mars, 2010

Encore du « scandale à la Une »dans le landernau du Web 2.0. Et toujours à propos du droit régalien qu’exerce un prestataire de services sur le contenu qu’il diffuse, avec le dernier Buzz concernant Apple. Un Apple qui bannit de l’AppStore tout ce qui peut exposer un centimètre de peau dans une application téléchargeable. Pas de bikini, pas de tenue près du corps (y compris un collant de patineuse), pas de peau, pas de silhouette suggestive. Cachez ce sein que je ne saurais voir, disait Apple en imitant (à la perfection) Tartuffe. Du côté de Cupertino, cette réplique même serait censurée compte tenu de la crudité de son contenu. Des restrictions telles que le développeur-blogueur à l’origine de la diffusion de l’information a demandé à son correspondant-censeur si le port de la burka était politiquement correct dans la base iconographique de l’AppStore. Ce qui ne semble pas avoir fait plaisir à l’interlocuteur distant, défenseur des valeurs morales et religieuses. Mais le développeur en question a bataillé, jusqu’à obtenir gain de cause, clamant, tel Polyeucte,

« Vous me connaissez mal : la même ardeur me brûle

Et le désir s’accroît quand l’effet se recule »

Zut, encore un passage qui sera banni de l’application Iphone CNIS-Mag. Un dernier pour renvoyer la censure ? il est du dangereux Pierre Corneille, dans Horace, (II,3)

S’attacher au combat contre un autre soi-même

Attaquer au parti qui prend pour défenseur

Le frère d’une femme et l’amant d’une sœur,

Et, rompant tous ces nœuds, s’armer pour la patrie,

Contre un sang qu’on voudrait racheter de sa vie,

Une telle vertu n’appartenait qu’à nous

L’éclat de son grand nom lui fait peu de jaloux

Cette citation est en rapport direct avec les principes de la cryptanalyse, puisque le message caché s’inscrit en acrostiche. Aujourd’hui, ce Sale Cul passerait-il les fourches caudines de la censure AppStore ? Cela est peu probable et montre également à quel point il peut être dangereux de confier à une entreprise commerciale le pouvoir de contrôler un contenu médiatique, pour qui le mot est confondu avec la chose.

Chiens écrasés toujours, avec cette véritable campagne de presse qui révèle le passé sulfureux et les pratiques douteuses de Mark Zuckerberg, le fondateur de Facebook. L’article de la RTBF n’en est qu’un parmi tant d’autres, où l’indignation le dispute avec les secrets d’alcôve (les secrets de cubicle devrait-on dire). Tout a commencé avec un article très fouillé de Business Insider, qui nous apprend comment Zuckerberg aurait floué ses anciens collaborateurs pour mieux lancer Facebook, et comment il a su espionner (pirater précisent certains confrères) les correspondances d’universitaires dans un but purement lucratif. Derrière chaque homme de pouvoir se cache une impressionnante série de cadavres et de mains écrasées. Par le plus grand des hasards, cette révélation survient la semaine même où est lancé le service de géolocalisation à la sauce Web 2.0 de Facebook, nous apprend le New York Times. Outre les affaires de détournement de compte, l’entreprise avait déjà essuyé les critiques de la presse et des internautes lorsque son système de publicité Beacon s’est révélé terriblement indiscret envers les usagers des services associés de Facebook. Pis encore, la collecte des informations privées à la base de ces indiscrétions était permanente, y compris en cas de refus (opt-out) de l’utilisateur. Cette fois, nous promet l’équipe de Zuckerberg, la diffusion de la position de l’internaute sera soumise à son approbation avant d’être divulguée. Reste que, précisent nos confrères du NYT, « When you share your location with others or add a location to something you post, we treat that like any other content you post ». Une clause dont la latitude d’interprétation risque de causer quelques migraines aux avocats de la défense des libertés individuelles.

