janvier, 2010

Il va sortir… il est sur le point de sortir… Il sort ! Il, c’est le correctif « out of band » que nous annonce en grandes pompes et sans surprise Microsoft, par le truchement d’une note sur le blog du MSRC et d’une notification de rustines hors calendrier.

L’on sait que cette faille est activement exploitée, que les exploits sont publiquement et officiellement disponibles dans le monde entier (France mise à part, où ce genre d’outil est interdit et où les pires truands respectent la Lopsi). Il sera intéressant de noter la vitesse à laquelle les grands comptes appliqueront ce correctif. Souhaitons leur une transmission synaptique plus rapide qu’avant l’attaque Conficker. Tant dans le secteur privé que du côté de la Royale.

Deux experts Français publient –enfin !- leurs avis sur Aurora : Cedric « Sid » Blancher et Nicolas « Newsoft » Ruff. Tous deux, d’ailleurs, parmi milles propos forts sages, font remarquer la subtile différence sémiologique qui existe entre l’expression « interdire l’usage d’Internet Explorer » et « utiliser momentanément un navigateur alternatif ». Si l’on exclut quelques « power users », geeks, spécialistes du close-combat binaire et experts en programmation humaine multicouche-multithread-multiusages, l’usage d’un logiciel alternatif se traduit généralement par l’abandon du logiciel originel. En informatique grand public, les habitudes sont généralement très tranchées : c’est fromage OU dessert, et les litotes des uns ne peuvent se traduire par un respect à la lettre desdites recommandations.

Fort heureusement, seuls les « power users », geeks, spécialistes du close-combat binaire et experts en programmation humaine multicouche-multithread-multiusages lisent et comprennent les avis du CertA.

NewS0ft fait également remarquer que l’attaque Aurora contre Google est plus probablement le fait d’un « insider » Pékinois que d’un Skud viral. En d’autres termes, le virus est arrivé à pied par la Chine et non via le câble ou la fibre. Si la chose est fortement probable pour ce qui concerne Google, elle ne l’est nettement moins à propos des autres entreprises –dont Adobe et Juniper- qui auraient été frappées du même mal. Les membres de l’Avert reviennent eux aussi sur le sujet en analysant le code d’Aurora : un programme longuement mûri, et dont la diffusion dépend d’une coordination digne des précédentes cyberattaques Chinoises telles que Titan Rain.

L’on pourrait donc ajouter un « Fail #5 » à l’article de News0ft : l’incapacité des principales sources d’information (les Cert, Sans, laboratoires privés etc) de n’avoir pas clairement su différencier deux informations distinctes : d’un côté la volonté de Google de sur-médiatiser une attaque pour mieux masquer un désengagement de Chine, et d’autre part une véritable opération de guerre numérique « non orchestrée » par un gouvernement qui « ne possède aucun pouvoir » pour limiter l’agissement d’éléments isolés et incontrôlables. Il faut croire que certaines clarifications n’étaient pas forcément appréciées par tout le monde. A la simple lecture des dénégations du Gouvernement Chinois, les spécialistes américains qui ont mis en place une grande partie des outils de traçage et de censure du réseau « .cn » ont dû s’étouffer dans leur barbe.

La région de Rennes est une terre propice à l’inventivité et au « pure hack ». Si tout le monde a au moins entendu parler des SSTIC, plus rares sont ceux qui connaissent l’existence du BEC, ou Breizh Entropy Congress qui se déroulera du 15 au 17 avril prochain sur le campus de Beaulieu et/ou au Jardin Moderne (lieux à confirmer). Toute proposition de communication est à envoyer à cfp @ breizh-entropy . org, en Français et Anglais si possible.

Qu’est-ce que BEC ? Un creuset d’idées dans le droit fil de ce qu’est le Hacker’s Festival de Paris, une série de conférences, d’exposés, de démonstrations, de partages d’expériences personnelles ou collectives, toutes inspirées par l’esprit du « libre » et de la recherche. L’on y parlera bien sûr de développement Open Source, mais également d’Open Hardware, notamment dans le domaine des radios logicielles (ou SDR), des « imprimantes-outils » tridimensionnelles (rep-rap), des interfaces et protocoles de liaison entre ordinateurs et appareils libres etc.

Les champs de recherche logicielle sont, quant à eux, plus classiques : pentesting, I.A. et réseaux neuronaux, outils de traitement graphique et audio temps réel (avec très probablement la présentation d’une plateforme spécifique étonnante à base de FPGA…). D’autres thèmes plus généraux seront consacrés à l’art, aux libertés individuelles, au développement de ces visions alternatives, sujets déjà longuement débattus dans le cadre des rencontres faites au sein des hackerspaces européens.

L’entrée sera libre et gratuite, les frais d’hébergement et de restauration étant assurés par les participants.

