avril, 2010

Itzik Kotler, Security Operation Center Team Leader chez Radware, et Ziv Gadot, Senior Security Researcher, réinventent le botnet. « Ce sont, en termes d’agilité technique, les malwares qui se sont le mieux adapté et qui savent le mieux muter pour échapper aux techniques de détection, explique Itzik Kotler. Reste que leur fragilité intrinsèque, leur fameux « single point of failure » demeure leur centre de commande. C’est en tuant les C&C que l’on peut venir à bout d’un botnet ». C’est ainsi qu’est venue l’idée d’un botnet « sans C&C », sans serveur unique, ou du moins utilisant n’importe quel site Web en guise de centre de commande. « Une partie de l’intelligence de TurBot se trouve sur le bot, qui va tenter de lire un certain nombre de sites définis à l’avance. Cela peut être le second article de la première page de CNN, une annonce de Craigslist ou toute autre petite annonce, voir un stream youtube, « twit » ou toute autre intervention publique effectuée sur un réseau social ». Charge au botmaster de définir un dictionnaire précis qui permette au bot d’interpréter un texte apparemment anodin en une suite de commandes précises. Cette technique n’est pas sans rappeler les « messages secrets passés dans les petites annonces du Times » des romans de Conan Doyle. Le seul défaut de ce système, c’est le temps de latence qui sépare l’opération de lecture du bot de la « mise en ligne » des commandes sur l’un des sites prédéfinis (la description du mécanisme de requêtes ayant été simplifiée par la rédaction dans un but de clarté). « Cette latence peut d’ailleurs être éliminée après la réception du premier ordre, si celui-ci inclus l’heure exacte de la prochaine lecture et l’URL sur laquelle le Bot devra aller chercher ses prochaines instructions » précise Kotler. Une nécessité si le Bot en question fait partie d’un botnet d’attaque en déni de service ou d’un pool de serveurs d’infection. Après un tel prototype de vecteur d’attaque, plus personne ne lira les annonces du Times Online ou de Rue 89 avec le même œil.

Existe-t-il des contre-mesures ? « Bien entendu, reprend Ziv Gadot. Nous travaillons actuellement sur quelques possibilités en laboratoire. En théorie, il serait possible de bloquer l’activité du botnet en inféodant simplement l’accès des sites à la saisie d’un Captcha ». Mais est-ce réaliste ? Les internautes accepteraient-il de saisir une « clef d’entrée » à chaque changement de site ? Une autre approche consisterait à détecter une activité anormale sur le poste client. Chose difficile dans le cadre d’une petite structure, un peu plus évidente sur un réseau important sur lequel il est possible d’envisager l’investissement d’un équipement d’analyse comportementale, capable de signaler des tentatives de connexions identiques sur un site en particulier.

TurBot représente-t-il un risque à court terme ? « difficile à dire, déclare Itzik Kotler. TurBot est une preuve de faisabilité, un « bot d’atelier » rédigé en python. Ce n’est pour nous qu’un axe de recherche, d’autant plus nécessaire que les auteurs de bots nocifs agissent vite et exigent de la part de ceux qui souhaitent les combattre une certaine imagination ». Les chercheurs et les curieux peuvent récupérer ce « bot prototype » sur googlecode.

