février, 2010

L’information a notamment été médiatisée par Brian Krebs et un forum d’assistance Microsoft : le correctif MS10-015 colmatant une possible élévation de privilège signalée par le bulletin 979682 et l’alerte du même métal provoque dans quelques cas un « écran bleu » au démarrage des stations sous Windows XP. La méthode de récupération conseillée par les équipes sécurité de Microsoft consiste à :

– Démarrer avec un CD original du système pour lancer la console de récupération puis lancer les commandes

CHDIR $NtUninstallKB977165$\spuninst

Deux catégories d’usagers rencontreront quelques problèmes pour effectuer cette rectification : les personne ne pouvant lire cette solution car n’ayant accès qu’à un seul ordinateur (celui précisément qui vient de succomber à ce correctif bancal) et les possesseurs d’ultra-portables dépourvus de lecteur de CD et ne disposant pas d’un PE-EXE sur clef usb. Pour cette dernière catégorie d’utilisateurs, la marche à suivre est indiquée sur le blog de Roderick van Domburg.

Dessines-moi une paire de Bot : KreiosC2 est un « bot pour jouer », une preuve de conception destinée à tous ceux qui souhaitent en comprendre le fonctionnement. Particularité : accepte une inhabituelle diversité de canaux de commandes et de contrôles.

Une étude du cabinet Javelin Strategy & Research laisse entendre que le nombre de victimes de fraudes aurait été en nette augmentation en 2009, avec une progression de 12% comparé aux quelques 11,1 millions de personnes frappées en 2008. Le montant des pertes s’élèverait à 54 milliards de dollars (contre 48 l’an passé). Le montant moyen des pertes financières s’élevait à 373 $ par victime, en légère baisse d’une année sur l’autre (498$ en 2008). Les fraudes à la carte de crédit se sont avérées en hausse, en proportion de 75% (63% en 2008), celles à la carte de débit en baisse (33% cette année, contre 35 l’an passé). L’étude remarque également une hausse (chiffres non communiqués) des vols de numéros de comptes bancaires et de documents d’assurance santé (très utilisé Outre Atlantique lors des demandes de crédit à la consommation notamment). Mais l’un des changements les plus notables remarqué par les analystes de Javelin Strategy porte sur le mode opératoire des fraudeurs. Jusqu’à présent, la première tâche d’un « voleur de compte » consistait à trouver des astuces pour légitimer soit un changement d’adresse, soit justifier une adresse de livraison de biens différente de celle du porteur de carte. Des « call center » mafieux spécialisés ont même trouvé là une opportunité fructueuse. Mais depuis le début de 2009, les fraudeurs se contentent simplement d’ajouter un « nouveau bénéficiaire » au compte, bénéficiaire dont l’identité et le domicile sont parfaitement forgés.

Il est important de noter que cette étude a été réalisée sur un échantillonnage de 5000 personnes résidant sur le territoire US, dont 703 victimes déclarées. Il faudra attendre la publication des chiffres de la FTC et du CSI-FBI pour avoir des métriques plus précises, reposant sur l’analyse de l’ensemble des victimes ayant porté plainte auprès des services de police.

Injection SQL sous Oracle 11g, un article technique signé David Litchfield. Rédigé en octobre dernier mais rendu public cette semaine, l’article est une reprise de la présentation faite à l’occasion de la Black Hat Federal Security Conference dont les « transparents » sont disponibles sur les serveurs de NGSS

Parmi les étranges coutumes chamaniques qui empreignent la société nord-américaine en général et celles des Etats-Unis en particulier, celle qui consiste à demander à un quidam d’avouer les choses les plus inavouables semble de loin la plus curieuse. Cette fausse candeur n’a d’autre but que de faciliter le travail des juges d’instruction en cas de flagrant délit, puisque toute dénégation antérieure transforme ipso-facto l’incartade en « felony » et le crime en « crime avec préméditation ». C’est tout de suite plus cher. Ainsi, les formulaires douaniers demandant aux touristes s’ils ont appartenu dans leur folle jeunesse à une organisation Nazie, si leurs intentions sont ou non de trucider le successeur en place d’Abraham Lincoln, ou si, à une certaine époque, eux ou l’un de leurs proches avait acheté un sandwich jambon-beurre à la dernière fête de l’huma.

