février, 2010

Vrais-faux papiers, fausses moustaches, vrais clefs trafiquées, téléphones spéciaux, vrais talky-walky et toutes aussi authentiques et indiscrètes caméras vidéo… La presse généraliste ne cesse de parler du récent assassinat de Mahmoud Al-Mabhouh, l’un des responsables de la branche armée du Hamas. Après examens des enregistrements des caméras de vidéosurveillance, identification des meurtriers présumés et recoupement de ces informations auprès de la Police des Frontières de Dubaï, il est apparu que le commando était composé de 6 Britanniques, trois Irlandais, un Allemand et un Français, Français dont le visage figurait en tête des avis de recherche. Mais passé ces premières heures d’étonnement, les polices des différents pays ont mis en évidence une usurpation d’identité manifeste et la probable implication des services Action du Mossad Israélien. Simultanément, les services d’immigration de Dubaï, rapportent nos confrères du Monde, affirment qu’aucun des passeports n’était faux. C’est la première fois que, de manière publique, il existe une preuve de la totale inefficacité des « puces biométriques » intégrés aux documents de voyage et de la prétendue étanchéité des chaines de fabrication. A noter que la Grande Bretagne et l’Irlande, qui bénéficient d’un régime spécial de la règlementation Européenne en la matière, se sont alignées sur les autres Etats, mais le « parc » de passeports est encore loin de ne comporter que des documents « pucés » et ce passage au biométrique n’est pas obligatoire en cas de renouvellement. Un article de John Leyden, du Reg, nous apprend que les identités des vrais-faux Britanniques appartenaient à de véritables personnes, majoritairement des Israéliens d’origine Anglaise. La chose n’est pas du tout établie pour ce qui concerne les ressortissants des autres pays. Nul doute, grâce à la toute nouvelle loi Loppsi qui protège désormais les citoyens Français de ce risque d’usurpation d’identité, que les coupables finiront un jour embastillés… ou pas.

Parmi les autres astuces et hacks utilisés par les Tontons Flingueurs anti-Hamas, on peut également mentionner la modification de la clef d’hôtel donnant accès à la chambre de la victime (sans qu’il soit clairement établi si cette opération a fonctionné), l’utilisation de communications téléphoniques chiffrées centralisées par un « hub » situé probablement en Autriche, et l’usage de talky VHF (eux-mêmes très probablement chiffrés) et destinés à maintenir les liaisons entre les différents membres du commando. Perruques et fausses moustaches mises à part, on est plus proche des méthodes des lecteurs de Phrack que des derniers gadgets à la James Bond. Mais ce qu’un lecteur de Phrack aurait su prendre en compte, surtout s’il est Londonien ou Parisien, c’est le nombre de caméras de surveillance qui pullulent à Dubaï dans les établissements publics. De son côté, la presse Israélienne demande, tel Haaretz, la tête du chef du service d’espionnage, tandis que Ynetnews fait remarquer que l’accumulation d’indiscrétions et de bourdes du commando risque d’avoir pour première conséquence le déclanchement de représailles contre des civils Israéliens.

Deux séries de failles importantes (dont une pouvant permettre une attaque par injection SQL) viennent d’être colmatées par Cisco. La première concerne une instabilité dans « l’agent de sécurité », agent lui-même installé sur une multitude de produits (Callmanager, CCC, ICM, IP-IVR, CSM etc). La seconde série de failles peut exposer la ligne ASA55000 à diverses attaques en déni de service, épuisement des ressources, contournement des mécanismes d’authentification…

Mi-octobre dernier, une probable campagne de phishing avait déjà permis à quelques pirates de mettre la main sur plus de 10 000 crédences Live-ID. Cette fois, c’est une panne des serveurs d’identification qui a entraîné une coupure du service, ainsi que l’admet Arthur De Haan sur le blog Inside Windows Live. Des rumeurs laissent entendre que, durant la brève période de dysfonctionnement qui a précédé la coupure, les abonnés Hotmail auraient pu accéder à des boîtes appartenant à d’autres personnes.

Comme chaque année, le Sans publie cette formidable liste commentée (86 pages-écran) qui recense les principales erreurs commises lors de la conception d’un programme. 25 au total, toutes expliquées, commentées, suivies des méthodes à appliquer pour éliminer tout risque : de la mauvaise protection des structures de pages Web (propices aux attaques XSS) aux antiques attaques en « race condition » dont certaines peuvent conduire à de singulières élévations de privilège, en passant par les CRSF, les buffer overflow classiques, les absences de contrôle des « chemins »… A cette liste, l’on doit ajouter sa proche cousine établie par le Mitre, les CWE , Common Weakness Enumeration, ou tableau des vulnérabilités courantes.

Ces conseils pratiques (ces conseils de « bonnes pratiques ») sont enrichis cette année par deux éléments comparatifs nouveaux. Le premier établit un parallèle entre le « top 10 » de l’Owasp et le bilan du Sans. Le second explique comment, cette année, les risques et erreurs de programmation ont été réévalués en fonction de l’importance que leur accordaient 28 organisations tierces qui ont collaboré à ce travail de romain. Bien des « grands dangers » de l’an passé ont été déplacés dans la liste des « Monster Mitigation », sorte de recette de cuisine très générale servant à éliminer toute une catégorie de vulnérabilités.

