février, 2010

L’éclairage de Fabrice Epelboin sur les aspects pervers de la Loppsi laisse clairement entendre que plus les Etats tenteront de filtrer les contenus d’Internet, plus cette politique profitera financièrement aux grands cyberdélinquants du Net. Et de citer le cas de figure des « professionnels » de la pédopornographie, schéma que l’on pourrait étendre à pratiquement toutes les activité illégales utilisant la chaine « spam+vpn+fast-flux-dns ». Du trafic de crédences bancaires aux faux antivirus, en passant par les pharmacies douteuses et le recrutement de mules, toutes ces activités se jouent de la méthode « détection-réaction » que tentent d’appliquer en vain les politiques actuels. Les métriques de Fabrice Epelboin se basent sur une métrique « généralement admise » situant à près de 25% le nombre de postes de travail infectés et donc susceptibles d’être exploités par ces techno-trafiquants. La réalité pourrait bien être plus dramatique.

Une récente étude de l’APWG commentée par Dancho Danchev laisserait entendre que le taux d’infection réel serait plus proche de 48,35 %, sur un échantillonnage que l’on peut difficilement considérer comme insignifiant : 22,7 millions de machines sondées.

Soit près de la moitié des systèmes connectés à Internet. Bien sûr, bon nombre de ces machines sont infectées par des codes cherchant à extraire directement des crédences bancaires et autres informations confidentielles. Mais il ne faut pas perdre de vue que ces infections reposent également en très grande majorité sur des « downloaders » et des fonctions de Troyen fort capables de transformer le poste infecté en relais smtp ou en nœud de réseau vpn… un Tor à la sauce mafieuse.

Autre sujet de préoccupation, le taux d’efficacité des outils de protection périmétrique. Car on ne peut imaginer un seul instant que seules ces machines infectées soient celles ne possédant pas le moindre antivirus. Que celui-ci soit gratuit (Microsoft, Avast, AVG, ClamFree…), soit intégré à OpenOffice*. Si le fameux « logiciel Hadopi », qu’espère imposer le gouvernement actuel, parvient à bloquer toutes ces attaques et garantir l’intégrité des PC Français comme certains ministres le prétendent et l’espèrent, l’on peut avec quelque inquiétude s’interroger sur le devenir d’entreprises telles que Symantec, Kaspersky, McAfee, Eset, F-Secure, Grisoft et autres face à cette concurrence déloyale.

*NdlC Note de la Correctrice : l’auteur sombre une fois de plus dans la facilité la plus démagogique qui soit… mais il insiste

Le rapport « Reused login credentials » publié par Trusteer risque de donner des sueurs froides à nos chers banquiers et réjouir les amateurs de fric-frac en ligne. Selon cette étude, 73% des mots de passe utilisés pour accéder à un compte en ligne servent également à leurs possesseurs pour ouvrir des sessions sur d’autres services non bancaires (forums, magasins en ligne etc). 47 % des usagers vont même jusqu’à utiliser la totalité de leurs crédences bancaires (login ET mot de passe) sur d’autres sites. Lorsque la banque impose l’identifiant, 42 % de leurs clients ré-utilisent ledit identifiant sur au moins un autre site, et si cette même banque décide que chaque usager doit pouvoir choisir cet identifiant, 65 % des personnes auront tendance à partager celui-ci avec d’autres services.

Ce que ne précise pas le rapport et que l’on pourrait ajouter, c’est que, particulièrement en France, les identifiants imposés par les banques sont lus par au moins 3 personnes différentes et expédiés aux client sous simple pli postal contenant à la fois l’identifiant et le mot de passe « par défaut ». Qu’il n’existe généralement aucune procédure permettant de changer ledit identifiant (ce qui correspond à « offrir » la moitié du travail à un pirate effectuant une tentative d’intrusion), que dans la plupart des cas, les symboles et diacritiques sont exclus des caractères autorisés dans le mot de passe, louable effort visant à ne pas trop surcharger les ordinateurs des « bruteforcers » peut-être …

Nehalem vs IDS : un article de Robert Graham d’Errata Security qui se plonge sur les caractéristiques internes des nouveaux quadricore d’Intel.