Fait-divers avec cette étude de M@rsouin.org (souvent citée mais rarement référencée par nos confrères… ), qui nous « révèle » sans surprise la quasi absence de réaction des internautes téléchargeurs face aux conséquences de la loi Hadopi. « A peine 15% des internautes qui utilisaient les réseaux Peer-to-Peer avant l’adoption de la loi Hadopi ont définitivement cessé de le faire depuis »… mais les deux-tiers de ces personnes prudentes se sont retournées vers des services plus discrets, utilisant des serveurs situés à l’étranger et ne reposant pas sur un échange P2P pour ce qui concerne le lien vers le poste client. Ceci sans mentionner le succès croissant des sites de streaming dont sont friands nos Ados, sites souvent directement financés par les sociétés de production américaines par de gros contrats publicitaires du monde de l’automobile, de la grande distribution, de la téléphonie … Certes, comme tentent de l’expliquer certains réalisateurs-experts-en-informatique-et-en-répression, il y a effectivement téléchargement illégal de l’œuvre même en cas de visionnage de streaming puisque la séquence vidéo est au moins partiellement bufferisée sur l’ordinateur du dangereux pirate. Reste que de plus en plus de ces liens de streaming passent par des tuyaux VPN. VPN donc d’un côté, clients déportés et ftp chiffrés de l’autre, il ne reste plus qu’à rendre hors la loi ces moyens de communication afin de pourfendre ces teenagers vampires qui saignent à blanc une industrie qui annonce pourtant des bénéfices record. Les vertus de la saignée ? Quelque soit la décision que prendra le législateur à cet effet, il ne sera pas sans conséquence pour les entreprises et les professionnels des télécoms qui, eux, doivent tout de même utiliser VPN et protocoles de transfert chiffrés.

Hasard de l’actualité, c’est la semaine dernière que le CSA imposait à TF1 la lecture d’un communiqué informant les téléspectateurs du manque de rigueur de la chaîne dans le traitement de l’information relative au vote de cette loi. Numérama s’en fait l’écho. Le mélange TF1-Hadopi, nous rappellent les archives de nos confrères PC-Inpact, s’est toujours révélé relativement détonnant.

Restons dans le domaine du fait-divers en rappelant que Madame Christine Albanel, ex Ministre de la Culture et principale défenderesse de la loi Hadopi et des Firewall dans les suites bureautiques sous Linux, devrait entrer à la Direction de la Communication de France Télécom, principal Fournisseur d’Accès Internet de France. Elle devrait contribuer, rapporte un organe officiel de l’opérateur à la réflexion de « notre stratégie dans les contenus ». L’on se demande si Madame Albanel aura autant de pugnacité lors de l’exercice de son nouveau poste qu’elle en avait devant les Députés lors des votes successifs d’Hadopi, et si elle parviendra enfin à faire filtrer les protocoles P2P sur l’ensemble du réseau Orange pour bouter ces insupportables pirates hors des réseaux Français. Le FAI Free, par exemple, applique cette politique envers ses clients « non-dégroupés » depuis des années, ce qui prouve que la chose est techniquement possible sur l’ensemble d’un réseau d’opérateur. A moins que… à moins que le courage politique s’arrête là où les projections financières commencent. Car sans téléchargement, il n’est pas certain que Wanadoo, ou n’importe quel autre opérateur, puisse conserver une position dominante sur le marché de l’abonnement ADSL. Il y a des limites à tout, même à la défense des « industriels de la culture ».

