février, 2010

Backtrack 4 final, nom de code PwnSauce, vient de sortir, en version ISO et image VMWare. Nouveau noyau, nouveaux dépôts, quelques bugs en moins, cet outil de tests de pénétration/récupération de données/collecte de preuves est toujours aussi gratuit, toujours aussi efficace, toujours aussi interdit par la LCEN.

Hack ! Alexander Guthmann publie sur son blog la description de son prototype d’émulateur de carte RFID compatible EM4001. C’est une légère amélioration de l’émulateur de Michal Krumnikl de l’Université d’Ostrava.

Chez Microsoft, Google Hacking se prononce Binging. BlueInfy offre en téléchargement un outil exploitant l’API du moteur Bing dans le but d’en extraire plein de choses indiscrètes… à télécharger, ainsi qu’un Fuzzer pour applications Web 2.0, sur le site de l’éditeur

Shell se serait fait voler, révèle nos confrères d’IT Pro, 170 000 identités issues d’un de ses fichiers du personnel. La liste de ces employés aurait été expédiée à plusieurs organisations non gouvernementales, dont Greenpeace et RoyalDutchShellplc.com, un site très « anti-Shell ». Lequel site raconte dans le détail les pressions exercées par le groupe pétrolier pour que lesdites organisations détruisent illico cette liste. Selon un informateur de ce même site, la fuite serait probablement liée à une négligence de configuration : « Active Directory (parts of it anyway) have been left open for use by RDS’s diverse collection of systems » précise le correspondant, qui s’étonne qu’une telle mésaventure ne soit pas survenue plus tôt.

L’envoi de ce fichier était, précisent nos confrères d’IT Pro, accompagné d’une lettre prétendument émise par des employés de l’entreprise.

De son côté, Shell a annoncé ouvrir une enquête pour localiser l’origine de la fuite, et minimise l’affaire en précisant que cette perte de données ne pose aucun problème de sécurité. Pour les personnes dont le nom et les coordonnées téléphoniques ont été mises dans la nature, cela est nettement moins sûr. Si l’hypothèse avancée par le correspondant anonyme du site Royaldutchshellplc se confirme, la compagnie pourrait se voir infliger une amende au titre du Data Protection Act

Lorsque l’actualité bat de l’aile, les experts soit se drapent dans un mutisme altier, soit s’amusent à écrire des petits billets provocateurs en utilisant des ficelles de présentation inusables. Et parmi les plus usitées, la technique du « top ten » du « décalogue de la sécurité » ou de la règle de trois pour apprenti-chasseur de failles. Ca évite de devoir penser aux transitions et offre l’avantage de pouvoir jeter pêle-mêle des idées sans réel lien, qui, prises indépendamment, n’auraient pas , justifiées un traitement de plus de trois lignes. Et parfois, le résultat est intéressant.

Ainsi sur ShackF00, le blog de Dave Shackleford, qui dresse la liste des 5 erreurs les plus communes commises lors de l’établissement d’un programme de sécurité. Des constats simples, presque des portes ouvertes : « pas de budget, pas de support de la part de la hiérarchie, pas de plan : les premières raisons d’un échec sont souvent politiques ». Viennent ensuite l’absence de ressources de monitoring (au sens administratif du terme), les carences de maîtrise technique ou de suivi des processus primordiaux (gestion des correctifs ou des configurations par exemple) et, enfin, un mauvais respect des règles de conformité.

L’autre article-listing est signé Adriano sur My Information Security Job. Il recense les 7 « choses qu’un homme sécurité devrait faire ». A commencer par communiquer, et remplacer le sempiternel « nonpaspossible » par un diplomatique « peut-être ». Simple question de rapports humains. Mais les points suivants sont moins classiques. « Utilisez les réseaux sociaux, c’est une source d’information comme un autre… et ne vous contentez pas de lire. Bloguez, que diable. Nous sommes dans un monde de liberté de parole ! ». Une attitude relativement Britannique. En France, à une dizaine d’exceptions près, il est rare qu’un spécialiste sécurité s’épanche sur le Web. La « hiérarchie n’apprécie pas ». Surtout dans le domaine bancaire, ou l’omerta est valorisé à 15% net d’impôt. « Surveillez l’évolution des budgets sécurité, gardez un œil sur les niveaux de salaire »… et l’auteur d’expliquer qu’un CV avec une qualification CISSP, ISO 2700x ou PCI DSS, ça ouvre bien des portes et explique la raison pour laquelle les salaires de la profession ne sont pas particulièrement en baisse. Là encore, la hiérarchie ne va pas apprécier. L’administrateur du site, en revanche, n’espère que çà… My Information Security Job n’est pas un blog mais un site d’offres et de recherches d’emplois spécialisés dans la sécurité informatique.