Elcomsoft,le spécialiste Russe des outils « récupérateurs de mots de passe oubliés », diffuse gratuitement un programme en préversion capable de « bruteforcer » le mot de passe protégeant les backups des iPhone sous iPhoneOS 3.0 et réalisés avec iTunes 8.2 et suivants

Microsoft fête un nouveau record : le troisième ZDE révélé en moins de 50 jours. Cette fois, nous apprend le blog du MSRC, il s’agit d’une faille affectant encore Internet Explorer, et offrant à un attaquant distant la possibilité de télécharger des fichiers pour peu qu’il en connaisse le nom. Compte tenu de l’absence d’exploitation « dans la nature », de la proximité du prochain mardi des rustines et du fait que ce trou ne peut être exploité que sur des noyaux antérieurs à Vista, aucun correctif out of band ne sera émis par l’éditeur. En attendant, un bulletin d’alerte 98008 fournit quelques informations complémentaires et offre quelques conseils de sécurité à appliquer sur les anciennes architectures.

Sera également colmatée une faille « noyau » concernant tous les systèmes 32 bits –y compris Windows 7- pouvant conduire à une élévation de privilège. Là encore, un bulletin d’alerte 979682 a été publié, conseillant aux utilisateur de désactiver le ntvdm chargé de l’exécution des programmes 16 bits (logiciels hérités). Cette alerte, rappelons-le, avait fait l’objet d’un article très complet de la part de Sylvain Sarmejeanne sur le blog du Cert Lexsi. Précisons que les utilisateurs des versions « home » d’entrée de gamme sont pour l’instant démunis devant une telle menace, puisque, dans le but d’alléger les systèmes grand public, l’éditeur de politiques de groupe gpedit n’est pas fourni par défaut sur le disque d’installation.

La troisième réparation concernera un problème déjà ancien, qui avait fait l’objet d’une annonce mi-décembre de l’an passé. Il s’agit d’une faille SMB couverte par l’article 977544 du Technet. Ce défaut concerne, une fois n’est pas coutume, uniquement les versions modernes de Windows : Windows 7 et 2008 R2, éditions 32, 64 et Itanium.

Remarquons au passage , dans le billet du MSRC, que la date officielle de « fin de support » pour Windows 2000 est prévue pour le 13 juillet de cette année. Passé cette date, plus aucun correctif d’amélioration ou de sécurité ne sera diffusé de manière gratuite et générale.

Un nouveau site Web, une reconnaissance officielle : le Cert de la Société Générale fait désormais partie des membres du First.

Le First, ou Forum of Incident Response and Security Teams, est une sorte de club international fondé en 1990, chargé de réunir les différents groupes de recherche en sécurité informatique (Cert et Csirt du monde entier). Ces Cert (Computer Security Incident Response Team), pour leur part, sont chargés de détecter les dangers informatiques et d’informer leurs usagers sur les remèdes à utiliser. Ce sont, généralement, des organismes corporatifs qui ne communiquent qu’auprès de leurs obédiences. En France, les forces armées possèdent leurs Cert, le réseau Universitaire également (Cert Renater), l’Administration (Cert A) ainsi que l’industrie au sens large, avec le Cert Ist, de loin le plus connu puisque ses avis sont publics. Contrairement à la France, d’autres pays européens –dont la Grande Bretagne et l’Allemagne- ont investi dans un « Cert Grand Public » destiné à l’immense majorité des personnes informatisées et des TPE/artisans qui bien souvent ignorent l’existence des Cert Ist.

Qu’une entreprise du secteur bancaire voie son propre centre sécurité intronisé au sein du First n’est pas nouveau. L’Allemagne compte plus d’une quinzaine de Cert, dont une bonne partie relevant du secteur privé, le Royaume Uni presque autant… la France, bien que comptant parmi les pays fondateurs du First, n’en possède que très peu. Plus exactement 6 en comptant tous les affiliés du First ou de la TF-Csirt : Apogée, les Cert A, Renater, Ist, le Cert Lexsi et bien sûr, celui de la Société Générale.

