janvier, 2010

La sur-médiatisation et la politisation du « hack Google » aura au moins permis une chose rare : c’est la première fois, dans l’histoire de Microsoft, qu’un Zero Day de cette envergure ne provoque pas une avalanche de papiers incendiaires. Rares sont les confrères qui cherchent à deviner la date de publication du correctif « out of band » -car il ne fait pas l’ombre d’un doute qu’il y en aura un. Le blog du MSRC parvient même à user d’une dialectique toute jésuitique et minimise la situation : « In terms of the threat landscape, we are only seeing very limited number of targeted attacks against a small subset of corporations ». 20 victimes tout au plus, ce n’est plus une cyberguerre, c’est une scène de ménage. Pas le moindre signe de panique non plus dans la rédaction du bulletin d’alerte.

Pendant ce temps, Wepawet publie une analyse de l’exploit originel, HD Moore ajoute une munition marquée « Aurora » à son outil de pentest Metasploit, notre CertA explique, pour la énième fois, qu’il est conseillé d’utiliser pour l’instant un navigateur alternatif, F-Secure s’offre une minute de publicité sur le dos de Google en précisant que son « exploit shield » est efficace contre les chinoiseries informatiques… Même Joanna Rutkowska y va de son couplet en rappelant qu’avant de vendre du « cloud » et du « hosting », Google ferait mieux de se pencher sur un problème vieux comme l’informatique : la sécurité du poste de travail. Et des siens en particulier.

Si le battage fait autour de cette cyberguerre peut paraître bien dérisoire, la publication du ou des exploits risque fort de favoriser l’écriture d’autres codes viraux, moins politiques, moins chinois et plus opportunistes. L’on risque, dans les jours à venir, de retrouver du « 979352 » à la sauce Troyenne, parfumé au Viagra ou enrobé dans un délicat emballage de scareware. L’out of band de Microsoft ou un correctif sauvage à la sauce Zert serait le bienvenu.

Après le constat d’échec sur la solidité des mécanismes de chiffrement A5/2 des GSM et les dernières publications de Karsten Nohl lors de la 26C3 de Berlin (constitution d’une rainbow table destinée au cassage du A5/1), sans oublier les travaux du THC, certains opérateurs et équipementiers ont susurré un « nous passerons rapidement au A5/3 et toutes ces publications ne seront qu’un mauvais souvenir ». Ce à quoi Orr Dunkelman, Nathan Keller et Adi Shamir (excusez du peu) rétorquent par un « n’auriez-vous pas quelque chose de plus solide ? ». Bien sûr, l’article intitulé A Practical-Time Attack on the A5/3 Cryptosystem Used in Third Generation GSM Telephony n’est pas un monument de vulgarisation, et il faudra regarder du côté des blogs des quelques personnes qui savent de quoi elles parlent pour acquérir le recul nécessaire et tenter de comprendre les grands principes exposés dans l’article de Shamir. Le processus de « reverse engineering » (l’attaque proprement dite) consiste à envoyer deux fois un même contenu à des intervalles de temps éloignés afin que ce bloc d’information soit chiffré avec des clefs différentes. Doit-on pour autant considérer que l’usage du cellulaire doit être banni de toute opération un tant soit peu confidentielle ou privée ? Ce serait faire preuve de paranoïa. Peut-on considérer que les canaux de téléphonie mobile sont protégés de tout risque d’écoute ? Là encore, il ne faut pas perdre de vue que la marotte de la lutte contre le terrorisme a totalement banni la moindre possibilité de confidentialité.

* NdlC Note de la Correctrice : c’est nippon ni mauvais, bien sûr.

La recette –relativement simple et pouvant être réalisée par des cuisiniers débutants- a été concoctée par Mark Baggett de PauldotCom. Elle explique pas à pas comment, en moins de 60 secondes, l’on peut massacrer tout un réseau amoureusement administré. Comment ? Par le miracle de la délégation. Pour mille et une raisons, il est souvent nécessaire de confier à un « non administrateur » le travail qui consiste à ajouter un poste de travail au sein des Active Directories. Une délégation indispensable lorsqu’un virus vient de frapper un département, lorsqu’un responsable d’agence doit étendre son parc matériel… peu importe la raison. Mais par défaut, cette délégation permettant l’ajout d’un poste octroie également des privilèges que l’on croyait réservés au Domain Admin. Et notamment les droits « Delete » et « Delete Tree », dont la première caractéristique est de pouvoir effacer tous les comptes machine en une seule opération.

