avril, 2010

Hacking your bank. Ce billet publié sur le blog Snosoft décrit, étape après étape, comment une équipe de pentesters a pu pénétrer non seulement sur le système d’information principal d’une banque américaine, mais encore accéder à la majorité des serveurs secondaires, stations de travail et programmes « métiers » utilisés par l’entreprise. La méthode peut être appliquée n’importe où dans le monde, exception faite en France ou pas une seule fois un établissement bancaire a perdu la moindre information et où jamais la main d’un pirate n’a pu poser le pied.

La phase d’approche (un classique du genre) débute avec un examen général des réseaux sociaux. Quelques profils Facebook Monster, Dice, Hot Jobs et LinkedIn plus loin, l’équipe de Snosoft peut dresser un profil assez précis des relations tissées entre les différents employés de l’entreprise et, de fil en aiguille, apprennent qu’un poste de responsable informatique est à pourvoir.

Il ne faut pas longtemps pour qu’un curriculum vitae et une lettre de motivation exemplaire parvienne à la direction de ladite banque, laquelle décide d’un entretien d’embauche dans la foulée. Et c’est au cours de cet entretien (diable, il faut bien que le candidat s’informe de la tâche qu’il aura à remplir) que sont dévoilés quelques « points de détail » capitaux : type d’antivirus déployé, détails sur les politiques de sécurité, systèmes d’exploitation en place… malheureusement pour la Direction du Personnel, l’Admin Idéa qui s’est présenté ce jour-là ne donnera plus signe de vie.

Car à peine rentré chez Snosoft, notre taupe concocte un cocktail à base de pdf empoisonné, spécialement étudié pour être invisible à l’antivirus « corporate ». Pdf qui sera ouvert par un employé trop confiant (lequel, depuis, a probablement appris à utiliser des lecteurs de pdf « en ligne ») avec le résultat que l’on devine.

Le poste de travail une fois infecté, les pentesters ouvrent une liaison HTTPS sortante. HTTPS car le tunnel est chiffré, et sortante car il est fréquent que les firewalls laissent passer les communications provenant de l’intérieur sans le moindre contrôle de la part des IDS. La suite se passe de commentaire. Une fois dans la place, une rapide série d’attaques en Arp poisoning dévoile l’existence de communications VNC qui, une fois légèrement bousculées, ouvrent à distance un accès sur l’administration des Directory Services du contrôleur de domaine principal. Les crédences –login et mot de passe- suivent dans la foulée. Rapidement, les hackers s’aperçoivent que les mots de passe utilisés par les administrateurs pour accéder au domaine permettent aussi d’ouvrir des sessions sur d’autres serveurs d’applications ainsi que des équipements de commutation Cisco.
Le scénario pourrait faire hausser les épaules d’un responsable sécurité. Tout ceci est classique, rebattu, déjà vu, sans la moindre originalité. Un peu d’ingénierie sociale, deux doigts de brute force, un soupçon de Metasploit, l’expertise de VirusTotal… Le scénario ferait presque bailler s’il ne se déroulait pas en 2010 et qu’il ne concernait pas une banque.

Concluons avec un tout autre billet signé Nick Chapman de SecureWorks, qui nous décrit avec force détails comment fonctionne un pdf forgé (un véritable, cette fois ci) et réellement expédié à un employé de banque, semble être utilisé par des professionnels de l’extorsion d’informations en ligne. Il y a du Didier Stevens dans l’air… mais pas seulement. L’avantage, avec une telle technique, c’est qu’il n’est plus nécessaire d’attendre les orages survenant un vendredi soir de week-end prolongé : le bruit de la perceuse à pdf ne dérangera pas les voisins.

Sean pose une question fondamentale sur le blog de F-Secure : Pourquoi Windows n’intègrerait-il pas un lecteur de fichiers PDF natif ?. Et d’argumenter avec une imparable logique : puisque les programmes tiers (à commencer par ceux d’Adobe) sont aussi perforés que dentelle à Bruges, ne pourrait-on espérer un « pdf viewer » intégré au système, tout comme l’offre d’ailleurs Apple.

Un peu comme Internet Explorer… ou comme MediaPlayer. Une sorte d’intégration de toutes les fonctions fondamentales concentrées dans un produit unique, que seuls quelques rares contestataires inconscients pourraient voir d’un œil critique.
Si l’on poussait la logique plus avant, pourquoi ne pas exiger de Microsoft l’intégration « gratuite » d’un ensemble de logiciels de protection couvrant de la station au serveur ? Une sorte de « Forefront Security Essential » en quelques sortes. Si, pour reprendre l’expression de Sean, il faudrait peut-être que les éditeurs d’A.V. « give it some thought » avant de lyncher celui par qui est venu cette idée, il est certain qu’une autre profession serait éternellement reconnaissante à F-Secure : celle des hommes de loi, avocats, huissiers, experts divers et autres juges qui, immanquablement seraient mobilisés quelques années durant pour mener à bien un nouveau procès anti-trust.