L’arrivée officielle d’une grande banque dans le cénacle des gardiens du monde binaire est d’autant plus intéressante que les malversations visant ce secteur s’accroissent fortement. Depuis ces trois dernières années, les troyens voleurs d’identités bancaires, les grandes campagnes de phishing ou de « spear phishing », les attaques des gangs spécialisés dans le skimming ou le carding ne font que se multiplier. A l’inverse, plus ces attaques sont virulentes et perfectionnées, plus les Directions de la Communication tentent d’étouffer ces affaires, estimant que la « confiance » envers les établissements financiers pourrait pâtir de ces révélations. Or, à l’heure où les cyberguerres sino-américaines et autres affaires HSBC ou Heartland font la manchette des journaux, cette politique de la « sécurité par l’obscurantisme » commence par provoquer des effets contraires. Le Cert SG pourrait bien amorcer à la fois un début d’ouverture et de transparence et surtout devenir un vecteur d’informations et de prévention qui manque cruellement dans notre pays.

Cette nomination est également un témoignage de reconnaissance, un hommage officiel fait à une équipe de chercheurs qui, depuis des années, effectuent un travail d’analyse et de communication technique discret.

C’est un Vade-mecum à l’usage des habitués des longs courriers et des spécialistes des « missions à l’étranger » que vient de publier l’Anssi, l’Agence Nationale de la Sécurité des Systèmes d’Information. Son titre à rallonge « Partir en mission à l’étranger avec son téléphone mobile, son assistant personnel ou son ordinateur portable » est une sorte de bible de l’information confidentielle et de la lutte contre la fuite d’information. Les conseils que l’on y peut lire semblent « logiques » mais sont en fait rarement appliqués : respecter les politiques de sécurité d’entreprise même en dehors de ses enceintes, se renseigner sur la législation en vigueur dans les pays étrangers, notamment en matière de chiffrement… l’Anssi se rappelle probablement que la France fut l’un des Etats les plus rétrogrades en la matière et qu’un disque chiffré a de fortes chances de provoquer une saisie du matériel informatique à la frontière des USA… voir déclencher une garde à vue tant que les clefs de chiffrement n’ont pas été délivrées aux autorités du contrôle des frontières. Penser à « débriefer » les appareils mobiles à chaque retour de mission et de ne partir à l’étranger qu’avec des appareils les plus « neutres » possibles et ne contenant que les programmes et fichiers nécessaires à la mission. Accoler, tant sur l’appareil mobile que sur ses housses, une étiquette ou un signe de reconnaissance rendant plus difficile une substitution. Utiliser autant que faire se peut des liaisons VPN avec les ressources importantes (ce qui limite le risque de vol ou de perte à partir des ressources mobiles) et utiliser un logiciel de chiffrement pour tout échange ou tout stockage sensible. Penser également à nettoyer régulièrement les caches, notamment celles du navigateur, et penser à prévenir les responsables sécurité de l’entreprise en cas de saisie ou de vol.

Ces Bonnes Pratiques peuvent sembler évidentes. D’autres le sont nettement moins, tel la recommandation suivante : « Si vous êtes contraint de vous séparer de votre téléphone portable ou de votre PDA, retirez et conservez avec vous la carte SIM ainsi que la batterie ». Ou encore « Evitez de connecter vos équipements à des postes ou des périphériques informatiques qui ne sont pas de confiance »… nul ne peut auditer le réseau d’un hôtel ou d’un hot spot, rares sont les personnes assez qualifiées pour distinguer un véritable accès d’un « evil twin » bien maquillé. « Gardez vos appareils, support et fichiers avec vous ! Prenez-les en cabine lors de votre voyage. Ne les laissez pas dans un bureau ou dans la chambre d’hôtel (même dans un coffre) » poursuit ce manuel. L’on ne peut s’empêcher de penser à la « chambrière diabolique » de Joanna Rutkowska. Reste qu’aller piquer une tête dans la piscine de l’hôtel avec un Portege M800 ou pratiquer un footing matutinal avec téléphone, PDA, ordinateur portable, disque dur, CD-Rom d’archivage et autres impédimentas est une idée qui ne peut germer que dans l’esprit d’un rond de cuir effectuant chaque jour le périlleux voyage le conduisant de son domicile à son Ministère.