La palme de l’originalité de ce Hackito Ergo Sum première édition pourrait bien revenir à Raoul Chiesa de @ mediaservice.net, non seulement en raison de l’aspect totalement décalé de son discours, mais également parce qu’il met le doigt sur l’une des failles de sécurité les plus énormes de notre époque… une faille Scada connue de beaucoup mais gardée sous silence, celle des réseaux fossiles que sont les infrastructures X25. X25, en France notamment, c’est le royaume de Transpac, l’empire du réseau Minitel… c’est également le système de communication le plus prisé par les banques, les grandes administrations, les grandes entreprises, les gestionnaires d’infrastructures routières ou aériennes. C’est surtout un protocole antérieur à l’époque TCP/IP, qui date d’un temps où les pirates étaient moins nombreux qu’aujourd’hui et où les visiteurs indiscrets se comptaient sur les doigts de la main. Peu étonnant alors de comprendre pourquoi certaines notions sont absentes de ce monde là. Comment conjugue-t-on Firewall en langage « packet » ? Comment décline-t-on le mot « authentification » ? « il n’y a rien de tout cela dans le monde X25 » nous apprend R. Chiesa. « En simplifiant à l’extrême, le plus gros du travail qu’aurait à fournir un blackhat serait de découvrir l’adresse X25 (ce qui relève plus d’un travail de recherche Google et d’ingénierie sociale que d’une technique de scanning) et éventuellement de lancer une attaque en brute force pour récupérer le login/password d’accès. Lorsque celui-ci ne se trouve pas en clair quelque part ailleurs ». Quel est l’intérêt de fouiller ces vieux protocoles ? « Mais tout simplement parce qu’à tous les coups l’on gagne, s’exclame le chercheur transalpin. Derrière un node X25, on ne peut trouver qu’une banque, une grande administration, des fichiers nominatifs, des bases de données de grandes entreprises… il n’y a pas de « coup dans l’eau ». Risque d’autant plus réel qu’il n’est pas nécessaire de posséder un accès X25 « plein » pour se promener sur ces réseaux. Via un canal D Numéris, par le truchement d’une liaison IP aboutissant à un node « IP sur X25 », en utilisant un équipement Cisco (IOS supporte X3)… Rappelons qu’antique ou moderne, pénétrer sans autorisation sur un réseau ou un système de traitement de données tombe sous le coup de la LCEN… même si la « victime » est coupable d’entretenir des infrastructures fragiles et quasiment impossible à protéger sérieusement.

Trois jours durant, du 8 au 10 avril dernier, le cycle de conférences Hackito Ergo Sum (HES) a tenu en haleine une centaine de passionnés du pentesting, de l’analyse de failles, du « development lifecycle », du balayage réseau ou de la sécurité des systèmes Scada. Une manifestation organisée par les membres du tmp/lag, sous la houlette de Philippe Langlois (P1 Security, co-fondateur de Qualys). HES est donc, après l’inévitable grand-messe Rennaise que sont les Sstic et le rendez-vous de Besançon FRHack, la troisième grande manifestation sécurité « pointue » Française, et surtout l’unique événement parisien du genre.

Qu’est-ce qui fait marcher la B-Box de l’opérateur historique Belge ? Une question que se pose Benjamin Henrion (FFII.org). Plus qu’un simple hack de « box » adsl d’opérateur, B. Henrion s’est lancé dans une véritable enquête policière pour retrouver les héritages génétiques « open source » du noyau embarqué dans ce routeur multifonctions. Outre les traces de noyau open source et d’extensions jalousement « propriétarisées », de telles enquêtes servent à cerner rapidement les points de vulnérabilité réels et probables, ainsi que les redoutables trous laissés par des configurations par défaut (telnets d’administration ouverts y compris via les ports WiFi). Ou encore, comme c’est souvent le cas dans les appareils fabriqués en grandes séries, des « oublis » souvent bénéfiques aux chercheurs. Ainsi l’absence de verrouillage en écriture de la mémoire flash du routeur. La B-Box 2 parviendra-t-elle un jour à égaler un Linksys ou un Fonera sous OpenWRT ? Pourra-t-on un jour y injecter un Asterisk ?

Les présentations suivantes ont progressivement atteint de sérieux niveaux techniques, avec notamment deux analyses des vulnérabilités réelles et potentielles des liaisons VoIP. L’un exposant les travaux de Philippe Langlois (P1 Security) sur SS7, l’autre de Sandro Gauci, d’EnableSecurity, sur l’examen approfondi du protocole SIP et la manière de transformer une bonne partie des « softphones » en porte d’entrée vers un monde où les communications internationales deviennent gratuites… mais pas nécessairement pour tout le monde. Une visite sur le site d’EnableSecurity s’impose, ne serait-ce que pour y récupérer SIPVicious (une production de l’auteur) et s’intéresser à d’autres outils tels que le honeypot Artémise ou le crawler VoipHunt.

