février, 2010

Stéphane Urbajtel, dans la Charente Libre, enquête sur cette inquiétante statistique : les logiciels de la région seraient (foi de Microsoft) piratés à 49%. Un écart considérable comparé aux pays anglo-saxons, notamment l’Allemagne et l’Angleterre. Deux pays, doit-on préciser, qui militent fortement pour la pratique de Linux dans les milieux scolaires et Universitaires… mais ceci est une autre histoire.

Et les chiffres de continuer de tomber : « 270 millions d’euros. C’est le manque à gagner qui serait consécutif au piratage pour les professionnels de l’informatique dans le Sud-Ouest ». Une statistique qui ressemble étrangement à celles des vendeurs de musique, qui comptent, tel Perette, l’argent des veaux, vaches et couvées dont la virtualité n’a d’égal que leurs certitudes de ventes. Seulement voilà, depuis que les études et les statistiques existent, aucun économiste n’est parvenu à prouver que les copies piratées peuvent systématiquement être converties en version « payantes » en cas d’action coercitive. Par ailleurs, le succès des versions « Traditional Chinese » et « Cantonese » de Windows, inexistantes d’un point de vue comptable durant des décennies mais belles et bien présentes dans toutes les éditions du MSDN, laisserait planer un soupçon de marketing viral … Cette technique (dite de « marketing viral ») avait été inventée par Ashton Tate aux tous débuts de la commercialisation de Dbase II.

Glissons également sur les comparatifs des différentes régions de France, qui expliqueraient ce taux de piratage par la simple comparaison des montants des investissements IT. 1,9% en Charente, plus de 2,6% en moyenne partout ailleurs en France, voilà une équation complexe qui permet à certains statisticiens du crime d’établir une relation entre un budget et un taux de délinquance supposé. C’est là confondre les zones à forte concentration d’industries tertiaires (région Parisienne, Lyonnaise, Marseillaise, Toulousaine…) à celles, telles les Charente, où l’on produit plus de beurre, de Cognac, de Pineau, de blé, d’huîtres de Marennes et de tickets d’entrée au Futuroscope que de contrats d’affacturage ou de sous-traitance comptable. On utilise moins d’ordinateurs dans le secteur de l’agriculture que dans l’industrie aéronautique. Alors, qui pirate ? Ces délits seraient-ils limités aux étudiants et universitaires, dont (c’est un fait connu) le pouvoir d’achat est l’un des plus élevés de France ? Et ce piratage serait-il la cheville ouvrière d’un appareil productif ? Car l’on ne peut estimer un manque à gagner qu’en fonction d’un gain tiré d’une activité illicite. Voilà qui pourrait constituer une piste intéressante… mais ceci est une autre histoire.

Comme à la haute époque de la campagne d’amnistie Wordstar ou de la guerre aux techno-délinquants ralliée sous la bannière de La Commande Electronique, les mêmes erreurs semblent être commises. A commencer par l’amalgame fait entre le piratage « industriel » perpétré par quelques aigrefins hors d’atteinte et la copie d’usage/apprentissage de quelques programmes qui ne jouent aucun rôle dans une entreprise financière. Aucun rapport donc avec les barrons Russes et Chinois du piratage sur Internet, plus difficiles à poursuivre, peu effrayés par les injonctions d’avocats, mais dont les « offres » peuvent fort bien atterrir sur un ordinateur de Charente-Poitou. Est également éludée la question des antiques versions de Windows 98, abandonnées depuis belles lurette par son éditeur, et qui ne fonctionnent encore qu’à coup d’enrichissements logiciels plus ou moins gris. Mais là encore, aucun « expert es piratage » n’est réellement parvenu à découvrir la formule de la pierre philosophale qui transformera spontanément une plateforme 98 S.E. en un contrat de licence Windows 7/4 Go de RAM/DualCore 2GHz/1 To de stockage. Surtout en période de crise. Mais ceci est une autre histoire.

Il n’est pas du tout question de justifier là le moindre acte de piratage. Cette tendance doit nécessairement être combattue, non pas par des lobbies à la fois juge et partie, mais par des instances civiles neutres et capables de mettre en place les moyens de lutte et des infrastructures de prévention. Peut-être même est-ce là la preuve flagrante d’un certain laxisme des institutions en place, lesquelles, pour répondre à une demande qui ne peut économiquement être satisfaite avec des offres propriétaires, devraient intensifier les efforts de promotion du logiciel Libre. Mais se poserait alors un cas de conscience chez les marchands de code propriétaire : dénoncer le « scandale du piratage » présenterait rapidement le risque de renforcer la position des programmes Open Source. Hurler au loup au risque de favoriser un adversaire mortel ou se taire, quitte à « perdre de l’argent » un temps en espérant une régularisation future… c’est là toute l’histoire.