La liste de conseils s’achève avec les inévitables « changez souvent vos mots de passe (ce qui est une hérésie… la fréquence de changement est moins importante que la complexité dudit mot de passe et la multiplicité de celui-ci lors des connexions à des serveurs « en ligne ») et « analysez ou faites analyser vos équipements », pratique diabolisée par l’application parfois aveugle de la LCEN. Pour relever le niveau, l’Anssi renvoie le lecteur sur un document excessivement bien vulgarisé expliquant comment détecter un logiciels intrus à grand renfort de Process Explorer (http://www.securite-informatique.gouv.fr/gp_article636.html). Un « pas à pas » qui n’apprendra rien aux habitués de la collection Backtrack mais qui enchantera tous ceux dont la soif de savoir et le désir de sécurité se heurte au langage hermétique des soi-disant spécialistes.

NdlC Note de la Correctrice : l’Oncle Hansi, alias Jean-Jacques Waltz, n’a jamais utilisé d’ordinateur pour dessiner ses petites Alsaciennes toutes en nœuds rouges et en robes vertes et ses « envahisseurs Allemands » traînant un coucou dans leurs bagages. Cocardier, revanchard et vieux-jeu, mais parfois tellement poétique et simple…

Censure de la presse moscovite : depuis bientôt 10 jours, le journal Novaya Gazeta est submergé par une attaque en déni de service (source : le Times de Moscou ). Indépendant, de par son contenu critique à l’égard du gouvernement en place, il a été l’objet de nombreuses tracasseries administratives et menaces, dont l’assassinat de la jeune journaliste Anastasia Eduardivna Baburova.

Cela commence comme un mauvais roman d’espionnage, au titre fleurant les couvertures du « Fleuve Noir » des années 60 : le MI5 Britannique lance une campagne d’information à l’attention des patrons du Royaume Uni, les prévenant des risques que représentent les services d’espionnage Chinois. Ces espions, explique un article du Times, sont versés dan l’art du « pot de miel », autrement dit une attaque déclenchée une fois que la victime a mordu à un appât appétissant. L’appât peut prendre la forme d’un petit cadeau sans importance, tel qu’une clef USB ou une WebCam, utilisé comme injecteur de virus spywares. D’autre fois, la tentation peut prendre l’apparence d’une demoiselle avenante (le Ministre Gordon Brown se serait ainsi fait subtilisé son Blackberry) ou d’une chambre d’hôtel aussi agréable que truffée de micros et de caméras. Et l’article de continuer sur la description de techniques d’approche relativement classiques qui n’ont pas changé depuis la période « post-guerre froide ». A tel point que Jonathan Evans, actuel Directeur Général du MI5, aurait diffusé un document d’information auprès de 300 chefs d’entreprise et responsables d’établissements bancaires. Cette brusque crise d’espionite aigüe arrive à un mauvais moment, estime Evans, car elle disperse les efforts de son service jusqu’à présent focalisé sur la chasse aux groupes terroristes d’Al Quaida.

Le quotidien Rue 89 publie l’étude de Fabrice Epelboin, de Read-Write-Web, étude selon laquelle les nouvelles dispositions de filtrage imposées par la future Loppsi favoriseraient la prospérité des éditeurs de contenus pédopornographiques. En simplifiant à l’extrême le discours de l’auteur, le filtrage Loppsi aurait, entre autres choses, pour effet de donner un coup d’arrêt aux échanges « gratuits » de contenus interdots tels que pratiqués actuellement sur certains réseaux P2P. Une fois ces vannes coupées par la Loppsi, la clientèle se rabattrait d’autant plus facilement sur une offre payante, d’autant plus volontiers que les mécanismes de transmission de ladite industrie sont inexpugnables : serveurs mobiles et DNS insaisissables, liens de transmission chiffrés, administrateurs impossibles à poursuivre d’un point de vue juridique, drainage publicitaire impossible à bloquer car assuré par les techniques de spam… Plus cher que le P2P mais impossible à tracer. L’application de la loi d’orientation et de programmation pour la performance de la sécurité intérieure en arriverait donc à protéger l’anonymat des « consommateurs » et favoriser l’enrichissement des vendeurs.