Autre thème majeur de HES, la sécurité au sein des environnements Microsoft. Généralement, ce genre de conférence technique s’avère relativement « Linux centric » ou « BSD read only ». Hackito 2010 a prouvé le contraire en invitant Tim Burrell (Microsoft), Julien Vanegue (Microsoft) et Laurent Gaffié (Stratsec). Tim Burell a fait voyager l’assistance dans le temps, remontant à l’aube de la « prise de conscience sécuritaire » de MS, période Windows XP, avec /GS, le système de vérification de sécurité de la mémoire tampon, puis en déroulant l’historique (DEP, ASLR et les différentes évolutions) de Vista à Windows 7/2008 R2. Julien Vanegue enchaînait sur une méthode d’analyse automatique facilitant la détection des « heap » de taille 0, et Laurent Gaffié achevait ce tour d’horizon Microsoft avec un exposé sur le fuzzing du protocole SMB. En résumant très rapidement, l’on pourrait dire : première faille découverte après deux minutes de fuzzing, 20 trous révélés en moins de 2 mois de travail, 6 d’entre eux étant considérés comme « universels » (présents sur plusieurs versions de Windows) dont 1 propre à SMB v2. Ce serait sans oublier près d’un an de travail à compulser dans le détail la longue documentation de SMB, dont les origines remontent, il faut s’en rappeler, aux développements de l’OS/2 Lan Server d’IBM. Travail de bénédictin, mais également travail de laboratoire, avec la construction d’une plateforme de test associant tout ce qui a un jour supporté ce protocole… depuis Windows pour Workgroup à l’actuel « Seven », en passant par les intégrations exogènes telles que SaMBa. Le résultat est à la hauteur des efforts. Ce mois-ci ouvrait d’ailleurs le début officiel de cette campagne de toilettage réseau avec la publication de la ms10-020.

Ce rapide survol de HES 2010 ne serait pas complet si l’on oubliait les travaux de Matthieu Suiche qui, après s’être penché ces dernières années sur les « memory dump » sous Windows 32 et 64 bits, se lance dans la découverte de l’espace mémoire d’OSX. Rappelons que Matthieu Suiche a créé il y a peu de temps la société MoonSol, et diffuse des programmes commerciaux et communautaires destinés entre autres choses à fouiller dans les fichiers d’hibernation ou la mémoire vive d’une machine. Egalement très suivi, l’intervention de Gloire Gwendal sur le « piratage du GSM ». Les différents exploits de l’équipe Shamir, du Hacker’s Choice, du team de Karsten Nohl, ont souvent provoqué des titres plus qu’alarmistes dans les colonnes de la presse grand public. La réalité est toute autre, explique Gwendal. Non seulement le cassage du A5 n’est pas une opération réalisable sur un « coin de table », mais encore, même si le système de chiffrement a sérieusement été mis à mal, les outils de contournement sont loin de pouvoir être utilisés simplement, rapidement et dès les premières secondes de communication. La séquence vidéo de cet exposé est à suivre sur le site LiveStream. C’est probablement la première fois qu’un homme de la technique consent à vulgariser clairement, sans verbiage abstrus, les principes de base du hacking du GSM et surtout à dégager la notion de risque réel.

« Etes-vous partant pour un HES 2011 ? » à cette question, tous les participants interrogés ont répondu « oui » sans même réfléchir. Et compte tenu du succès de cette première édition parisienne, il y a fort à parier qu’elle se déroulera dans un amphithéâtre encore plus vaste.

