mars, 2010

Distribué via Google Code, Skipfish est un outil servant à examiner la structure et les pages actives d’un serveur Web, dans le but premier d’en détecter notamment les sections vulnérables ou dangereuses. Il se situe en droite ligne d’autres « appareils à rayons X » pour serveurs http tels que Nikto. Outil testeur de vulnérabilités, chargé de détecter le moindre élément pouvant servir à une « server side attack » (XSS, injections SQL, shell ou Xpath, Mime forgés, requêtes http dangereuses…) , c’est également un stéthoscope relativement indiscret et un outil de bench de montée en charge assez impressionnant, 7000 requêtes par seconde en local.

Skipfish a été développé en C par Michael Zalewski, et tourne sous Linux, FreeBSD 7.0+, MacOS X et Cygwin sous Windows.

Brian Krebs, l’homme qui fit fermer McColo, continue sa chasse aux hébergeurs véreux ou peu regardants. The Planet, China Net, China Telecom, GoDaddy font presque « naturellement » partie du décor. Ce qui est plus étonnant, c’est la place qu’occupent les fournisseurs d’accès et hébergeurs Français, et notamment OVH dont le nom revient dans pratiquement toutes les catégories : réservoir à phishing, chaine d’alimentation Zeus, domaine intégré dans les listes de malwares, attaques composites… OVH, bien que montrant quelques efforts de bonne volonté, figure en 7ème place du « top 20 Malicious Autonomous Systems » en date du 18 mars dernier. Un titre de gloire dont les administrateurs se passeraient bien.

Proxad (AS12322) figure également dans la liste des réseaux « marrons » dénoncés par Brian Krebs. Google précise : « Of the 41364 site(s) we tested on this network over the past 90 days, 644 site(s), including, for example, societeg.com/, gratuit.li/, quakexpert.com/, served content that resulted in malicious software being downloaded and installed without user consent ».

Lancé au début de cette année, le site « Je publie, je réfléchis » parrainé par la Cnil n’a pas bougé d’un iota depuis sa création. Là, l’on pourrait regretter que la Cnil n’ait pas pensé de conseiller de réfléchir avant d’écrire, et non l’inverse. Autre oubli potentiel de la Commission : des conseils à propos de la lecture attentive des Cluf (Contrat de licence utilisateur final), desdits sites Web 2 .0, qui sont autant de petits précis de bigbrotherisme conditionnés en corps 6 et termes abstrus …

Ils s’appellent Viktor Pleshchuk, Sergei Tsurikov et Oleg Covelin, et seraient les cerveaux présumés du « casse mondial » de WordPay. Ce coup de filet des services de renseignements Russe est une sorte de « gage de bonne intelligence » que souhaite donner l’Est aux Etats-Unis. Rappelons que l’affaire RBS WordPay s’était déroulée en trois temps : un premier hack du système informatique de la banque avait laissé fuir des informations portant sur des milliers d’identités. Et c’est à partir de ces données que les techno-truands sont parvenus à reconstituer les codes PIN des cartes de crédit associées à chaque compte. Après une importante phase de préparation, skimming ou fabrication de fausses cartes, puis distribution desdites cartes et des instructions associées à un réseau, des centaines de « mules » ont, en moins de 12 heures, retiré plus de 9 millions de dollars sur 2100 distributeurs de monnaie situés dans 280 villes différentes de par le monde. Un formidable travail de coordination qui montre à quel point ce « casse » était organisé.

C’est une première historique : un Cert (Allemand) vient, pour la première fois, de conseiller de ne plus utiliser Firefox en attendant que soit publié le correctif colmatant une faille jugée critique. Habituellement, les recommandations du genre « utilisez un navigateur alternatif » s’adressaient plutôt aux usagers d’Internet Explorer. Le défaut sera, assure la Fondation, corrigé avec la sortie de la prochaine version de Firefox, laquelle devrait sortir le 30 mars prochain. Les plus anxieux peuvent récupérer une pré-version du navigateur sur le ftp consacré à ces versions intermédiaires.

Google .cn ferme. L’URL du moteur de recherche Chinois est, depuis la nuit du 22 au 23 mars, redirigée sur l’adresse de Google.hk qui, lui, n’est pas censuré.

C’est le prochain scoop du salon de Francfort : la 5008 de Peugeot sera équipée d’un routeur WiFi et d’une carte 3G « non simlockée » permettant au conducteur de choisir librement son opérateur.

Jusqu’à présent il était exceptionnel qu’un constructeur de « clefs 3G » embarquées dépense beaucoup d’énergie pour maintenir les pilotes logiciels de ses propres périphériques… y compris lorsque ceux-ci étaient intégrés sur des ordinateurs hauts de gamme destinés à des professionnels. Pour les usagers, cela revient à devoir choisir entre la conservation d’un ancien système d’exploitation, également en fin de vie et perclus de failles de sécurité, l’abandon pur et simple de la fonction 3G, ou le changement de machine conjointement avec le changement de système d’exploitation. Une politique qui ne peut que séduire un constructeur automobile, en perpétuelle quête d’astuces facilitant le renouvellement de son parc.

