McColo et le pourfendeur de bon nombre de polluposteurs notoires. On peut retrouver ses papiers dévastateurs sur un nouveau blog, KrebsOnSecurity

Le HackerSpaceBrussels (HSB) organise du 26 au28 février, à Hasselt (Belgique) un « Wireless Battle Mesh », prélude à la prochaine réunion de Rome. Ces Wireless Battle sont consacrées au test et à la mise en œuvre de réseaux WiFi Mesh (réseaux digipeatés) Open Source tels que OLSR, Batman et Babel.

Kaspersky lance un « Kaspersky password manager », qui sera commercialisé aux environs de 25 euros après une période promotionnelle durant laquelle le logiciel sera proposé à 15 euros. C’est là un proche concurrent du logiciel Passwordsafe, initialement conçu par Bruce Schneier, et disponible gratuitement en version Windows et « multiplateforme » Java.