Aspect d’autant plus pervers que le spam assurant la publicité de ces sites est lui-même relayé par les machines des particuliers, machines infectées « à l’insu du gré de leurs antivirus ». « Un quart des ordinateurs connectés à internet étant infectés par un virus/trojan » précise l’étude. Et de développer « A l’heure où une loi comme Hadopi sanctionne le ‘défaut de sécurisation’, il est utile de rappeler que l’essentiel des utilisateurs d’internet sera bien incapable de sécuriser réellement quoi que ce soit. D’autant que les trojans conçus par les opérateurs de réseaux pédopornographiques n’ont nullement pour but de détruire ou de ralentir votre ordinateur, ce qui risquerait de signaler leur présence, ce ne sont que des parasites qui utilisent, dans la plus grande discrétion, une partie des ressources de la machine qui les héberge »

Appliquée dans sa rigueur la plus absolue, Loppsi serait donc susceptible de mettre sous les verrous un quart de la population en âge de taper sur un clavier. Paradoxalement, ne pas le faire viderait la loi de sa substance et transformerait son application en une inextricable « machine à exceptions ». Contourner les mécanismes de filtrage imposés par la Loppsi et Hadopi, dit en substance Fabrice Epelboin, est à terme à la portée du premier venu. Ergo, les sommes faramineuses que coûteront ce formidable outil de flicage ne servirait qu’à poursuivre des victimes, à l’exception des cyberpédophiles.

Reste que la vision que Monsieur Epelboin a des buts de Loppsi n’est peut-être pas la plus juste. Loppsi est une loi franco-française et non une disposition internationale, destinée à contrôler l’usage que les citoyens font d’Internet. Contrôler et filtrer les informations subversives qui pourraient circuler sur ce médium à l’intérieur de nos frontières. Le fantasme de l’ennemi intérieur, le culte de « cinquième colonne », cette vieille marotte des cabinets noirs, cette vision maccarthyste des réseaux publics n’ont généralement de finalité que politique.

En revanche, les conclusions du rapport Epelboin sur le plan international sont d’une exactitude hélas indiscutable : de LCEN en Hadopi, de Lopsi en Loppsi 2, l’arsenal juridique s’alourdit, allant jusqu’à interdire la diffusion et l’usage d’outils d’analyse, sans pour autant résoudre les problèmes que posent les cas de délinquance internationale, de spam, de campagnes d’intrusion ou de déni de service orchestrées de façon quasi militaire ou industrielle. Il est aujourd’hui plus dangereux en France de discuter de l’existence d’une faille que d’administrer un serveur hébergeant des contenus révisionnistes ou incitant à la haine raciale à partir du moment où celui-ci est physiquement situé sur les rives du Don ou dans la banlieue de Shanghai. Or, cette extraterritorialité des contenus, que ne prend pas en compte le politique, cela s’appelle le « cloud computing », tant en langage industriel qu’en argot de la truanderie informatique. Cet aveuglement borné à « l’obligation de sécurisation » (dont l’impossible respect a été mis en évidence par l’infection des S.I. de la Marine Nationale par le virus Conficker), on peut aussi l’appeler « spyware », « addiciels à visées marketing », « BHO », « clickjacking », « drive by download », « social engineering »… en bref toute une palette d’outils et de vecteurs qui, selon leurs origines, sont à classer dans la catégorie des « bons programmes » ou des « dangereuses infections »… Bien souvent il n’existe que peu de différences génétiques entre les deux.