Cette tradition est fidèlement entretenue et continue de figurer en première place des traditions Etats-Uniennes. Ainsi, remarque Concurring Opinions, cette clause de contrat que comporte la EULA d’iTune, et qui interdit son usage aux terroristes localisés dans les pays mis à l’index par les Ministères du Commerce ou de l’Economie. Chez Apple, si l’on sait que la musique vendue en ligne pouvait enrichir les actionnaires de Cupertino, l’on doit également penser qu’elle est incapable d’adoucir les mœurs.

Par mesure de prudence, le contrat insiste : « You also agree that you will not use these products for any purposes prohibited by United States law, including, without limitation, the development, design, manufacture or production of nuclear, missiles, or chemical or biological weapons »

Si d’aventure un lecteur de Cnis-Mag pouvait indiquer à la Rédaction par quel miracle d’ingénierie inverse l’on pouvait fabriquer un missile thermonucléaire, une bouteille de gaz moutarde ou des cultures de toxine botulique à l’aide d’un Buffer Overflow affectant iTune, nous nous ferions une joie de publier par le menu les détails de cette recherche. Ce constituerait, pour la science informatico-physico-biochimique, une avancée spectaculaire et la promesse certaine d’un Nobel à courte échéance.

Mais il y a pire encore. Bruce Schneier sur son blog, Slashdot, RawStory … tous s’extasient de cette mise en application officielle d’une loi d’Etat Sud-Carolinienne obligeant les organisations subversives à s’enregistrer auprès de l’Administration (Amis terroristes, attention, les frais administratifs s’élèvent à 5 dollars). Qui donc doit s’inscrire ? « chaque membre d’une organisation subversive, ou organisation assujettie au contrôle d’une puissance étrangère, d’un agent étranger, ou toute personne professant, militant, promulguant ou se faisant une règle de souhaiter contrôler, s’emparer du ou renverser le pouvoir du gouvernement des Etats-Unis . Voilà qui va singulièrement faciliter la tâche des contre-espions, des chasseurs de terroristes et des G-men de tous crins. Las, les futurs épisodes de « 24H Chrono », de NCIS ou de DHS vont prendre un coup de vieux. Un Jack Bauer qui met à l’ombre d’un seul coup 150 membres d’Al Quaida en consultant l’annuaire des associations terroristes de Carline du Sud, sans poursuite de voiture, sans fusillade, sans prise d’otage, sans torture, sans rébellion, sans hiérarchie jugulaire-jugulaire, mais avec un simple coup de fil, ça va pas nous faire péter l’audimat. Ayons également une pensée émue pour ces pauvres fonctionnaire Caroliniens qui, par les temps terroristes qui courent, vont être débordés dans les mois qui viennent par le traitement des milliers de formulaires que rempliront civilement des conspirateurs de tous crins.

Hasard du calendrier ? Le China Daily titre sur le « Biggest hacker training site shut down », une plateforme de marché spécialisée dans le commerce d’exploits et Bots. Selon la police, le site compterait au moins 12 000 membres inscrits et cotisants et 170 000 abonnés gratuits. En se basant sur le montant des droits d’inscription « VIP », les autorités Chinoises pensent que les animateurs de ce site auraient récolté près de 7 millions de yuan. Les avoirs gelés au moment de l’arrestation du « gang » s’élevaient, dévoilent nos confrères, à 1,7 million de yuan (environ 180 000 Euros).

L’Assemblée, en plein travail sur la Loppsi, vient d’adopter l’article 4 portant sur la censure par blocage des sites pédopornographiques. Adoption toutefois marquée par une vive opposition des partis de gauche et de quelques élus de droite. D’un côté, la majorité joue sur du velours : pour l’opinion publique, toute opinion contraire peut passer pour de la complaisance vis-à-vis des délinquants ainsi visés. Pour l’opposition, cette loi n’est qu’un paravent inutile, destiné essentiellement à diaboliser Internet pour en mieux justifier les lois restrictives les plus extrêmes. Remarques d’autant plus pertinentes que, contrairement aux propos généralement tenus du côté de l’UMP, il est difficile de tomber « par hasard » sur des sites de ce type et que, si l’on se rapporte aux méthodes d’enquêtes des brigades de Gendarmerie spécialisées dans ce genre de trafic, ce sont surtout les canaux d’échange P2P qui véhiculent des contenus pédopornographiques. Grâce à un amendement de Lionel Tardy (UMP), cette censure sera soumise à la décision d’un juge avant application. Il y a donc très peu de chances que ce texte soit un jour réellement appliqué. Sa rédaction, pourtant, marque un premier pas qui, craignent les opposants serve un jour à justifier des mesures semblables pour des raisons nettement moins condamnables.