Phandroid a exhumé des mille et un communiqués de presse du dernier GSM World Congress, une annonce de l’opérateur Verizon promettant une libération du trafic Skype sur son réseau 3G. Les possesseurs d’un téléphone de nouvelle génération bénéficiant d’un forfait « internet illimité » pourront donc téléphoner gratuitement à destination de tous les correspondants Skype et pourront utiliser les services Skype Out.

Outre un raccourcissement notable de la « facture détaillée » des abonnés bavards, cette annonce risque de briser le cœur des défendeurs des Loppsi de tous poils et donner des palpitations à quelques administrateurs réseau. En « libéralisant » Skype sur son réseau, Verizon jette trois pavés dans la mare : il provoque un précédent qui risque d’être suivi par d’autres opérateurs, il généralise les communications voix/fichiers/chat chiffrées (aïe pour les écoutes …) et surtout il ouvre une brèche de sécurité impossible à combler dans les réseaux d’entreprise. Si les forfaits « avec Skype » s’avèrent moins coûteux que les illimités 24/7 tel que le NeoPro de Bouygues (une centaine d’euros par ligne pour la formule tout illimité), les services généraux et comptables des entreprises vont tenter d’imposer cette apparente aubaine pour d’évidentes raisons économiques. Au grand dam des administrateurs réseaux qui risquent soit de devoir s’embarquer dans une pénible opération de filtrage en dentelles et de DLP lourd, soit de voir fleurir des « trous de vers » reliant une myriade d’appareils mobiles avec les stations de travail situées sur leur réseau local. Après tout Verizon, via sa branche Business, c’est aussi une entreprise vendant du conseil et du service en sécurité…

Les Services Secrets US offrent, via Cryptome, une série de manuels et de présentations expliquant aux impétrants enquêteurs ce qu’est un ordinateur, un réseau, et comment y pénétrer. La seule collection de « transparents » détaillant les différentes parties d’un ordinateur et les outils permettant de l’analyser s’étend à elle seule sur plus de 1378 pages. Quand aux manuels élève-professeur baptisés Nitro, s’ils n’apprennent pas grand-chose à un spécialiste réseau, pourront toujours servir de support de cours pour un formateur : la progression, les points importants, les exercices et TP de contrôle de connaissance sont dignes d’un fascicule du CNED.

L’Assemblée nationale a adopté en première lecture le projet de loi sur la sécurité intérieure –Loppsi II –, dans une très classique ambiance d’opposition droite-gauche. Baptisée « Loi Fourre Tout » par ses détracteurs, elle, entre autres, renforce les pouvoirs des polices municipales, traite de confiscation de véhicule en cas de délit d’excès de vitesse aggravé, de chasse au cyber-pédophiles, de l’autorisation d’usage de techniques discutables (mouchards informatiques) par les forces de l’ordre et de lutte contre le terrorisme. L’ancien journaliste et député des Verts, Noël Mamère, rappelle que c’est le 17ème texte sur l’insécurité qui passe depuis 2002.

A peine lancé, Buzz, le nouveau service « Web 2.0 » de Google, est déjà attaqué devant les tribunaux, nous apprend le quotidien 20 minutes. La plainte a été émise par l’Epic, qui a assez mal vu le fait qu’une partie du carnet d’adresses des usagers de Gmail soit utilisée « par défaut » pour enrichir la liste de contacts de Buzz. Erreur corrigée depuis, mais le mal avait été fait.

L’Epic qualifie Buzz de « untested social networking service »… affirmation corroborée par l’annonce du premier exploit sur ce service. Un travail signé TrainReq et commenté par RSnake sur le blog Ha.cker. Il est, pour l’heure, potentiellement possible de détourner l’une de ces pages Google à des fins pas très honnêtes, et l’on se demande pour quelle raison le service demande à l’usager des détails sur sa position géographique ? Serait-ce pour nous vouloir du bien même au milieu des plateaux du Larzac ?

Généralement,lorsqu’un éditeur décide de publier un bulletin d’alerte en dehors du calendrier mensuel qu’il s’est fixé, c’est qu’il y a de l’exploit actif dans la nature. La chose n’est pas spécifiquement expliquée tout au long du double bulletin d’alerte que vient de publie Adobe, mais en cas de doute, l’urgence de la mise à niveau est à respecter. Cette fois, une double faille frappe les éditions de Adobe Reader 9.3 pour Windows, Mac et Unix, Acrobat 9.3 pour Windows et Mac, Adobe Reader 8.2 et Acrobat 8.2 pour Windows et Mac. La liste des nouvelles versions est fournie en fin de communiqué, pour tous ceux qui n’utilisent pas les automates de mise à jour.

Assister à Schmoocon gratuitement : les streams vidéo sont disponibles sur le site de la manifestation comme en quasi temps réel durant les conférences. Une première dans le monde des « grandes » réunions de hack et sécurité.