Cryptome divulgue deux tomes publiés par le Mitre et intitulés « Study of Vulnerability of Electronic Communication Systems to Electronic Interception ». Une analyse des risques d’interception des principaux moyens de communication modernes. Le document date de 1977 et s’avère dépassé en matière d’écoutes des réseaux numériques et radio.

Les mauvaises langues diront qu’il y a là un certain parfum de vengeance… Tavis Ormandy, sur le « Full Disclo », signale l’existence d’une faille dans le support 16 bits de Windows NT. Un trou qui remonte à la haute époque de Windows NT 3.10 (le tout premier du nom). Pour information, Tavis Ormandy est Information Security Engineer chez Google. Vous avez dit bizarre ? Comme c’est étrange ! Sa découverte aurait fait l’objet d’une première signalisation fin juin 2009 et serait demeurée sans correction depuis… Ce qui aurait motivé la publication spontanée de ce PoC à piquer sur l’une des ressources de l’auteur. Ah, si tout le réseau Google avait utilisé Chrome et Chrome OS…

La parade est simple, explique Sylvain Sarmejeanne sur le blog du Cert Lexsi, puisqu’il s’agit de désactiver le sous-système 16 bits. Une astuce également signalée par l’inventeur de la faille et l’équipe technique de Microsoft au fil d’une alerte publiée le 20 du mois. Les noyaux 64 bits, précise l’éditeur, ne seraient pas concernés. Toujours dans ce même communiqué, l’on peut lire la description pas à pas d’une modification de la ruche supprimant les exécutions en mode 16 bits. Voilà qui risque de poser quelques problème à d’antiques applications héritées de la période « Nantucket Clipper » et autres vieilleries, qui n’ont plus de possibilité de survie que dans le cadre étroit et ralenti d’une machine virtuelle sous Hyper-V ou Virtual PC.

Amusante et sans surprise, cette étude d’Imperva sur l’analyse statistique des 32 millions de mots de passe qui ont pu « fuir » de RockYou. Par ordre de fréquence, les inscrits utilisaient les sésames suivants :

1. 123456

2. 12345

3. 123456789

4. Password

5. iloveyou

6. princess

7. rockyou

8. 1234567

9. 12345678

10. abc123

Passé la onzième place, les crédences deviennent nettement plus personnelles : Nicole, Daniel, Jessica, Michael, Ashley… à tel point que les très classiques 654321 et QWERTY ne viennent qu’en 19ème et 20ème position. De manière plus générale, 41,6 % des mots de passe étaient constitués de minuscules alphabétiques, 1,6% de majuscules alphabétiques, 37 % de caractères alphanumériques, 15% de caractères uniquement numériques et seuls 3,8% mélangeaient lettres, chiffres et caractères spéciaux.

Ben Edelman publie, une fois de plus, une savoureuse analyse de fraude à la réclame. Un scénario qui, cette fois, plonge directement ses racines dans le portefeuille des marchands en ligne qui ont fait confiance à la publicité Google.

Le coup des « automates à cliquer » qui font grimper en flèche les « hits » des publicités, çà eut payé. Mais çà paye plus. Car lorsque le taux de lecture perçu est disproportionné par rapport aux ventes sensées être générées par la publicité, l’on se doute bien qu’il y a fraude. Du coup, ne sont facturées au NetBoutiquier que les hits qui lui ont spécifiquement rapporté un véritable client.

Mais voilà, nous apprend Ben Edelman, que des spécialistes de l’escroquerie publicitaire ont trouvé une parade : il faut d’abord mettre en œuvre une longue chaine d’intermédiaires destinés à masquer l’origine de l’attaque. En bout de chaine, il suffit que la « publicité incitatrice » soit proposée à l’internaute au moment même où celui-ci pénètre sur le site marchand. En d’autres termes, c’est lorsqu’un acheteur décide d’acheter un bien dans telle ou telle vitrine située sur la toile, qu’une page Web incitatrice bondit sur le navigateur du chaland qui passe *. Comme ladite page semble provenir du site que l’acheteur en puissance est en train de visiter, cela n’attire aucune suspicion. Et puisque cette publicité a bel et bien été lue par un internaute, et que ce dernier a réellement acheté un bien, il est donc légitime que le marchand abandonne quelques menues monnaies au passage en rétribution du service rendu. Ce qui pourrait froisser le marchand, c’est que la publicité en question n’a à aucun moment joué dans la décision d’achat du client, et que publicité ou pas, la vente aurait été conclue.
Voilà pour la version courte, celle qui explique comment un cybermarchand est contraint de payer une publicité Google pour chaque client entrant dans son propre magasin. Mais la version longue donne plus de détails, et explique par quel miracle (et quelle infection de spyware) ledit internaute client en arrive à déclencher une chaine de 10 redirections successives et aussi transparentes les unes que les autres. Le tout sans voir ou cliquer sur la moindre publicité. La solution, explique Edelman, serait que Google cesse toute relation avec InfoSpace, la cheville ouvrière de tout ce montage, et que l’argent indument détourné soit reversé aux cybermarchands. Un remboursement qui sera probablement plus difficile à obtenir de la part de Google qu’un sursaut de conscience face à une censure asiatique.