Ajoutons qu’a également été approuvé l’Article 2 de cette même Loppsi, qui, ainsi que l’avait promis il y a près d’un an Madame la Ministre Michèle Alliot-Marie, crée le délit « d’usurpation d’identité en ligne ». Là encore, les opposants à cette loi estiment que la formulation trop « vague » de cette notion d’identité et d’usurpation pourrait permettre des interprétations capables de condamner des caricatures, les « faux blogs », voir les canulars d’étudiants.

Face à l’armada des virus venus de Chine lors de l’attaque concertée souvent désignée sous le nom de code « Aurora », quelques groupes de chercheurs se sont mobilisés pour décortiquer les techniques utilisées à cette occasion. Et notamment le cabinet HBGary Federals. Il explique comment « reconnaître » une attaque Aurora, et ce n’est pas franchement simple.

Car le vecteur est complexe. En premier lieu, un code JavaScrip exploite une vulnérabilité d’Internet Explorer 6. Un IE6 qui est encore très largement utilisé en entreprise pour des raisons de compatibilité avec des applications Web. Ledit JavaScript contient un shellcode qui à son tour télécharge un « dropper ». Du dropper est extrait une « porte dérobée » ainsi qu’une DLL peu innocente, laquelle s’installe dans le répertoire Système de Windows et se charge en mémoire sous forme de « Service ». A ce stade, la DLL se modifie afin d’échapper aux détecteurs les plus classiques, tandis que le dropper se suicide par effacement afin d’éliminer toute trace de l’intrusion. Les deux articles s’attachent notamment à démonter les mécanismes de l’attaque JavaScript

NdlC Note de la Correctrice : le titre de cet article est une œuvre originale, qui, bien qu’inspiré par les écrits de Pierre Etienne, ne semble pas figurer dans ses ouvrages ou dans un quelconque recueil. Il ne sera donc pas censuré pour cette seule et unique raison.

Deux papiers viennent agiter le landernau de l’administration. Le premier est signé Lauren Weisnstein et s’arrête sur une idée émise à Davos par Craig Mundie, Chief Research and Strategy Officer chez Microsoft : il faudrait instaurer un « permis de conduire sur Internet ». Logique, pour circuler sur les autoroutes de l’information. Attention, pas un papier de complaisance, mais un véritable examen qui permette à nos Etats Nations de régner sur une populace sachant que « The Internet is the biggest command and control center for every bad guy out there ». Et de continuer « We need a kind of World Health Organization for the Internet», un espace propre, marchant au pas cadencé des trames 802.1 formatées et filtrées …

On ne peut s’empêcher de penser aux propos de Monsieur Frédéric Lefebvre qui voyait en Internet un nid de psychopathes, de violeurs, de poseurs de bombes, de manipulateurs et de dangereux capitalistes libéraux. Mais alors que le porte-parole de l’UMP souhaite placer un policier derrière chaque abonné au câble et à l’ADSL, Mundie, pour sa part, opte pour une solution correspondant plus à une vision américaine du problème : transformer chaque citoyen en individu responsable, capable de prendre lui-même la sécurité d’Internet en main quitte à la faire respecter en cas d’absence d’autorité locale. En caricaturant à l’extrême, l’on peut conclure qu’il se répand une idée étrange au sein de certaines édiles, celle qu’Internet est une arme et qu’il est bon que l’emploi de cette arme soit placé sous le contrôle d’un examen sélectif. Le terme « permis de conduire » est certes moins choquant mais l’idée sous-jacente, le but et le résultat sont strictement semblables.
On imagine très bien ce à quoi un permis de surfer pourrait ressembler : La version poids-lourd demanderait un calcul de masque de sous-réseau, la théorie et pratique d’un sniffer (hormis en France ou de tels outils sont assimilés par la LCEN à des armes de destruction massive) et la récitation par cœur des 1024 premiers « well known port number », à rebours et sans compter sur ses doigts. La version Permis VL n’exigerait que quelques notions d’architectures simplifiées, une analyse pratique des principaux protocoles de chiffrement, une qualification Microsoft Certified Professional orientée Firewall/antivirus, et un test rapide de l’acuité visuelle permettant à l’impétrant-internaute de reconnaître du premier coup d’œil une page de phishing, un bon navigateur d’un mauvais parmi un tas de version d’I.E., de Chrome, de Firefox et de Safari.