La Toile explose, et IPv4 sature. Les demandes d’adresses IP affluent, de plus en plus nombreuses et vont continuer d’augmenter dans les années à venir, surtout compte tenu de l’accroissement exponentiel des outils et produits ayant accès à Internet. Parti à la conquête du réseau dès 2008, notamment via le FAI Free, IPv6 débarque dans les entreprises, et nécessite forcément une adaptation des politiques sécuritaires et de protection du patrimoine informationnel.
Quelles modifications l’adoption d’IPv6 induira-t-elle ? Quel challenge pour les entreprises, les particuliers ?
Le premier résultat d’IPv6 sera l’interconnexion globale, à savoir un Internet vraiment mondial : en 2015, nos frigos seront interconnectés et twitteront lorsque l’on n’aura plus de bière au frais. En découlera un champ d’exploration É-NOR-ME pour les crackers et les script kiddies de tout poil.
Et la seule force d’IPv6 contre cette accès direct sera sa taille. Un attaquant scannant 100 machines par seconde mettra environ… 10 puissance 20 milliards d’années à trouver votre frigidaire. Le côté rassurant de cette statistique est que même si plus d’un milliard d’ordinateurs lancent un scan concerté et simultané, nous sommes encore dans un délai raisonnable de 10 puissance 10 milliards d’années : on est bien caché au milieu d’un cloud IPv6.
Hormis une attaque ciblée, l’ouverture depuis l’extérieur n’est donc pas un véritable problème pour la nouvelle génération d’adresses IP.
Le NAT, ou Network Adress Translation était utilisé par certains pour empêcher les connexions directes vers l’extérieur et notamment vers un autre réseau NATé. Les attaques de type « prédictions de port », utilisées notamment par Skype, permettaient déjà d’établir des connexions directes entre machines de réseau NATé. IPv6 octroiera un nombre quasi illimité d’adresses IP, rendant l’utilisation du NAT inutile.
D’un point de vue purement entreprise, les principales difficultés se situeront au niveau des politiques de sécurité.
Une politique de sécurité à reconstruire
Fournir IPv6 sur un réseau est relativement aisé. Le protocole propose de nombreux modes de configuration automatique et l’utilisation d’IPv6 peut se résumer sur les systèmes d’exploitation évolués à une simple activation du pilote dédié. Les choses se compliquent pour l’entreprise lorsqu’elle décide de mettre en œuvre une politique de sécurité adaptée aux évolutions réseau : mes pare-feu gèrent-ils correctement IPv6 ? Comment puis-je déterminer l’adresse de mes serveurs et m’en souvenir ? Mes outils de journalisation supportent-ils IPv6 ? C’est tout un pan de l’administration système et réseau qui est donc à revoir.
Des extensions à s’arracher les cheveux !
IPv6 facilite l’anonymisation des adresses. Même si le DHCP (Dynamic Host Configuration Protocol) sur IPv6 a récemment connu un regain d’intérêt, il ne s’agit là que d’une solution de contournement d’une problématique opérationnelle liée au système d’attribution directe des adresses IP.
Une nouvelle fonctionnalité des systèmes d’exploitation est le changement régulier des adresses du poste, ceci dans le but de protéger la vie privée de l’utilisateur, ou plus globalement les échanges de données des entreprises. Il est donc complètement impossible de prévoir l’adresse du poste. Toute politique de sécurité basée sur une IP source donnée est donc à proscrire, et il faut envisager de systématiser l’utilisation de l’identification.
IPv6 Mobile est l’une des extensions les plus controversées si on la considère d’un point de vue sécuritaire. Le principe d’IPv6 Mobile est de fournir une connectivité à une machine sur une même adresse IP et ce, quelle que soit sa position géographique. Deux types de techniques sont utilisées pour parvenir à ce résultat. D’une part, l’établissement d’un tunnel IPsec entre le routeur d’origine (dit Home) et la machine déplacée derrière un routeur distant. D’autre part, un système de collaboration entre les routeurs assurant le transfert des flux entre les adresses de la machine (la locale et la distante). Ce dernier mécanisme repose sur une encapsulation des paquets d’origine qui ont alors deux couples d’adresses source et destination. Faut-il alors filtrer l’adresse Home ou l’adresse locale ? Ou prendre en compte les deux adresses, Home, codant l’emplacement fonctionnel, et l’adresse locale, codant l’emplacement géographique. Le déploiement IPv6 Mobile reste hypothétique car les recherches sur le sujet sont encore très actives mais son intérêt pratique fera peut-être son succès.
Après de longues années d’hésitation l’adoption rapide d’IPv6 semble se profiler. Einstein disait que « L’homme et sa sécurité doivent constituer la première préoccupation de toute aventure technologique. » Mais comme il est de coutume, les enjeux de sécurité ne seront pas traités en premier… Ce qui ouvrira la porte à une nouvelle phase dans les attaques.

Avant même que l’équipe du Montparnasse ait pu lever les premières taxes qui serviront à payer le 480 000 euros de loyer annuel du « siège » de l’Hadopi, les organisations mafieuses se préparent à rafler la mise. En effet, nous apprend l’équipe de recherche de F-Secure, une campagne de phishing lancée par un gang sous couvert d’un « ICPP Copyright Foundation » menace de poursuites et lève l’impôt auprès d’internautes statistiquement forcément coupables. Le payement de l’amende s’effectue par carte de crédit (sic), tout choix d’un autre moyen de règlement exposant la « victime » à des majorations et peines d’emprisonnement. A noter que, contrairement aux autres tentatives d’escroquerie par intimidation généralement limitée à 50 ou 100 dollars, l’amende ainsi exigée s’élève à 400 dollars… on ne prête qu’aux riches. Ajoutons que pour être certain de « coller » le plus possible aux comportements d’un Albaniciel quelconque, la page d’avertissement/racket s’affiche à chaque démarrage.