NdlR : Dans la soirée du 28 février, les serveurs de nos confrères de la Charente Libre ont cessé de répondre, conséquence très probable de la tempête Xynthia qui s’est abattue sur la région.

L’usage du téléphone est dangereux pour les bronches, le cerveau, la vue et, en général, à la plupart des organes humains, surtout lorsque l’usager est également conducteur d’un véhicule, nous explique M. E. Kabay de Network World. Une affirmation étayée par les arguments d’un nouveau site Web, CellPhoneSafety, ainsi que de diverses études universitaires. Indiscutablement, il y a plus à craindre de la distraction provoquée par une conversation téléphonique entre un conducteur et une tierce personne que des risques supposés causés par les rayonnements électromagnétiques : le premier est plus sûrement mortel à courte échéance, avec ou sans « kit main libre ».

Paradoxalement, s’étonne l’auteur, de plus en plus de constructeurs d’automobiles perfectionnent leurs modèles en y intégrant de nombreux supports et accessoires utilisant une base GSM. Tout ce qui peut réduire la durée de vie d’un modèle et ainsi diminuer le temps de cycle de renouvellement du parc automobile ne pourrait que séduire General Motors, Toyota ou l’un des siens … Cynique, l’industrie du moteur à explosion ?

Il y aurait pourtant des mesures très simples pour que, à la fois, des intégrations auto-téléphonie favorisent le développement de « services complémentaires » et réduisent les taux d’accidents provoqués par l’usage du téléphone au volant. Parmi celles-ci, l’augmentation de la constante de temps du protocole de « roaming » (ou saut de cellule) sur tous les terminaux, de manière à ce qu’il ne soit plus possible de tenir une conversation autrement qu’à très faible vitesse ou à l’arrêt… sans pour autant bloquer les protocoles de signalisation genre sms, mms ou données. N’oublions pas que les premiers arguments avancés par certains opérateurs « post be-bop » était que leur réseau pouvait assurer une liaison à plus de 150 km/h sur l’autoroute de l’Ouest (en prenant le TGV sans doute). Certains d’entre eux ont même pu se prévaloir d’une couverture de « plus de 80% du territoire Français » en construisant leur premier maillage selon un plan scrupuleusement copié sur le réseau autoroutier national. Certes, à l’époque, rétorqueront les intéressés, « on ne pouvait pas prévoir. D’ailleurs, tout çà n’est que de la faute de l’usager », c’est bien connu…

De tels arguments de vente spécieux et flirtant avec les règles de sécurité sont d’ailleurs très souvent à l’origine des « boum » technologiques de cette dernière décennie. L’accès à l’Internet rapide par exemple, a, durant ses premières années d’existence, été propulsé à coup de slogans tels que « Téléchargez X fois plus rapidement grâce à la TelecomBox Untel ». Et même l’ouverture d’Internet au grand public, réseau d’origine strictement scientifique et militaire, a été présenté comme le début d’une ère de savoir, de partage de connaissances, de liberté d’expression… vision aujourd’hui conspuée par bien des politiques, qualifiée même parfois par certains de vision « post-soixanthuitarde utopique » propice au développement de réseaux de violeurs, d’escrocs, de pédophiles et de terroristes.

L’usage d’une technologie quelconque n’est jamais mortifère « par essence » et il est rare qu’elle se pervertisse sans l’intervention de groupes de pression industriels ou étatiques. Mais il est difficile pour des chevaliers d’industrie ou des hommes politiques d’admettre un certain niveau de responsabilité une fois que les « dérives d’usages » sont constatées.

La presse Britannique et notamment nos éminents confrères du Reg, déplorent les premiers dommages collatéraux provoqués par le différent Anglo-Argentin. Car les fiers concitoyens de Carlos Gardel ont porté un premier cyber-coup de pied en plein dans les joyaux de la couronne, en taguant la page de garde du site Penguin News, quotidien Web des « Falkland Island ». Les dommages de guerre sont considérablement moins coûteux en vies humaines que ne l’a été la guerre des Malouines 1.0, et l’on ne peut qu’espérer que cette situation perdure.