L’indice de risque des seules MS-010-016 et MS-010-017 est teinté de carmin. Le « patch Tuesday » de ce mois de mars est d’autant plus intéressant qu’il se focalise sur un produit mineur (une faille de Movie Maker) et un défaut touchant un produit bureautique, Excel, tant sous Windows que sur Macintosh. En revanche, il n’y aura pas de correctif dans l’immédiat pour le trou de sécurité « appuyez sur F1 pour vous faire attaquer ». A noter également une mise à jour d’un ancien bulletin de sécurité concernant les machines virtuelles MS, ainsi qu’une alerte portant sur un problème lié à VBScript (via I.E.) sous Windows 2000/2003. A cette liste l’on doit ajouter l’avertissement 981374 qui concerne directement un défaut d’I.E. 6 et 7 actuellement activement exploité dans le cadre d’un drive by download. L’équipe de l’Avert Lab en fait même une alerte au zéro day

Par le jeu des « correctifs cumulatifs » qui masquent en fait plus de 7 failles différentes sous Excel dans la rustine ms10-017, l’on en arrive à un total de 13 dangers potentiels, donc une partie ne fait pas encore l’objet de mesures de prévention. Ces failles encore ouvertes sont, pour l’heure, considérées comme peu importantes ou ne représentant pas un risque immédiat, exception faite de la 981374, qui pourrait bien déclencher la diffusion d’un bouchon « out of band » dans le courant du mois.

L’assassinat de Mahmoud al-Mabhouh dans un hôtel de Dubaï continue à soulever beaucoup de questions. Et notamment celle portant sur l’ouverture de la porte de la victime : serrure crochetée ? Carte d’hôtel falsifiée comme le laisse entendre la police locale ? Il existe une multitude de méthodes pour tutoyer gentiment une porte d’hôtel, nous explique le blog BlackBag. A commencer par un très classique « keylock picking » de la serrure mécanique, celle qui, bien que souvent cachée sous la plaque de propreté de la poignée, sert à ouvrir une porte lorsque l’électronique de la serrure « à carte » tombe en panne. Il y a aussi la méthode de la tringle à crochet qui, glissée sous la porte, sert à agripper la poignée intérieure. Une technique qui peut aisément être mise en échec grâce à une pratique fort ancienne dérivée de la lecture du « guide du routard galactique ». Il suffit bien sûr d’une serviette de toilette.

De manière cyclique, l’actualité sécurité sombre dans le fait divers. Parfois dans le but de marginaliser l’importance d’un événement, parfois parce que le traitement débridé de l’information par les blogueurs et buzzeurs parvient à transformer une taupinière en Everest digne le la manchette du défunt Détective, parfois encore parce que l’information ne relève effectivement que du fait divers.

A titre d’exemple, cette semaine, peut-on lire sur le blog de Bruno Kerouanton un cri d’alarme à propos de la survie de Cryptome. Situation qui avait fait l’objet d’un article dans les colonnes de CNIS au début de ce mois. Cette fois, précise B. Kerouanton, c’est le compte Paypal de l’administrateur de Cryptome qui a été bloqué, coupant ainsi la principale source de revenus de ce site d’information. Rappelons que, la semaine passée, les avocats de Microsoft avaient envoyé à l’hébergeur de services de Cryptome une injonction de fermeture, pour ensuite se rétracter… une fois le « direct du gauche » asséné au webmestre. Le prétexte du « coup qui est parti tout seul,» est une pratique courante chez les plaideurs professionnels dont la solidité des arguments ne tiendrait pas plus de 2 minutes face à un juge d’instruction. Tant que s’appliquera cette justice « hors tribunaux », expédiée entre sociétés de droit privé en vertu d’une interprétation subjective de la loi, de tels excès seront commis. C’est hélas également ce qui risque de survenir en France, avec ces séries de dispositions législatives supposées désengorger les tribunaux, et qui donnent aux grandes entreprises et aux fournisseurs d’accès un « presque droit » de police et de justice privée. Le déséquilibre des forces est d’autant plus patent si cette justice sans juge s’exerce à l’encontre d’entités, d’associations ou d’organisations à but non lucratif, qui ne possèdent pas les moyens financiers qu’exige un hasardeux procès en préjudice. Paypal, de son côté, souvent impavide et muet face aux escroqueries commises sur les sites de ventes aux enchères, et dont le service clientèle est l’un des plus difficiles à joindre de ce côté-ci de l’Atlantique, agit exceptionnellement en gardien de la moralité, en se retranchant derrière d’obscures raisons gouvernementales. Rappelons que Cryptome a de nombreuses fois fait l’objet de pressions de la part d’agents fédéraux agissant officieusement.