Si, pour l’heure, les vociférations et vagues de procès du RIAA américain servent de « fond de véracité » à ce genre d’escroquerie, l’on peut parier que dès que les spécialistes de la Haute Autorité pour la diffusion des œuvres et la protection des droits sur Internet émettront leurs premières injonctions, l’on verra fleurir des versions françaises de cette fraude.

La réaction de la haute autorité sera alors très intéressante. Sera-t-elle capable de poursuivre (et d’arrêter) les coupables de ces faux manifestes jusque dans les steppes de l’Asie Centrale ? Peut-on espérer que le nouveau « logo » ( celui qui n’est pas piraté ) verra ses reproductions illégales protégées par ces valeureux défenseurs ? Nous le saurons en écoutant le prochain épisode de ce feuilleton à suspens, d’aventure et d’amour de la musique.

Pas ou peu de surprises pour ce « mardi des rutines » du 13 avril : la liste est pléthorique comme prévu, les colmatages SMB sont présents, comme prévu… mais il faut remarquer que les abonnés aux Mailing List de Microsoft France ont, pour la première fois, reçu dès mardi à 19H30 un email de synthèse des 11 bulletins et de leurs 25 failles, en Français de surcroît. A l’exception des bulletins MS10-024, MS10-028 et MS10-029, toutes les autres alertes sont qualifiées de « sérieuses », soit en termes de potentialité d’exploitation, soit en termes de sévérité nous enseignent les graphiques de dangerosité publiés sur le blog du MSRC. MS10-019 et MS10-020 sont des failles considérées comme critiques, sur toutes les plateformes Windows supportées, qu’elles soient stations ou serveurs. MS10-026 (défaut dans les codecs MPEG Layer-3 )est « presque » aussi dangereuse et n’épargne que Windows 7 et 2008 R2. MS10-025 (trou dans les Media Services) n’inquiètera que les possesseurs de noyaux 2000 et la 027 2000 et XP. MS10-019 est décrite par l’équipe technique en des termes inquiétants. Grâce à elle, un intrus « pourrait prendre le contrôle intégral d’un système affecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges. » MS10-020, l’une des failles SMB que nous avions mentionnée à la publication du « pré-bulletin » d’alerte, ouvre la voie à une potentielle exécution à distance. Elle fait partie des 4 ou 5 failles « SMB universelles » découvertes par Laurent Gaffié.

Plus que quelques jours avant l’ouverture, entre autres choses, des hostilités à l’encontre des antivirus les plus connus : iAwacs 2010 se déroulera du 7 au 9 mai prochain, à l’ESIEA à Paris, et non pas dans la Capitale du Père Ubu*. Cette année, afin d’éviter certains arguments de la part de quelques éditeurs peut-être un peu récalcitrants vis-à-vis de ce genre d’expérience, les « suites de protection » seront accédées en mode « utilisateur » sur une plateforme Windows 7 elle-même installée dans une VM à des fins de commodité. Le règlement du concours est disponible en ligne sur le site de l’Esiea. Mais iAwacs, ce n’est pas que le concours Pwn2kill. Plusieurs conférences se dérouleront, parmi lesquelles un exposé sur les attaques et contremesures, par MM Damien Aumaître et Christophe Devine, un atelier sur la sécurisation des réseaux CPL par Xavier Carcelle du tmp/lab, un autre sur les cartes à puces par Vincent Guyot, ou encore une causerie portant l’improbable titre « Do you still believe that nobody can make a Win 7 system become useless despite using a « powerful » antivirus? » par David Baptiste. Le détail des sessions peut être téléchargé toujours sur les ressources de l’Esiea.

NdlCT Note de la Correctrice-Traductrice : autrement dit de la ville-palindrome qu’est Laval, berceau d’Alfred Jarry.

Quelques jours après que se soient déroulés ces « états des lieux » franco-français, Dan Geer, Ciso d’In-Q-Tel et pourfendeur de la « monoculture microsoftienne », éditait un manifeste intitulé Cybersecurity and National Policy, un document touffu, foisonnant d’idées, de critiques, de prises de positions qui ne feront plaisir ni aux « opportunistes du marché de la sécurité », ni aux cassandres qui invoquent l’imminence d’une cyberguerre ou déplorent un prétendu « far west » numérique. Les idées de Geer fusent, s’entrechoquent, se croisent : « la sécurité est un moyen et non une fin. Par conséquent, un débat politique sur la cybersécurité doit être nécessairement sur les moyens d’un ensemble de fins souhaitables la sécurité restera le domaine d’une poignée de savants. Parfois, laisser la maîtrise du pouvoir à cette élite s’avère positif… mais comme la demande en matière de sécurité dépasse de loin la capacité de ce petit nombre, les offres des charlatans viennent combler le manque en la matière ». Une politique de sécurité appliquée au niveau national doit « passer de la culture de la peur à celle de la sensibilisation, et de la sensibilisation à celle des métriques », car sans métrique, les craintes sont totalement irraisonnées, les ressorts sont infondés, les réactions non proportionnelles et par conséquent inefficaces.. ce qui laisse la porte ouverte à tous les discours anxiogènes possibles.