Rappelons que les différents opposants Argentins et Britanniques sur la question de l’appartenance des îles Malouines se sont récemment ravivés après que le Royaume Uni ait annoncé son intention de lancer une campagne de prospection pétrolière sous-marine dans les environs de l’archipel. Beaucoup d’îles et récifs coralliens entourant l’Amérique du Sud ont fait au fil des siècles, l’objet de « cadeaux » d’Etat à Etat, voir de conquêtes brutales et de populations autochtones passées au fil de l’épée. Une bonne partie des XVIIIème et XIXème siècles a été témoin de ces luttes tropicales et de ces conquêtes de morceaux de corail. Depuis, les règlementations ont changé, notamment les lois internationales fixant la distance des zones de pêche et les eaux « territoriales » à 200 mille nautiques. Ces « cailloux du bout du monde » que possèdent bien des pays Européens, constituent de véritables richesses souvent en matière de pêche, parfois en termes de position stratégique, et fréquemment en raison de leur situation très favorable pour l’interception des signaux télécoms (SigInt).

Chuck Norris serait une « preuve de faisabilité » développée par un chercheur Tchèque. Une recherche en droite ligne des scénarii d’attaque imaginés par l’équipe de GNU Citizen sur les routeurs WiFi des opérateurs Britanniques, et qui s’appuie notamment sur la compromission de routeurs à base de noyau Linux protégés par un mot de passe faible. Or, les mots de passe admin par défaut et autres clefs Web issues des adresses MAC desdits routeurs, cela fait déjà quelques années qu’on en parle, tant à l’étranger qu’en France. Certains de ces Sésames peuvent d’ailleurs être obtenus par simple « social engineering » en se faisant passer pour un ignorant total auprès des services de « ligne chaude » de certains fournisseurs d’accès.

Mais Chuck Norris va plus loin. Plus qu’une simple éventualité d’intrusion, il intègre les mécanismes de base nécessaires à l’établissement d’un botnet, lequel pourra être exploité pour lancer des attaques en déni de service, relayer du pourriel, spoofer du DNS, récolter du mot de passe… ad libitum selon la « charge utile » installée. Le père de Chuck Norris, Jan Vykopal, patron du département sécurité réseau de l’Institut des sciences informatique Masaryk de l’Université de Brno, s’appuie notamment sur quelques vulnérabilités caractéristiques de certains matériels et sur le fait que bon nombre de ces équipements sont paramétrés pour autoriser une forme d’administration ou de prise de contrôle à distance indispensable pour d’évidentes raisons de support, de test et de maintenance. En mettant la main sur un mot de passe par défaut, c’est tout le parc d’un FAI qui peut alors tomber sous la coupe d’un « bot herder ».

Pour l’heure, aucune information technique réelle n’a filtré quand aux détails du ou des exploits nécessaires à cette attaque. Même Gadi Evron se contente de renvoyer le lecteur sur un papier signé Bob McMillan, publié dans PC-World et dénué de toute information solide. Même le conseil donné par notre confrère (demander à chaque usager d’entrer un mot de passe « fort ») ne peut être sérieusement pris en compte, puisque précisément, le mot de passe d’origine n’est connu que du fournisseur d’accès… et de quelques hackers passionnés. A classer dans la catégorie « nonsense mitigating factor ». Un tel scénario d’attaque avait même été évoqué il y a un peu plus de 5 ans par quelques découvreurs de failles qui s’étaient penchés sur les routeurs Linksys et Zyxel aisément « flashables » à distance et trop populaires pour ne pas offrir aux voyageurs sans-fil quelques jolis mots de passe par défaut parmi une multitude d’appareils « wardrivés ».

S’il n’existe pour l’instant aucune preuve tangible de l’existence de Chuck Norris, spécialiste de la faute de frappe et des fleurs bleues contendantes, son existence est plausible. D’autant plus plausible que tout système télé-administrable est, en puissance, un réseau vulnérable par détournement, et que tout routeur utilisant un noyau plus ou moins standard est « riche » d’erreurs de conception compilables sur la liste Full Disclosure ou sur un site d’information tel que Milw0rm. Enfin, il est rare que les utilisateurs de ces routeurs possèdent à la fois la compétence et les informations nécessaires à la mise à niveau de leurs firmwares, ce qui pourrait bien hisser le « Poc » des chercheurs Tchèques au rang de « danger Scada » s’il s’avérait assez universel et adaptable pour être réellement exploitable.