L’on pourrait également parler de la lente désagrégation de Milw0rm, qui reste figé depuis plus de 3 mois sur une faille Notepad++. Longtemps conspué par les partisans de la « divulgation responsable » (entendons par là l’information sécurité sous strict contrôle de l’éditeur), ce spécialiste de la publication d’alertes et de « preuves de faisabilité » était souvent montré comme un distributeur officiel d’outils de piratage. L’énergie nécessaire à l’entretien de ce web et les luttes incessantes pour le faire avancer contre vents et marées avaient déjà poussé son responsable à jeter l’éponge une première fois. Les lecteurs sont revenus à la charge, promettant de participer à l’effort collectif. Las, il y existe une sérieuse différence entre les promesses et les actes. Milw0rm est –était ?- non pas un repository de codes dangereux, mais la vitrine officieuse d’une toute petite partie de ce qui est susceptible de circuler dans le monde underground des exploits. C’était l’un des rares canaux d’information capable de prévenir les responsables sécurité de « l’officialisation » d’un code d’attaque disponible « dans la nature », afin que chacun puisse envisager les contremesures d’urgence qui s’imposent dans une telle situation. Un travail que ne souhaitent absolument pas faire les éditeurs (pour des raisons évidentes), que ne sauraient tenir les Cert (leur travail est d’informer à propos des dangers réellement majeurs) et que ne peuvent assumer les chercheurs indépendants, qui ne souhaitent supporter les foudres d’un avocat qui dégaine l’injonction plus vite que son ombre. Si Milworm disparaît, seuls des « clubs d’acheteurs d’exploits » tels que le ZDI profiteront de cette situation.