Autre idée reçue, celle de l’analogie ou de l’absence d’analogie. Un vol de données dans le monde informatique ne dépossède généralement pas de ses données le propriétaire, une cyberguerre ne fait pas de cybermorts… mais le vol a pourtant bien eu lieu et les cybervictimes existent. Toute comparaison en ce sens avec d’autres secteurs travaillant sur des biens matériels ou du matériau humain est impossible. En revanche, les notions d’importance stratégique, de continuité d’activité, de pertes, de concurrence sont belles et bien semblables. Ces exemples prouvent qu’il ne peut y avoir d’exemple pouvant être étendu pour en obtenir une règle générale ou d’analogie en matière de sinistralité ou de politique.

Après les généralités, les principes cornéliens. Geer rappelle un vieil axiome du monde de l’industrie : « Entre Rapidement, Pas cher et Economique, on ne peut choisir que deux atouts à la fois, jamais les trois ensemble. Il en va de même en sécurité. Entre Liberté, Sécurité et Commodité, deux choix seulement peuvent être associés… ». Et c’est peut-être là la principale question que soulève le manifeste de Dan Geer : la sécurité a un prix, celui de la contrainte qu’impose une mesure de filtrage, une politique de vérification lourde, une diminution des tolérances d’antan qui pourraient profiter aux « adversaires ». Alors, dans quels cas peut-on estimer que la liberté de chacun doit être mise sous le boisseau pour des raisons de sécurité ? Ou commence la notion « d’importance vitale d’envergure nationale » ? « Dans deux cas seulement, estime Geer : lorsqu’un mécanisme quelconque, un processus, une chaine de transmission passe par un point de fonctionnement unique, lequel peut être considéré comme un point de vulnérabilité unique. Le second cas de figure, c’est lorsque, dans le processus de traitement, un accident unique risque de produire un phénomène d’avalanche, de sur-accident susceptible de se répandre sur l’ensemble de la chaine. Car une seule attaque est alors capable d’impacter tous les constituants de l’ensemble ». On retrouve là l’un des thèmes favoris de Dan Geer, sa croisade contre la monoculture, celle qui fait qu’un seul petit virus peut mettre à mal la presque totalité du parc informatique si celui-ci repose sur un unique système d’exploitation. Ce n’est pas Microsoft que Dan Geer condamne, c’est l’absence de diversité, et par conséquent de cloisonnement. « La racine même du risque, c’est la dépendance » rappelle-t-il. L’on peut donc en conclure que la sécurité par la « multiculture » se paye au prix d’un accroissement de la complexité d’administration. Reste à savoir si le surcoût d’une hypothétique réaction en chaine comparé au surcoût certain d’une architecture complexifiée est un langage que comprennent les gestionnaires…

L’œuf ou la poule, qui est responsable ?

Une fois traitée la question du risque, se pose celle de la responsabilité. Les attaques, les diffusions de malwares, les tentatives d’intrusions, les piratages divers relèvent-t-ils de la responsabilité de l’ISP ? Si c’est le cas, cela revient à confier à un tiers le droit de fouiller les données numériques –toutes le données- entrantes et sortantes sans réelle garantie de confidentialité absolue ou de confidentialité. Rejeter cette charge sur les épaules de l’éditeur de logiciel –en pratique celui par qui les failles arrivent- entraînerait de facto la création d’une autorité de régulation gouvernementale chargée d’encadrer l’importance et les limites des interventions dudit éditeur, ne serait-ce que pour définir des normes conditionnant l’efficacité de ces mesures et leur sécurité intrinsèque. Et donner au gouvernement la responsabilité de cette tâche, c’est s’attendre à ce qu’un jour soit imposé ce mythique « permis de conduire sur Internet ». A mon avis, conclut Dan Geer, donner cette responsabilité à l’individu, à chaque utilisateur est le pire des choix que l’on puisse faire… à l’exception de tous les autres*. Enfin, paraphrasant une seconde fois Churchill, Geer conclut « For me, I will take freedom over security and I will take security over » **

