mars, 2010

Amusante découverte, que celle que Jerry Bryant nous dévoile sur le blog du MSRC : un double problème affectant Internet Explorer et win32hlp (fichiers d’aide) permettrait à un attaquant, via une page Web forgée, de compromettre la machine d’un internaute de passage en le convainquant d’appuyer sur la touche F1 de sa machine. Un fichier .hlp est une sorte d’exécutable capable de lancer des actions automatiques. Le reste du communiqué laisse également entendre que cette attaque doit être prise très au sérieux, car de « dangereux irresponsables » n’auraient pas respecté les règles de divulgation souhaitées par Microsoft. Il ne faut pas chercher très loin pour découvrir qu’en effet, cette faille et son exploitation ont été signalées par Maurycy Prodeus sur le site Polonais Isec. L’explication théorique et la preuve de faisabilité montrent à quel point le principe de fonctionnement de cette attaque est simple et efficace. A noter que les machines 64 bits ne sont pas affectées par ce PoC très précis, et qu’aucune exploitation « dans la nature » n’a encore été relevée… pour l’instant.
Un bulletin d’alerte a été, depuis, émis sur les canaux Technet. Deux méthodes de contournement sont proposées, l’une d’entre elles recommandant de… ne pas utiliser la touche F1 et de n’appeler l’aide sous aucun prétexte lors d’une navigation sur Internet. La seconde est plus réaliste, et consiste à modifier les ACL à l’aide de l’ordre

echo Y | cacls "%windir%\winhlp32.exe" /E /P everyone:N

Las, cette fois, c’est la totalité de l’aide qui est supprimée. En attendant l’arrivée d’un véritable exploit, il est peut-être plus sage d’attendre et de voir venir.

« Guide forensique à l’attention des forces de l’ordre » titre Public Intelligence. Ce sont là cinq documents prétendument à diffusion restreinte, qui expliquent dans les grandes lignes les particularités techniques de Windows 7 et de Vista susceptibles de poser quelques problèmes aux enquêteurs TIC et NTech de tous pays. Les habitués du Ressource Kit n’y apprendront probablement que très peu de choses, mais les formateurs en sécurité y puiseront bien des astuces. Ces quelques fichiers Powerpoint synthétisent de manière très claire ce qu’est Bitlocker, les « volume shadow copy services », les points clefs de la virtualisation (et notamment tout ce que l’on doit savoir sur la lecture des disques virtuels VH) ainsi que les ajouts effectués autour de NTFS (notamment TxF, le nouveau secteur de boot et partition réservée à Bitlocker, WinFS et ses attributs…). A récupérer avant qu’une demande de censure ne soit émise par un avocat un peu trop zélé.

C’est pour la bonne cause ! clame Stephan Esser qui relance un « month of PHP bug » rebaptisé pour les besoins du politiquement correct « month of PHP security ». Le principe est inchangé : toute personne en possession d’un bel exploit PHP est prié de communiquer le fruit de ses recherches au comité de patronage. Les résultats seront publiés dans le courant du mois de mai. Pour encourager les vocations de hacker, des prix seront attribués aux 16 meilleurs inventeurs. Le premier prix est récompensé par un chèque de 1000 dollars, un ticket d’entrée à la prochaine Syscan et une licence de CodeScan offerte.

Defcon 18, appel à communications : prochaine manifestation à Las Vegas, 30 juillet-1er août, à l’Hôtel Riviera. La page d’appel détaille les formats et conditions de participation.

Vulnérabilité PHP : pas exploitable à distance, mais critique tout de même, écrit Fabien Periguaud sur le Blog du Cert Lexsi. L’auteur revient en détail sur une communication de Stefan Esser (dernière BlackHat). A noter également ce papier très « complet » publié par La Sécurité Offensive.

Hacking Linksys IP Camera, ou un peu de bruteforcing pour détecter des Webcams blotties dans une branche cachée d’un sous-domaine. Article publié par GNU-Citizen …

Practical Exploitation, un nouveau blog sécurité à suivre de très près, et qui commence « logiquement » avec des trucs et astuces Metasploit.