L’un des domaines les plus épargnés par la crise semble être celui des statistiques sur la sinistralité informatique. Ce mortier avec lequel l’industrie de la cyberprotection fait des affaires prend, ces temps-ci, des airs de requiem. Les sites Web dangereux, par exemple, ont vu leur nombre croître de 182% nous affirme une étude de MessageLabs . A l’origine de cette inflation, les botnets Grum et Rumstock. L’intervention de Microsoft contre les sites de la filière Waledac n’aura eu que peu d’effets, le pic d’activité de ce botnet ayant culminé durant le mois de janvier. Le spam, quand à lui, est en constante baisse. Baisse essentiellement volumique, puisqu’en terme de nombre d’emails expédiés, ce serait plutôt le contraire. La raison ? L’hébergement des images sur des sites distants. En diminuant le volume de chaque pourriel, les polluposteurs peuvent en expédier beaucoup plus à la minute. Simple logique stakhanoviste.
Encore des chiffres à ne pas lire avant de s’endormir : Les métriques des logiciels vulnérables. Selon Veracode, qui a reposé son analyse sur 1600 programmes OpenSource, outsourcés et propriétaires, 58% des logiciels utilisés en entreprise sont susceptibles d’être la cible d’une attaque à grande échelle. Dans certains secteurs, ce taux peut même grimper à 88%. Seuls les domaines de la finance et des institutions gouvernementales semblent mieux logés, avec « plus de la moitié » des dotations logicielles capables de passer avec succès les premiers tests de qualification de sécurité choisis par Veracode.
Le dernier chiffre déprimant de ce début de semaine nous est offert par BitDefender, chasseur de virus professionnel, qui publie chaque mois un hit parade des malwares les plus actifs. 9% des infections du mois de février l’ont été à cause du dénommé Trojan.AutorunInf.Gen. Un vecteur de propagation peu original, qui saute de disque amovible en clefs usb ou cartes mémoire. Un triste remake des « virus disquette » qui ne connaissent pas IP ou les partages SMB. Ce qui prouve que la sophistication technique n’est pas toujours preuve d’efficacité. Le second sur la liste, avec 6,24 % des attaques, est le tristement célèbre et presque ancêtre Downadup, alias Conficker, dont on ne parvient toujours pas à se débarrasser. En troisième et quatrième place, respectivement à 5,13 et 4,21% des infections constatées, l’on retrouve Exploit.PDF-JS.Gen et Exploit.PDF-Payload.Gen, deux codes malveillants qui tirent profits des imperfections de code d’Adobe, lesquelles ont très souvent fait la manchette des journaux durant les mois de décembre et janvier dernier.
Un dernier chiffre-catastrophe : 100. C’est le nombre supposé d’entreprises qui auraient été attaquées avec succès par l’opération Chinois « Aurora » dont a été victime Google et Adobe. Des chiffres avancés par le patron de la société Isec Partners, et très éloignés des quelques « 25 victimes supposées » lorsque les faits ont été révélés. Isec en profite pour publier une sorte de « checklist »  à l’attention des entreprises pouvant craindre de telles tentatives de pénétration. 6 pages de conseil au fil desquelles on se rend rapidement compte que la majorité des entreprises auront beaucoup de mal à en suivre les grandes lignes. « Consider an external Forest with a two-way trust for remote offices »… « Deploy read-only domain controllers in overseas offices »… Jouer avec les ADS est un sport de combat déjà éprouvant dans le cadre d’un seul domaine. S’amuser à jongler avec des forêts est encore moins à la portée du premier venu. D’autres conseils, tels que celui visant à concaténer au maximum tous les logs –IDS, Proxys, accès Web, login SSH etc- sous entend la présence d’une équipe compétente est surtout disponible… rien n’est plus harassant que de fouiller dans des journaux d’événements à la recherche d’une éventuelle trace d’intrusion. Si l’on excepte effectivement des entreprises de la taille de Google ou d’Adobe, bien rares sont les sociétés qui ont eu ou qui auront à la fois le courage, les moyens techniques et humains et la conscience du risque réel face à une nouvelle attaque Aurora. Il est fort probable que ce blitzkrieg informatique ait touché plus de sites informatiques que ne le laissent supposer les premières estimations, mais le fait risque d’être difficile à prouver.

Il y a quelques mois Verizon décidait de publier régulièrement des statistiques sérieuses sur l’état des menaces informatiques. Des statistiques qui se veulent moins marketing qu’indicateurs de risques en presque temps réel. Mais bien que publiant, en début d’ouvrage, les méthodologies d’échantillonnage ayant servies à l’établissement de ces métriques, il planait toujours un doute sur la typologie des informations collectées. C’est pourquoi Verizon offre à qui veut bien l’utiliser son « Incident Metrics Framework », 60 pages aussi indigestes qu’indispensables, qui placent dans un contexte précis chaque sinistre. De l’origine géographique à la date exacte, de la cause supposée aux conséquences immédiates, le moindre indice y est topographié. Le seul ennui, c’est que ce document ne constitue pas un véritable RFC, et que l’on voit mal les concurrents de Verizon adopter ce modèle et partager ainsi le résultat de leurs compilations. Cela demeure toutefois une méthode applicable en « interne ». Le jour même de la publication de ce gabarit d’enquête, Verizon ouvrait un forum d’entraide sur ce même sujet. Le nombre de contributions y est pour l’instant proche de l’inverse de l’infini …

Imperva,un spécialiste de la sécurité des bases de données, est un habitué des « études thématiques » détaillant l’organisation quasi-militaire des cybercriminels. La dernière étude en date, – disponible gratuitement (moyennant une impressionnante quantité d’informations personnelles) nous décrit un monde où les truands sont plus organisés qu’une entreprise aéronautique. Organisés et sachant se diversifier, car les dernières « victimes à la mode » seraient en majorité des sites Universitaires américains et Britanniques. Un rapide GoogleHacking met effectivement en évidence une très nette recrudescence de redirections sauvages ou de pages hébergées à partir de domaines arborant des suffixes .edu ou .ac.uk.