Que les admins les plus démocrates se rassurent, Mark Baggett offre également le contrepoison, assez efficace pour que chaque Utilisateur Authentifié puisse se charger de la « sale besogne » propre à l’inscription des stations sans posséder toutes les clefs du domaine.

A partir de ce vendredi, l’IARU région 1 annonce l’installation du centre de réseau d’urgence de Port au Prince par le radioamateur Victor Baez, HI8VB. Aucune station Haïtienne n’avait été entendue depuis le début de la catastrophe, expliquait Arnie Coro, CO2KK, IARU-R2 Area C Emergency Coordinator.
La station sera identifiée sous l’indicatif HI8RCD/HH. Rappelons que les fréquences d’urgence sont établies par l’IARU de la manière suivante : 7.045 et 3.720 MHz (réseau IARU Region 2), 14.265, 7.265 et 3.977 MHz (réseau SATERN), et 14.300 MHz (Assistance intercontinentale et réseau Trafic). Le “ International Radio Emergency Support Coalition ” (IRESC) est également actif sur le node Echolink 278173. Il est inutile de préciser que la plus grande discipline de procédure est à observer et que les fréquences en question doivent demeurer claires de tout trafic non vital. Les demandes de recherches des familles ne peuvent en aucun cas transiter par le réseau Amateur. Cette tâche est du ressort de la Croix Rouge Internationale qui a ouvert un site spécialement pour cet usage.
Notons également que Victor HI8VB relate sur son blog les événements lors de ses courts instants de répit.
Souhaitons aux participants autant de courage et d’efficacité que lors des tristes événements de Mexico-City ou de New-York.

La semaine dernière, SySS semait le trouble dans la communauté en publiant coup sur coup deux analyses expliquant comment lire le contenu des clefs SanDisk, Verbatim et Kingston prétendument protégées par des mécanismes de chiffrement certifiés et réputés inviolables… pour l’instant. Bob Graham prend un peu de recul et va même plus loin, en affirmant que ce ne sont là que des exemples, et qu’il ne serait pas étonnant que d’autres clefs soient potentiellement victimes d’une attaque similaire. Si l’algorithme de chiffrement est encore inviolable, explique-t-il, les techniques d’intégration dudit algorithme laissent souvent à désirer, et c’est à ce niveau que les hackers chevronnés tentent de contourner les protections. Un avis partagé aussitôt par les gens du Nist, le National Institute of Standards and Technology, celui-là même qui a « recommandé » l’AES 256 utilisé par ces clefs. Notons au passage que l’article traitant de la réaction du Nist, dans les colonnes du Security Focus, se trouve flanquée d’une publicité IronKey on ne peut plus de circonstance.

Les trois intégrateurs ont, entre temps, publiés les correctifs nécessaires au blocage de ce type d’attaque. Reste à savoir par quel moyen les usagers de ce genre de clef pourront être mis au courant et quelle sera la proportion d’utilisateurs qui appliqueront ce bouche-trou salvateur.

La grande Chine sur le pas des pirates ? De l’aveu même de Google, le pape du Cloud Computing serait, depuis la mi-décembre, victime d’une attaque « hautement sophistiquée » visant son infrastructure d’entreprise, attaque ayant résulté dans le « vol de propriété intellectuelle appartenant à Google ». En fait d’attaque hautement sophistiquée, il s’agirait d’une campagne de « spear phishing » (hameçonnage ciblé) dont le résultat aurait permis de détourner notamment des accès à des comptes Gmail. Toujours selon Google, près d’une vingtaine d’autres entreprises importantes du secteur des nouvelles technologies auraient essuyé le feu des hackers d’Asie, tandis que d’autres sources laissent penser que les personnes visées seraient avant tout des activistes Chinois impliqués dans la défense des droits de l’homme.

L’hypothèse de l’attaque visant des vecteurs industriels semble être confirmée par Adobe, qui publie un communiqué dont la structure et le choix des mots semble avoir été grandement inspirés par celui de son voisin technologique et géographique. A la seule différence près que manifestement, aucune donnée n’aurait été officiellement dérobée au cours de cette opération. Et que bien entendu, tout ceci serait une étonnante coïncidence affirme Wiebke Lips le DirCom d’Adobe à Brian Krebs. Une dénégation dont le plausible est d’autant plus discutable qu’il est peu probable que ce Monsieur Lips ait connaissance des intensions réelles des hackers de l’Empire du Milieu ainsi que de leur structure organisationnelle.