« Courant janvier, nous avons été attaqué comme Google » admet Intel, très discrètement, à la page 19 de son « 10K form», bilan annuel de l’entreprise communiqué à la FTC. Conséquences de l’attaque empreintes d’un prudent conditionnel …

La RSA Conference réveille un peu l’actualité « Cloud Computing ». Avec notamment l’annonce de Computer Associates qui annonce son ralliement à la Cloud Security Alliance (CSA)et sa promesse de contribution au prochain « guide de la sécurité dans le nuage ». Hewlett Packard, de son côté, et toujours pour le compte du CSA, vient d’achever la rédaction d’un rapport intitulé « Les menaces majeures du Cloud Computing ». 14 pages d’analyse des risques potentiels qui entourent l’informatique nébuleuse. Car aussi dématérialisée soit-elle, l’informatique vaporeuse souffre plus ou moins des mêmes maux que son ancêtre : botnet à la sauce Zeus, troyen voleur de crédences et d’identités, accès non autorisé à des ressources, ennemi intérieur, vulnérabilité au niveau des partages, fuite d’information, détournement de trafic et de comptes… à cela faut-il encore ajouter les risques propres aux techniques Cloud, et notamment les failles que l’on pourrait trouver dans ces mille et une API chargées de présenter de manière unifiée les données et services provenant de multiples points répartis sur la planète.

La lecture du document HP nécessite un préalable à la fois sémantique et technique. Car les néologismes, les sigles, les nouveaux modes de travail finissent rapidement par former un joyeux mélange. De la collocation au Saas, Paas, Haas et autres services immatériels, il est utile de se reporter au petit lexique publié par le Sans il y a quelques semaines. Un lexique s’étendant sur deux volets fort bien vulgarisé.

Une fois ces principes de base acquis, l’on peut aborder franchement les articles parfois dérangeants de Hoff dans les colonnes de Rational Survivability. Hoff qui, fin janvier dernier, titrait paradoxalement « La sécurité du Cloud n’a aucune importance »… Ou plus exactement revêt nettement moins d’importance que les contraintes de conformité. Si, au moment de migrer vers une infrastructure répartie l’entreprise est scrupuleusement conforme et normée, les questions de sécurité se résoudront d’elles-mêmes. A l’occasion de la RSA conference, c’est la fille de Hoff, âgée de 6 ans, qui prend le relais et parle de rationalisation du Cloud et de respect des politiques de mots de passe complexes. Le Cloud Computing ? Mais c’est presque simple.

Mais les réticences sont encore vives.Art Coviello, patron de RSA déclarait lors de son discours d’ouverture « Quelque chose bloque la pleine réalisation de la vision Cloud. Et en un mot c’est la sécurité. Avec 51 % de CIOs citant la sécurité comme leur plus grand souci en ce qui concerne le Cloud computing, il est clair que la sécurité n’a pas suivi le rythme de l’évolution vers le Cloud que l’on constate aujourd’hui dans des entreprises de plus en plus virtualisées et hyper-étendues. Nous avons ainsi sévèrement réduit la vision cloud et les conséquences sont évidentes. Bref, où qu’ils se trouvent, les gens doivent être capables d’avoir confiance dans le Cloud, même si littéralement et métaphoriquement ils ne peuvent pas le voir. »

Et l’on se doit d’ajouter que c’est un patron américain qui parle à des patrons américains, et donc potentiellement clients d’entreprises américaines, c’est-à-dire situées dans le périmètre de recours juridique d’un même pays, et craignant moins qu’un patron européen l’expatriation de leurs propres données.