Graham Clueley signale sur son blog une tendance prometteuse : celle de la baisse d’activité du relayage du spam par la Chine au cours du premier trimestre 2010. Une Chine qui arrive en 15ème place des nations polluposteuses, loin derrière certains pays européens tels que la France (10ème du classement) et surtout très loin derrière les USA, champions du monde en titre en la matière et responsable de plus de 13 % de l’émission de courriers électroniques indésirables.

Le classement Sophos des pays « spam relays » s’établit donc comme suit :

1. USA 13.1%

2. Inde 7.3%

3. Brésil 6.8%

4. Corée du Sud 4.8%

5. Vietnam 3.4%

6. Allemagne 3.2%

9. UK 3.1%

9. Russie 3.1%

9. Italie 3.1%

10. France 3.0%

11. Roumanie 2.5%

12. Pologne 2.4%

Reste du monde 47.3%

Par continent, et par le jeu des « montées en puissance » de pays tels que la Corée, l’Asie demeure le principal foyer d’inondation smtp, avec 31,6%, l’Europe pour sa part frisant les 31,2% (l’Afrique n’étant responsable que de 2,6% des émissions de pourriel). La répartition est donc relativement uniforme. Le volume de spam mesuré par Sophos se situe toujours aux environs de 97% du débit général des échanges de courrier, situation que confirment les statistiques d’autres organismes et prestataires qui s’intéressent au phénomène (Postini, Antispam Research Group, Messaging Antiabuse Working Group, SpamHaus et semblables). Signalons au passage qu’au classement des FAI dénoncés comme étant les principaux supporters du spam et possédant le « poorest abuse contrôl of spammers », ce même SpamHaus classait au second rang le Français OVH (statistiques arrêtées en date du 29 avril 2010).

« Tout le Gopherspace en un seul téléchargement »… ce titre de BoingBoing paraîtrait aussi hallucinant à un « utilisateur de TCP/IP » des années 80* que si l’on proposait aujourd’hui « tout le Web sur un disque dur » à un abonné ADSL. C’est pourtant ce qu’a réalisé John Goerzen qui, tel un bénédictin, a collecté et sauvegardé courant 2007 tous les sites Gopher encore vivants. Soit un total de 780000 documents, ou 40 Go d’espace disque…on est loin de ce qui était encore en service dans les années 90. 40 Go, cela ne représente pas même l’équivalent de 10 rips de DVD.

Gopher,se souviennent les « plus de vingt ans », était la première interface pompeusement qualifiée de graphique ouvrant sur l’internet. Essentiellement destinée à faciliter l’accès à des documents et fichiers, elle était souvent utilisée conjointement à des passerelles vers des serveurs ftp et des outils de recherche tels que Archie (l’arrière-arrière-arrière grand père de Google) et son concurrent WAIS (lequel, comble du luxe, parvenait parfois à effectuer des recherches textuelles complètes).

… encore fallait-il connaître l’existence des serveurs Gopher stratégiques, car Archie et Wais ne pouvaient ni tout deviner, ni inventer les index et passerelles absents. S’ensuivait alors une longue quête à l’aide d’outils hautement technologiques (dénommés « papier, crayon, mémoire et carnet d’adresses ») avec lesquels étaient dressés les listes de serveurs découverts au fil des requêtes « Finger », un autre protocole « passoire » de type TCP très apprécié des amateurs de pentesting et premier port (79) à avoir été attaqué par un virus-ver, le Morris Worm. Rappelons également que l’interface de travail Internet la plus utilisée à l’époque était Telnet, que l’équivalent de MSN Messenger ou d’ICQ s’appelait TTYlink, et que l’interface la plus conviviale en matière de messagerie avait pour nom BM ou elm. Certains en sont morts.

Le nom gopher vient de la contraction américaine de « Go For… ». La représentation graphique de Gopher (un rongeur aux incisives surdéveloppées) a souvent été confondue avec celle d’un castor. Il s’agit en fait d’un Géomyidé d’origine américaine.

*NdlC Note de la Correctrice : les mots Internautes et les Surfers n’existaient pas et le moindre programme exigeait la présence d’un sorcier de l’octal et d’un gremlin de la structure des fichiers rc

L’imparfaite alerte MS10-025 et sa rustine associée viennent d’être « revues, corrigées et réémises ». Elle ne concerne que les serveurs Windows 2000 dont les Windows Media Services sont installés.