L’éditeur d’antivirus Russe Dr Web vient de publier mi février, un bilan des attaques constatées dans les pays de l’Est. Plus que les métriques relatives aux infections du côté de la Volga (tiercé gagnant sans surprise : MyDoom, NetSky, Gavir), ce sont les méthodes de détournement d’argent pratiquées dans la Fédérations qui sont les plus instructives. Ainsi, courant janvier, une vague de « Troyen Winlock » a touché près d’un million d’appareils. Ce troyen est un « ransomware » qui bloque l’usage d’un ordinateur ou l’accès à ses fichiers et qui ne se déverrouille que contre payement d’une rançon de 500 à 600 roubles dans le cas susmentionné. Autre méthode, la fraude via SMS. Le procédé est simple, et consiste à facturer par le biais des SMS surtaxés, des services et programmes totalement fantaisistes ou factices : logiciels prétendant filmer au travers des habits des personnes prises en photo via l’APN intégré du téléphone, prétendus programmes d’interception de SMS, antivirus miracles etc. Une variante légèrement plus subtile, apparue très récemment, prétend envoyer un programme sur simple indication du numéro de téléphone à « enrichir » via une page Web. Que le numéro soit donné par l’abonné lui-même, appâté par une proposition alléchante, ou par une tierce personne (qui elle-même succombe à une offre de « parrainage » rémunératrice), le résultat est toujours le même : la victime reçoit un lien d’activation dudit service, lequel déclenche automatiquement une facturation qui sera débitée sur le compte de l’usager. Il est important de garder à l’esprit que les proportions d’infections et d’attaques visant la téléphonie mobile sont pratiquement inconnues compte tenu de la quasi absence de « sondes » (antivirus ou logiciels d’administration/ contrôle d’intégrité) sur les terminaux mobiles en général. Tout juste peut-on constater un certain bourgeonnement de « malwares » sans la moindre précision volumétrique.

Cette tendance est également constatée par la très américaine équipe de SecureWorks, qui explique la baisse (relative) du spam par un changement de business-model et des mécanismes de récolte d’argent plus efficaces. Après avoir ratissé large, très large, tellement large les commandes de viagra frelaté et de logiciels moins chers qu’ailleurs s’avèrent de moins en moins rentables. Désormais, les spécialistes du pollupostage se reconvertissent dans l’email d’incitation alléchant : erreur des contributions directes en votre faveur, livraison miraculeuse de la part d’un transporteur et autres opportunités de travail très rémunératrices. Le but n’est pas de piéger le destinataire avec les ficelles un peu éculées du phishing à large spectre, mais de faire en sorte que la personne laisse installer, à son corps défendant, un spyware ou un troyen. Lequel ensuite viendra de manière très classique enrichir les réseaux de vols de crédences bancaires.

Conséquence du « Grand Emprunt », les dépenses d’équipement des administrations nationales et locales devraient s’accroître sensiblement au moins jusqu’en 2011 , estime le cabinet d’étude Markess. Les domaines clefs sur lesquels seront concentrés les efforts financiers les plus importants devraient être les applications décisionnelles et de pilotage (pour 39% des organisations), les outils collaboratifs (37%), la dématérialisation des documents (36%), les télé-procédures et l’archivage électronique (26% pour chacun des secteurs). Nulle mention n’est faite des investissements en matière de sécurité pure, mais il ne fait pas de doute que les enveloppes suivront. Notamment en raison du fait (sic) que « la majorité des administrations centrales met en avant une hausse des budgets consacrés à l’hébergement externe et à l’open source »

L’équipe Karsten Nohl, Erik Tews et Ralf-Philipp Weinmann, respectivement des Universités de Virginie, Darmstadt et Luxembourg, viennent de publier un article intitulé Cryptanalyse de la norme de chiffrement DECT. Analyse et crack dudit chiffrement qui vient compléter les travaux que l’équipe de deDECTed.org mène depuis plus d’un an. Une première publication effectuée durant la conférence CCC de Noël 2008 avait démontré comment il était possible d’intercepter des communications non chiffrées à l’aide d’une carte pcmcia de marque Com-On-Air. Carte dont le prix à l’argus a quasiment centuplé dans les jours qui ont suivi l’annonce en question. Cette année, c’est au tour du mécanisme de chiffrement de faire les frais des efforts de l’équipe. Il est, affirment les chercheurs, possible d’enregistrer (à l’aide d’une radio à définition logicielle par exemple) puis d’analyser et décoder une conversation chiffrée établie à l’aide d’un combiné sans fil.