Avec la généralisation de ces accès sans fil souvent incompatibles d’un point de vue « cohérence des protocoles de sécurité » –WiFi, 3G, Bluetooth, distribution audio-vidéo, GPS 3D-, l’industrie automobile est probablement sur le point d’ouvrir une formidable voie dans le domaine du Wardriving. Jusqu’à présent, les pirates utilisaient les voitures pour aller au devant des points d’accès vulnérables, désormais, c’est la victime qui apportera ses données sur un plateau à tous les amateurs d’informations confidentielles. A moins que… à moins que Peugeot ait l’intention d’adjoindre à son voiturin multimédia un palotin technologique du genre « embedded Radius Server » doublé d’un VPN étendu à l’ensemble des systèmes de communication. On peut peut-être rêver…

Serait-ce l’imminence du concours de hacking P0wn20wn de la prochaine CanSecWest ? toujours est-il que Google colmate d’un seul coup 11 trous affectant son navigateur Chrome, dont un en particulier ayant valu à son inventeur la fameuse Leet bounty d’un montant de 1337$. C’est la première attribution du genre. Comme le fait remarquer ironiquement un intervenant sur le site Secunia, le correctif cumulatif de ces failles, dont une hautement critique a été publié moins d’une journée après divulgation publique. Seuls quelques esprits franchement tordus pourraient imaginer qu’il puisse exister une sorte de “réserve à bugs de première catégorie” que les éditeurs américains ne corrigeraient qu’en dernier ressort, lorsque le fait serait connu du grand public. C’est avec de telles histoires que l’on devient paranoïaque et que l’on finit par soupçonner l’existence d’une “backdoor NSA” dans le moindre bout de code. D’ailleurs, qui pourrait soupçonner Google de trop s’acoquiner avec les Agences Fédérales à trois lettres?

L’Agence Chine Nouvelle, rapportent nos confrères de la BBC, tire à boulets rouges sur Google et dénonce les liens forts étroits qui existeraient entre Google et les « agences à trois lettres » de l’Administration Fédérale des Etats-Unis. Google fournirait des informations aux agences de renseignement US et tenterait d’imposer aux citoyens Chinois une vision américanisée du monde.

Cette série d’accusations est déclenchée la semaine de parution d’un autre article, paru dans les colonnes du China Business News, information rapportée notamment par le quotidien 20 Minutes et qui laisserait entendre que les troupes du Général Eric Schmidt se retireraient le 10 avril prochain.

Il faut reconnaître que seul Google avait donné de la voix en accusant ouvertement la Chine lors des premières attaques Aurora, alors que les « 20 autres victimes » -Adobe en tête- ont, dans un premier temps, farouchement nié avoir été frappées, tant par souci de diplomatie envers un pays prometteur en termes de contrats que par volonté de préserver l’image de marque de l’entreprise. Cette attaque, plus dangereuse de part l’efficacité de sa coordination que par sa réelle complexité technique, avait constitué un prétexte pour Google facilitant son désengagement du marché Chinois des moteurs de recherche. Face à Baidou, son concurrent local, Google avait bien du mal à décoller. Le casus-belli d’Aurora ainsi que le refus d’une censure imposée par Pékin permettait à Google de se retirer sans perdre la face tout en servant les intérêts supérieurs de la Diplomatie de l’Administration Obama.

Que l’activité « moteur de recherche » disparaisse de l’Empire du Milieu ne signifie pas nécessairement le retrait de tout Google de Chine. Même politiquement compromis, le déploiement d’un réseau de téléphonie, en partenariat avec l’opérateur China Unicom et les OEM Samsung et Motorola, est toujours réalisable. Le projet est financièrement plus prometteur à court terme que celui de la publicité et de la recherche d’informations. Pour l’heure, le lancement a simplement été « suspendu », comme le faisait récemment remarquer un article du Nouvel Obs sur le sujet.

Nos confrères de DataNews révèlent que le Sénateur Belge Philippe Monfils (centre droit) aurait proposé un texte de loi visant à l’adoption de la riposte graduée Outre Quiévrain. Une mesure soi-disant destinée à protéger le revenu des auteurs-compositeurs. Une proposition qui arrive quelques jours après que la Sabam (Société Belge des Auteurs, Compositeurs et Editeurs) soit accusée de traîner la patte lorsqu’il s’agit de verser quelques 480 millions d’Euros à des ayant-droits. Le piratage des variétés ou le risque terroriste permet aux gouvernements européens de pousser à l’adoption de textes facilitant également, entre autres, l’abolition du secret de la correspondance.