Les vidéos de la dernière conférence HITB de Dubaï sont disponibles en ligne.

Une équipe de l’Inria (MM Stevens LeBlond, Arnaud Legout, Fabrice Lefessant, Walid Dabbous et Mohamed AliKaafar) vient de publier un passionnant rapport qui a fait l’objet d’une présentation lors de la 3ème USENIX Workshop on Large-Scale Exploits and Emergent Threats (LEET’10) de San Jose. Intitulée « Espionner le monde depuis votre ordinateur portable : identification et profilage des fournisseurs de contenu et téléchargeurs massifs sur BitTorrent », cette publication revendique des résultats édifiants. A partir d’une seule machine, et durant une période de 103 jours, ces 5 chercheurs sont parvenus à collecter 148 millions d’adresses IP et d’identifier 70 % des fournisseurs de contenu ainsi « surveillés » durant la période de l’étude. Il est tout à fait possible, explique l’équipe, qu’une « partie adverse » puisse compromettre la confidentialité des informations personnelles de n’importe quel « peer » du réseau BitTorrent et ainsi identifier les plus gros téléchargeurs.

Distinguer les gros « fournisseurs de contenu » n’est pas très compliqué, précise le rapport. Il suffit de surveiller les annonces de nouveautés affichées sur Pirate Bay, IsoHunt et consorts. Identifier les gros téléchargeurs n’est guère plus complexe, d’autant plus que la plupart des « Trackers » reposent sur le code d’OpenTracker.

En examinant le protocole, et plus particulièrement les requêtes « annonces Start/Stop », …« nous avons collecté les adresses IP d’au moins 90% des « pairs » distribuant chaque contenu des trackers Pirate Bay » Ce qui, après une centaine de jours de requêtes/collectes, s’est soldé par une bibliothèque de 148 millions d’adresses IP échangeant environ 1,2 million de contenus uniques, soit 2 milliards de copies au total.

Les principaux fournisseurs de contenu ne constituent qu’une minorité des usagers du réseau P2P. Le top 100 est responsable de 30 % de l’alimentation en nouveaux contenus, le top 1000 de 60 %. Les plus gros « serial uploaders », tel eztv.it, peuvent atteindre des moyennes de 6,5 contenus importants par jour (généralement des films, des séries de 500 à 700 Mo). « Nous n’affirmons pas qu’il est facile de forcer ces fournisseurs de contenu à arrêter d’injecter du contenu dans BitTorrent, mais il est frappant qu’un si petit nombre de fournisseurs de contenu puisse déclencher des milliards de téléchargements. De ce fait, il est étonnant que les groupes de lutte contre le piratage persistent à vouloir arrêter des millions de « téléchargeurs » plutôt qu’une poignée de responsables de l’alimentation en contenu ». Certes, seuls quelques rares esprits chagrins et mal informés pourraient y soupçonner un intérêt lucratif, un fallacieux prétexte visant à prélever un « impôt téléchargement » inépuisable, en bref un terreau sur lequel pousserait une manne financière.

Outre l’atteinte certaine à la vie privée des usagers des réseaux BitTorrent, l’étude des 5 chercheurs de l’Inria met également en relief le rôle important que joue les infrastructures réseau dans cette toile du Peer to Peer. A commencer par les mécanismes d’anonymisation : passerelles, VPN, tunnels Tor, proxys http et Socks, tous les moyens sont mis en œuvre par les usagers les plus importants. Les « stations d’hébergement ». Côté fournisseurs de contenu, l’on se protège également… et si possible en utilisant les services d’un fournisseur de services pas trop regardant. Une fois de plus, OVH est montré du doigt. Dans la liste des « Top 20 » fournisseurs, cet hébergeur est cité 8 fois. En seconde position l’Allemand Keyweb, mentionnée 3 fois. Cela veut-il dire que les Français seraient les plus abominables pirates de la création ? Pas franchement. Sur 1515 contenus estampillés OVH, 13 seulement contiennent le mot clef « FR », contre 552 le mot « Spanish ». Sur 623 titres diffusés par Keyweb, 228 étaient marqués du terme « Spanish », et aucun des mots « fr », « de » ou « ge ».