Dans l’absolu, cette attaque (bien que très complexe d’un point de vue scientifique), n’exige pas des moyens techniques phénoménaux et représente un risque pour les quelques 800 millions d’usagers du Dect dans le monde. Quoi que puisse envisager de faire l’association de constructeurs réunie sous la bannière du Dect Forum, il est totalement impossible de mettre à jour les millions d’appareils déjà commercialisés et qui resteront en service dans les 3 à 5 années à venir. Les trois chercheurs ne font d’ailleurs rien pour rassurer leur public, en affirmant que « cette attaque était certainement la moins pratique et la moins appropriée pour pénétrer un réseau Dect », sous-entendant par là que des techniques plus optimisées pourraient faire leur apparition dans un proche futur.

Services Généraux : les grands perdants de l’histoire

Cette attaque est aussi, et sans le moindre doute, la plus importante menace à ce jour visant la sécurité des Services Généraux, eux-mêmes souvent très éloignés ou peu concernés par les conseils des RSSI et autres responsables sécurité. C’est d’ailleurs pour des raisons de sécurité très semblables que, bien souvent, la gestion de la téléphonie a été confisquée aux S.G. pour tomber dans le giron des DSI. Conséquence de la généralisation des technologies VoIP.

Mais tout n’est pas « IP Centric » ou stratégique, et la modernisation des bâtiments et des infrastructures d’entreprise dépend de plus en plus d’installations techniques dont la maîtrise ne peut relever des informaticiens et échappe totalement aux responsables SG, peu ou pas formés à ces nouvelles technologies. Citons, pêle-mêle, la généralisation des caméras de surveillance IP « protégées » par un Vlan mais utilisant les ressources du réseau informatique local (sans pour autant être administrées par les hommes de l’informatique), les systèmes automatisés et de plus en plus microprocessorisés/interconnectés qui touchent au bon fonctionnement des locaux (ventilation, ascenseurs) ou qui ne sont que l’évolution de matériel de bureau monté en graine (photocopieuses notamment, mais également cartes d’accès, protection périmétrique physique etc).

L’on connaissait déjà la rustine « cumulative », celle qui bouchait d’un coup toute une série de plaies béantes (une astuce toute microsoftienne pour faire baisser les statistiques de comptage de trous), voilà qu’Adobe et les Certs nous offrent une nouvelle forme de correctif : celui qui n’est efficace que s’il est appliqué plusieurs fois. Une double faille, donc, est éliminée avec l’édition 10.0.45.2 de FlashPlayer. Mais il existe une version spécifique de ce player d’une part pour Internet Explorer, et d’autre par pour « les autres », Firefox, Mozilla, Netscape, Opera et clients Web tiers utilisant les plugins. Comme les Certs divers conseillent parfois d’utiliser « un navigateur alternatif » et que ledit conseil est sans le moindre doute suivi par la majorité des utilisateurs, il est donc nécessaire de récupérer deux fois, et chaque fois avec le navigateur à mettre à jour, cette fameuse édition 10.0.45.2.

378 votes favorables à la résolution de rejet, 196 contre et 31 abstentions : le Parlement Européen rejette l’accord Swift/TFTP (Terrorist Finance Tracking Program) donnant aux Etats-Unis un droit de regard sur les transactions financières internationales effectuées par des ressortissants et sociétés Européennes. Cette demande des USA avait été acceptée sans grande discussion par la commission et le Conseil Européen, et donnait à Washington un accès sans contrôle sur les flux émis par les différents pays d’Europe. Le Parlement estime que la « menace terroriste » n’est pas un motif suffisamment étayé pour justifier ce blanc-seing de perquisition permanent, et qu’il constitue même une menace certaine pour les libertés individuelles.

L’association Les Iris rappelle que, dans sa boulimie de données personnelles, les Etats-Unis étaient déjà parvenus à imposer au Conseil la fourniture PNR, ou dossier passager, qui indique notamment les « données du passeport, le nom, l’adresse, les numéros de téléphone, l’agence de voyage, le numéro de la carte de crédit, l’historique des modifications du plan de vol, les préférences de siège et…. autres informations ». Des informations bancaires notamment qui sont conservées Outre Atlantique pour une durée minimale de 15 ans… sans précision de ce qui pourrait se passer « après » et sans, bien sûr, que la moindre instance Européenne puisse exercer le moindre droit d’oubli. Jusqu’à présent, les récents attentats ont montré l’absence totale d’effet préventif de ce dossier.