Zeus et quelques unes de ses variantes fait à nouveau parler de lui. Depuis quelques jours, ce botnet réapparaît à la une des journaux. Parfois avec des accents dramatiques (c’est notamment le cas des médias non spécialisés) souvent avec une note de désespoir dans les titres. Ainsi Brian Krebs qui rappelle que cette vague n’est pas franchement nouvelle et que sa médiatisation tient pour beaucoup des départements marketing de certains vendeurs de sécurité périmétrique. Mais, reconnaissent tous les experts, Zeus demeure dangereux. Krebs (encore lui) rappelle que c’est cette infection qui a presque ruiné une petite société d’assurance du Michigan. Même son de cloche du côté de F-Secure, qui fait au passage des politesses à Krebs et rappelle que nihil novi sub sole : même affublé d’un nouveau nom (Kneber), un Zeus est toujours un Zeus, tonnerre de JeruB !

Mais les plus beaux morceaux d’anthologie sont signés respectivement par Dancho Danchev et par Atif Mushtaq. Danchev chasse les botnets depuis l’époque où le mot même n’existait pas. Son dernier papier (parmi une impressionnante collection) détaille avec précision les réseaux de serveurs vecteurs d’infection et l’organisation que ces campagnes de compromission supposent. L’autre morceau de bravoure, signé Atif Mushtaq du FireEye Malware Intelligence Lab, explique ce qu’est une attaque « Man in the Browser », une nouvelle forme d’exploitation mise en œuvre par ces fameux « modern password stealer and banking Trojans »… et notamment Zeus. Tout çà se lit comme un roman d’espionnage. C’est de la très bonne vulgarisation, et l’on regrette un peu que les chercheurs français ne prennent pas plus de temps à rédiger de tels scénarii, bien plus persuasifs pour la majorité des lecteurs qu’un exposé sérieux et sobre sur les mécanismes de fonctionnement dudit virus, dump mémoire, captures Wireshark et écrans de Process Explorer à l’appui. Science sans vulgarisation n’est que ruine de l’âme.

Au programme de la 2010 virtual conference on endpoint security organisée par InfoSecurity US la sécurité des GSM, protection et limite du Cloud Computing, des appareils mobiles, gestion des correctifs…

DNSMap 0.3,le « rayon X » des étendues IP et des sous-domaines cachés, est disponible sur GoogleCode. Cette nouvelle édition est notamment compatible IP v6 et OpenDNS.

Defcon « mensu » à Londres, ce mercredi 24 février, dans une salle « à l’étage » du Black Horse. Prévu une démonstration de lance thermique et une causerie sur la réalité augmentée (UAV) …

Symantec publie son étude annuelle sur les « chiffres de la cyberdélinquance informatique ». Etude reposant sur un sondage auprès de 2100 CIO et responsables sécurité d’entreprises uniformément réparties dans le monde. L’étude dans son intégralité peut être téléchargée sur le site de l’éditeur. Selon ce rapport, les ¾ des entreprises dans le monde auraient été victimes d’attaques durant l’année écoulée (2009). Le communiqué de présentation résume de manière lapidaire : « 100% des personnes interrogées dans cette étude ont indiqué avoir subi des pertes en ligne, que ce soit des informations confidentielles sur les clients, des informations bancaires des clients, ou de la propriété intellectuelle. Par ailleurs, cette étude révèle que les grandes entreprises françaises ont perdu 2,4 millions d’euros en moyenne à cause des cyber-attaques. »

Exceptionnellement, il n’est pas nécessaire de savoir parler binaire dans le texte pour comprendre un article publié sur le blog de Neohapsys. Car « Configurez TOUS les systèmes » ne traite que d’un problème, simple : la chasse aux mille et une consoles d’administration cachées sur des appareils dont on ne soupçonne pas l’intelligence. Et de raconter l’histoire d’un « Audit » réseau qui, minute après minute, s’est soldé par la découverte d’un serveur Web camouflé dans une carte Ethernet ou dans un onduleur. Un serveur à chaque fois configuré avec des crédences par défaut. Et un accès Admin sur un groupe d’onduleurs, c’est la possibilité de couper le courant à tout un groupe de serveurs. L’article aurait fort bien pu s’étendre sur la diversité des périphériques administrables, voir possédant deux interfaces réseau : imprimantes réseau WiFi/base cuivre, caméras de surveillance IP, routeurs et autres équipements de commutation intégrés ou non… Les backdoors officielles se multiplient au sein des réseaux, ce qui fait dire à l’auteur du billet « Y’a-t-il un employé aigri dans la salle ? »