NdlC Note de la Correctrice *« Au fil de l’eau point deee selments, Ceeeeeee n’est que sul telleu qu’on ment ! » chantait Lys Gauty en roulant les « R ».

Le fait qu’une faille Internet Explorer ait permis de lancer une importante cyberattaque Chinoise passe presque inaperçu au regard des déboires de Google. Et l’impressionnante opération médiatique qui entoure l’annonce du « retrait possible » de l’entreprise du marché Chinois commence à tonner trop fort pour sonner juste. Rsnake, au fil des commentaires liés à l’un de ses articles traitant du sujet, est l’un des premiers à penser que ce mouvement ne serait que l’exploitation d’un prétexte pour se sortir d’une aventure économiquement défavorable. Le NY Times, de son côté, rappelle les résultats plus que moyens obtenus par Google dans l’Empire du Milieu. Résultats pourtant obtenus après forces concessions et compromissions en matière de censure et dont l’impact sur l’image de marque ne pouvait être nul. Oxblood Ruffin, un membre du CDC, dresse dans les colonnes de TechRadar un bilan peu reluisant. A cela s’ajoute l’impossibilité de battre le concurrent local, Baidu, sur son propre terrain et l’opportunité de faire diversion à un moment où les accusations de bigbrotherisme s’accumulent au dessus de la tête d’Eric Schmidt. Quelques activistes comme Oxblood Ruffin ou Naomi Klein du journal Rolling Stones en profitent pour rappeler combien la machine à surveiller Chinoise doit à l’industrie High Tech américaine toute entière.

Réaction d’autant plus remarquable que seul Google s’offusque de cette « indélicatesse » des prétendus « hackers indépendants » Chinois. Car les autres victimes –notamment, dixit le Washington Post, Yahoo, Symantec, Adobe, Northrop Grumman, Dow Chemical et Juniper- n’ont pas pipé mot. Tout juste se souvient-on de la dénégation d’Adobe, qui refuse officiellement d’être associé à cette opération de piratage stakhanoviste. Ironie de l’histoire, rappelons que cette série de pénétrations aurait été rendue possible grâce notamment à une faille d’Internet Explorer, et non d’un défaut de Flash Player ou d’Acrobat. Quoi que… Si I.E. est incontestablement reconnu comme le vecteur principal de l’opération « Aurora » (ainsi serait baptisée cette cyber-escarmouche), d’autres exploits et techniques de pénétrations ont été combinés en fonction de la cible à attaquer. Un blitz unique, des cibles multiples, des armes adaptées à chaque situation… on est indiscutablement là face à une opération orchestrée par des militaires, même si les diplomates de Pékin répètent inlassablement que ces actes ne sont le fait que d’éléments isolés et incontrôlés. Personne n’est dupe, surtout pas les entreprises américaines qui ont-elles-mêmes mis en place toute l’infrastructure de flicage et de traçage de l’Internet Chinois. Un filet entre les mailles duquel nul « pirate isolé et incontrôlé » ne devrait pouvoir passer… et à plus forte raison un groupe de pirates aussi bien structuré et organisé. Qui veut hurler avec Google ? Qui souhaite avouer haut et fort n’avoir pu assurer une défense périmétrique de ses propres systèmes d’information ? Qui risquerait d’élever la voix au risque de compromettre d’éventuels marchés à l’exportation ?

Quicktime, et par extension plusieurs outils et programmes destinés à interpréter des fichiers vidéo .MOV, seraient susceptibles de succomber à une attaque distante. La liste des programmes affectés (dont iTune, GarageBand, Safari, Firefox, Excel, Word, MPC…) ainsi que le lien de l’exploit sont publiés sur exploit-db.com. Aucun correctif ne semble pour l’heure avoir été proposé par Apple. La disponibilité de l’exploit devrait inciter les RSSI à renforcer momentanément leur politique de filtrage.

Arrêté pour avoir Twitté : après avoir vu l’un de ses vols annulés en raison des conditions météo qui ont perturbé la Grande Bretagne, Paul Chambers s’est fendu d’un « Twitt » humoristico-énervé à propos du fonctionnement de l’aéroport Robin Hood. Intercepté par la police, le message a valu à son auteur une arrestation immédiate et 7 heures d’interrogatoire sous prétexte de « lutte antirerroriste » (source : Forth )

Les fraudes à la carte de crédit se seraient élevées à près de 8,6 milliards de dollars en 2008 aux USA, révèle une étude de Aite Group LLC pour le compte des professionnels US de l’industrie du payement. Ce taux de fraude ne représente que 0,4% des 2 100 milliards de $ de transactions effectuées sur l’année. Rappelons que c’est également en 2008 qu’a été révélée l’affaire Heartland Payment Systems.