En haut de la pyramide, nous explique l’étude d’Imperva, des chercheurs, chargés de découvrir des failles et exploits, des gardiens de botnets, responsables de la diffusion des œuvres des susmentionnés, et des hommes d’affaires, ceux qui choisissent la « charge utile » que véhiculera l’exploit/troyen/virus. Pour amplifier les efforts de ces travailleurs de l’embrouille, deux innovations techniques majeures : les SEO (Search Engine Optimisation) d’une part, qui placent en tête de liste les sites compromis dès qu’une requête est formulée sur un moteur de recherche, et les logiciels d’automatisation d’attaques qui cherchent systématiquement des mots de passe, des identités, tout type d’information pouvant, par la suite, offrir un accès à l’intérieur d’un site contenant des informations monnayables. Ce qui fait dire aux experts d’Imperva que le monde du hack est en train de subir une véritable « révolution industrielle ». Si les techniques de piratage deviennent effectivement de plus en plus automatisées, parler d’industrialisation peut sembler un peu hâtif et réducteur. Les alliances entre truands sont généralement de courte durée et dictées par la recherche de gains rapides. Les bot herders, spécialistes du spam, professionnels de la pharmacie en ligne, gourous du virus rançonneur ou du scareware, récolteur d’adresses etc ne peuvent être assimilés réellement à une entreprise durable et structurellement stable. C’est précisément cette mobilité et cette absence de structure réelle qui fait leur force et les rend insaisissables.

Zeljka Zorz, du HNS, fait un rapide tour d’horizon de la biométrie. Un court voyage de quelques dizaines de lignes qui résume de manière lapidaire les limitations de ce procédé d’authentification et qui, surtout montre à quel point la notion d’intégration d’une technologie est un problème bien distinct des principes qui régissent la technologie elle-même. Contrôler une empreinte digitale, par exemple, c’est réduire à un facteur unique et immuable une « preuve » d’authentification. Que la traduction numérique de cette preuve soit compromise (volée, divulguée..) et il est impossible d’en changer. Zeljka Zorz aurait également pu ajouter qu’à part une amputation radicale de l’index et du pouce des deux mains, cette authentification est également impossible à répudier. S’ajoute également la possibilité de substituer ce qui peut ressembler à la preuve. Une affaire récente dévoilée par la PAF Japonaise laissait même deviner que les fausses empreintes digitales commençaient à être utilisées par des non spécialistes. Reste, ajoute Zorz pour rassurer ses lecteurs, qu’il est difficile de « bruteforcer » une empreinte, ce qui fait du biométrique un excellent second facteur capable de renforcer une première authentification par mot de passe. Cet argument, doit-on préciser, est considéré par quelques spécialistes de la fausse peau comme un élément aggravant, comme un vecteur de « sentiment de fausse sécurité ». Car s’il est impossible de cracker une empreinte ou toute autre propriété physique, elle peut être obtenue par des procédés psychologiques plus traditionnels. Tout se résume donc à une simple évaluation du risque encouru associé à une analyse technique et humaine des techniques de crédence. Plus le secret à préserver est précieux, plus le nombre de facteurs d’authentification doit être multiplié. Mais plus les procédures d’authentification deviennent nombreuses et contraignantes, plus les risques de contournement de la part des usagers légitimes sont élevés, provoquant ainsi un effet contraire à celui escompté. Dans cette perspective, la biométrie redevient alors une solution sinon inviolable, du moins considérablement plus ergonomique qu’une succession de mots de passe changeants, de cartes à puce à ne perdre sous aucun prétexte, de « passphrases » alambiquées et de codes PIN rarement mnémotechniques.