L’on pourrait même imaginer des « permis mobylette » et des stages de « conduite accompagnée » limités strictement à l’enceinte du réseau local, dans le cadre étroit d’un protocole non routable… à tout hasard Netbeui, histoire de préparer à l’examen en question. Changer de carte Ethernet de secours, vérifier la vidange des caches, contrôler les niveaux de spam, apprendre à boucler sa ceinture périmétrique, maîtriser sa vitesse durant les téléchargements (légaux) de fichiers (encore plus légaux).

Parano, Mundie ? Pas le moins du monde. The Raw Story rapporte même les propos de André Kudelski, l’héritier de la prestigieuse marque Nagra –magnétophones mythiques des grandes heures de la Radio- et businessman de l’industrie du chiffrement antipirate de contenus audios et vidéos : « New internet might have to be created forcing people to have two computers that cannot connect and pass on viruses. « One internet for secure operations and one internet for freedom ». Il a fallu des années pour que certains responsables sécurité comprennent qu’une machine délivrant les Certificats Primaires d’un C.A. soit enfermée dans un coffre et isolée de tout réseau, il faudra bien un siècle pour persuader les petits internautes d’acheter chacun deux ordinateurs pour maintenir le taux de croissance des touristes de Davos …

Un second article, nuancé et tout en « second degré », contrairement aux propos des Mundies et Kudelski durant leur villégiature Helvétique, est sorti de la plume de Mark Hofman du Sans. Lequel nous fait revivre les temps héroïques de l’informatique, depuis l’utilisateur release 0.1, avec terminaux passifs et administrateurs-rois, à l’usager 2.0 résosocialisé, en passant par toutes les étapes intermédiaires : 0.5, avec les premiers PC, 1.0, avec l’apparition des premiers réseaux locaux et le « oui c’est possible, il suffit d’ajouter une License X-Y et une liaison BCS à double arbre à came en tête et brassage à jarretières. Et c’est d’ailleurs avec le « Uzer One pohinte ziro » que sont apparus les premiers problèmes d’administration, de gestion des droits d’accès et (ce que ne mentionne pas l’auteur) l’apparition spontanée de développements « maison » pondus à l’aide de compilateurs exotiques faisant appel à des langages « structurés » (dBase/Clipper, Bascom, Turbo Pascal…). User 1.0 a dû progressivement se faire « upgrader » par phases successives que Mark Hofman survole rapidement. Pour faire place enfin à User 2.0, une nouvelle race qui vit et meurt avec son téléphone 3G, ses propres applications « profilées », ses messageries instantanées, ses Tweets, ses Myspace et autres Facebook. Certes, explique Hofman, on entendit brièvement les cris d’agonie des vieux admins, ceux relevant encore des générations 0.1 à 1.9 (silent releases et build intermédiaires non comprises). Les salles informatiques résonnent encore de« ils n’utiliseront ces internetteries que lorsque l’on aura arraché mes prises RJ45 de mes doigts roidis par la mort »… mais à partir du moment où ce vent de folie anti-sécuritaire était compensé par un surcroît de productivité, à quoi bon lutter contre le progrès ? et l’on a dû mettre à niveau Admin 1.9 avec un Service Pack 2.0. Car si Admin 0.x et 1.x déployaient des prodiges de savoir pour protéger les infrastructures, les serveurs, des applications, Admin 2.0 doit, pour sa part, se focaliser sur la sécurisation des données. Un tout autre sport, une nouvelle approche, de nouvelles batailles également. Comme par exemple comment intégrer dans ce lot les utilisateurs de Macs qui persistent à penser que leurs machines ne peuvent être infectées…

Le commencement de la fin, expliquait Markus Ranum, s’est amorcé lorsque les services marketing et opérationnels ont demandé aux informaticiens si « telle ou telle chose était possible » et d’en exiger la mise en application à peine entendu le « oui » des DSI. Sans bien sûr attendre le « mais » qui inévitablement devait suivre. Un Mais qui annonce les risques, les contraintes, les catastrophes potentielles. Imaginons un instant que le temps puisse se replier, que l’on puisse un jour proposer à User 0.5 et Admin 1.0, entre deux IBM PC dotés de cartes d’émulation 5250 et des tous premiers écrans Hercule, un monde ouvert à Internet, qui ne connaîtrait plus la limitation à 19600 bauds et les réseaux à 1 ou 4 Mb/s, où l’on passerait sans transition du CRT monochrome au LCD 32 millions de couleurs… mais un monde également peuplé de spam, scam, attaques Web, infections virales, vagues de botnets, vols d’identités… Pas certain que User 0.5 en abandonnerait son UA Profs et son traitement de texte Ebdic .