Partis sur une telle lancée, on ne peut passer à côté… d’une troisième étude, celle de Sterling Commerce. « 72% des entreprises européennes prévoient de recourir aux services d’intégration B2B disponibles sur le Cloud pour réduire leurs coûts. 65 % des personnes interrogées considèrent la sécurité comme l’aspect le plus important d’un service d’intégration B2B reposant sur le Cloud ». Au temps pour Hoff. Et l’étude de continuer « Plus de 50% d’entre elles indiquent que ce choix va diminuer les coûts opérationnels, grâce à une meilleure affectation des ressources informatiques et à une meilleure planification des dépenses. Plus de 35% des personnes interrogées estiment que les erreurs résultant des processus manuels diminueront ; ce sont ces traitements manuels qui constituent le principal obstacle à leurs capacités d’intégration B2B, et près d’un tiers des répondants espèrent gagner en visibilité à travers leurs processus B2B »

Quel thème Scott Charney a-t-il choisi pour ouvrir son « keynote RSA Conference » ? Celui du Cloud, bien entendu. Le VP « Informatique de Confiance » de Microsoft explique que sans confiance « de bout en bout », il ne pourrait exister de Cloud Computing (encore et toujours la sécurité) et cette confiance débute par une bonne authentification et identification. Le décor est posé, l’action débute avec un remake de la pièce « Microsoft invente une architecture de gestion des identités ». Mais bien entendu, rien à voir avec ce balbutiement qu’était Passport ou l’un de ses concurrents de l’époque (le fameux et très discret Liberty Alliance). Non, cette fois, promis, c’est du solide. Le communiqué de presse émis à cette occasion explique : Microsoft lance « une version CTP (CommunityTechnologyPreview) de U-Prove, solution de gestion d’identité numérique, qui permet aux fournisseurs en ligne de mieux servir leurs clients et les citoyens en protégeant leurs identités, grâce à la capacité de limiter la diffusion d’information lors des interactions en ligne. Pour inciter la communauté à essayer U-Prove et à donner son avis, Microsoft diffuse dès à présent les éléments au cœur de cette technologie sous licence Open Specification Promise, ainsi que des kits de développement .NET et Java en open source et des démonstrations. »

Certes, il faudra lire attentivement les petites lignes en bas de contrat et considérer avec attention ce que Microsoft entend imposer avec cette « norme ». Mais, assure-t-on du côté de Redmond, les mots licence Open Specification signifient que Microsoft abandonne toute propriété intellectuelle sur le projet et s’efforcera de fournir des kits de ressources dans différents langages pour que les développeurs puissent disposer d’une base de travail le plus rapidement possible. Logique, ce n’est généralement qu’avec des spécifications ouvertes et gratuites et un minimum d’outils et d’APIs également gratuits que l’on fabrique des standards solides, surtout en matière de protocoles informatiques. Mais des spécifications « ouvertes », il y en a eu beaucoup qui n’ont pas dépassé le stade du projet. Encore faut-il que Microsoft sache convaincre des IBM, des Sun, des Oracles, des Google, des Amazon, des Instituts de Recherche, des Administrations tant Nord-Américaines qu’Européennes. Un premier ballon d’essais est lâché avec un accord de collaboration liant Microsoft et l’Institut Fraunhoffer dans le but de créer un prototype intégrant U-Prove et la plateforme d’identité Microsoft afin de mettre en place les futures cartes d’identité électronique du gouvernement Allemand.

On l’aura compris, l’informaticien de la rue (sic)est convaincu que le Cloud est porteur d’espoir, mais que les risques ne sont pas nuls. Une occasion que saisit Qualys, l’un des principaux chevaliers blancs du Cloud, en diffusant d’une part un outil de détection de malwares Web gratuits (à récupérer contre quelques données personnelles ), et en ouvrant d’autre part un service équivalent (mais bien plus complet) délivrant après analyse un sceau de « bonne tenue » garantissant sinon une parfaite inviolabilité, du moins le passage d’un contrôle technique relativement complet. Le service se nomme Go Secure, et se vend 995 euros par an et par serveur Web, et vient compléter la suite de logiciels et services de tests de conformité et de sécurité commercialisés par Qualys.

Sécurité, cyberespace, Web et bonnes pratiques, même air et même chanson chez IBM, qui profite également de la RSA Conference pour annoncer la création d’un institut « for advanced security ». Il s’agit en fait d’une structure de lobbying destinée à sensibiliser et informer tant le secteur privé, industriel, universitaire que public sur les problèmes et dangers rencontrés dans le cyberespace. La façon dont est tourné le communiqué de presse diffusé par IBM ne laisse planer aucun doute : c’est le marché de la sécurité Scada que vise Big Blue.