Ndlc note de la correctrice : Les citations originales sont *« La démocratie est le pire des régimes à l’exception de tous les autres » et **« Si je devais choisir entre Europe et le grande large, je choisirais toujours celui-là »

Il y a dans l’air comme un parfum de cyber-mobilisation, de cyber-crainte, de cyber-esprit cocardier, de cyber-patrie en danger, de cyber-lois et, commencent à dire certains, de cyber-oubli des libertés fondamentales. Ce fut d’ailleurs le thème d’un des ateliers du FIC 2010, qui réunissait MM Guillaume Tissier , Directeur au Pôle risques opérationnels, DEIS, l’Ingénieur Général des mines Jean-Pierre Dardayrol, du Conseil Général de l’Industrie, Sébastien Heon, Senior manager chez EADS, Stanislas de Maupeou, Chef de la cyberdéfense de Thales, et Philippe Wolf, Ingénieur Général de l’Armement, représentant l’Anssi. Un aréopage de sages qui, près de trois ans après la publication du Livre blanc sur la Défense et la Sécurité nationale, faisaient le point sur la collaboration public/privé. Débat d’autant plus intéressant qu’il se déroulait après de nombreuses escarmouches techno-politiques (Estonie, Géorgie, Iran, intrusions des administrations européennes « apparemment Chinoises », vague d’attaque Aurora etc).

Si l’Administration Française parvient généralement à se garder des sinistres informatiques importants –grâce notamment à l’efficacité du CertA-, ce n’est pas toujours le cas des infrastructures du secteur privé. Notamment, explique Philippe Wolf, en raison de la rapidité avec laquelle évoluent les menaces et la discrétion de certaines frappes. Ainsi, des fléaux tels que les botnets sont comparables à des armées, contre lesquelles seule une cohésion et une réaction défensive toute aussi rigoureuse et martiale peuvent s’avérer efficaces. Mais les cyber-attaques ne se résument pas à la seule action des réseaux de bots. Contre les attaques ciblées et concertées, visant un secteur très particulier, les réponses sont encore insuffisantes. Stanislas de Maupeou déplore : «Il n’y a pas, ou pas assez d’exercices de sinistralité, pas d’habitude à travailler en mode dégradé… une crise doit se préparer. Il n’est pas normal que l’on soit parvenu à totalement intégrer dans le fonctionnement de pratiquement toutes les organisations, de l’Administration à l’ensemble des entreprises, des exercices « d’alerte incendie » ou d’évacuation d’immeuble, et que l’on ne puisse faire la même chose en matière de sinistres des systèmes d’information »…. Alors que l’économie de tout le pays repose de plus en plus sur lesdits systèmes d’information « une crise, insiste de Maupeou, çà se prépare ». Et d’autres intervenants d’abonder dans ce sens, en rappelant les réflexes premiers de toute défense organisée : prendre en compte l’élément humain, comprendre la menace, anticiper ladite menace. Combien d’entreprises en France ont réellement testé leur PRA –voir leur PCA dans le cas de processus stratégiques- selon un calendrier régulier ?

Après la superbe et pourtant antique faille VDM, voici que Tavis Ormandy dévoile un nouveau trou de sécurité affectant cette fois le composant Java Web Start de Sun/Oracle, dans sa version destinée à « tous les environnements Windows ». Devant le peu de réaction de la part d’Oracle qui estimerait que le trou de sécurité ne nécessite pas de correctif « hors calendrier » (Le rythme des rustines Oracle est trimestriel), le chercheur a décidé de publier à la fois une alerte sur la liste Full Disclosure (http://www.derkeiler.com/Mailing-Lists/Full-Disclosure/2010-04/msg00123.html) et une preuve de faisabilité sur son propre site. PoC qui exécute à distance le lancement de la calculatrice Windows.

Bien que précisant un prudent « I believe non-Windows installations are unaffected », il semblerait tout de même que Linux en pâtisse également. C’est ce qu’indique en tout cas le blog de Ruben Santamarta, qui accompagne également ses recherches d’un petit code d’exploitation. Santamarta précise toutefois « Bien que Linux contienne ce code vulnérable, je n’ai pas été capable de l’exploiter de la même manière ».