Côté « réception et partage », l’usage des boîtes intermédiaires, proxys, passerelles etc, semble naturellement répandu parmi les téléchargeurs les plus importants. La chasse à l’adresse IP à la sauce Hadopi est-elle fiable ? Absolument pas répondent en substance les chercheurs avec un aplomb scientifique. Car, selon les moyens utilisés, un même utilisateur peut utiliser des adresses multiples, tandis qu’une seule adresse IP (cas des proxy et gateways) peut masquer des centaines d’usagers différents. Foin de « seedfuck » et autres outils à brouiller les pistes et les adresses IP : le réseau lui-même ne permet pas techniquement d’établir dans tous les cas et avec une absolue certitude l’identité et la nationalité d’une personne se cachant derrière une adresse IP.
Qui lira cette étude et qui saura l’interpréter ? L’on peut douter que ce travail passera inaperçu aux yeux des usagers des réseaux BitTorrent. Les avis sont limpides : utilisé tel quel, l’anonymat de chaque usager est quasiment impossible à préserver. Quelques mesures de précaution, telle l’utilisation de l’Onion Router, peuvent améliorer les choses… dans une certaine limite puisqu’il existe également des techniques permettant de « désanonymiser » un utilisateur Tor. La mise en œuvre de plusieurs astuces simultanées (VPN et proxy et gateway par exemple) rendent le travail des « parties adverses » particulièrement difficile, voir impossible en raison d’évidentes contraintes de rentabilité.

Selon une étude du Ponemon commanditée par PGP, la perte financière par victime de vol d’identité s’élèverait à 204 $ aux USA, contre 107 $ en Allemagne, 119 $ en France, 114$ en Australie et 98 $ en Grande Bretagne. En valeur cumulée, le coût de ces pertes de données a été estimé à 6,75 millions de dollars aux USA, 3,44 M$ en Allemagne, 2,57 M$ au Royaume Uni, 2,53M$ en France et 1,83 M$ en Australie. Ces estimations pour la plupart considèrent que près de la moitié des pertes estimées sont le reflet des projections de « perte de business » découlant de cette fuite d’information. Le Ponemon ne se prononce absolument pas sur la pertinence des veaux, vaches, cochons et couvées que ces Pérettes du cyber-monde regrettent sur leurs bilans comptables. 35% de ces pertes sont la conséquence d’externalisation à des entreprises tierce partie et 35 autres pourcents à « attaques malveillantes ou criminelles » estime le Ponemon. Si l’on compare l’évolution de la situation par rapport aux années précédentes, l’augmentation des pertes estimées (conséquence directe d’un accroissement de ces pertes), serait nettement plus importante en France que dans les autres pays couverts par cette enquête.

Ces métriques ont été réalisées au cours de l’année 2009, sur un échantillonnage de 133 « organisations » (entreprises, administrations etc) réparties sur plus de 18 secteurs industriels différents. Bien entendu, ces chiffres ne reflètent que les déboires d’entreprises du secteur industriel privé, nos institutions bancaires et administrations nationales étant, semble-t-il, des modèles d’intégrité, d’invulnérabilité et de sécurité des données personnelles …

Symantec entre en force dans l’arène du chiffrement en achetant à la fois PGP Corp et GuardianEdge. Le premier a coûté 300 M$ et le second 70M$. PGP a été créée par Jon Callas et Phil Dunkelberger. Elle a assis sa réputation sur le développement du PGP de Phil Zimmermann. L’entreprise depuis déjà plus de 6 ans, intègre sa technologie au sein des produits Symantec. GuardianEdge, pour sa part, est une entreprise spécialisée dans la production de disques durs à chiffrement intégré et outils de gestion des périphériques de stockage amovibles sécurisés.

De son côté, HP premier constructeur mondial d’ordinateurs, achète Palm, l’un des pionniers du monde des PDA. L’opération a été conclue pour 1,2 milliard de dollars, à 5,70$ par action, soit 20 % au dessus du cours actuel. Cette opération devrait permettre à HP de mieux se défendre sur le marché des smartphones.

Il semblerait, nous explique notre confrère d’El Reg, John Leyden, que la protection permanente du jeu Assassin Creed II d’Ubisoft soit passée de vie à trépas, permettant ainsi aux usagers légitimes de pouvoir s’étriper virtuellement sans être inféodés à une procédure « antipiratage » de contrôle permanent via Internet. Laquelle procédure interdisait jeu, sauvegarde ou installation dès que les serveurs de « flicage » tombaient en panne ou étaient saturés, ce qui, semble-t-il, est arrivé quelques fois.

Sans nullement théoriser sur l’utilité des « DRM » et autres procédés anti-piratage, l’on peut dire que l’éditeur n’a pas su prendre en compte un risque probablement plus important que celui de la « perte financière liée à la contrefaçon », autrement dit celui lié à la dégradation de la fameuse « e-réputation ».