Si la réaction d’Adobe est modérée, celle de Google est vive. L’on parle même d’une cessation de la censure en Chine (rappel d’une collaboration officielle et active de Google au régime de Pékin), ou même d’une occultation de Google.cn et des bureaux de l’entreprise en Chine. “ We recognize that this may well mean having to shut down Google.cn, and potentially our offices in China”. Cette forme de protestation, qui rappelle un peu les fermetures d’ambassades lorsque deux pays rompent leurs relations diplomatiques, n’est certainement pas une décision prise à la légère… avec près d’un milliard et demi de clients potentiels, le marché Chinois éveille des convoitises et fait rêver les moins imaginatifs des technico-commerciaux de Mountain View. Mais si ce même marché Chinois est à l’origine d’une fuite de données, cela risque de ne pas plaire aux millions d’utilisateurs des services « cloudifiés », de l’Agenda à Gmail en passant par la foultitude de « solutions d’entreprises » qu’envisagent de développer les équipes d’Eric Schmidt. Cruel dilemme, que celui où l’on doit choisir entre l’opinion des clients que l’on possède et celles des clients que l’on convoite.

Mais après réflexion, c’est la seconde option qui est choisie, motivant la publication d’un autre billet qui minimise les pertes de propriété intellectuelle… « we believe our customer cloud-based data remains secure ». Lorsque la sécurité des données hébergées relève de la croyance et que la vulnérabilité des infrastructures est présentée comme une inévitable fatalité, on peut se demander si l’externalisation des processus de traitement est aussi infaillible qu’on le prétend.

Quid des autres victimes du secteur des hautes technologies frappées par cette même attaque ? Pas un bruit du côté de Microsoft, nulle rumeur chez Yahoo ou Amazon, silence radio pour Oracle… Officiellement, personne n’avoue s’être fait épié par la Chine.

Et seuls les mauvais esprits pourraient mettre en relation une toute autre « attaque hautement sophistiquée » que relatent nos confrères du Monde : Baidu, le « Google 100% Chinois », aurait lui aussi été piraté, mais par des hacktivistes Iraniens cette fois. Pas plus que les hauts dignitaires de Pékin n’ont télécommandé la série d’attaques qui a frappé les USA, le gouvernement Iranien ou autres conseillers techniques occultes n’ont tenu la main des cyber-gardiens de la Révolution.

C’est un fleuron de la messagerie externalisée que s’offre VMWare en rachetant Zimbra pour un montant non communiqué. Cet éditeur de moteurs de messageries est notamment à l’origine de la plateforme Yahoo mail. Les évolutions techniques de l’entreprise tendaient clairement vers une intégration de ses outils dans des infrastructures de type Cloud et des architectures virtualisées. Le blog de l’entreprise rappelle que Zimbra « pèse » près de 55 millions de boîtes mail.

Zimbra est surtout connu pour sa « Community Edition », version gratuite de son appliance de messagerie destinée au marché des PME, logiciel pouvant évoluer en version payante (Network Edition) lorsque la croissance de l’entreprise utilisatrice l’exige. L’on pourrait ainsi espérer voir venir un « paquet » totalement intégré associant un VMware Server et Zimbra CE, capable de se transformer en un tandem ESX/ Zimbra NE.

Elle ne fera pas couler beaucoup d’encre, cette faille OpenType, certes exploitable à distance, mais qui n’est critique que sur les plateformes finissantes Windows 2000. Elle aurait pourtant mérité mieux, compte tenu de la parfaite symétrie de son matricule, 10-001. Le blog du MSRC parvient toutefois à en tirer un interminable article et une séquence vidéo. Fort heureusement, un trou dans Flash Player 6, un peu plus sérieux, fait la manchette du bulletin d’alerte 979267. Sans Adobe, certains Patchs Tuesday seraient tristes et sans vie.

Le désormais traditionnel bulletin de sécurité mensuel publié par Adobe prévient de l’existence d’une série de failles dans Adobe Reader 9.2 et Acrobat 9.2 pour Windows, Macintosh et Unix, ainsi que dans Adobe Reader 8.1.7 et Acrobat 8.1.7 pour Windows et Macintosh. Comme à l’accoutumé, le détail des vulnérabilités n’est pas fourni. Le communiqué fournit les différents liens pointant vers les correctifs et nouvelles versions mises à jour. Le niveau de sévérité est jugé critique, car un exploit « dans la nature » vise notamment les versions Windows de Reader et d’Acrobat 9.2.

WepAppSec publie une taxinomie des principales attaques visant les applicatifs, un document touffu de 170 pages, où tout est expliqué, du simple BoF au XSS les plus sophistiqués.